Der Beschluss des Bundeskanzlers und der Regierungschefs der Länder vom 4. Dezember 2025 sieht vor, die nationale Pflicht zur Benennung betrieblicher Datenschutzbeauftragter im nicht-öffentlichen Bereich aufzuheben und sich künftig allein auf Art. 37 DSGVO zu stützen. Damit würde Deutschland eine zentrale Errungenschaft praxistauglicher Datenschutz-Compliance zurückbauen. Jedoch sind keinerlei Vorteile für die Unternehmen und vor allem KMU damit verbunden – im Gegenteil: die Pflichten nach dem Datenschutzrecht bleiben unverändert, aber die Zuständigkeit geht allein auf die Geschäftsführung über. Im Zweifel benötigt die Geschäftsführung sodann Rechtsberatung, was ein erhebliches Mehr an Kosten bedeutet.
Die Abschaffung stärkt nicht den Mittelstand, sie entlastet ihn nicht einmal. Sie verlagert allein die Kosten als Aufwand auf die Geschäftsführung und schafft Arbeit für rechtsanwaltliche Beratung.
Das ist ein Schritt in die falsche Richtung.
Das behauptete Ziel der „Entbürokratisierung durch Abschaffung von DSB“ ist seit Jahren empirisch nicht belegt. Die Gleichsetzung von „weniger Datenschutzbeauftragter“ mit „weniger Pflichten“ ist eine Täuschung! Diese Betrachtung greift fachlich zu kurz und blendet die tatsächlichen Belastungstreiber aus. Die Belastungstreiber sind unklare Vorgaben und eine unklare Rechtslage, fehlende Standardisierungen und komplexe technische Anforderungen zählen – und vor allem: die in der DS-GVO verankerte Bürokratie der mehrfachen Dokumentation, Organisation und Hinweis- und Meldepflichten.
Diese Pflichten belasten die Unternehmen. Der BvD hat dies mehrfach kritisiert und Vorschläge aus der Praxis für eine Praktikabilität des Datenschutzes gemacht.
Diese Pflichten bleiben trotz Abschaffung der DSB-Pflichtbenennung bestehen! Die Quasi-Abschaffung des DSB löst also keine Herausforderung für die Wirtschaft! Die Politik verspricht damit etwas, was sie objektiv und von vornherein nicht halten kann!
Die Konsequenz einer Abschaffung ist klar: Unternehmen müssten sämtliche Aufgaben und gesetzliche Anforderungen selbst erfüllen. Das bedeutet in der Praxis, dass die Unternehmens- und Betriebsleitung alle Pflichten, Risiken und Haftung allein trägt – ohne unabhängige Expertise im Haus und ohne die Möglichkeit, qualifizierte Beratung durch interne oder externe Datenschutzbeauftragte strukturiert einzubinden.
Durch den immensen Kostendruck werden zukünftig viele KMU auf die Benennung verzichten. Die Erwartung, dadurch Bürokratie abzubauen, wird sich jedoch nicht erfüllen:
Alle Pflichten und Anforderungen bleiben bestehen, nur ohne fachliche Begleitung.
Das technische und organisatorische Schutzniveau wird sinken, insbesondere weil Art. 32 DSGVO integraler Bestandteil jedes Sicherheitskonzepts ist und die Datenschutzbeauftragten im Mittelstand oft die einzigen Experten in diesem Bereich sind.
Cybersicherheitsrisiken steigen weiter; ein fehlendes Frühwarnsystem verschärft die Verwundbarkeit.
Die betroffenen Personen werden weiterhin Schadensersatzansprüche bei Verstößen geltend machen. Die Aufsichtsbehörden werden weiterhin gegen Verstöße vorgehen müssen. Das Risiko solcher „Schäden“ steigt für die Unternehmen. Eine punktuelle Rechtsberatung zur Verteidigung hiergegen verbessert nicht die Prozesse und behebt auch nicht den Verstoß für die Zukunft!
Die Lösung kann nur darin bestehen, das Datenschutzrecht dadurch handhabbarer zu machen, indem doppelte Dokumentationspflichten, Hinweis- und Meldepflichten und Organisationspflichten auf das Wesentliche reduziert und nicht „durch die Absicherung der Absicherung“ unnötige Aufwände auslösen.
Der BvD und seine Mitglieder stehen für einen praxisnahen und Innovationen unterstützenden Datenschutz. Dies entsteht nicht durch Abschaffung des Datenschutzbeauftragten und Verlagerung der Aufgaben der DS-GVO auf die Geschäftsführung und externe Rechtsberater.
Das politische Ziel der Entbürokratisierung wird durch die Abschaffung des DSB gerade nicht erreicht! Die politischen Entscheidungsträger verschließen hiervor die Augen und treiben die Unternehmen in die Incompliance.
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. engagiert sich für den Erhalt und die Weiterentwicklung eines starken Datenschutzrahmens. Dies umfasst sowohl die gesetzliche Benennungspflicht als auch die praxisgerechte Umsetzung neuer technischer und rechtlicher Herausforderungen. Datenschutzbeauftragte spielen dabei eine zentrale Rolle: Sie unterstützen insbesondere kleine und mittlere Unternehmen (KMU) bei der Einhaltung datenschutzrechtlicher Vorgaben, sind wichtige Impulsgeber bei technologischen Entwicklungen und tragen durch ihre Arbeit wesentlich zum Bürokratieabbau innerhalb der Unternehmen bei. Die Förderung von Qualität, Kompetenz und praxisnaher Unterstützung steht dabei stets im Vordergrund. Der BvD ist Gründungsmitglied der EFDPO – European Federation of Data Protection Officers.
Stellungnahme des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V. zur Aufhebung der nationalen Pflicht zur Benennung betrieblicher Datenschutzbeauftragter im nicht-öffentlichen Bereich hinzugefügt von Redaktion am
Alle Beiträge von Redaktion →
