"Einen großen Befreiungsschlag wird es nicht geben"

Zitiervorschlag
Dr. Maximilian Amos; Tim Wybitul: "Einen großen Befreiungsschlag wird es nicht geben". beck-aktuell, 03.07.2026 (abgerufen am: 08.07.2026 von https://www.beck-aktuell.de/node/201246)
Der Datenschutz steht in Deutschland irgendwo zwischen heiliger Kuh und Hassfigur. Im Rahmen ihres Reformpakets will die Bundesregierung ihn nun verschlanken, wo er der Modernisierung im Wege steht. Ob das wirklich funktionieren kann, bezweifelt Tim Wybitul indes.
beck-aktuell: Die Bundesregierung will mit ihrem gestern vorgestellten Reformpaket unter anderem den nationalen Datenschutz vereinfachen und dafür "alle vorhandenen Spielräume der DS-GVO" konsequent nutzen. Herr Wybitul, wie viel Spielraum bietet die DS-GVO denn überhaupt – oder andersherum: Wie viel "German Goldplating" gibt es im Datenschutzrecht?
Tim Wybitul: Ehrlich gesagt, nicht viel. Die DS-GVO ist als EU-Verordnung gemäß Art. 288 Abs. 2 AEUV unmittelbar geltendes Recht. Das BDSG ist daher kein Umsetzungsgesetz wie früher unter der alten EU-Datenschutzrichtlinie, sondern lediglich ein Ausführungsgesetz. Es darf nur regeln, was die DS-GVO bewusst offenlässt oder an die Mitgliedstaaten delegiert. Echtes "Goldplating", also nationale Verschärfungen über den Unionsstandard hinaus, gibt es nur punktuell. Das prominenteste Beispiel sind die betrieblichen Datenschutzbeauftragten, die in Deutschland ab einer deutlich niedrigeren Schwelle bestellt werden müssen als in den meisten anderen Mitgliedstaaten. Daneben gibt es den Beschäftigtendatenschutz, den man meines Erachtens auch den allgemeinen Regelungen der DS-GVO überlassen könnte, ohne dass das Schutzniveau sinkt. Aber der ganz große Befreiungsschlag auf nationaler Ebene? Den kann es schon strukturell kaum geben, weil der Spielraum eben unionsrechtlich eng begrenzt ist.
beck-aktuell: Das heißt, viel kann man im Datenschutz-Bereich gar nicht machen?
Wybitul: Was ich interessant finde: Der Bundeskanzler hat auf der Pressekonferenz sinngemäß gesagt, was nicht in EU-Verordnungen geregelt sei, werde man weglassen. Das Beschlusspapier geht aber weiter und will auf EU-Ebene darauf hinwirken, dass nicht-kommerzielle Tätigkeiten, KMU und risikoarme Datenverarbeitungen – genannt werden etwa Kundenlisten von Handwerkern – vom DS-GVO-Anwendungsbereich ausgenommen werden. Das wäre eine Änderung auf Ebene der DS-GVO und damit ein echtes Reformvorhaben. Das finde ich gut. Die Bundesregierung sollte diesen Ansatz auf EU-Ebene energisch vorantreiben.
"Die Erfahrung der letzten Jahrzehnte stimmt mich nicht optimistisch"
beck-aktuell: Halten Sie es für realistisch, im Datenschutz zeitnah aufzuräumen, oder zeigen sich schon Probleme am Horizont?
Wybitul: Die bisherige Erfahrung der letzten Jahrzehnte stimmt mich nicht gerade optimistisch. Deutschland war beim Datenschutzrecht selten für Tempo bekannt. Schon die Anpassung des BDSG an die DS-GVO verlief holprig, und die Debatte um ein Beschäftigtendatenschutzgesetz zieht sich seit über 15 Jahren. Dazu kommt: Alles, was eine Änderung der DS-GVO selbst erfordert, muss auf EU-Ebene verhandelt werden. Das dauert erfahrungsgemäß Jahre. Und auch die EU-Kommission hat mit dem Digital-Omnibus gerade erst ihren eigenen Vereinfachungsversuch gestartet – der ist aber bisher eher ein gebrauchter Kleinbus als ein großer Wurf.
beck-aktuell: Zu den Plänen gehört auch ein "Datengesetzbuch", das als kohärentes Regelwerk das Datenrecht harmonisieren und vereinfachen soll. Wie bewerten Sie dieses Vorhaben?
Wybitul: Der Ansatz klingt erst einmal gut. Schon der Koalitionsvertrag von 2025 hat ein Datengesetzbuch angekündigt. Jetzt konkretisiert der Koalitionsausschuss das Vorhaben: Es soll ein kohärentes Regelwerk geschaffen werden, das Datenrecht harmonisiert und vereinfacht.
Man muss hier aber differenzieren. Als nationales Kodifikationsprojekt – also die Zusammenführung der verschiedenen deutschen Ausführungsgesetze zu EU-Digitalrechtsakten wie BDSG, Data-Act-Durchführungsgesetz und DGA-Durchführungsgesetz in einem einheitlichen Gesetz – ist das sinnvoll und auch machbar. Übersichtlichkeit schadet nie. Damit ist aber wenig gewonnen, solange die EU-Digitalrechtsakte auf unionsrechtlicher Ebene nicht ordentlich aufeinander abgestimmt sind. Die DS-GVO gilt unmittelbar. Das Gleiche gilt für den Data Act, den Data Governance Act, die KI-Verordnung und die meisten anderen EU-Digitalrechtsakte. Deutschland kann diese Verordnungen nicht national umschreiben, ergänzen oder in ein eigenes System gießen. Ein nationales Datengesetzbuch kann also höchstens die Ausführungsgesetze bündeln – die Grundprobleme der mangelnden Kohärenz auf EU-Ebene löst es nicht.
"Das ist auch Arbeitsverweigerung des Unionsgesetzgebers"
beck-aktuell: Was müsste aus ihrer Sicht denn alles in einem solchen Datengesetzbuch stehen, und was könnte man darin besser aufeinander abstimmen?
Wybitul: Die Liste ist lang. Aus der Beratungspraxis gibt es zahlreiche Stellen, an denen die verschiedenen EU-Digitalrechtsakte schlecht aufeinander abgestimmt sind. Besonders ärgerlich ist die fast schon reflexhafte Formulierung in vielen Rechtsakten, diese würden die DS-GVO "nicht berühren". Das ist nicht nur falsch – natürlich berühren sich diese Regelwerke, und zwar permanent. Es ist auch Arbeitsverweigerung des Unionsgesetzgebers. Wer neue Regeln zur Datennutzung schafft, muss klären, wie sie sich zueinander und insbesondere zum geltenden Datenschutzrecht verhalten.
Konkret: Das Zusammenspiel von DS-GVO und KI-Verordnung wirft in der Praxis viele Fragen auf, etwa beim Training von KI-Modellen mit personenbezogenen Daten. Die Meldepflichten bei Sicherheitsvorfällen nach DS-GVO, NIS2 und DORA laufen parallel, sind aber nicht harmonisiert – unterschiedliche Fristen, unterschiedliche Adressaten, unterschiedliche Schwellen. Und die seit Jahren überfällige ePrivacy-Verordnung fehlt weiterhin, sodass das Verhältnis von DS-GVO und ePrivacy-Richtlinie ungeklärt bleibt. All das wäre auf EU-Ebene zu lösen. Die Chancen dafür stehen aber leider auch eher schlecht.
"Vom Abbau der betrieblichen Datenschutzbeauftragten halte ich wenig"
beck-aktuell: Die Bundesregierung will Verfahren rund um den Datenschutz verschlanken und die Aufsichtsstrukturen vereinfachen und bündeln, unter anderem durch eine Zuständigkeitskonzentration beim Bundesbeauftragten für den Datenschutz und Informationsfreiheit. Was denken Sie darüber?
Wybitul: Eine effektivere Aufstellung der Datenschutzaufsicht wäre ein Schritt in die richtige Richtung. Ob man die Kompetenzen auf Bundes- oder Landesebene bündelt, ist zunächst eine organisatorische Frage. Hier sollte Effizienz im Vordergrund stehen, nicht föderale Befindlichkeiten.
Ein wichtiger Schritt wäre es, den Behörden die Bearbeitung der von ihnen selbst beklagten hohen Fallzahlen bei Datenschutzbeschwerden zu erleichtern. Hier könnte man auch auf mitgliedstaatlicher Ebene im nationalen Prozessrecht einiges erreichen – etwa durch klarere Voraussetzungen für zulässige Beschwerden oder effizientere Verfahrensregeln.
Das Beschlusspapier kündigt auch an, die Datenschutzkonferenz (DSK) gesetzlich zu verankern. Das kann der Gesetzgeber ruhig machen. Er sollte dabei aber unmissverständlich klarstellen, dass die DSK ein reines Abstimmungsgremium der Exekutive ist – ohne jede rechtsetzende Kompetenz. Die DSK ist eine Koordinierungsstelle für Aufsichtsbehörden, kein Ersatzgesetzgeber und kein EuGH.
beck-aktuell: Was ist vom angekündigten Abbau bei den betrieblichen Datenschutzbeauftragten zu halten? Gibt es da wirklich zu viele, und was ist deren Aufgabe?
Wybitul: Kurz zur Einordnung: Der betriebliche Datenschutzbeauftragte (DSB) berät und kontrolliert unternehmensintern die Einhaltung des Datenschutzrechts. Die DS-GVO verlangt seine Bestellung nur in bestimmten Fällen, etwa bei umfangreicher Verarbeitung besonderer Datenkategorien oder bei systematischer Überwachung (Art. 37 DS-GVO). Deutschland geht mit § 38 BDSG darüber hinaus: Hier muss schon ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, ein DSB bestellt werden. Diese Schwelle ist im europäischen Vergleich niedrig.
Vom Abbau dieser internen Kontrollfunktion halte ich wenig. Mit weniger Beratung und Kontrolle bekommt man keinen besseren Datenschutz. Als auf die Verteidigung von Unternehmen in Bußgeld-, Verwaltungs- und Zivilverfahren spezialisierter Rechtsanwalt wäre es zwar für mein Geschäft gut, wenn es mehr Fehler und damit perspektivisch noch mehr zu verteidigen gibt. Aber das sollte eigentlich nicht das Ziel der Bundesregierung sein.
Das Interview wurde schriftlich geführt. Die Fragen stellte Dr. Maximilian Amos.
Zitiervorschlag
Dr. Maximilian Amos; Tim Wybitul: "Einen großen Befreiungsschlag wird es nicht geben". beck-aktuell, 03.07.2026 (abgerufen am: 08.07.2026 von https://www.beck-aktuell.de/node/201246)




