Klassische Datenschutz-Themen haben Einzug in den Koalitionsvertrag von CDU/CSU und SPD gehalten. Erfahren Sie hier alles zu den Plänen der Regierung.
Der Koalitionsvertrag von CDU/CSU und SPD für die 21. Legislaturperiode befasst sich auch mit dem Datenschutz. Insgesamt setzt die neue Regierung vor allem auf Entbürokratisierung. Wir geben einen Überblick.
Ziel der Koalition: Entbürokratisierung des Datenschutzes
Die Regierung möchte den Datenschutz entbürokratisieren und hat hierfür einige organisatorische Maßnahmen im Blick. Jedenfalls für staatliche Serviceleistungen sieht die Koalition als Entbürokratisierungsmaßnahme vor, aufwändige datenschutzrechtliche Einwilligungslösungen durch Widerspruchslösungen zu ersetzen. Ansätze hierfür sollen das Grundrecht auf informationelle Selbstbestimmung berücksichtigen und auf Ebene des europäischen Rechts erfolgen. Doch vor allem konzentriert sich der Koalitionsvertrag auf Reformen der Datenschutzaufsicht.
Zentralisierung der Datenschutzaufsicht für den privaten Sektor bei der BfDI
Die Aufsicht über den privaten Sektor auf dem Gebiet des Datenschutzes soll reformiert werden. Deutschland ist das einzige Land in der EU, dessen Datenschutzaufsicht für die Privatwirtschaft nicht bei einer zentralen Aufsichtsbehörde gebündelt ist, sondern den 17 regional zuständigen Landesdatenschutzbehörden obliegt. Im Interesse der Wirtschaft soll die Aufsicht zentral bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gebündelt werden.
Diese geplante Reform der Datenschutzaufsicht ist grundlegend: Zu hoffen ist dabei auf eine Vereinfachung der bürokratischen Abläufe und eine Vereinheitlichung der Auslegung und Durchsetzung der europäischen Datenschutz-Grundverordnung (DSGVO).
- Aus der derzeitigen föderalen Struktur der Aufsichtsbehörden resultieren zum Teil unterschiedliche Auffassungen und Entscheidungspraxen der Aufsichtsbehörden. Dies führte in der Vergangenheit zum Teil zu Rechtsunsicherheit bei der Anwendung der Vorgaben der DSGVO für Wirtschaftsunternehmen mit mehreren Standorten in Deutschland. Die Bündelung der Aufsicht bei der BfDI wird für mehr Rechtsklarheit sorgen.
- Gleiches gilt für die Bußgeld– oder Auflagenpraxis der einzelnen Länderbehörden, die zum Teil divergierte.
- Vorteilhaft wäre zudem die Einführung eines einzigen Meldeweges für sog. „Datenpannen“.
Wirtschaftsunternehmen fühlen sich zum Teil ihrer lokalen Aufsichtsbehörde verbunden und nehmen die dort vorhandenen Beratungsangebote und persönliche Kontakte gerne wahr, um grundsätzliche datenschutzrelevante Themen mit „ihrer“ Aufsichtsbehörde zu diskutieren. Ob die BfDI als zentral zuständige Aufsicht diese Aufgaben erfüllen können wird, bleibt abzuwarten.
Das von der EU vorgegebene Ziel, einen Binnenmarkt für Daten zu schaffen, hat ebenfalls seinen Weg in den Koalitionsvertrag gefunden und wird untermauert durch eine geplante Titeländerung der BfDI. Der neue Titel soll lauten: „Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit“.
Die BfDI hat bereits mit Pressemitteilung vom 11. April 2025 verlauten lassen, für die angestrebten Vorhaben zur Verfügung zu stehen und sich für einen innovationsfreundlichen und effektiven Datenschutz einzusetzen.
Gesetzliche Verankerung der Datenschutzkonferenz
Der Koalitionsvertrag sieht vor, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)im Bundesdatenschutzgesetz (BDSG) zu verankern, um gemeinsame Standards zu erarbeiten. Die DSK ist das koordinierende Gremium der Datenschutzaufsichtsbehörden von Bund und Ländern. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.
Durch die Bündelung der Kompetenzen der Aufsicht für den privaten Sektor bei der BfDI wird die Rolle der DSK jedoch auf die Koordination der Aufsicht über den öffentlichen Bereich reduziert werden.
Erleichterungen für KMU, Ehrenamt und risikoarme Verarbeitungen – Anstoß einer Reform der DSGVO?
Die Koalition beabsichtigt, vorhandene Spielräume der DSGVO zu nutzen, um beim Datenschutz für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen (KMU), Beschäftigte und das Ehrenamt zu sorgen. Auf europäischer Ebene soll erreicht werden, dass nicht-kommerzielle Tätigkeiten (zum Beispiel in Vereinen), KMU und risikoarme Datenverarbeitungen (zum Beispiel Kundenlisten von Handwerkern) vom Anwendungsbereich der DSGVO ausgenommen werden.
Fakt ist, dass die Umsetzung der (formellen) Anforderungen der DSGVO bei KMU, im Ehrenamt und bei nicht-kommerziellen Tätigkeiten auf Schwierigkeiten stößt. Ursache dafür ist oftmals ein Mangel an rechtlichen und/oder finanziellen Ressourcen.
Nach derzeit geltendem Recht dürfte der Spielraum der Koalition in Bezug auf dieses Vorhaben gering sein: Die DSGVO ist zwingendes Recht, Ausnahmen aufgrund mitgliedstaatlicher Regelungen sind nur im Rahmen der sog. Öffnungsklauseln vorgesehen. Eine Erleichterung für KMU in Bezug auf die formellen Pflichten ist lediglich in Art. 30 Abs. 5 DSGVO in Bezug auf das Verzeichnis der Verarbeitungstätigkeiten (sog. VVT) geregelt: Die Pflicht zur Führung eines VVT gelten danach nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Diese Ausnahme findet jedoch wiederum insbesondere keine Anwendung, wenn die Verarbeitung nicht nur gelegentlich erfolgt oder besondere Datenkategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden. Über die Ausnahme „nur gelegentlich erfolgt“ finden die beispielhaft genannten Handwerksbetriebe bisher schon einen „Ausweg“ aus der Pflicht zur Führung eines VVT, nicht jedoch von der Erfüllung der sonstigen Vorgaben der DSGVO.
Auf europäischer Ebene hat der Diskussionsprozess um eine Reform der DSGVO bereits begonnen.
Weitere datenschutzrechtliche Maßnahmen im Koalitionsvertrag
Die schwarz-rote Regierung räumt dem Datenschutz im Koalitionsvertrag eine wichtige Bedeutung ein, betont aber auch, dass die datenschutzrechtliche Ausgestaltung Fortschritte in der Digitalisierung, Forschung und Innovation ermöglichen müsse. Für das Gesundheitswesen möchte die neue Regierung beispielsweise die bestehenden Vorschriften des Datenschutzes auf zwingende Notwendigkeit hin überprüfen. Im Koalitionsvertrag kündigen CDU/CSU und SPD zudem an, eine dreimonatige Speicherpflicht für IP-Adressen und Portnummern zur Zuordnung an den Anschlussinhaber einzuführen. Weiterführende Informationen hierzu enthält der Koalitionsvertrag nicht. In der vergangenen Legislaturperiode war ein ähnliches Vorhaben noch gescheitert.
Wir informieren Sie in unserer Blog-Serie zum Koalitionsvertrag von CDU/CSU und SPD fortlaufend mit aktuellen Beiträgen zu diesem Thema. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert.
