Konkrete Regierungsvorhaben
Entbürokratisierung im Datenschutzrecht (RZ 2101)
Die neue Bundesregierung strebt an, das Datenschutzrecht stärker an den Alltag von Unternehmen und Organisationen anzupassen. Insbesondere kleine und mittlere Unternehmen (KMU) sowie nicht-kommerzielle Organisationen wie Vereine stehen dabei im Mittelpunkt.
Auf EU-Ebene will man sich hierbei gezielt für Nachjustierungen der DS-GVO einsetzen. Datenverarbeitungen mit geringem Risiko und Tätigkeiten ohne kommerziellen Hintergrund sollen von bestimmten Pflichten teilweise oder ganz befreit werden.
Konkret könnte das etwa bedeuten, dass z.B. ein kleiner Handwerksbetrieb bei risikoarmen Datenverarbeitungen wie Kundenlisten vom Anwendungsbereich ausgenommen wird und:
- kein Verzeichnis für Verarbeitungstätigkeiten (VVT) führen muss
- auf Datenschutz-Folgenabschätzungen verzichten könnte
Bislang handelt es sich dabei jedoch lediglich um politische Absichtserklärungen und keine gesetzliche Verankerung.
Zentralisierung anstatt Föderalität (RZ 2095)
Ein weiteres Vorhaben betrifft die Neuordnung der Datenschutzaufsicht. Statt wie bisher auf Länderebene organisiert zu sein, sollen die Zuständigkeiten für den Datenschutz künftig beim Bund gebündelt werden. Konkret sollen die bisher föderal organisierten Landesdatenschutzbehörden bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gebündelt und zudem noch um den Begriff „Datennutzung“ ergänzt werden.
Das Ziel der Zentralisierung ist es:
- eine klarere, einheitlichere Auslegung und Anwendung von Datenschutzvorgaben sicherzustellen
- unterschiedliche Auffassungen und Entscheidungen in Bezug auf die DS-GVO-Vorgaben zu vermeiden
- divergierende Bußgelder zwischen den Ländern zu unterbinden
Der Plan zur Zentralisierung stößt auch auf Kritik, insbesondere aus den Ländern. Befürchtet wird vor allem:
- dass eine Verlagerung der Zuständigkeiten zum Bund die regionale Beratungskompetenz schwächen könnte
- und dass der direkte Draht von Landesbehörden zu KMU gekappt werden könnte.
Zudem bleibt unklar, ob die neue Struktur tatsächlich effizienter wäre, zumal die Aufsicht über öffentliche Stellen weiterhin in der Verantwortung der Länder liegen soll. Auch finanziell stößt das Vorhaben auf Skepsis, da der Aufbau zentraler Behördenstrukturen Millionenkosten verursachen würde.
Gesetzliche Verankerung der Datenschutzkonferenz (DSK) (RZ 2100)
Parallel zur geplanten Zentralisierung der Datenschutzaufsicht auf Bundesebene soll auch die DSK, das Gremium der unabhängigen Datenschutzbehörden von Bund und Ländern, erstmals gesetzlich im Bundesdatenschutzgesetz (BDSG) verankert werden.
Geplant ist, der DSK formelle Koordinierungsbefugnisse zu geben, um künftig eine einheitlichere Aufsichtspraxis zu ermöglichen. Damit würde die bislang informelle Zusammenarbeit der Datenschutzaufsichtsbehörden erstmals eine gesetzliche Grundlage und verbindliche Struktur erhalten. Ziel der Bundesregierung ist es, bestehende Doppelstrukturen abzubauen und widersprüchliche Auslegungen der DS-GVO zwischen Bund und Ländern zu vermeiden. Es bleibt noch abzuwarten, wie verbindlich die „Koordinierung“ im Gesetz konkret ausgestaltet wird.
Datengesetzbuch (RZ 2242)
Ein langfristiges Vorhaben der Bundesregierung ist die Entwicklung eines nationalen „Datengesetzbuchs“.
Ziel ist es, verschiedene bisher verstreute Regelungen in einem systematischen Gesetzeswerk zu bündeln. Vorgesehen ist eine Struktur, in der mehrere Regelungen Platz finden wie z. B.
- Mobilitäts-, Gesundheits- und Forschungsdaten
- Datenzugang
- Datenverarbeitung
- Datennutzung
- Datenvertragsrecht
- Durchführungsbestimmungen zum Data Act und Data Governance Act.
Damit soll das Datenrecht übersichtlicher und innovationsfreundlicher gestaltet werden, ohne dabei den Schutz von Grund- und Freiheitsrechten aus dem Blick zu verlieren.
Das Projekt befindet sich noch in einem frühen Stadium, birgt aber das Potenzial, Rechtsunsicherheiten im nationalen Datenrecht langfristig zu verringern und bestehende Spielräume des EU-Rechts gezielter auszunutzen.
Erweiterte Überwachungsbefugnisse (RZ 2629)
Im Bereich der Inneren Sicherheit hinterlassen die geplanten Maßnahmen auch ihre Spuren im Datenschutz. So plant die Bundesregierung, die Vorratsdatenspeicherung in abgeschwächter Form wieder einzuführen.
Künftig sollen IP-Adressen und Portnummern aller Internetnutzenden für einen Zeitraum von drei Monaten gespeichert werden, mit dem Ziel, Ermittlungsbehörden die Rückverfolgung von Straftaten zu erleichtern.
Laut Koalitionsvertrag soll dies „verhältnismäßig sowie europarechts- und verfassungskonform“ umgesetzt werden. Auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs lockerte jüngst die Vorratsdatenspeicherung. In seinem Urteil vom 30. April 2024 - C-470/21 erklärte der EuGH eine begrenzte Vorratsdatenspeicherung von IP-Adressen unter engen Voraussetzungen für zulässig.
Ein weiteres Vorhaben betrifft den Einsatz automatisierter Datenanalysesysteme und den biometrischen Abgleich mit öffentlich zugänglichen Internetdaten. Mit Hilfe von KI sollen künftig bundesweit große Datenmengen aus Polizeidatenbanken nach Mustern und Zusammenhängen durchforstet werden können.
Hiervon verspricht man sich effizientere Ermittlungen, doch das Bundesverfassungsgericht hat derartige Systeme bereits in seinem Urteil vom 16. Februar 2023 - 1 BvR 2634/20 für verfassungswidrig erklärt, sofern sie nicht klar begrenzt und kontrolliert werden. Insbesondere fehlen oft konkrete gesetzliche Grundlagen für den Einsatz, etwa bei der Zweckbindung.
Absehbare Entwicklungen
Data Act
Am 12. September 2025 tritt mit dem EU-Data Act ein neues Regelwerk in Kraft, das Folgen für datenverarbeitende Unternehmen haben dürfte. Im Kern geht es beim Data Act darum, die Datenhoheit der Nutzenden zu stärken. Wer vernetzte Geräte, Maschinen oder digitale Produkte verwendet, soll künftig mitentscheiden können, wie mit den dabei erzeugten Daten umgegangen wird, insbesondere dann, wenn sie selbst zur Entstehung dieser Informationen beigetragen haben.
Das betrifft etwa:
- Smart-Home-Systeme
- Vernetzte Fahrzeuge
- Industrieanlagen
Ziel ist es, mehr Transparenz und Kontrolle zu schaffen, nicht nur für Privatpersonen, sondern auch für Unternehmen, die als Nutzende datenbasierter Technologien auftreten.
Dies gilt auch insbesondere für automatisierte Vertragsmechanismen wie Smart Contracts, für die Art. 30 spezifische Anforderungen formuliert sind. Im Koalitionsvertrag wird diese Entwicklung ebenfalls aufgegriffen. In RZ 2780 wird angekündigt, die zivilrechtlichen Formvorschriften in §§ 126 ff. BGB mit Blick auf die neuen technischen Möglichkeiten zu reformieren.
Eine ausführlichere Auseinandersetzung mit dem Data Act finden Sie in diesem Artikel: https://www.audatis.de/aktuelles/eu-data-act
Privacy by Design (RZ 2238)
Obwohl der Begriff „Privacy by Design“ im Koalitionsvertrag nicht ausdrücklich genannt wird, lässt sich aus dem Ziel „Wir wollen eine Kultur der Datennutzung […] [die] auf Innovation setzt und Grund- und Freiheitsrechte schützt […] und setzen auf Datensouveränität.“ ableiten, dass dem datenschutzfreundlichen Systemdesign ein hoher Stellenwert beigemessen wird.
Auch der Einsatz von datenschutzunterstützenden Technologien, also Privacy-Enhancing Technologies (PET), soll gezielt gestärkt werden. Dies steht im Einklang mit den Anforderungen aus Art. 25 DS-GVO sowie mit den Positionen der europäischen und deutschen Datenschutzaufsichtsbehörden.
Data Privacy Framework (DPF)
Nachdem der EuGH den Privacy Shield gekippt hatte, trat 2023 das neue EU-USA DPF in Kraft, das den Datentransfer in die USA wieder erleichtern soll.
Dieses Abkommen könnte künftig jedoch vor einigen Problemen stehen. Datenschutzaktivisten, allen voran Max Schrems und seine Organisation NOYB, haben bereits Klage gegen das DPF eingereicht, sodass ein „Schrems III“-Urteil des EuGH in den Jahren 2025/26 erwartet werden kann.
Zum anderen könnten die politischen Veränderungen in den USA das DPF gefährden. Sollten die vom ehemaligen Präsidenten Joe Biden per Executive Order eingeführten Datenschutzauflagen für US-Geheimdienste zurückgedreht werden, würde die Grundlage des DPF entfallen.
Angesichts dieser Unsicherheiten müssen sich Unternehmen mit einer Datenübermittlung in die USA darauf einstellen, erneut Standardvertragsklauseln (SCCs) verwenden zu müssen.
Quellen:
https://www.koalitionsvertrag2025.de/sites/www.koalitionsvertrag2025.de/files/koav_2025.pdf
https://www.bundestag.de/resource/blob/1015548/7af6b7b325fdb113a2243d81d9625703/EU-6-027-24-pdf.pdf
https://www.zdfheute.de/politik/deutschland/ueberwachung-neue-regeln-koalitionsvertrag-100.html
