Schwarz-Rot hat weitreichende Reformen beim Datenschutz angekündigt.

„Im Sinne der Wirtschaft“ soll unter anderem die Aufsicht neu geregelt werden. Inzwischen liegen zahlreiche konkrete Vorschläge vor, unter anderem von SPD und Landesdatenschützer:innenn, nur die Union gibt sich verschlossen.

Die schwarz-rote Koalition hat sich für die nächsten Monate einiges vorgenommen. Ein „Herbst der Reformen“ soll es werden, sagt der Bundeskanzler, und meint dabei vor allem Einsparungen beim Sozialstaat. Eine andere Reform steht weniger im Fokus der Öffentlichkeit, führt aber in Fachkreisen seit Monaten zu intensiven Debatten. Es geht um den Datenschutz, auch hier hat die Koalition sich weitreichende Maßnahmen vorgenommen.

So haben CDU/CSU und SPD in ihrem Koalitionsvertrag (PDF), verabredet, sich auf europäischer Ebene für umfassende Ausnahmen der Datenschutzgrundverordnung (DSGVO) „für nicht-kommerzielle Tätigkeiten (zum Beispiel in Vereinen), kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen (zum Beispiel Kundenlisten von Handwerkern)“ einzusetzen. Auf nationaler Ebene sollen Spielräume der DSGVO genutzt werden, und für mehr Kohärenz und „Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt“ zu sorgen.

Besonders intensiv debattiert werden Pläne zur Veränderung der Aufsichtsstruktur im nicht-öffentlichen Bereich, also bei nicht-staatlichen Akteur:innen. So strebt Schwarz-Rot hier „im Interesse der Wirtschaft“ eine Bündelung von Zuständigkeiten und Kompetenzen bei der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) an. Die Bundesbehörde soll zudem umbenannt werden und künftig auch Beauftragte für Datennutzung heißen. Zudem soll die Datenschutzkonferenz (DSK), in der die Datenschutzbehörden von Bund und Ländern sich informell koordinieren, gesetzlich verankert werden.

Überlastete Aufsicht

Da CDU-Chef Friedrich Merz im Wahlkampf mit markigen Worten einen Kahlschlag beim Datenschutz angekündigt hat, lassen diese Vorhaben bei vielen Datenschützer:innen die Alarmglocken läuten. Allerdings: Dass sich in Sachen Aufsicht etwas tun muss, dafür plädiert längst nicht mehr nur die Wirtschaft. So spricht auf Anfrage auch Frederick Richter, Vorstand der (staatlichen) Stiftung Datenschutz von einer „überlasteten regionalen Datenschutzaufsicht“ und Problemen mit uneinheitlicher Auslegung der Datenschutzgesetze.

Die Datenschutzbehörden selbst weisen zwar in der Regel den Vorwurf der Uneinheitlichkeit von sich, bringen sich jedoch auch mit eigenen Vorschlägen in die Debatte ein. „Die Rechtsanwendung muss vereinheitlicht, eine zentrale Koordinierung geschaffen werden“, heißt es beispielsweise in der Überschrift eines Gastbeitrages, den Thomas Fuchs, Meike Kamp und Alexander Roßnagel kürzlich in der FAZ [€] veröffentlichten. Das sind die Datenschutzbeauftragen von Hamburg, Berlin und Hessen. Meike Kamp ist derzeit zudem die Vorsitzende der Datenschutzkonferenz.

Die große Frage ist allerdings, wie genau die im Koalitionsvertrag beschriebene „Bündelung von Zuständigkeiten und Kompetenzen“ aussehen soll.

Entsteht eine Riesenbehörde beim Bund?

Die nur vermeintlich einfachste Lösung wäre eine umfassende Zentralisierung. Also: Die Landesbehörden verlieren die gesamte Aufsichtskompetenz über die Wirtschaft und den sonstigen nicht-öffentlichen Bereich. Zuständig wäre dann die Bundesbeauftragte, die bislang neben Bundesbehörden lediglich ein paar staatliche Unternehmen und Telekommunikationskonzerne überwacht. Laut geleakter Zwischenstände der Koalitionsverhandlungen favorisierten CDU und CSU diese Variante.

Wenn die Zentralisierung nicht zu einem Freifahrtschein für die Wirtschaft werden soll, ginge das wohl nur mit erheblichem Personalausbau bei der BfDI. Fuchs, Kamp und Roßnagel berichten von etwa 70.000 Fällen, die die Landesbehörden im nicht-öffentlichen Bereich pro Jahr bearbeiten. Tendenz: steigend. Um mit dieser Last fertigzuwerden, müsste die Behörde der Bundesbeauftragten ihrer Schätzung nach von 430 auf etwa 900 Stellen anwachsen. Eine neue Mega-Behörde also? „Dass sehr große Behörden unbürokratischer arbeiten, wäre mir neu“, kommentiert Meike Kamp gegenüber netzpolitik.org.

In jedem Fall müssten bei einer Zentralisierung auch die Bundesländer mitspielen, deren Aufsichtsbehörden um Kompetenzen beschnitten würden. Frederick Richter betont, dass die dadurch freiwerdenden Stellen nicht wegfallen dürften. „Denn sämtliche Behörden sind strukturell unterausgestattet, und die vorhandenen Belegschaften könnten sich dann komplett auf die Aufsicht im öffentlichen Bereich konzentrieren, sodass dort sofort die Unterausstattung behoben wäre.“ Ob die Bundesländer das wollen?

Weniger Zentralisierung, mehr Bündelung

Für Kamp jedenfalls steht fest, dass die föderale Struktur der Datenschutzaufsicht zahlreiche Vorteile habe. Sie sichere nicht nur Nähe zu den Betroffenen und der lokalen Wirtschaft, sondern verhindere auch, „dass Datenschutz durch Druck auf eine einzige Stelle ausgehebelt wird“, so die Berliner Datenschutzbeauftragte. Ihr ist wichtig zu betonen, dass Datenschutzaufsicht nicht nur Beratung von Unternehmen bedeute, „sondern vorrangig Grundrechtsschutz durch Hilfestellungen für betroffene Personen sowie Prüfungen vor Ort.“ Dies falle in der aktuellen Debatte manchmal unter den Tisch.

Gemeinsam mit Thomas Fuchs und Alexander Roßnagel macht sie deshalb eine Reihe anderer Vorschläge für eine verbesserte Aufsichtsstruktur. So wünschen sie sich eine Institutionalisierung der Datenschutzkonferenz, die bislang informell arbeitet und künftig verbindliche Beschlüsse fassen könnte. Für eine zentrale Koordination der DSK sollte ihrer Meinung nach eine Geschäftsstelle bei der BfDI eingerichtet werden. Außerdem schlagen sie ein zentrales Online-Portal vor, über das Beschwerden und Datenpannen gemeldet und dann verteilt werden können. Bislang müssen Bürger:innen und Unternehmen sich je nach Bundesland mit unterschiedlichen Meldewegen herumschlagen.

Darüber hinaus regen die drei Datenschützer:innen an, die Potenziale zur Entbürokratisierung zu nutzen, die die DSGVO bereits vorsieht. Dazu gehören etwa Zertifizierung und verbindliche Verhaltensregeln von Verbänden, die bislang kaum genutzt werden und künftig von der BfDI koordiniert werden könnten. Auch Standardisierung und Normierung könnten entlastend wirken; die BfDI sollte stellvertretend für alle Behörden in entsprechenden Gremien mitwirken. Und auch die Technologieberatung sollte zentral von der BfDI übernommen werden, so Fuchs, Kamp und Roßnagel.

Ihr wohl weitgehendster Vorschlag: Für überregionale Unternehmen und Forschungsvorhaben soll nur eine einzige Behörde zuständig sein. Außerdem soll ein „Einer-für-alle-Prinzip“ gelten, bei dem eine Aufsichtsbehörde Prüfungen vornimmt, deren Ergebnis auch für die anderen Behörden verbindlich sind. Das wäre ein Modell der Bündelung, bei dem die Aufsicht für den Großteil der Unternehmen bei den Landesbehörden bleibt, schließlich machen kleine und mittlere Unternehmen laut Fuchs, Kamp und Roßnagel 99,3 Prozent der Wirtschaftsakteure aus.

In diese Richtung denkt auch Frederick Richter von der Stiftung Datenschutz, geht jedoch etwas weiter. Auch er hält eine umfassende Zentralisierung der Aufsicht beim Bund für keine gute Lösung, weil regionale Unternehmen und Vereine von regionaler Beratung und Aufsicht profitieren würden. Stattdessen spricht er sich aber für eine alleinige Zuständigkeit der BfDI für überregionale und internationale Unternehmen aus, also eine Teilzentralisierung.

SPD legt Fokus auf verbesserte Zusammenarbeit

Welche Richtung wird die Bundesregierung einschlagen? Derzeit will sie sich nicht in die Karten blicken lassen. Auf Anfrage schreibt uns das Innenministerium lediglich: „Die Bundesregierung beabsichtigt, in Umsetzung der Vorgaben aus dem Koalitionsvertrag diese Legislaturperiode das Bundesdatenschutzgesetz zu reformieren.“ Die betroffenen Stellen innerhalb der Regierung stünden dazu im Austausch; Zwischenstände laufender Abstimmungen zu Gesetzgebungsvorhaben teile man grundsätzlich nicht.

Auch Johannes Schätzl, digitalpolitischer Sprecher der SPD-Fraktion im Bundestag, schreibt uns, dass sich die Reformvorhaben derzeit noch in laufenden Abstimmungsprozessen befinden. „Ein konkreter Zeitplan zur Umsetzung liegt noch nicht vor.“

Immerhin macht Schätzl deutlich, wo die Prioritäten seiner Meinung nach liegen sollten. „Unser wichtigstes Ziel in den Koalitionsverhandlungen war es, die Kohärenz und Einheitlichkeit der Auslegung der Datenschutzregelungen seitens der Aufsichtsbehörden zu stärken und die institutionelle Verankerung der Datenschutzkonferenz gesetzlich festzuschreiben.“ Sie müsse rechtlich verankert und durch eine zentrale Geschäftsstelle gestärkt werden. Außerdem müsse sie verbindliche Schlüsse fassen können.

Der Schritt, Aufsichtskompetenzen zur BfDI zu verlagern, habe dahingegen „tiefgreifende Folgen, da er eine umfassende Neuorganisation erfordern und die Arbeit der Datenschutzbehörden für längere Zeit noch herausfordernder gestalten würde“, so Schätzl weiter. „Zudem würden Unternehmen ihre vertrauten Ansprechpartnerinnen und Ansprechpartner in den Ländern verlieren, während die BfDI erst erhebliche neue Kapazitäten aufbauen müsste.“

Die SPD plädiere stattdessen für „eine sinnvolle Kompetenzbündelung, die tatsächliche Erleichterung etwa durch schnellere Bearbeitung ähnlich gelagerter und landesübergreifender Anfragen ermöglicht, ohne die Beratungsbedürfnisse lokaler Unternehmen zu vernachlässigen.“

Ob das auch der Koalitionspartner so sieht? Wir haben dem Sprecher der AG Digitales und Staatsmodernisierung der CDU/CSU-Fraktion, Ralph Brinkhaus, mehrere Fragen geschickt. Als einziger von uns angefragter Bundestagsabgeordneter hat er keine einzige davon beantwortet, sondern teilt lediglich vage mit, man arbeite an den von uns genannten Themen.

Auch Opposition will Datenschutzkonferenz stärken

Klar fallen hingegen die Antworten der demokratischen Oppositionsparteien im Bundestag aus. Eine mögliche Zentralisierung „käme einer Entmachtung der bisher zuständigen Landesbeauftragten gleich“, schreiben Lukas Benner und Konstantin von Notz von den Grünen. Es ist sei „nicht im Interesse der vielen kleinen und mittleren Unternehmen, wenn sie keine Ansprechpartner für Datenschutzfragen und Beratung mehr in ihrer Nähe haben“, teilen der Obmann der Grünen im Innenausschuss und der Fraktionsvize mit. „Am Ende einer solchen Politik stünde weniger Datenschutz für alle und weniger Service und unabhängige Beratung für die Unternehmen.“

Dass die Reform „im Interesse der Wirtschaft“ stattfinden soll, lässt auch Sonja Lemke von der Linkspartei misstrauisch werden. Die Sprecherin für Digitale Verwaltung und Open Government fürchtet einen Abbau der Landesdatenschutzbehörden und einen „Grundrechteabbau zugunsten von Profitinteressen“.

Grundsätzlichen Reformbedarf bei der Aufsicht sehen allerdings auch Linke und Grüne. Die Kohärenz müsse durch eine verbesserte Zusammenarbeit der Behörden im Rahmen der Datenschutzkonferenz erreicht werden. Sie sollte gesetzliche verankert werden und verbindliche Mehrheitsentscheidungen treffen.

Im Sinne der Bürger:innen

Durchweg kritisch sehen Grüne und Linke hingegen die weiteren Reformvorhaben von Schwarz-Rot. Fast wortgleich antworten sie uns, dass sie „pauschale Ausnahmen“ für kleinere und mittlere Unternehmen sowie Vereine ablehnen. „Das würde in der Realität zu weniger Datenschutz und Datensicherheit für Millionen von Bürger*innen in Deutschland führen“, so Benner und von Notz. Sonja Lemke wiederum erinnert daran, dass auch kleine Unternehmen wie etwas Medizin-Start-ups oder auch Selbsthilfevereine hochgradig sensible Daten verarbeiten. Eine Umbenennung der BfDI sehen beide Parteien kritisch.

Auch Johannes Schätzl von der SPD betont: Bei den angedachten Vereinfachungen gehe es nicht darum, „Datenschutzvorgaben und bewährte Instrumente wie die betrieblichen Datenschutzbeauftragten zur Risikominimierung grundsätzlich in Frage zu stellen“. Vielmehr sollten Spielräume der DSGVO genutzt werden, um neben der Kohärenz auch Vereinfachungen für kleinere und mittlere Unternehmen und das Ehrenamt zu erreichen. Details dazu, wie dies im bestehenden rechtlichen Rahmen aussehen könnte, nennt er nicht. Die genaue Ausgestaltung werde noch verhandelt.

Unklar bleibt auch, ob die Koalition mit ihren Reformen nicht nur für Erleichterungen „im Sinne der Wirtschaft“ sorgen wird, sondern auch bestehende Probleme bei der Durchsetzung des Datenschutzes angeht. Denn dass es auch dort Handlungsbedarf gibt, zeigen immer wieder Recherchen nicht nur unseres Mediums. Sei es beim Werbe-Tracking, beim Datenhandel oder bei Einwilligungen im Handy-Shop oder in der Sparkasse – an vielen Stellen funktioniert der Datenschutz für Bürger:innen nicht. Jede Reform wird daran zu messen sein, ob sie auch daran etwas ändert.

Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen” Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Über Ingo Dachwitz - netzpolitik:

Avatar-FotoUnter der Kennung "Gastautor:innen" fassen wir die unterschiedlichsten Beiträge externer Quellen zusammen, die wir dankbar im Beueler-Extradienst (wieder-)veröffentlichen dürfen. Die Autor*innen, Quellen und ggf. Lizenzen sind, soweit bekannt, jeweils im Beitrag vermerkt und/oder verlinkt.