Bundesländer wollen Pflicht zu betrieblichen Datenschutzbeauftragten abschaffen – wegen „unnötigen bürokratischen Anforderungen“

Arbeitnehmerdatenschutz. Illustration von Tetiana Sarazhynska für das LabourNet Germany - wir danken!Der Appell des Innenausschusses des Bundesrats, die Auflage im BDSG zum Bestellen betrieblicher Datenschutzbeauftragter zu streichen, stößt auf Widerspruch. (…) Der Innenausschuss der Länderkammer fordert, Paragraf 38 des Bundesdatenschutzgesetzes externer Link (BDSG) ersatzlos aufzuheben. Laut der Klausel müssen Unternehmen und andere nicht-öffentliche Stellen einen betrieblichen Datenschutzbeauftragten benennen, „soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener“ Informationen beschäftigen. (…) Gerade kleine und mittlere Unternehmen sollten aber auch nach den Vorstellungen des europäischen Gesetzgebers „nicht unnötigen bürokratischen Anforderungen ausgesetzt werden“, begründen die Innenpolitiker des Bundesrats ihre Initiative. Paragraf 38 BDSG entspreche auch nicht dem mit der DSGVO verfolgten „risikobasierten Ansatz“…“ Beitrag von Stefan Krempl vom 18.03.2024 in heise news externer Link und den sich abzeichnenden Erfolg in 2026:

  • [‚Bürokratiemonster’ und Innovationshemmnis] 14. Punkt des Reformpakets: Schwarz-Rot will 99 Prozent der deutschen Unternehmen vom Datenschutz ausnehmen New
    Die schwarz-rote Koalition will nicht nur bei der Informationsfreiheit, sondern auch beim Datenschutz die Axt anlegen. Sie plant unter anderem pauschale Ausnahmen für kleine und mittelständische Unternehmen und will die Aufsicht zentralisieren. Kritik kommt von Datenschutzexpert:innen, Aufsichtsbehörden und Zivilgesellschaft.
    Unter anderem sollen viele Unternehmen ganz vom Datenschutz ausgenommen und betriebliche Datenschutzbeauftragte aussortiert werden. Auch die Datenschutzaufsicht will die Regierung radikal umbauen.(…)
    Ausnahme für 99 Prozent der deutschen Unternehmen
    Überschrieben ist der verhältnismäßig knapp gehaltene 14. Punkt des Reformpakets mit „Moderner Datenschutz für mehr Wachstum“. Übergeordnetes Ziel ist eine Vereinfachung des Datenschutzes. Ein neues Datengesetzbuch soll das Datenrecht harmonisieren und unter Wahrung des Datenschutzes die Datennutzung fördern, heißt es in dem Papier. Einer der Vorschläge sticht besonders hervor: Er zielt darauf ab, viele Unternehmen und Verarbeitungstätigkeiten gleich ganz vom Datenschutz zu befreien. Man wolle sich bei der EU dafür einsetzen, dass „nicht-kommerzielle Tätigkeiten (zum Beispiel in Vereinen), kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen (zum Beispiel Kundenlisten von Handwerkern) vom Anwendungsbereich der DSGVO ausgenommen werden“.
    Dass insbesondere Vereine und sogenannte KMUs (Kleine und Mittelständische Unternehmen) beim Datenschutz entlastet werden sollen, hatte Schwarz-Rot bereits im Koalitionsvertrag angekündigt. Neu ist, dass dies über eine pauschale Befreiung von der gesamten Datenschutzgrundverordnung geschehen soll. Nach Angaben des Statischen Bundesamtes galten 2023 99,3 Prozent der deutschen Unternehmen als KMUs. Schwarz-Rot will also weite Teile der deutschen Wirtschaft weitgehend vom Datenschutz ausnehmen.
    Das Problem: Von der Organisationsform oder der Größe eines Unternehmens hängt nicht ab, ob es Daten verarbeitet, die für Menschen gefährlich werden können. Auch bei Selbsthilfevereinen oder kleinen Unternehmen im Finanzwesen können hochsensible Daten landen. (…)
    Es gebe zahlreiche Vorschläge aus der Fachwelt, wie Vereinfachungen für Vereine und Wirtschaft besser erreicht werden können, kritisiert der Berufsverband der Datenschutzbeauftragten (BVD) in einer Stellungnahme: „Nicht die Unternehmensgröße, sondern das Risiko der Verarbeitung muss das entscheidende Kriterium für die Umsetzungspflichten sein.“ Dieser risikobasierte Ansatz sei in der DSGVO bereits angelegt, er müsse nur gestärkt werden.
    Wer Vereine und KMUs tatsächlich entlasten wolle, müsse vielmehr die Hersteller von Software in die Haftung nehmen, so die Berliner Datenschutzbeauftragte Meike Kamp. Denn bisher tragen Anwender:innen die rechtliche Verantwortung, wenn sie etwa Dienste wie Microsoft 365 nutzen, obwohl sie an deren Datennutzung gar nichts ändern können. (…)
    Innerbetriebliche Expert:innen sollen aussortiert werden
    Die Koalition will auch einen weiteren Dauerbrenner der deutschen Datenschutzdebatte angehen: Die betrieblichen Datenschutzbeauftragten. Diese müssen in Deutschland, anders als in vielen anderen EU-Ländern, benannt werden, wenn in einem Betrieb in der Regel mindestens zwanzig Mitarbeitende ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Sie sollen dafür sorgen, dass im Unternehmen entsprechende Expertise für Datenschutz vorhanden ist, werden insbesondere von Unionspolitiker:innen jedoch immer wieder als bürokratisches Ärgernis dargestellt. Laut Koalitionsbeschluss soll ihre Zahl in kleineren und mittleren Unternehmen deshalb reduziert werden. (…)
    Ebenfalls für eine „schlechte Idee“ hält das Frank Spaeing von der Deutschen Gesellschaft für Datenschutz. Er erinnert daran, dass es die deutsche Wirtschaft gewesen sei, die sich in den 70er-Jahren bei Entstehung der ersten Datenschutzgesetze für die Einführung betrieblicher Datenschutzbeauftragter eingesetzt habe, weil sie ein strenges Aufsichtsregime habe verhindern wollen. „Die Logik war damals: Mehr Eigenverantwortung für die Unternehmen und dadurch mehr Ruhe vor den Behörden.“ Wenn man nun auf die internen Beauftragten verzichten wolle, müsse man gleichzeitig die externe Kontrolle durch die Datenschutzaufsicht verschärfen. Die Koalition plane nun allerdings das genau Gegenteil, so Spaeing weiter.
    Zentralisierung der Datenschutzaufsicht
    In der Debatte um eine Vereinheitlichung der föderalen Datenschutzaufsicht legt sich die Koalition nun auf eine Zuständigkeitskonzentration beim BfDI fest, also beim Bundesbeauftragten für Datenschutz und Informationsfreiheit. Derzeit kontrolliert dieser, von einigen Ausnahmen abgesehen, insbesondere öffentliche Stellen des Bundes. Bereits in den Koalitionsverhandlungen hatte die Union gefordert, den Landesdatenschutzbeauftragten die Aufsicht über die Wirtschaft zu entziehen und diese beim BfDI zu zentralisieren. (…) Die Datenschutzbehörden seien in der Fläche heute schon nicht präsent genug, sagt Frank Spaeing von der DVD, der selbst als externer Datenschutzbeauftragter arbeitet. Eine Zentralisierung würde dazu führen, dass die Aufsicht gar nicht mehr vor Ort wahrnehmbar wäre…“ Artikel von Ingo Dachwitz vom 15. Juli 2026 auf netzpolitik.org externer Link – im Weiteren mit Ausführungen darüber, wie eine echte Reform des Datenschutzes aussehen könnte

Siehe dazu auch:

Kurzlink: https://www.labournet.de/?p=219102
nach oben