Gefährlicher Irrweg: Warum die Abschaffung der Pflicht zur Bestellung betrieblichen Datenschutzbeauftragten ein Fehler wäre

Verfasst von Philipp Schlitt

Im Dezember 2025 hat eine politische Initiative für Aufsehen gesorgt: Der Beschluss des Bundeskanzlers und der Regierungschefs der Länder vom 4. Dezember 2025 sieht vor, die bislang bundesweit geltende Pflicht für nicht-öffentliche Stellen zur Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) aus dem Bundesdatenschutzgesetz (BDSG) zu streichen. Ziel soll ein vermeintlicher Bürokratieabbau sein, doch die Folgen für den Datenschutz und die Unternehmenspraxis wären erheblich – und nicht im Sinne der betroffenen Unternehmen, wie kürzlich auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. in seiner Stellungnahme vom 9. Dezember 2025 deutlich gemacht hat.

Was plant der politische Beschluss?

Der Beschluss vom 4. Dezember 2025 sieht vor, die nationale Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten für Unternehmen im nicht-öffentlichen Bereich ersatzlos aus dem BDSG zu streichen. Damit würde als einzige Grundlage lediglich Art. 37 DSGVO übrigbleiben, der im europäischen Recht die Bestellung eines Datenschutzbeauftragten regelt, aber ohne klare objektive Schwellenwerte auskommt.

Bisher gaben nationale Regelungen des BDSG Unternehmen mit Hilfe objektiver Kriterien (z. B. Anzahl der Beschäftigten, Art der Datenverarbeitung) eine klare Orientierung, wann ein DSB zu bestellen ist. Ohne diese nationalen Vorgaben entsteht erhebliche Unsicherheit, gerade für kleine und mittelständische Unternehmen (KMU), die nicht tagtäglich mit Datenschutzrecht befasst sind.

Position der Datenschutzkonferenz (DSK)

Kurz nach dem politischen Beschluss hat die Datenschutzkonferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder am 12. Dezember 2025 betont, wie wichtig funktionierende Strukturen der Datenschutz-Compliance sind (allgemeine Positionen veröffentlicht, aber keine direkte Pressemitteilung zur Pflichtaufhebung im öffentlich verfügbaren Portal). Ohne verbindliche nationale Kriterien zur Bestellung einer Ansprechperson im Unternehmen steigt jedoch die Gefahr, dass Datenschutz als Prozess verwaschen und unklar wird – mit Risiken für Betroffene und Unternehmen gleichermaßen. datenschutz-bayern.de

Kritik des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD)

Der BvD, der über 2.000 Datenschutzbeauftragte und -berater vertritt, hat die geplante Abschaffung der Pflicht in einer am 9. Dezember 2025 veröffentlichten Stellungnahme klar kritisiert. Laut BvD würden die Kosten für den Datenschutz nicht etwa sinken, sondern auf die Geschäftsführung verlagert – verbunden mit einem erhöhten Bedarf an externer Rechtsberatung. Damit werde das Ziel des Bürokratieabbaus verfehlt und Datenschutz „in die Incompliance“ getrieben. bvdnet.de

Kernkritikpunkte des BvD

  • Keine Entlastung für Unternehmen: Die Pflichten nach DSGVO und BDSG blieben bestehen, nur ohne qualifizierte Fachperson im Unternehmen oder in dessen Auftrag.

  • Kostenverlagerung auf die Geschäftsführung: Würde die Geschäftsleitung alleinig selbst verantwortlich (ein DSB wäre ja nicht mehr vorhanden), wären Rechtsberatungen notwendig – oft teurer als ein interner oder externer DSB.

  • Sinkendes Datenschutzniveau: Ohne qualifizierte Datenschutzbeauftragte könnten technische und organisatorische Sicherheitsmaßnahmen schlechter implementiert werden.

  • Höhere Risiken für Unternehmen: Fehlende Expertise vor Ort kann zu höheren Risiken im Umgang mit Bußgeldern, Betroffenenrechten und Sicherheitslücken führen.

Der Verband unterstreicht, dass Datenschutzbeauftragte nicht nur „Bürokratie“ repräsentieren, sondern eine praktische und fachliche Stütze im Unternehmen sind – gerade für die nachhaltige Einhaltung komplexer Datenschutzanforderungen.

Warum die Abschaffung ein Rückschritt wäre

1. Rechtsunsicherheit statt Klarheit

Die bisherige nationale Pflichtregelung im BDSG bot Unternehmen klare Orientierungspunkte, wann eine Bestellung erforderlich ist. Ohne diese objektiven Kriterien bleibt großen Teilen der Wirtschaft nur die schwierigere Einzelfallprüfung nach Art. 37 DSGVO — ein rechtlich komplexes Kriterium, das juristische Expertise erfordert.

2. Mehr Rechtskosten statt weniger Bürokratie

Ohne nationale Vorgaben müssen Geschäftsführungen oder Verantwortliche künftig entscheiden, ob sie einen DSB brauchen, was in der Praxis häufig externe Rechtsberatung notwendig machen wird. Genau das Gegenteil dessen, was politisch als Bürokratieabbau verkauft wird.

3. Schwächung von Datenschutz-Compliance

Datenschutzbeauftragte sind zentrale Ansprechpartner für alle datenschutzrechtlichen Fragen, unterstützen bei Audits, DPIAs, der Implementierung von TOMs und der internen Sensibilisierung. Ihre Abschaffung reduziert die systematische Fachbegleitung — was sich insbesondere negativ auf KMU auswirkt, die nicht über eigene Rechts- oder Datenschutzabteilungen verfügen.

4. Höhere Risiken für Unternehmen und Betroffene

Ohne qualifizierte Datenschutzexpertise im Unternehmen steigt das Risiko von Datenschutzverletzungen, Bußgeldern oder Abmahnungen. Betroffene verlieren zudem eine klare Anlaufstelle für ihre Rechte.

Die Perspektive der Praxis

Viele KMU und verschiedene Verbände haben bereits vor Jahren darauf hingewiesen, dass eine Abschaffung der Bestellpflicht nicht zu weniger Arbeit führt, sondern zu mehr Unsicherheit, größerem Beratungsbedarf und letztlich zu einer geringeren Datenschutzqualität in der Breite. Diese Kritik wurde bei früheren Debatten um die nationale Regelung der Bestellungspflicht vorgebracht und bestätigt sich in der aktuellen Diskussion erneut. GDD

Fazit: Mehr Bürokratieabbau? Oder weniger Datenschutz?

Die politische Initiative zur Abschaffung der Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter im nicht-öffentlichen Bereich mag als Beitrag zum Bürokratieabbau gemeint sein – faktisch droht sie jedoch, den Datenschutz in Deutschland zu schwächen. Die Klarheit und Planbarkeit, die ein nationales Kriterium wie § 38 Abs. 1 BDSG schafft, wäre verloren; Unternehmen müssten komplizierte Abwägungsfragen selbst lösen oder teuer juristisch begleiten lassen.

Die Datenschutzkonferenz hat in ihrer jüngsten Position klar gemacht, dass der Weg in Richtung mehr Verantwortungsdiffusion und weniger institutionelle Unterstützung im Datenschutz ein „falscher Weg“ ist — gerade in einer Zeit, in der Unternehmen immer komplexeren Anforderungen der DSGVO begegnen müssen. LDI NRW

Aus Sicht der Datenschutz-Compliance wäre es daher sinnvoller, die bestehende Pflicht weiter zu stärken und zu begleiten — durch klare nationale Kriterien, verbindliche Unterstützung für KMU und praktische Orientierungshilfen — statt sie abzuschaffen. Unternehmen, Verantwortliche und Datenschutzexperten sollten diese politische Debatte aufmerksam verfolgen und sich aktiv einbringen, bevor faktische Verschlechterungen des Datenschutzniveaus in nationales Recht gegossen werden.

Philipp Schlitt
Weiter

Datenschutzverletzung – was tun im Ernstfall?