Abschaffung des Datenschutzbeauftragten?

Frage der Woche Datenschutz Nachhaltigkeit

„Entbürokratisierung“ durch Abschaffung des Datenschutzbeauftragten? Das ist Thermometer-Politik.

tl;dr: 

Fazit: Wer den DSB abschafft, entbürokratisiert nicht – er entprofessionalisiert.

Du kannst den Titel streichen. Du kannst den Vertrag kündigen. Du kannst das Organigramm verschlanken.

Aber du kannst nicht wegmodernisieren, dass

  • Datenschutz Grundrechtsschutz ist,
  • die DSGVO Pflichten beim Unternehmen verankert,
  • und dass es in vielen Fällen ohnehin weiter eine Pflicht zur Benennung eines DSB gibt.

Was du sehr wohl erreichst: Du verschiebst Verantwortung, schwächst Kompetenz – und setzt ein politisches Signal, dass Datenschutz nur „Ballast“ sei.

Und am Ende stehen dann alle da – Geschäftsführung, IT, HR, Marketing – und merken: Die DSGVO ist nicht verschwunden. Sie ist nur ungemütlicher geworden, weil derjenige fehlt, der sie im Alltag übersetzt hat.

Was wäre echte Entbürokratisierung?

Wenn man es ernst meint, hat man genug Stellschrauben, die nicht „Grundrechte gegen Wachstum“ heißen:

  • Klare, einheitliche Auslegung statt föderales Interpretations-Bingo. (Genau das steht ja sogar als Ziel in früheren Programmpapieren zur Vereinheitlichung der Anwendung.)
  • Standardisierte Vorlagen (AV-Verträge, Informationspflichten, Löschkonzepte) statt 16 Varianten pro Bundeslandgefühl.
  • Risikobasierte Anforderungen statt „eine Größe passt allen“ im Kleinbetrieb wie im Datengiganten.
  • Digitalisierte Verwaltung statt Papierprozesse mit PDF-Ausdruckpflicht.
  • Kompetenz aufbauen statt Kompetenz streichen.

 

„Entbürokratisierung“ durch Abschaffung des Datenschutzbeauftragten? Das ist Thermometer-Politik.

Es gibt diese politische Lieblingsidee, die zuverlässig immer dann aus der Schublade fällt, wenn irgendwo „Wirtschaft entlasten“ draufsteht: Wir schaffen einfach den Datenschutzbeauftragten ab – zack, Bürokratie weg, Deutschland wieder auf Überholspur. Und jedes Mal denke ich mir: Leute. Das ist nicht Entbürokratisierung. Das ist der Versuch, ein kompliziertes Problem dadurch zu lösen, dass man denjenigen rauswirft, der einem jeden Tag erklärt, warum das Problem kompliziert ist.

Das ist, als würdest du sagen: „Mir ist das Fieber zu lästig. Ich schmeiße das Thermometer weg.“ Spoiler: Das Fieber bleibt. Nur merkst du es später. Und dann wird es richtig teuer.

Und ja: Das Thema ist nicht mehr nur Stammtisch-Philosophie. In der Modernisierungsagenda von Bund und Ländern (MPK-Papier vom 4. Dezember 2025) steht ziemlich konkret, dass der Bund bis zum 31.12.2026 § 38 Abs. 1 BDSG aufheben will – und damit die Benennungspflicht im nichtöffentlichen Bereich auf die Mindestvorgaben aus Art. 37 DSGVO beschränken möchte.

Das klingt nach „weg damit“. Aber es ist eben kein „Datenschutz ist dann optional“-Zauberspruch. Es ist eher: „Wir nehmen den deutschen Zusatzgurt ab – aber die Leitplanken bleiben stehen.“

Erstmal die Fakten: Die Bundesregierung kann das Schild abmontieren – aber nicht die Straße.

1) Deutschland hat aktuell mehr DSB-Pflicht als die DSGVO allein

Die DSGVO schreibt Datenschutzbeauftragte nicht pauschal für jedes Unternehmen vor. Deutschland hat aber zusätzlich im BDSG eine Benennungspflicht verankert, wenn in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (und in weiteren Fällen).

Genau dieser deutsche Aufsatz ist politisch seit Jahren im Visier: Schon in der Wachstumsinitiative 2024 tauchte die Idee auf, die Schwelle von 20 auf 50 Mitarbeitende anzuheben. Und inzwischen wird eben nicht nur „hochsetzen“, sondern „streichen und auf DSGVO-Minimum zurück“ diskutiert.

2) Aber: Die DSGVO bleibt. Und Grundrechte bleiben auch.

Die Bundesregierung kann nationale Regelungen ändern – klar. Aber sie kann nicht durch nationalen Aktionismus aus einer EU-Verordnung eine Empfehlung machen. Die DSGVO gilt direkt und setzt den Rahmen.

Und die DSGVO sagt: Es gibt Fälle, in denen ein DSB zwingend zu benennen ist (z. B. öffentliche Stellen, großflächige systematische Überwachung, großflächige Verarbeitung besonderer Kategorien wie Gesundheitsdaten). Sie sagt auch ausdrücklich, dass EU- oder Mitgliedstaatenrecht zusätzliche Benennungspflichten vorsehen kann – also genau die Schiene, über die § 38 BDSG bisher läuft.

Und als ob das nicht reicht: Datenschutz ist nicht nur „ein EU-Formular“. Datenschutz ist Grundrechtsschutz. In Deutschland ist das Recht auf informationelle Selbstbestimmung seit dem Volkszählungsurteil 1983 aus dem allgemeinen Persönlichkeitsrecht abgeleitet (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG). Auf EU-Ebene steht der Schutz personenbezogener Daten als eigenes Grundrecht in Art. 8 der EU-Grundrechtecharta.

Du kannst also sagen: „Wir reduzieren die Pflicht, eine bestimmte Rolle zu benennen.“ Du kannst nicht sagen: „Und deshalb sind Transparenz, Rechtmäßigkeit, Sicherheit, Betroffenenrechte jetzt optional.“

Der Kernfehler im Mythos: Der Datenschutzbeauftragte IST nicht die Bürokratie. Er sitzt nur daneben, wenn du sie produzierst.

Die Pflichten hängen nicht am DSB. Sie hängen am Unternehmen.

Die DSGVO macht das sehr deutlich: Der Verantwortliche (also das Unternehmen bzw. die Organisation) muss geeignete technische und organisatorische Maßnahmen umsetzen und nachweisen können, dass die Verarbeitung regelkonform ist. Und die DSGVO schreibt eine ganze Compliance-Logik vor (Prinzipien, Rechenschaftspflicht, Risikoansatz), die du nicht dadurch loswirst, dass du die Person entfernst, die dich daran erinnert.

Wenn du den DSB streichst, passiert nicht: „Bürokratie weg.“ Es passiert: „Bürokratie wandert.“

  • wandert zur Geschäftsführung („macht mal Datenschutz nebenbei“),
  • wandert zur IT („ist doch nur Security, oder?“),
  • wandert zur Rechtsabteilung („bitte einmal 43 AV-Verträge prüfen“),
  • wandert zu externen Kanzleien („Stundensatz sagt Hallo“),
  • und am Ende wandert sie zur Aufsichtsbehörde („Sie haben da ein kleines Problem…“).

Der Berufsverband der Datenschutzbeauftragten (BvD) sagt das ziemlich unmissverständlich: Entbürokratisierung werde dadurch gerade nicht erreicht; statt dessen würden Aufgaben auf Geschäftsführung und externe Rechtsberater verlagert – und die Unternehmen in Richtung Incompliance gedrückt.

Und die Datenschutzkonferenz (DSK) hat schon 2019 – damals in einer Debatte über nationale Benennungspflichten – quasi denselben Punkt gemacht: Auch beim Wegfall der nationalen Pflicht bleiben die Datenschutzpflichten bestehen, aber interne Kompetenz geht verloren; kurzfristig wirkt es wie Entlastung, mittelfristig schadet es.

Das ist der Elefant im Raum: Wer glaubt, das Problem sei „zu viel Datenschutzbeauftragter“, hat Datenschutz mit Dokumentation verwechselt. Die DSGVO verlangt nicht, dass du einen Menschen ernennst, um ihn dann als lebendes Stoppschild zu benutzen. Sie verlangt, dass du Prozesse in den Griff bekommst – und zwar dauerhaft.

Und ja: Dass die Anforderungen an Unternehmen bleiben, ist gut so.

Man kann über Formulare lästern. Über Checklisten. Über genervte Teams, die „noch ein Verzeichnis, noch ein TOM-Konzept, noch ein Auftragsverarbeitungsvertrag“ hören und innerlich sterben.

Aber was dahintersteht, ist nicht „Bürokratie um der Bürokratie willen“. Es geht um reale Dinge:

  • Menschen sollen wissen, was mit ihren Daten passiert.
  • Menschen sollen korrigieren, löschen, widersprechen können.
  • Unternehmen sollen nicht „einfach mal“ Daten sammeln, weil’s technisch geht.
  • Und wenn Daten abfließen, soll das nicht mit einem Schulterzucken enden.

Das sind nicht die Marotten eines „Datenschutzapparats“. Das ist Grundrechtsschutz.

Aber jetzt kommt der Teil, der mich wirklich wütend macht: Das Signal.

Selbst wenn man die Benennungspflicht reduziert, könnte man das auch seriös kommunizieren:

„Wir nehmen für bestimmte Konstellationen eine formale Pflicht raus, ohne den materiellen Schutz zu reduzieren, und investieren dafür in klarere Regeln, bessere Guidance, weniger Doppelarbeit.“

Das wäre ein rationaler Ansatz.

Was aber politisch oft passiert, ist das Gegenteil: Die Abschaffung wird verkauft wie ein Befreiungsschlag gegen „den Datenschutz“. Und damit setzt du ein Signal:

Datenschutz ist der Gegner. Nicht schlechte Prozesse. Nicht fehlende Digitalisierung. Nicht chaotische Zuständigkeiten. Nicht kaputte Register. Nicht doppelte Dokumentationspflichten. Nein: Der DSB soll’s gewesen sein.

Und genau dieses Framing ist gefährlich. Denn wenn du Datenschutz als Bürokratie-Monster etikettierst, wird der nächste Schritt leichter: Dann kann man „ungestört“ weiter an den Grundrechten und der DSGVO schleifen – nicht unbedingt durch offene Abschaffung (das geht ja gar nicht so einfach), sondern durch:

  • Ausnahmen,
  • Aufweichungen,
  • „Interpretationshilfen“,
  • Unterfinanzierung der Aufsicht,
  • oder indem man Pflichten so „pragmatisch“ macht, dass am Ende nur noch das Wort übrig ist.

Im MPK-Papier steht sogar nicht nur der Plan zur Beschränkung der DSB-Pflicht, sondern auch die Ansage, die Datenschutzaufsicht zu „reformieren“ – und der Bund prüft dort ausdrücklich auch die Aufhebung der Pflicht zur Bestellung eines Landesdatenschutzbeauftragten. Allein dieses „prüft“ lässt bei mir schon die Alarmglocken läuten, weil Datenschutzaufsicht (egal wie organisiert) eben nicht Dekoration ist, sondern Teil des Grundrechtsschutzes.

Und ja: Vielleicht ist damit am Ende „nur“ eine Umstrukturierung gemeint. Vielleicht sogar eine sinnvollere. Aber das Signal bleibt: „Datenschutz auf Diät“ ist politisch gerade salonfähig.

Der Datenschutzbeauftragte als Sündenbock: Praktisch, weil er still sein soll.

Und jetzt noch ein Seitenhieb – nicht nur Richtung Politik, sondern Richtung Branche:

Es ist schon auffällig, wie oft in dieser Debatte ausgerechnet die Datenschutzbeauftragten selbst entweder

  1. wegducken, oder
  2. die Diskussion abwürgen mit: „Tja, geht halt nicht wegen Datenschutz.“

Das ist eine Haltung, die ich wirklich nicht mehr hören kann.

Denn schau dir an, was die DSGVO vom DSB eigentlich will: Der DSB soll informieren und beraten, die Einhaltung überwachen, Awareness und Schulungen unterstützen, mit der Aufsicht kooperieren und als Anlaufstelle dienen. Und ausdrücklich: Er oder sie soll dabei den Risikobezug berücksichtigen.

Das ist nicht die Stellenbeschreibung eines professionellen „Nein-Sagers“. Das ist die Stellenbeschreibung eines Übersetzers zwischen Recht, Technik und Realität.

„Geht nicht wegen Datenschutz“ ist oft nur ein Reflex.

Klar, manchmal geht’s wirklich nicht. Manchmal fehlt eine Rechtsgrundlage, manchmal ist die Maßnahme unverhältnismäßig, manchmal ist das Risiko zu hoch.

Aber sehr oft ist „geht nicht“ einfach die Abkürzung für:

  • „Ich habe keine Lust, es zu erklären.“
  • „Ich will nicht verantwortlich sein.“
  • „Ich kenne nur Verbote, keine Lösungen.“
  • „Ich habe Angst vor Haftung / Kritik / Aufwand.“
  • „Das ist kompliziert, bitte nicht heute.“

Und damit tun manche DSBs (intern wie extern) der ganzen Sache einen Bärendienst. Weil sie genau das Klischee füttern, das politische Abschaffungsfantasien erst möglich macht: Datenschutz = Blockade = Bürokratie = Weg damit.

Wenn DSBs sich ernst nehmen wollen, müssten sie in genau dieser Debatte laut sein und sagen:

  • Datenschutz ist nicht „alles verbieten“, sondern „sauber gestalten“.
  • Datenschutz ist kein moralischer Zeigefinger, sondern Risiko- und Prozessmanagement.
  • Und wenn es wirklich an Bürokratie hakt, dann lasst uns über Doppelpflichten, Standardisierung, Codes of Conduct, bessere Muster und klare Auslegung reden – nicht über Sündenböcke.

Was wäre echte Entbürokratisierung?

Wenn man es ernst meint, hat man genug Stellschrauben, die nicht „Grundrechte gegen Wachstum“ heißen:

  • Klare, einheitliche Auslegung statt föderales Interpretations-Bingo. (Genau das steht ja sogar als Ziel in früheren Programmpapieren zur Vereinheitlichung der Anwendung.)
  • Standardisierte Vorlagen (AV-Verträge, Informationspflichten, Löschkonzepte) statt 16 Varianten pro Bundeslandgefühl.
  • Risikobasierte Anforderungen statt „eine Größe passt allen“ im Kleinbetrieb wie im Datengiganten.
  • Digitalisierte Verwaltung statt Papierprozesse mit PDF-Ausdruckpflicht.
  • Kompetenz aufbauen statt Kompetenz streichen.

Und ja, ironischerweise: Ein guter Datenschutzbeauftragter ist genau jemand, der dabei helfen kann, diese Dinge praktikabel zu machen – weil er die Stellen im Prozess sieht, an denen Unternehmen sich selbst unnötige Schleifen bauen.

Fazit: Wer den DSB abschafft, entbürokratisiert nicht – er entprofessionalisiert.

Du kannst den Titel streichen. Du kannst den Vertrag kündigen. Du kannst das Organigramm verschlanken.

Aber du kannst nicht wegmodernisieren, dass

  • Datenschutz Grundrechtsschutz ist,
  • die DSGVO Pflichten beim Unternehmen verankert,
  • und dass es in vielen Fällen ohnehin weiter eine Pflicht zur Benennung eines DSB gibt.

Was du sehr wohl erreichst: Du verschiebst Verantwortung, schwächst Kompetenz – und setzt ein politisches Signal, dass Datenschutz nur „Ballast“ sei.

Und am Ende stehen dann alle da – Geschäftsführung, IT, HR, Marketing – und merken: Die DSGVO ist nicht verschwunden. Sie ist nur ungemütlicher geworden, weil derjenige fehlt, der sie im Alltag übersetzt hat.

Zurück zur Übersicht