Datenschutzbeauftragte: Streit um Schwellenwert eskaliert

Die Bundesregierung will Unternehmen entlasten – doch droht dabei der Datenschutz unter die Räder zu kommen? Der Berufsverband der Datenschutzbeauftragten (BvD) schlägt Alarm: Die geplante Anhebung der Schwelle für die Pflicht zur Bestellung eines Datenschutzbeauftragten von 20 auf 50 Mitarbeiter sei ein gefährlicher Irrweg.

Während Wirtschaftsverbände die Reform seit Monaten als überfälligen Bürokratieabbau feiern, warnt der BvD in einer am 24. November veröffentlichten Stellungnahme vor massiven Sicherheitslücken. Tausende Unternehmen könnten künftig ohne qualifizierte Beratung in der digitalen Komplexität navigieren müssen.

Der BvD bringt es auf den Punkt: “Datenschutz wird nicht einfacher, nur weil ein Unternehmen weniger als 50 Mitarbeiter hat.” Die Anforderungen der Datenschutz-Grundverordnung (DSGVO) gelten unabhängig von der Betriebsgröße – Cybersecurity-Bedrohungen und strenge Haftungsregeln machen keine Ausnahme für den Mittelstand.

Passend zum Thema Datenschutz: Viele kleine und mittlere Unternehmen unterschätzen die Pflicht, Verarbeitungstätigkeiten lückenlos zu dokumentieren. Lücken im Verzeichnis nach Art. 30 DSGVO können zu Bußgeldern und teuren Prüfungen führen. Mit einer kostenlosen Excel-Vorlage für das Verzeichnis der Verarbeitungstätigkeiten erstellen Sie in kurzer Zeit ein prüfungssicheres Verzeichnis – inklusive Schritt-für-Schritt-Anleitung und Audit-Checkliste. Jetzt Verarbeitungsverzeichnis-Vorlage kostenlos herunterladen

Die Abschaffung der Bestellpflicht beseitige nicht die zugrundeliegenden Verpflichtungen, sondern lediglich den Experten, der Unternehmen durch den Paragrafendschungel lotse. Das Risiko: Verstöße und Datenpannen, die am Ende deutlich teurer werden könnten als die “Bürokratiebelastung”, die die Bundesregierung abbauen will.

Die Intervention des Verbands erfolgt just in dem Moment, in dem die Bundesregierung zentrale Elemente ihrer im Juli 2024 vorgestellten “Wachstumsinitiative” umsetzen will.

Von 20 auf 50: Der Weg zur Deregulierung

Aktuell schreibt § 38 des Bundesdatenschutzgesetzes (BDSG) die Bestellung eines Datenschutzbeauftragten vor, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Schwelle war bereits 2019 von 10 auf 20 angehoben worden.

Befürworter der Reform, darunter das Bundeswirtschaftsministerium, argumentieren: Die aktuelle Regelung belaste kleinere Betriebe unverhältnismäßig stark. Die Angleichung an die Standarddefinition eines “mittleren Unternehmens” (50 Mitarbeiter) solle Ressourcen für Innovation und Investitionen freisetzen.

Rückendeckung erhalten sie von Branchenriesen wie Bitkom und dem DIHK. Diese fordern seit Monaten einen “pragmatischen Datenschutz”, der zwischen Hochrisiko-Datenverarbeitung und Routineverwaltung unterscheide. Für viele Handwerksbetriebe oder Dienstleister sei der Pflicht-Datenschutzbeauftragte oft eher formalistisches Hindernis als Mehrwert.

Gesetzeskontext: BEG IV und die Wachstumsinitiative

Die Debatte ist Teil eines größeren Bildes. Das Vierte Bürokratieentlastungsgesetz (BEG IV), Ende 2024 vom Bundestag verabschiedet und zum 1. Januar 2025 weitgehend in Kraft getreten, verkürzte bereits Aufbewahrungsfristen für Buchführungsunterlagen von zehn auf acht Jahre. Die Anpassung des Datenschutz-Schwellenwerts war allerdings nicht Teil dieses Pakets.

Stattdessen bleibt die Anhebung ein zentraler Baustein der Wachstumsinitiative, die 2025 intensiv diskutiert wird. Ziel der Bundesregierung: Deutsche Standards näher an das EU-Minimum heranführen. Denn die DSGVO selbst schreibt keinen Datenschutzbeauftragten für alle KMU vor – die Details überlässt sie den Mitgliedstaaten (sogenannte “Öffnungsklauseln”). Deutschland hat historisch strengere Anforderungen als viele europäische Nachbarn.

Kritiker monieren allerdings: Der “deutsche Sonderweg” habe eine robuste Compliance-Kultur geschaffen, die nun aufs Spiel gesetzt werde.

Folgen für den Mittelstand: Entlastung oder Risiko?

Für deutsche KMU bringt die mögliche Änderung Licht und Schatten. Einerseits könnten Betriebe mit 20 bis 49 Mitarbeitern Kosten für die Schulung interner Datenschutzbeauftragter oder externe Berater einsparen. Andererseits bleibt die rechtliche Verantwortung für DSGVO-Compliance bei der Geschäftsführung.

Rechtsexperten warnen: Ohne Datenschutzbeauftragten haftet der Geschäftsführer direkt für die Einhaltung aller Prozesse. “Der Trugschluss ist zu glauben, kein Datenschutzbeauftragter bedeute keine Datenschutzpflichten”, erklärt ein Berliner Compliance-Analyst. “In Wahrheit landet die Arbeit auf dem Schreibtisch des Chefs – oft ohne die nötige Expertise.”

Wie geht es weiter?

Der BvD hat angekündigt, seinen Widerstand gegen die Schwellenwert-Anhebung fortzusetzen. Statt pauschaler Befreiungen schlägt der Verband “skalierbare Lösungen” für KMU vor. Die Bundesregierung will ihren Entwurf zur BDSG-Novelle in den kommenden Monaten finalisieren, eine parlamentarische Abstimmung könnte Anfang 2026 erfolgen.

Unternehmen, die aktuell über der 20-Mitarbeiter-Marke liegen, wird geraten, ihre bestehenden Compliance-Strukturen beizubehalten. Denn wie der BvD betont: Die Kosten für den Abbau von Datenschutz-Vorkehrungen könnten am Ende deutlich höher ausfallen als deren Erhalt.

PS: Wenn Sie schnell Rechtssicherheit schaffen wollen, hilft eine praxisnahe Vorlage für das Verzeichnis der Verarbeitungstätigkeiten weiter: Die kostenlose Excel-Vorlage führt Sie Schritt für Schritt durch Art. 30 DSGVO, enthält vorstrukturierte Felder und eine Prüf-Checkliste für Audits – ideal für Geschäftsführer und Datenschutzverantwortliche. Verarbeitungsverzeichnis jetzt gratis sichern