Datenschutz-Beauftragte stehen vor größter Reform seit der DSGVO

Die Anforderungen an Datenschutzbeauftragte in Deutschland verändern sich 2026 grundlegend. Grund sind die neue Führung der Datenschutzkonferenz und die bevorstehende EU-Digitalreform.

DSK 2026: Keber übernimmt mit Fokus auf Digitales

Die deutsche Aufsichtslandschaft hat eine neue Führungsspitze. Seit dem 1. Januar 2026 leitet Prof. Dr. Tobias Keber, der Landesbeauftragte für Datenschutz Baden-Württemberg, die Datenschutzkonferenz (DSK). Seine einjährige Amtszeit wird maßgeblich von der Integration der KI-Verordnung (KI-Act) in die tägliche Aufsichtspraxis geprägt sein.

Experten deuten Kebers beruflichen Hintergrund – er war Professor für Medienrecht – als Signal für einen technisch versierteren Aufsichtsansatz. Die DSK will 2026 vor allem die Harmonisierung von DSGVO und KI-Act vorantreiben. Für Datenschutzbeauftragte wird dies zur zentralen Aufgabe, um ihre geforderte Fachkunde aufrechtzuerhalten.

Passend zum Thema DSGVO und KI‑Governance: Die EU‑KI‑Verordnung bringt Pflichten, die Datenschutzbeauftragte jetzt verstehen und umsetzen müssen. Besonders die August‑Deadline 2026 verlangt klare Prozesse für Risikoklassifizierung, Dokumentation und Data‑Governance. Unser kostenloses Umsetzungs‑E‑Book erklärt kompakt, welche Nachweise, DSFA‑Schritte und internen Regeln erforderlich sind – plus praktische Checklisten für DPOs, Compliance und IT. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

„Der Vorsitz Baden-Württembergs kommt zu einem entscheidenden Zeitpunkt“, heißt es aus Aufsichtskreisen. Der Fokus verschiebe sich von Basiskompliance hin zum Management der Schnittstellen zwischen DSGVO und dem neuen digitalen EU-Regelwerk, besonders bei automatisierten Entscheidungen und Datennutzung für KI-Training.

Neue Zertifizierung: KI und Cyber-Resilienz im Fokus

Passend zum Ausbildungsjahr 2026 haben große Zertifizierer ihre Seminare umfassend überarbeitet. Die Programme von TÜV Rheinland, DEKRA und der Bitkom Akademie zeigen für das erste Quartal 2026 einen deutlichen Schwerpunkt auf dem KI-Act und dem Cyber-Resilience-Act (CRA).

Die Dringlichkeit wird durch den Zeitplan der KI-Verordnung getrieben. Wichtige Regelungen für Hochrisiko-KI-Systeme treten am 2. August 2026 in Kraft. Daher müssen sich Datenschutzbeauftragte nun auch in folgenden Bereichen auskennen:

• KI-Risikobewertungen: Durchführung von Grundrechte-Folgenabschätzungen neben den etablierten Datenschutz-Folgenabschätzungen.
• Meldepflichten: Navigation im komplexen Geflecht aus Meldungen nach DSGVO, NIS2 und dem geplanten Digital Omnibus.
• Data Governance für KI: Sicherstellung einer rechtmäßigen Datenbasis für das Training von Machine-Learning-Modellen.

Bildungsträger betonen: Fachkunde ist kein statischer Abschluss mehr. Wer seine Zertifizierung 2026 nicht aktualisiert, riskiert, den Anforderungen von Artikel 37 DSGVO nicht mehr zu genügen. Dieser verlangt die Bestellung des Beauftragten aufgrund seiner Fachkenntnisse.

Zukunft des Beauftragten: Deregulierung und Schwellenwerte

Während die Anforderungen steigen, tobt parallel eine Debatte über die Pflicht zur Bestellung eines Beauftragten. Die Bundesregierung arbeitet an Maßnahmen zur Entbürokratisierung für den Mittelstand.

Im Zentrum der Diskussion steht eine Änderung des Bundesdatenschutzgesetzes (BDSG). Der Hauptvorschlag: Die Schwelle für die verpflichtende Bestellung soll von 20 auf 50 Beschäftigte angehoben oder die deutsche Sonderregelung (§ 38 BDSG) bis Ende 2026 ganz gestrichen werden. Dies würde Deutschland enger an den EU-Standard binden, der einen Beauftragten meist nur für Behörden oder Unternehmen mit risikoreicher Datenverarbeitung vorschreibt.

Rechtsexperten warnen vor dieser scheinbaren Erleichterung. Denn auch ohne Bestellungspflicht bleibt die volle DSGVO-Compliance bestehen. Diese Lücke befeuert einen neuen Markt für externe „DPO-as-a-Service“-Anbieter – ein Trend, der 2026 weiter an Fahrt aufnehmen dürfte.

Hintergrund: Der „Digital Omnibus“ kommt

Diese Entwicklungen finden vor der Kulisse des EU-Digital-Omnibus-Pakets statt. Der von der Kommission Ende 2025 vorgeschlagene Reformkorb soll Widersprüche zwischen DSGVO, KI-Act und Data Act beseitigen.

Eine viel diskutierte Neuerung betrifft die Frist für die Meldung von Datenschutzverletzungen. Sie könnte von derzeit 72 auf 96 Stunden verlängert werden, um sie an andere Cybersicherheits-Regelwerke anzupassen. Für Beauftragte wäre das eine grundlegende Änderung der Incident-Response-Prozesse.

Zudem plant die EU eine „Single Point of Contact“-Meldestelle. Sie soll die Doppelbelastung durch Meldungen an verschiedene Behörden reduzieren. Obwohl diese Pläne noch im Gesetzgebungsverfahren stecken, bereiten Zertifizierungsprogramme Datenschutzexperten bereits jetzt auf diese möglichen Veränderungen vor.

Ausblick: Hybrid-Qualifikation wird Standard

Für das laufende Jahr erwartet die Branche konkrete Leitlinien der DSK zur Rolle des Beauftragten in der KI-Governance. Die Fachkunde entwickelt sich von einer rein juristischen zu einer hybriden technisch-juristischen Qualifikation.

Für Unternehmen heißt die erste Handlungsaufforderung: Überprüfung der Qualifikation ihres Datenschutzbeauftragten. Angesichts der August-Deadline für den KI-Act ist die Zertifizierung in diesen neuen Domänen kein „Nice-to-have“ mehr, sondern essenziell. Gleichzeitig sollten vor allem kleinere und mittlere Unternehmen die Gesetzesdebatte um § 38 BDSG im Auge behalten – die Bestellungspflicht könnte sich noch in diesem Jahr ändern.

PS: Haben Sie Ihre Zertifizierung 2026 schon aktualisiert? Die KI‑Verordnung und neue Meldepflichten verändern DSFA, Trainingsdaten‑Governance und Nachweispflichten. Dieses Gratis‑E‑Book führt Schritt für Schritt durch Risikoklassen, Kennzeichnungspflichten und Dokumentationsanforderungen – so vermeiden Sie Bußgelder und teure Nachschulungen. Ideal für externe DPO‑Anbieter, interne Beauftragte und Geschäftsführer. Kostenfreien KI‑Act‑Leitfaden sichern