
Reform des Datenschutzes 2026: Entlastung oder Einladung zum Risiko?
FAQ zur Reform des Datenschutzes 2026 und zur Pflicht eines Datenschutzbeauftragten
Die Bundesregierung hat am 2. Juli 2026 ein Reformpaket vorgestellt, das den Bereich Datenschutz explizit mit umfasst. Kernpunkte sind die Lockerung der nationalen Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten – bislang vor allem in § 38 BDSG geregelt – sowie eine Neuordnung der Zuständigkeiten und Strukturen der Datenschutzaufsichtsbehörden. Ziel ist aus Sicht der Politik, insbesondere kleine und mittlere Unternehmen von formalen Pflichten und Bürokratie zu entlasten.
Wichtig für Sie: Zum Zeitpunkt der Ankündigung handelt es sich um ein politisches Reformvorhaben, kein bereits in Kraft getretenes Gesetz. Das bedeutet, dass die bisherige Rechtslage – insbesondere die Regelungen der DSGVO und des BDSG – weiterhin gilt, bis ein konkreter Gesetzentwurf verabschiedet und im Bundesgesetzblatt veröffentlicht worden ist. Erst dann steht fest, welche Pflichten für Ihr Unternehmen tatsächlich verändert werden.
Ja. Die DSGVO ist europäisches Recht und wird durch diese nationale Reform nicht aufgehoben oder in ihrem Kern verändert. Die Reform bezieht sich vor allem auf deutsche Ergänzungsregelungen (z. B. Bestellpflichten für Datenschutzbeauftragte im BDSG) sowie organisatorische Fragen der Aufsichtsbehörden.
Für Sie bedeutet das: Die zentralen Pflichten aus der DSGVO bleiben vollständig bestehen. Dazu gehören die Grundsätze der Datenverarbeitung (Art. 5 DSGVO), die Anforderungen an eine rechtmäßige Verarbeitung (Art. 6 DSGVO), die Pflicht zur Sicherheit der Verarbeitung (Art. 32 DSGVO), die Dokumentationspflichten (z. B. Verzeichnis der Verarbeitungstätigkeiten, Art. 30 DSGVO) sowie die umfangreichen Rechte der betroffenen Personen (Art. 12–22 DSGVO). Die Reform beeinflusst vor allem die Frage, ob und wann Sie einen Datenschutzbeauftragten benennen müssen, nicht die Frage, ob Sie Datenschutz betreiben müssen – das bleibt unverändert.
Ob Ihr Unternehmen künftig einen Datenschutzbeauftragten benötigt, lässt sich nicht pauschal beantworten, sondern hängt von mehreren Faktoren ab. Zu unterscheiden sind:
- die Pflicht zur Benennung nach Art. 37 DSGVO, die europaweit gilt (z. B. bei Behörden, umfangreicher Überwachung oder umfangreicher Verarbeitung sensibler Daten),
- die nationalen Ergänzungen im BDSG, die derzeit reformiert werden sollen,
- Ihre individuelle Risikosituation: Art und Umfang der Datenverarbeitung, eingesetzte Systeme, Verarbeitungszwecke, besondere Kategorien personenbezogener Daten, internationale Datenübermittlungen etc.
Selbst wenn die nationale Bestellpflicht für bestimmte Unternehmen entfällt, kann es aus Sicht von Risiko, Organisation und Wirtschaftlichkeit sinnvoll sein, freiwillig einen Datenschutzbeauftragten zu bestellen – insbesondere, wenn Sie komplexe oder sensible Datenverarbeitungen haben, regelmäßig neue Technologien einführen oder Branchenspezialvorschriften (z. B. im Gesundheitswesen) beachten müssen. Ein DSB schafft Struktur, bündelt Fachwissen und wirkt als Frühwarnsystem, bevor aus Unklarheit ein Datenschutzvorfall wird.
Zum jetzigen Zeitpunkt ist die Reform politisch angekündigt, aber noch nicht rechtlich in Kraft. Ein Gesetzgebungsverfahren umfasst typischerweise:
- einen Gesetzentwurf der Bundesregierung oder des Parlaments,
- die Beratung und Beschlussfassung im Bundestag (und ggf. Bundesrat),
- die Veröffentlichung im Bundesgesetzblatt,
- ein definiertes Inkrafttreten und eventuell Übergangsfristen.
Bis alle diese Schritte erfolgt sind, gilt für Sie die aktuelle Rechtslage fort. Das bedeutet insbesondere, dass Sie bestehende Pflichten zur Benennung eines Datenschutzbeauftragten und zur Umsetzung der DSGVO nicht einfach „aussetzen“ können. Jede Entscheidung – etwa die Abbestellung eines Datenschutzbeauftragten – sollte erst erfolgen, wenn die endgültige Rechtslage klar und geprüft ist. Vorher riskieren Sie, gegen geltende Vorschriften zu verstoßen oder Ihre Organisation ohne Not zu destabilisieren.
Nein. Das ist einer der gefährlichsten Missverständnisse rund um diese Reform. Die geplante Lockerung betrifft lediglich die formale Pflicht, einen Datenschutzbeauftragten zu benennen. Sie ändert nicht die materiellen Pflichten, die Ihr Unternehmen aus der DSGVO treffen.
Sie sind weiterhin verpflichtet,
- personenbezogene Daten rechtmäßig und zweckgebunden zu verarbeiten (Art. 5, 6 DSGVO),
- die Grundsätze wie Datenminimierung und Speicherbegrenzung einzuhalten (Art. 5 DSGVO),
- angemessene technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen (Art. 32 DSGVO),
- ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO),
- Betroffenenrechte wie Auskunft, Löschung und Widerspruch zu erfüllen (Art. 12–22 DSGVO),
- Datenschutzverletzungen zu bewerten, gegebenenfalls zu melden und zu dokumentieren (Art. 33, 34 DSGVO),
- bei hohem Risiko Datenschutz-Folgenabschätzungen durchzuführen (Art. 35 DSGVO).
Mit anderen Worten: Auch ohne formale Bestellpflicht benötigen Sie eine funktionierende Datenschutzorganisation. Der Verzicht auf einen DSB verschiebt die Verantwortung nicht, er lässt sie bei Ihnen als Verantwortlichem.
Wenn Sie Ihren Datenschutzbeauftragten abbestellen und es anschließend zu einer Datenpanne oder einem Datenschutzvorfall kommt, stehen Sie zunächst ohne klar ausgewiesene interne Fachzuständigkeit da. In der Praxis führt das häufig zu folgenden Szenarien:
- Sie müssen sehr kurzfristig einen externen Datenschutzbeauftragten oder spezialisierten Datenschutzberater beauftragen, damit dieser die Situation bewertet, das Risiko einschätzt, mögliche Meldepflichten nach Art. 33/34 DSGVO prüft und Ihnen konkrete Handlungsoptionen aufzeigt.
- Parallel dazu benötigen Sie oftmals einen Fachanwalt für IT- oder Datenschutzrecht, der die juristische Kommunikation mit der Aufsichtsbehörde übernimmt, etwa Stellungnahmen verfasst, zu Maßnahmenverfügungen Stellung nimmt und Sie bei möglichen Schadensersatzforderungen oder Bußgeldern vertritt.
Die Kosten hierfür sind typischerweise deutlich höher als bei einer laufenden Betreuung: Spezialisierte Fachanwälte arbeiten in der Regel mit Stundensätzen im Bereich mehrerer hundert Euro pro Stunde. Auch externe Datenschutzberater rechnen im akuten Krisenfall häufig nach Stunden ab, da kurzfristig umfangreicher Prüf- und Beratungsbedarf entsteht. Wenn kein eigener DSB vorhanden ist, müssen Sie im Ernstfall also trotzdem einen Datenschutzbeauftragten konsultieren – nur eben unter Zeitdruck und zu deutlich höheren Einzelhonoraren. Das ist wirtschaftlich meist ungünstiger als eine kontinuierliche, planbare Betreuung.
Auch nach Umsetzung der Reform – und unabhängig davon, ob Sie einen DSB bestellen müssen – bleiben die wesentlichen Risiken unverändert bestehen:
- Bußgeldrisiko: Nach Art. 83 DSGVO können bei erheblichen Verstößen hohe Geldbußen verhängt werden, im Extremfall bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.
- Schadensersatzrisiko: Betroffene Personen haben nach Art. 82 DSGVO Anspruch auf Schadensersatz, auch für immaterielle Schäden (z. B. Persönlichkeitsrechtsverletzungen). Sammelklagenähnliche Konstellationen können diese Risiken multiplizieren.
- Behördliche Verfahren: Datenschutzaufsichtsbehörden können Beschwerden prüfen, Auskünfte verlangen, Prüfungen durchführen und Maßnahmen anordnen. Der Aufwand für Sie steigt, wenn Prozesse und Verantwortlichkeiten intern unklar sind.
- Reputationsrisiko: Öffentlich wahrgenommene Datenschutzverstöße – insbesondere im Gesundheits-, Sozial-, Bildungs- oder E‑Commerce-Bereich – können erheblichen Schaden für Vertrauen und Marke anrichten, unabhängig davon, ob ein DSB formal vorgeschrieben war.
Die Reform reduziert also nicht die Risiken, sondern nimmt Ihnen bestenfalls bestimmte Formpflichten. Wie Sie diese entstehenden Freiheitsgrade nutzen, entscheidet darüber, ob Ihr Risiko steigt oder sinkt.
Eine Entlastung kann die Reform vor allem für Unternehmen darstellen, bei denen die Datenverarbeitung überschaubar und risikoarm ist und die bereits ein gewisses Datenschutzbewusstsein etabliert haben. Beispiele können sein:
- kleine Betriebe mit einfacher Personal- und Kundendatenverwaltung, ohne umfangreiche digitale Geschäftsprozesse und ohne Verarbeitung besonderer Kategorien personenbezogener Daten,
- Unternehmen, die auch ohne formalen DSB bereits ein Verzeichnis der Verarbeitungstätigkeiten führen, grundlegende Sicherheitsmaßnahmen umgesetzt haben und Mitarbeitende sensibilisieren,
- Organisationen, die sich bewusst für punktuelle externe Beratung entscheiden – etwa durch jährliche Audits oder projektbezogene Begleitung – statt für eine laufende DSB-Bestellung.
Doch selbst in diesen Fällen gilt: Die DSGVO bleibt verbindlich. Die Reform nimmt Ihnen möglicherweise eine formale Pflicht, ersetzt aber nicht die Notwendigkeit, Datenschutz systematisch zu organisieren und zu dokumentieren. Eine pauschale Abkehr von jeglicher Datenschutzstruktur ist auch für kleine Unternehmen riskant.
Empfehlenswert ist ein strukturiertes Vorgehen:
-
Rechtsentwicklung beobachten
Verfolgen Sie den weiteren Verlauf des Gesetzgebungsverfahrens. Sobald ein konkreter Gesetzentwurf vorliegt, sollte dieser rechtlich bewertet werden – idealerweise gemeinsam mit einem Datenschutzbeauftragten oder spezialisierten Berater. -
Risikoanalyse Ihrer Datenverarbeitung
Verschaffen Sie sich einen Überblick: Welche Kategorien personenbezogener Daten verarbeiten Sie? Welche Systeme setzen Sie ein (z. B. Cloud, KI, externe Tools)? Wo entstehen besonders hohe Risiken (z. B. Gesundheitsdaten, umfangreiche Kundendaten, automatisierte Auswertungen)? -
Datenschutzorganisation prüfen
Klären Sie: Wer ist intern für Datenschutzthemen zuständig? Welche Prozesse gibt es für Betroffenenanfragen, Datenpannen, neue Projekte? Wie werden Verzeichnisse und TOM gepflegt? -
Strategie zum Datenschutzbeauftragten festlegen
Prüfen Sie, ob Ihr Unternehmen nach der neuen Rechtslage (Pflicht-DSB vs. freiwilliger DSB) gut aufgestellt ist. Selbst wenn die Pflicht entfällt, kann ein externer DSB oder eine laufende Beratung sinnvoll sein, um Risiken und Ad-hoc-Kosten zu begrenzen.
Ziel sollte sein, die Reform als Anlass zu nehmen, Ihre Datenschutzorganisation bewusster zu gestalten – nicht, sie unkontrolliert abzubauen.
Ja, in vielen Fällen lohnt sich ein externer Datenschutzbeauftragter gerade dann, wenn die Pflichten komplex und die Risiken spürbar sind – unabhängig davon, ob eine strenge nationale Bestellpflicht besteht. Ein externer DSB bietet Ihnen:
- planbare und kalkulierbare Kosten in Form von monatlichen Pauschalen oder klar definierten Leistungspaketen,
- eine kontinuierliche Begleitung bei der Umsetzung der DSGVO, bei der Einführung neuer Systeme, beim Einsatz von KI oder bei der Zusammenarbeit mit Dienstleistern,
- eine strukturierte Dokumentation Ihrer Verarbeitungen, TOM und DSFA sowie Unterstützung bei Schulungen und Sensibilisierung Ihrer Mitarbeitenden,
- einen fachkundigen Ansprechpartner im Fall von Betroffenenanfragen oder behördlichen Prüfungen, ohne dass Sie unter Krisendruck erst jemanden suchen müssen.
Im Vergleich zur Beratung erst im Schadensfall – bei der Sie dann zusätzlich einen Fachanwalt für IT- oder Datenschutzrecht mit Stundensätzen von mehreren hundert Euro pro Stunde beauftragen müssen – ist eine laufende Betreuung durch einen externen DSB oftmals deutlich wirtschaftlicher und risikoärmer. Selbst wenn der Gesetzgeber Ihre Pflicht zur formalen Benennung lockert, bleibt die Entscheidung für einen professionellen Datenschutzbeauftragten daher eine strategische Frage: Möchten Sie Datenschutz aktiv steuern und kalkulierbar halten, oder nur im Notfall reagieren – mit entsprechend höheren Kosten und Risiken?
Einleitung: Was ist am 2. Juli 2026 passiert?
Am 2. Juli 2026 hat die Bundesregierung ein Reformpaket vorgestellt, das auch den Datenschutz betrifft. Ziel ist es, Bürokratie abzubauen und insbesondere kleine und mittlere Unternehmen zu entlasten. Im Mittelpunkt steht die geplante Lockerung der nationalen Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten sowie eine Neuordnung der Datenschutzaufsicht.
Viele Unternehmen lesen die Schlagzeilen und fragen sich:
Brauchen wir künftig überhaupt noch einen Datenschutzbeauftragten – oder vielleicht gar keinen Datenschutz mehr?
Die klare Antwort lautet:
Die Datenschutz-Grundverordnung (DSGVO) bleibt unverändert. Es geht vor allem um nationale Regelungen zur Bestellung eines Datenschutzbeauftragten und organisatorische Zuständigkeiten der Aufsichtsbehörden, nicht um die Abschaffung von Datenschutzpflichten.
Was ist grob geplant? – Inhaltliche Stoßrichtung der Reform
Lockerung der Bestellpflicht für Datenschutzbeauftragte
Nach den bisherigen Ankündigungen der Bundesregierung soll insbesondere:
- die nationale Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten für viele kleinere Unternehmen überprüft und reduziert werden,
- der formale Verwaltungsaufwand rund um Bestellakten, Berichte und formale DSB-Kommunikation verringert werden,
- die Zuständigkeiten der Datenschutzaufsichtsbehörden neu organisiert werden.
Damit bewegt sich Deutschland voraussichtlich weg von der bisher relativ strengen Ergänzung durch § 38 BDSG hin zu einer näheren Angleichung an Art. 37 DSGVO.
Gesetzgebungsverfahren noch nicht abgeschlossen
Ein konkretes Inkrafttreten steht noch nicht fest. Vor einer Umsetzung ist das reguläre Gesetzgebungsverfahren erforderlich:
- Gesetzentwurf,
- parlamentarische Beratung (Bundestag, ggf. Bundesrat),
- Verabschiedung und Veröffentlichung im Bundesgesetzblatt,
- Inkrafttreten mit eventuellen Übergangsfristen.
Bis dahin gilt die bestehende Rechtslage – insbesondere Art. 37–39 DSGVO und § 38 BDSG.
Was spricht FÜR die Reform? – Die Sicht der Befürworter
Bürokratieabbau und Entlastung kleiner Unternehmen
Die Reform zielt darauf, kleine Unternehmen, Handwerksbetriebe und Vereine von formalen Pflichten zu entlasten. Aus Sicht der Befürworter:
- sinken die direkten Kosten, wenn kein förmlicher Datenschutzbeauftragter mehr bestellt werden muss,
- wird der Verwaltungsaufwand geringer, weil weniger formale Dokumente rund um die Bestellung und Berichterstattung erforderlich sind,
- können Ressourcen in andere Bereiche wie Vertrieb, Fachpersonal oder IT-Sicherheit fließen.
Mehr Flexibilität bei der Organisation von Datenschutz
Wenn die formale Bestellpflicht gelockert wird, können Unternehmen flexibler entscheiden:
- ob sie einen fest bestellten Datenschutzbeauftragten haben oder eher projektbezogene Beratung nutzen,
- ob sie intern Rollen wie Datenschutzkoordination, Compliance und IT-Sicherheit zusammenführen,
- wie sie Budget zwischen laufender Betreuung und punktueller Spezialberatung verteilen.
Angleichung an die europäische Praxis
Deutschland war mit seiner zusätzlichen nationalen Bestellpflicht lange strenger als viele andere EU-Staaten. Eine Reduzierung kann als Harmonisierung verstanden werden:
- weniger „Übererfüllung“ über die DSGVO hinaus,
- klarer Fokus auf die Pflichtfälle nach Art. 37 DSGVO,
- potenziell mehr Rechtssicherheit, wann zwingend ein DSB vorhanden sein muss.
Was spricht GEGEN die Reform? – Kritische Betrachtung
Kurzschlusslogik: „Kein DSB – kein Problem“
Die größte Gefahr liegt im Missverständnis:
Viele Unternehmen werden die Reform verkürzt so deuten:
Wenn kein Datenschutzbeauftragter mehr vorgeschrieben ist, ist das Thema Datenschutz weitgehend erledigt.
Das ist falsch. Die grundlegenden Pflichten bleiben bestehen:
- Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO),
- Einhaltung der Grundsätze aus Art. 5 DSGVO,
- Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO),
- Sicherheit der Verarbeitung (Art. 32 DSGVO),
- Dokumentationspflichten einschließlich Verzeichnis (Art. 30 DSGVO),
- Informationspflichten und Betroffenenrechte (Art. 12–22 DSGVO),
- Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO).
Die Reform schafft keine Parallelwelt ohne DSGVO-Verantwortung. Sie verändert nur, wer formell als Datenschutzbeauftragter eingesetzt wird – oder ob es diese formale Rolle überhaupt noch gibt.
Verlust an Fachkompetenz und Frühwarnfunktion
Der Datenschutzbeauftragte ist in der Praxis deutlich mehr als ein „Pflichtposten“:
- Er übersetzt rechtliche Anforderungen in konkrete Prozesse und IT-Maßnahmen.
- Er erkennt Risiken frühzeitig, etwa bei neuen Tools, Cloud-Lösungen oder KI-Anwendungen.
- Er strukturiert Verzeichnisse, TOM, DSFA, Schulungen und Datenschutzkonzepte.
- Er ist Ansprechpartner für betroffene Personen und Aufsichtsbehörden.
Fällt die Pflicht zur Bestellung weg, besteht das Risiko, dass Unternehmen:
- die Rolle ganz streichen,
- oder sie nebenbei an Personen übertragen, die weder ausreichend Zeit noch Spezialwissen haben.
Die Folge sind fehlerhafte Entscheidungen, lückenhafte Dokumentation und unerkannte Risiken.
Verlagerung der Kosten in den Krisenfall
Ein zentraler Punkt ist die Kostenverlagerung:
- Eine laufende Betreuung durch einen externen Datenschutzbeauftragten verursacht planbare und kalkulierbare Kosten.
- Wenn kein DSB mehr bestellt ist und eine Panne oder ein behördliches Verfahren eintritt, müssen Unternehmen kurzfristig Spezialisten suchen.
In der Praxis bedeutet das:
- Ein externer Datenschutzbeauftragter oder Datenschutzberater muss im Ernstfall ad hoc hinzugezogen werden, um den Vorfall zu bewerten, die Rechtslage einzuordnen und Maßnahmen zu empfehlen.
- Zusätzlich wird in vielen Fällen ein Fachanwalt für IT- oder Datenschutzrecht benötigt, um Stellungnahmen, Schriftsätze und ggf. die Kommunikation mit der Aufsichtsbehörde zu übernehmen.
Diese Experten arbeiten typischerweise auf Stundenbasis. Stundensätze spezialisierter Fachanwälte liegen in der Regel bei mehreren hundert Euro pro Stunde. Auch externe Datenschutzberater rufen im Ad-hoc-Krisenmodus häufig deutlich höhere Sätze auf als im Rahmen einer laufenden, pauschal vereinbarten Betreuung.
Mit anderen Worten:
Wer aus kurzfristigem Sparwillen auf einen Datenschutzbeauftragten verzichtet, muss im Schadensfall regelmäßig doch einen Datenschutzbeauftragten zur Beratung konsultieren – und dazu einen Fachanwalt, der die Situation juristisch absichert. Die Gesamtkosten können ein Vielfaches der ersparten laufenden Gebühren betragen.
Haftungs- und Reputationsrisiken bleiben unverändert
Die Reform ändert nach bisherigem Stand nichts an:
- den Bußgeldmöglichkeiten nach Art. 83 DSGVO,
- der Haftung für immaterielle Schäden nach Art. 82 DSGVO,
- der Möglichkeit, dass Betroffene individuelle Schadensersatzforderungen stellen,
- der Prüf- und Eingriffspraxis der Aufsichtsbehörden.
Gerade in Branchen wie Medizin, Pflege, Bildung, E‑Commerce oder sozialen Einrichtungen sind Reputationsschäden oft schwerer als Bußgelder. Ob ein Datenschutzbeauftragter formal bestellt war oder nicht, ändert nichts daran, wie ein Datenschutzvorfall öffentlich wahrgenommen wird.
Was bleibt rechtlich verbindlich? – Pflichten trotz Reform
Unveränderte Kernpflichten nach DSGVO
Unabhängig von der Frage, ob ein Datenschutzbeauftragter bestellt werden muss, bleiben die materiellen Pflichten bestehen. Dazu gehören:
- Rechtmäßige Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage (Art. 6 DSGVO, ggf. Art. 9 DSGVO),
- Einhaltung der Grundsätze wie Zweckbindung, Datenminimierung und Speicherbegrenzung (Art. 5 DSGVO),
- Nachweisbarkeit der datenschutzkonformen Verarbeitung (Art. 5 Abs. 2 DSGVO),
- Umsetzung angemessener technischer und organisatorischer Maßnahmen (Art. 32 DSGVO),
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO),
- Abschluss und laufende Prüfung von Auftragsverarbeitungsverträgen (Art. 28 DSGVO),
- Durchführung von Datenschutz-Folgenabschätzungen bei hohem Risiko (Art. 35 DSGVO),
- Meldung und Benachrichtigung bei Datenschutzverletzungen (Art. 33, 34 DSGVO),
- Umsetzung und Dokumentation der Betroffenenrechte (Art. 12–22 DSGVO).
Diese Pflichten bestehen unabhängig davon, ob ein Datenschutzbeauftragter bestellt ist. Sie treffen das Unternehmen als Verantwortlichen.
Bestellpflicht nach DSGVO bleibt bestehen
Art. 37 DSGVO ergibt weiterhin eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn:
- Behörden und öffentliche Stellen Daten verarbeiten (mit Ausnahmen für Gerichte in richterlicher Tätigkeit),
- umfangreiche regelmäßige und systematische Überwachung von Personen erfolgt,
- umfangreich besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) oder Daten zu strafrechtlichen Verurteilungen verarbeitet werden.
Die Reform verändert voraussichtlich nationale Ergänzungen wie § 38 BDSG, nicht aber die europäische Grundlinie.
Für wen kann die Reform Vorteile bringen?
Unternehmen mit geringem Datenschutzrisiko
Kleine Unternehmen mit sehr überschaubaren Datenverarbeitungen und ohne besondere Kategorien personenbezogener Daten können von einer Lockerung profitieren, wenn:
- die Datenverarbeitung einfach und transparent ist,
- es keine umfangreichen Tracking-, Cloud- oder KI-Strukturen gibt,
- grundlegende Sicherheitsmaßnahmen bereits umgesetzt sind.
In solchen Fällen kann das Fehlen einer formalen Bestellpflicht eine echte Entlastung darstellen – vorausgesetzt, die Pflichten der DSGVO werden trotzdem ernst genommen.
Unternehmen mit etabliertem Datenschutzbewusstsein
Unternehmen, die schon jetzt:
- Verzeichnisse führen,
- TOM dokumentieren,
- Mitarbeitende schulen,
- Betroffenenrechte zuverlässig erfüllen,
können flexibler gestalten, ob sie einen DSB formal bestellen oder eher punktuelle Beratungen nutzen.
Was Unternehmen jetzt nicht tun sollten
Datenschutzbeauftragten vorschnell abbestellen
Solange:
- die Reform nicht in Kraft ist,
- die konkrete gesetzliche Regelung nicht endgültig feststeht,
ist eine voreilige Abbestellung des Datenschutzbeauftragten riskant. Selbst danach sollte die Entscheidung nicht allein aus Sicht der formalen Pflicht getroffen werden, sondern aus Sicht von Risiko, Organisation und Wirtschaftlichkeit.
Datenschutzorganisation „einfrieren“
Die Reform ist kein Freifahrtschein, Dokumentation, Schulung und Sicherheitsmaßnahmen zurückzufahren. Die DSGVO verlangt ausdrücklich, dass Verantwortliche nachweisen können, dass sie datenschutzkonform arbeiten.
KI, Cloud und neue Tools ohne Fachprüfung einsetzen
Gerade angesichts neuer KI-Anwendungen und komplexer Cloud-Modelle ist der Verzicht auf strukturierte Datenschutzberatung kritisch. Fehler in der Auswahl oder Konfiguration von Tools können Sicherheitslücken und Rechtsverstöße verursachen, deren Behebung deutlich teurer wird als vorbeugende Prüfung.
Strategische Optionen für Unternehmen
Pflicht-DSB vs. freiwilliger DSB
Selbst wenn die formale Bestellpflicht entfällt, bleibt die Möglichkeit, einen Datenschutzbeauftragten freiwillig zu bestellen. Das kann sinnvoll sein, um:
- eine klare Rolle für Datenschutz im Unternehmen zu definieren,
- gegenüber Aufsichtsbehörden Verantwortung und Struktur zu dokumentieren,
- interne Konflikte und Zuständigkeitslücken zu vermeiden.
Externer Datenschutzbeauftragter als kalkulierbarer Baustein
Ein externer Datenschutzbeauftragter ermöglicht:
- planbare monatliche Kosten,
- laufende Begleitung bei Projekten und in der täglichen Praxis,
- kombinierte Sicht auf Datenschutz, IT-Sicherheit und digitale Compliance.
Gerade mit Blick auf die Reform kann ein externer DSB helfen, die neue Rechtslage einzuordnen, Risiken zu bewerten und das Unternehmen so aufzustellen, dass weniger Bürokratie nicht zu mehr Unsicherheit führt.
Punktuelle Beratung für Unternehmen ohne DSB
Unternehmen, die bewusst auf einen formalen DSB verzichten, sollten mindestens:
- regelmäßig externe Audits oder Beratungscheck-ups vereinbaren,
- bei größeren Vorhaben (neue Software, KI-Projekte, Migrationen) vorab fachliche Bewertung einholen,
- intern klar regeln, wer für Datenschutzthemen zuständig ist.
Und jetzt: Reform mit Signalwirkung – aber kein Freifahrtschein
Die Reform des Datenschutzes 2026 trägt politisch das Label „Bürokratieabbau“. Sie kann in bestimmten Konstellationen tatsächlich entlasten. Sie verändert aber nicht den Kern der Verantwortung aus der DSGVO:
- Die Pflichten bleiben bestehen.
- Die Haftungsregeln bleiben bestehen.
- Die Risiken für Bußgelder, Schadensersatz und Reputationsschäden bleiben bestehen.
Wer aus Kostengründen auf einen Datenschutzbeauftragten verzichtet, steht im Ernstfall trotzdem nicht ohne Datenschutzbeauftragten da – er braucht im Schadensfall erst recht Beratung durch einen Datenschutzbeauftragten und zusätzlich einen Fachanwalt, der in der Praxis mehrere hundert Euro pro Stunde als Honorar berechnet. Die vermeintlich gesparten laufenden Kosten können dadurch schnell übertroffen werden.
Die Reform ist daher eine Einladung, das eigene Datenschutzkonzept bewusst zu gestalten – nicht, es abzubauen.
Unternehmen sollten jetzt prüfen:
- Wo können wir sinnvoll vereinfachen, ohne Risiken zu erhöhen?
- Welche Form von Datenschutzbegleitung passt zu unseren Daten, unserer Branche und unserem Risiko?
- In welchen Situationen ist ein externer Datenschutzbeauftragter wirtschaftlich und strategisch sinnvoll, auch wenn die formale Bestellpflicht gelockert wird?
Quellen und Rechtsgrundlagen
Europäisches Datenschutzrecht
- Art. 5 DSGVO – Grundsätze der Verarbeitung personenbezogener Daten
- Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung
- Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten
- Art. 12–14 DSGVO – Transparente Information und Kommunikationspflichten
- Art. 15–22 DSGVO – Rechte der betroffenen Personen
- Art. 24 DSGVO – Verantwortung des Verantwortlichen
- Art. 25 DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten
- Art. 32 DSGVO – Sicherheit der Verarbeitung
- Art. 33, 34 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten
- Art. 35 DSGVO – Datenschutz-Folgenabschätzung
- Art. 37–39 DSGVO – Datenschutzbeauftragter (Benennungs- und Aufgabenregelungen)
- Art. 82 DSGVO – Haftung und Recht auf Schadensersatz
- Art. 83 DSGVO – Bedingungen für die Verhängung von Geldbußen
Deutsches Datenschutzrecht (bisherige Rechtslage)
- § 38 BDSG – Datenschutzbeauftragte der nichtöffentlichen Stellen (Bestellpflichten, Schwellenwerte)
- § 6 BDSG – Stellung des Datenschutzbeauftragten
Praxis- und Kostenhinweise
- Typische Stundensätze spezialisierter Fachanwälte für IT- und Datenschutzrecht im Bereich mehrerer hundert Euro pro Stunde, wie sie von Fachkanzleien und Berufsverbänden kommuniziert werden.
- Orientierungshilfen der deutschen Aufsichtsbehörden (Datenschutzkonferenz, Landesdatenschutzbehörden) zu Benennung und Stellung des Datenschutzbeauftragten, zu technischen und organisatorischen Maßnahmen sowie zur Datenschutz-Folgenabschätzung.