Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) fordert anlässlich der aktuellen politischen und gesellschaftlichen Entwicklungen eine zielgerichtete Reform der Datenschutz-Grundverordnung (DSGVO) sowie eine praxisgerechte Anpassung des Bundesdatenschutzgesetzes (BDSG).
Datenschutz bleibt eine zentrale Voraussetzung für das Vertrauen in die digitale Wirtschaft und Gesellschaft, so der Verband. Dabei gehe es nicht vorrangig um die Verfolgung von Unternehmensinteressen, sondern um den Schutz des Persönlichkeitsrechts und die Wahrung der informationellen Selbstbestimmung der Bürgerinnen und Bürger. In einer digitalisierten Welt sei es für Verbraucherinnen und Verbraucher entscheidend, dass ihre Daten nicht nur gesetzeskonform, sondern vor allem auch risikominimierend verarbeitet werden. Gleichzeitig müssten die regulatorischen Anforderungen für Unternehmen nachvollziehbar und praktikabel bleiben. Dem BvD zufolge ist dies dem EU-Gesetzgeber nicht immer gelungen.
Reformbedarf für praxisnähere DSGVO-Umsetzung
Der Zwischenbericht der ‚Initiative für einen handlungsfähigen Staat‘ zeigt Reformbedarf insbesondere im Hinblick auf eine praxisnähere Umsetzung der DSGVO, den Abbau bürokratischer Hürden für kleine Unternehmen sowie eine stärkere Fokussierung auf risikobasierte Ansätze im Datenschutz auf, so der BvD. Der Verband betont, dass eine Differenzierung der Datenschutzpflichten in Abhängigkeit nach Art und Risiko der Datenverarbeitung empfehlenswert und vereinfachend wäre. Andere Rechtsakte wie die EU-Richtlinie NIS-2, das KRITIS-Dachgesetz, oder die EU-KI-Verordnung gehen bereits in diese Richtung.
Thomas Spaeing, BvD-Vorstandsvorsitzender: „Ein kleiner Verein, der lediglich eine Mitgliederliste führt und zu Mitgliederversammlungen einlädt, sollte nicht denselben regulatorischen Anforderungen unterliegen wie ein FinTech-Unternehmen, das Finanzdaten verarbeitet oder ein Gesundheitsdienstleister, der sensible Patientendaten speichert und analysiert.
Wichtig ist, dass nicht die Unternehmensgröße und der Umsatz entscheidend sind, sondern das Risiko, das von der Verarbeitung personenbezogener Daten ausgeht.
Es braucht klare Abstufungen: Unternehmen mit Standardverarbeitungen sollten erleichterte Anforderungen erfüllen können, während Organisationen mit kritischen oder risikobehafteten Datenverarbeitungen erweiterte Pflichten erfüllen müssen.“
Die Rolle der Datenschutzbeauftragten
Der BvD betont in diesem Zusammenhang die zentrale Rolle der Datenschutzbeauftragten. Sie tragen maßgeblich dazu bei, dass Unternehmen Datenschutz nicht nur als regulatorische Pflicht, sondern als integralen Bestandteil eines verantwortungsvollen Umgangs mit personenbezogenen Daten verstehen. Ein funktionierendes Datenschutz-Managementsystem unterstützt die Risikominimierung und stärkt gleichzeitig das Vertrauen von Kundinnen und Kunden sowie Geschäftspartnern. Datenschutz ist dabei kein starres Konstrukt, sondern ein kontinuierlicher Prozess, der sich an den spezifischen Anforderungen eines Unternehmens, seinen Verarbeitungen und Geschäftszwecken, orientieren muss. Ähnlich wie beim Umwelt- oder Qualitätsmanagement handelt es sich um ein dynamisches System, das ständig weiterentwickelt werden muss.
Datenschutzbeauftragte entlasten Fachbereiche und Management und leisten wesentliche Arbeit für die unbürokratische Umsetzung und Weiterentwicklung des Datenschutzes – damit fördern sie die Digitalisierung und Innovation in Unternehmen und öffentlichen Stellen. Nach Ansicht des BvD muss eine Reform des Datenschutzrechts die Funktion der Datenschutzbeauftragten stärken und gleichzeitig bürokratische Hürden für Organisationen mit geringem Datenschutzrisiko abbauen. Darüber hinaus kann die Benennung eines Datenschutzbeauftragten auch Erleichterungen für Unternehmen mit sich bringen, etwa durch vereinfachte Meldepflichten bei Datenschutzvorfällen. Ein interner oder externer Datenschutzbeauftragter unterstützt bei Risikobewertung, Behebung und strukturierter Dokumentation.
„Datenschutz muss praktikabel bleiben“
„Datenschutz muss praktikabel bleiben, ohne Wirksamkeit zu verlieren. Beispielsweise könnten kleinere Unternehmen mit standardisierten Verarbeitungen von vereinfachten Dokumentationspflichten profitieren, während für risikoreiche Verarbeitungen weiterhin umfassendere Anforderungen gelten“, so Spaeing weiter. „Eine gezielte Reform kann Erleichterungen für Unternehmen schaffen, ohne den Datenschutz auszuhöhlen, die Risiken für Bürgerinnen und Bürger zu erhöhen oder deren Rechte einzuschränken.“
Der BvD ist offen, mit Politik und Wirtschaft über eine differenzierte und praxisgerechte Anpassung des Datenschutzrechts zu diskutieren. In seinem Positionspapier für 2025 betont der Verband die Notwendigkeit, die Benennungspflicht für Datenschutzbeauftragte zu erhalten, die Unabhängigkeit der Datenschutzbeauftragten zu stärken und den Verwaltungsaufwand gezielt zu reduzieren. Darüber hinaus fordert der BvD eine stärkere Einbindung der Datenschutzbeauftragten in die Umsetzung der EU-KI-Verordnung und anderer relevanter Rechtsakte, um den Unternehmen eine rechtssichere und praxisgerechte Umsetzung zu ermöglichen. Bereits in der Vergangenheit hat der Verband durch Fachtagungen, Stellungnahmen und den direkten Austausch mit politischen Entscheidungsträgern auf notwendige Anpassungen hingewiesen. Für die Zukunft plant der BvD weitere Dialogformate, um konstruktive Ansätze für eine praxistaugliche Reform des Datenschutzrechts zu erarbeiten.
