Datenschutz bleibt eine zentrale Voraussetzung für das Vertrauen in die digitale Wirtschaft und Gesellschaft. Dabei geht es nicht vorrangig um die Verfolgung von Unternehmensinteressen, sondern um den Schutz des Persönlichkeitsrechts und die Wahrung der informationellen Selbstbestimmung der Bürgerinnen und Bürger. In einer digitalisierten Welt ist es für Verbraucherinnen und Verbraucher entscheidend, dass ihre Daten nicht nur gesetzeskonform, sondern vor allem auch risikominimierend verarbeitet werden. Gleichzeitig müssen die regulatorischen Anforderungen für Unternehmen nachvollziehbar und praktikabel bleiben. Dies ist dem EU-Gesetzgeber nicht immer gelungen.

Der Zwischenbericht der „Initiative für einen handlungsfähigen Staat“ zeigt Reformbedarf insbesondere im Hinblick auf eine praxisnähere Umsetzung der DSGVO, den Abbau bürokratischer Hürden für kleine Unternehmen sowie eine stärkere Fokussierung auf risikobasierte Ansätze im Datenschutz auf. Der BvD betont, dass eine Differenzierung der Datenschutzpflichten in Abhängigkeit nach Art und Risiko der Datenverarbeitung empfehlenswert und vereinfachend wäre. Andere Rechtsakte wie die EU-Richtlinie NIS-2, das KRITIS-Dachgesetz, oder die EU-KI-Verordnung gehen bereits in diese Richtung.

Thomas Spaeing, BvD-Vorstandsvorsitzender: „Ein kleiner Verein, der lediglich eine Mitgliederliste führt und zu Mitgliederversammlungen einlädt, sollte nicht denselben regulatorischen Anforderungen unterliegen wie ein FinTech-Unternehmen, das Finanzdaten verarbeitet oder ein Gesundheitsdienstleister, der sensible Patientendaten speichert und analysiert.      
Wichtig ist, dass nicht die Unternehmensgröße und der Umsatz entscheidend sind, sondern das Risiko, das von der Verarbeitung personenbezogener Daten ausgeht.
Es braucht klare Abstufungen: Unternehmen mit Standardverarbeitungen sollten erleichterte Anforderungen erfüllen können, während Organisationen mit kritischen oder risikobehafteten Datenverarbeitungen erweiterte Pflichten erfüllen müssen.“

Der BvD betont in diesem Zusammenhang die zentrale Rolle der Datenschutzbeauftragten. Sie tragen maßgeblich dazu bei, dass Unternehmen Datenschutz nicht nur als regulatorische Pflicht, sondern als integralen Bestandteil eines verantwortungsvollen Umgangs mit personenbezogenen Daten verstehen. Ein funktionierendes Datenschutz-Managementsystem unterstützt die Risikominimierung und stärkt gleichzeitig das Vertrauen von Kundinnen und Kunden sowie Geschäftspartnern. Datenschutz ist dabei kein starres Konstrukt, sondern ein kontinuierlicher Prozess, der sich an den spezifischen Anforderungen eines Unternehmens, seinen Verarbeitungen und Geschäftszwecken, orientieren muss. Ähnlich wie beim Umwelt- oder Qualitätsmanagement handelt es sich um ein dynamisches System, das ständig weiterentwickelt werden muss.

Datenschutzbeauftragte entlasten Fachbereiche und Management und leisten wesentliche Arbeit für die unbürokratische Umsetzung und Weiterentwicklung des Datenschutzes – damit fördern sie die Digitalisierung und Innovation in Unternehmen und öffentlichen Stellen. Eine Reform des Datenschutzrechts muss die Funktion der Datenschutzbeauftragten stärken und gleichzeitig bürokratische Hürden für Organisationen mit geringem Datenschutzrisiko abbauen. Darüber hinaus kann die Benennung eines Datenschutzbeauftragten auch Erleichterungen für Unternehmen mit sich bringen, zum Beispiel durch vereinfachte Meldepflichten bei Datenschutzvorfällen. Ein interner oder externer Datenschutzbeauftragter kann eine professionelle Risikobewertung, Behebung und strukturierte Dokumentation sicherstellen.

„Datenschutz muss praktikabel bleiben, ohne Wirksamkeit zu verlieren. Beispielsweise könnten kleinere Unternehmen mit standardisierten Verarbeitungen von vereinfachten Dokumentationspflichten profitieren, während für risikoreiche Verarbeitungen weiterhin umfassendere Anforderungen gelten“, so Spaeing weiter. „Eine gezielte Reform kann Erleichterungen für Unternehmen schaffen, ohne den Datenschutz auszuhöhlen, die Risiken für Bürgerinnen und Bürger zu erhöhen oder deren Rechte einzuschränken.“

Der BvD ist offen, mit Politik und Wirtschaft über eine differenzierte und praxisgerechte Anpassung des Datenschutzrechts zu diskutieren. In seinem Positionspapier für 2025 betont der Verband die Notwendigkeit, die Benennungspflicht für Datenschutzbeauftragte zu erhalten, die Unabhängigkeit der Datenschutzbeauftragten zu stärken und den Verwaltungsaufwand gezielt zu reduzieren. Darüber hinaus fordert der BvD eine stärkere Einbindung der Datenschutzbeauftragten in die Umsetzung der EU-KI-Verordnung und anderer relevanter Rechtsakte, um den Unternehmen eine rechtssichere und praxisgerechte Umsetzung zu ermöglichen. Bereits in der Vergangenheit hat der Verband durch Fachtagungen, Stellungnahmen und den direkten Austausch mit politischen Entscheidungsträgern auf notwendige Anpassungen hingewiesen. Für die Zukunft plant der BvD weitere Dialogformate, um konstruktive Lösungen für eine praxistaugliche Reform des Datenschutzrechts zu erarbeiten.