» Startseite » Riscreen Compliance Blog » Modernisierung des Datenschutzes: Klarheit oder neue Komplexität?

Modernisierung des Datenschutzes: Klarheit oder neue Komplexität?

Neue Regeln, neue Abgrenzungen, neue Prüfpflichten

Mit den Impulsen zur Modernisierung des Datenschutzes haben die unabhängigen Datenschutzaufsichtsbehörden der Länder einen umfassenden Beitrag zur Weiterentwicklung des Datenschutzes in Deutschland vorgelegt. Ziel ist es, Datenschutz praxistauglicher, koordinierter und effizienter zu gestalten, ohne den grundrechtlichen Schutz personenbezogener Daten abzusenken. 

Im Mittelpunkt stehen Vorschläge wie eine gesetzliche Verankerung der Datenschutzkonferenz, verbindlichere Mehrheitsentscheidungen, ein zentrales digitales Portal, eine gemeinsame Entscheidungsdatenbank und das sogenannte „Einer-für-Alle“-Prinzip. Für Unternehmen ist vor allem relevant, ob diese Ansätze zu mehr Orientierung und effizienteren Verfahren führen können. 

Vorteile und Herausforderungen der Modernisierung

Unternehmen benötigen verlässliche, einheitliche und praxistaugliche Vorgaben. Gerade die DSGVO arbeitet mit offenen Rechtsbegriffen, die in der betrieblichen Umsetzung häufig Auslegungsspielräume schaffen. Die Datenschutzkonferenz betont deshalb, dass gemeinsame Positionen, Orientierungshilfen und abgestimmte Verfahren ausgebaut werden sollen, um mehr Klarheit für die Praxis zu schaffen. 

Besonders relevant ist die geplante gesetzliche Verankerung der Datenschutzkonferenz. Sie ist bereits heute das zentrale Koordinierungsgremium der deutschen Datenschutzaufsicht. Eine ausdrückliche gesetzliche Absicherung könnte ihre Rolle, Verfahren und Zielsetzungen transparenter regeln. 

Auch verbindlichere Mehrheitsentscheidungen könnten Unternehmen unterstützen. Sie sollen bei bundesweit einheitlich geregelten Sachverhalten helfen, offene Rechtsfragen schneller zu klären und eine einheitlichere Rechtsanwendung sicherzustellen. Damit könnte Datenschutz-Compliance planbarer werden und weniger stark von regional unterschiedlichen Bewertungen abhängen. 

Aus Compliance-Sicht gilt jedoch: Mehr Koordination bedeutet nicht automatisch weniger Aufwand. Einheitlichere und transparentere Positionen können Unternehmen zwar entlasten, erhöhen aber zugleich die Erwartung, dass diese Positionen intern bekannt sind, bewertet und in Datenschutzprozesse übernommen werden. 

Zentrales Portal und Entscheidungsdatenbank

Ein zentraler Baustein ist ein digitales Portal nach dem Prinzip „no wrong door“. Unternehmen sollen Anfragen und Meldungen künftig über einen einheitlichen Zugang an die Datenschutzaufsicht richten können, unabhängig davon, welche Behörde im Einzelfall zuständig ist. Auch Meldewege für Datenschutzverletzungen sollen zentralisiert werden. 

Für Unternehmen mit mehreren Standorten wäre dies ein deutlicher Fortschritt. Heute müssen Zuständigkeiten häufig geklärt werden, insbesondere bei länderübergreifenden Verarbeitungsvorgängen, Konzernstrukturen oder bundesweit eingesetzten IT-Systemen. Ein zentraler Kommunikationskanal könnte Fristenmanagement, Incident Response und Behördenkommunikation vereinfachen. 

Daneben schlägt die Datenschutzkonferenz den Aufbau einer gemeinsamen Entscheidungsdatenbank vor. Entscheidungen, Orientierungshilfen und Handreichungen der Aufsichtsbehörden sollen besser gebündelt und zugänglich gemacht werden. Für Unternehmen kann das hilfreich sein, weil behördliche Positionen leichter nachvollziehbar werden. Gleichzeitig gewinnt ein strukturiertes Monitoring solcher Veröffentlichungen an Bedeutung. 

„Einer-für-Alle“-Prinzip und Dokumentation

Ein weiterer zentraler Vorschlag ist das „Einer-für-Alle“-Prinzip. Danach soll die Prüfung eines Sachverhalts durch eine zuständige Aufsichtsbehörde bundesweit Wirkung entfalten können, sofern der Sachverhalt bundesweit einheitlich geregelt ist. Ziel ist es, parallele Prüfungen ähnlicher oder identischer Sachverhalte zu vermeiden. 

Für Unternehmen könnte dies insbesondere bei standardisierten IT-Systemen, bundesweiten Prozessen oder konzernweit eingesetzten Tools Vorteile bringen. Allerdings setzt ein solcher Ansatz voraus, dass Verarbeitungsvorgänge und Datenschutzmaßnahmen nachvollziehbar beschrieben sind. 

Damit werden konsistente und belastbare Dokumentationen wichtiger. Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, technische und organisatorische Maßnahmen, Löschkonzepte und Rollenbeschreibungen sollten nicht nur vorhanden, sondern einheitlich, verständlich und prüffähig aufgebaut sein. 

KI, Cloud und Auftragsverarbeitung

Die Impulse machen deutlich, dass Datenschutzaufsicht zunehmend technisches Spezialwissen benötigt. Genannt werden unter anderem Künstliche Intelligenz, Plattformökonomie, Cloud-Infrastrukturen sowie Wissenschaft und Forschung. Für Unternehmen ist das ein klares Signal: Datenschutz-Compliance muss stärker mit IT-Sicherheit, KI-Governance, Vendor Management und allgemeinem Compliance Management verzahnt werden. 

Praxisrelevant ist auch der Vorschlag, die Auftragsverarbeitung zu entbürokratisieren und Hersteller stärker in die Pflicht zu nehmen. Die Datenschutzkonferenz sieht Vereinfachungspotenzial bei Auftragsverarbeitungsverhältnissen, ohne Abstriche beim Datenschutz hinzunehmen. Gleichzeitig sollen Hersteller von Anwendungen stärker Verantwortung für ihre Produkte und Lösungen übernehmen. 

Dies könnte insbesondere kleinere Unternehmen entlasten. Zugleich würde der Druck auf Softwareanbieter, SaaS-Dienste und Plattformbetreiber steigen, Datenschutzanforderungen bereits produktseitig belastbar umzusetzen. 

Fazit: Modernisierung ist keine Deregulierung

Die Impulse zur Modernisierung des Datenschutzes setzen auf mehr Koordination, digitale Zugänge, verbindlichere Abstimmungen und bessere Orientierung für Unternehmen. Damit könnten sie langfristig zu mehr Rechtssicherheit und effizienteren Verfahren beitragen. 

Gleichzeitig handelt es sich nicht um eine Deregulierung des Datenschutzes. Der Schutz personenbezogener Daten bleibt grundrechtlich verankert, und nationale Reformen müssen den europäischen Rechtsrahmen beachten. 

Für Unternehmen bedeutet das: Datenschutz-Compliance wird nicht weniger wichtig, sondern strukturierter, transparenter und stärker risikobasiert. Wer seine Datenschutzorganisation professionalisiert, behördliche Entwicklungen beobachtet und Datenschutz in IT-, KI- und Dienstleisterprozesse integriert, kann von einer modernisierten Aufsicht profitieren. 

www.datenschutzkonferenz-online.de/media/en/20260619_Entschliessung_Stuttgarter-Impulse-zur-Modernisierung-des-Datenschutzes.pdf 

| Zuletzt aktualisiert:

,