Datenschutz ohne Datenschutzbeauftragten - Bürokratieabbau oder neues Haftungsrisiko?

von Nadja-Maria

Die Debatte um die Abschaffung der in §38 BDSG geregelte Pflicht zur Benennung eines Datenschutzbeauftragten nimmt wieder Fahrt auf.

Konkret sollen die in §38 Abs.1 BDSG genannten Kriterien für eine Benennungspflicht abgeschafft werden, sodass Unternehmen deutlich seltener verpflichtet wären einen Datenschutzbeauftragten zu bestellen. Auf einen entsprechenden Vorstoß haben sich zumindest die Ministerpräsidenten und der Bundeskanzler in der Föderale Modernisierungsagenda, Nr. 160 geeinigt.

Während einige diese Änderung als bürokratische Entlastung wahrnehmen, warnen Aufsichtsbehörden und Fachleute bereits jetzt vor den möglichen Gefahren.

Umfang des Vorhabens

Wichtig zu betonen ist, dass sich der aktuelle Vorstoß im Namen der Bürokratieentlastung nur auf die nationalen Vorgaben zur Benennungspflicht beziehen. Weitere Vorgaben aus dem BDSG und der DSGVO sind nicht von dieser konkreten Diskussion umfasst.

Das bedeutet, dass, selbst wenn die genannte Initiative vollumfänglich umgesetzt würde, Unternehmen weiterhin die umfangreichen datenschutzrechtlichen Anforderungen der DSGVO erfüllen müssten. Hierzu zählen insbesondere Rechenschafts- und Dokumentationspflichten, die Durchführung von Datenschutz-Folgenabschätzungen, sowie die Prüfung und der Abschluss von Auftragsverarbeitungsverträgen. Diese treffen den jeweiligen, für die Datenverarbeitung Verantwortlichen und nicht den Datenschutzbeauftragten.

Datenschutzbeauftragter als Erfolgsmodell

Zu berücksichtigen ist außerdem, dass eine Streichung des § 38 Abs. 1 BDSG eine Abkehr von einem langjährigen Erfolgsmodell der deutschen Datenschutzorganisation wäre. Datenschutzbeauftragte unterstützen und beraten Unternehmen und öffentliche Stellen seit der Einführung dieser Funktion im Jahr 1977 bei allen Fragestellungen rund um den betrieblichen Datenschutz und sind fachkundige Anlaufstellen für Mitarbeiter und Leitungsfunktion direkt im Haus.

Zur besonderen Funktion der Datenschutzbeauftragten führt auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem Tätigkeitsbericht 2026 aus:

„Aus Sicht der Datenschutzaufsichtsbehörde sind die Datenschutzbeauftragten wichtige Ansprechpartner. Wenn ihre Expertise in die Gestaltung der Verarbeitung eingeflossen ist, wirkt dies etwaigen datenschutzrechtlichen Verstößen und Datenschutzverletzungen entgegen. Passiert doch etwas, wissen die Datenschutzbeauftragten, was zu tun ist, z. B. in Bezug auf die Melde- und Benachrichtigungspflichten. Und ist die Situation unklar, können sie sich an die Datenschutzaufsichtsbehörden wenden und sich beraten lassen.“ (ULD Tätigkeitsbericht 2026 S. 17 https://www.datenschutzzentrum.de/tb/tb44/uld-44-taetigkeitsbericht-2026.pdf)

Weitreichende Risiken

Sofern in einem Unternehmen kein Datenschutzbeauftragter benannt würde, hätte dies auch Auswirkungen auf Bereiche außerhalb des Datenschutzes. Datenschutz ist längst kein isoliertes Compliance Thema mehr, sondern faktisch unzertrennlich mit Bereichen wie Informationssicherheit, Risikomanagement und sogar dem öffentlichen Ansehen des Unternehmens verknüpft.

Dieses Risiko wird dadurch verschärft, dass täglich mehr Daten digital verarbeitet werden als jemals zuvor. Dies umfasst nicht nur Bewerberdaten und Kundendaten, sondern automatisierte Prozesse, Bestellungen, KI-Dienste und vieles mehr. Bei diesen zahlreichen Datenverarbeitungen können schnell Datenschutzverstöße entstehen. Sei es aufgrund fehlender bzw. unvollständiger Prozesse, fehlendes Fachwissen oder unklare Strukturen. Ein Datenschutzbeauftragter trägt durch seine Tätigkeit maßgeblich dazu bei, genau solchen Risiken vorzubeugen.

Datenschutzbeauftragter: wichtiger Bestandteil des Risikomanagements

Datenschutzbeauftragte können durch ihre Tätigkeit notwendiges Fachwissen in den Unternehmen vermitteln, klare Strukturen schaffen, zuverlässig Anfragen bearbeiten, die Kommunikation mit Behörden übernehmen und neue Prozesse von Anfang an begleiten. Dadurch können neue Prozesse von Beginn an datenschutzkonform gestaltet und unnötige Folgekosten vermieden werden.

Fazit

Die Einschränkung der gesetzlichen Benennungspflicht auf das Argument Bürokratieabbau zu stützen ist deshalb trügerisch. Statt die Unternehmen zu entlasten, würden wichtige Strukturen wegfallen und viele Verantwortliche müssten die, zur Einhaltung der weiterhin geltenden gesetzlichen Vorgaben erforderlichen, Ressourcen anderweitig sicherstellen.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/t/Nadja-22bmdatj0e84j29.png
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.