4. Datenschutztag Hessen & Rheinland-Pfalz
„Information Overload“
Gesetze, Verordnungen, Richtlinien
Der 4. Datenschutztag Hessen & Rheinland-Pfalz stand unter dem Motto „Information Overload“. Ein Thema war auch der geplante Bürokatieabbau.
Entbürokratisierung und DSGVO: Die von der EU angestrebte Teilreform der Datenschutz-Grundverordnung (DSGVO) im sogenannten Omnibusverfahren hat auch die rund 200 Teilnehmenden am 4. Datenschutztag Hessen & Rheinland-Pfalz am 5. Juli 2025 in Frankfurt am Main beschäftigt.
Bereits zu Beginn griff Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit, das Thema auf: „Die DSGVO ist eigentlich ein Entbürokratisierungsinstrument“, sagte er mit Blick auf den Vorschlag der EU-Kommission, die Ausnahmen zur Pflicht eines Verarbeitungsverzeichnisses auf Small- und Midcaps bis 750 Mitarbeitenden auszuweiten. Seine Argumente: Die DSGVO habe die verschiedenen Datenschutzgesetze in Europa harmonisiert und biete viele Instrumente zur Vereinfachung, darunter Codes of Conduct und zertifizierbare Verarbeitungen. Allerdings sei auch der Gesetzgeber in der Pflicht, klare und risikobasierte Vorgaben zu machen. „Wir müssen gute Bürokratie, also transparente und nachvollziehbare Regeln, von unnötigem Aufwand unterscheiden“, sagte Roßnagel.
Er sieht auf Unternehmen, die tatsächlich von der Pflicht zum Führen eines Verarbeitungsverzeichnisses befreit würden, eher mehr Bürokratie zukommen als weniger. Denn auch sie müssten Datenschutzgesetze erfüllen. Ohne Verarbeitungsverzeichnis sei es schwierig, den Aufsichtsbehörden im Falle eines Datenschutzvorfalls zu belegen, welche konkreten Schritte ein Unternehmen zum Schutz personenbezogener Daten unternommen hat. Die angestrebte Entbürokratisierung dürfe außerdem nicht dazu führen, dass Verstöße gegen die DSGVO geduldet würden.
Roßnagels Kollege aus Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, unterstrich, dass Datenschutz Teil der Innovation sei, kein Innovationshemmnis, sondern technisch, gesellschaftlich, ethisch und rechtlich eingebunden sei. Er biete unter anderem einen Rechtsrahmen, auf den neue Technologien wie Künstliche Intelligenz aufbauen könnten. Datenschutz sei nicht als Hürde, sondern als Voraussetzung für das Gelingen vertrauenswürdiger digitaler Innovation zu verstehen, argumentierte er.
Der Mensch im Zentrum der Verwaltungsdigitalisierung
Dörte Schall, seit Juli 2024 Ministerin für Arbeit, Soziales, Transformation und Digitalisierung in Rheinland-Pfalz, sprach zur Frage, wie es gelingen kann, die Verwaltung zu digitalisieren und zugleich das Vertrauen der Bürgerinnen und Bürger etwa beim Thema KI zu gewinnen. Sie mahnte eine menschenzentrierte Digitalisierung an, die die Risiken und Abhängigkeiten benennen müsse, um eine weitere soziale Spaltung der Gesellschaft zu verhindern. „Der Mensch ist kein reiner Datenlieferant“, sagte Schall. „Wir müssen die Hoheit über unsere Daten zurückgewinnen, durch Aufklärung, Vertrauen und klare Regeln.“
Wie zuvor Roßnagel verwies auch Schall darauf, dass Bürokratie per se nicht schlecht sei, auch wenn viele Menschen sie zunächst als Hemmnis wahrnehmen. Bürokratie bedeute, Entscheidungen nach Regeln zu treffen, Abläufe klar zu gestalten und Vorgänge transparent zu bearbeiten. „Manchmal haben wir das vielleicht etwas überdreht, aber grundsätzlich ist Bürokratie erstmal etwas Richtiges“, sagte Schall.
Klare Regeln und eine transparente Verarbeitung personenbezogener Daten – diese Bestrebungen liegen auch den Gesetzen, Richtlinien und Verordnungen zugrunde, die die EU-Kommission im Rahmen ihrer Digitalgesetzgebung veröffentlicht hat oder noch veröffentlichen will. Die Bestrebungen in Brüssel und auch in Berlin, Bürokratie abzubauen und die Regeln zu vereinfachen, dürfen jedoch nicht zu verminderten Schutz der Daten führen, mahnte Schall. Vielmehr gelte es, europäische Werte wie Recht und Freiheit mit den Gesetzen zu transportieren.
Information Overload?
Was die bereits veröffentlichten und noch folgenden Digitalgesetze und Verordnungen der EU für die konkrete Arbeit und Arbeitsbewältigung von Datenschutzbeauftragten bedeutet, war das Thema der Keynote von BvD-Vorständin Regina Mühlich mit dem Titel „Information Overload im Datenschutz – Navigieren im Dschungel der Vorgaben“ (den Artikel dazu finden Sie hier oder im Magazin ab Seite 62). Damit griff sie das Motto des Datenschutztags „Information Overload? Über- und Durchblick für Datenschutzbeauftragte“ auf. Die Flut an neuen Regelungen, gepaart mit einem Überangebot an Informationen und einer digitalen, mitunter KI-getriebenen Arbeitsumgebung, kann mitunter überfordernd wirken und erfordert von Datenschutzbeauftragten in Wirtschaft und Verwaltung neue Schlüsselkompetenzen, so Mühlich.
Da liegt es nahe, dass Verwaltungen, die Datenschutz in Projekten implementieren wollen, diesen als eines der Leistungsmerkmale in Ausschreibungen verankern. Wie dies auf Grundlage der DSGVO rechtssicher funktioniert, erläuterte Dr. Daniela Franke, stellvertretende Landesdatenschutzbeauftragte von Rheinland-Pfalz, auf dem Datenschutztag.
Im Anschluss sprachen Ines Walburg von der hessischen und Antonia Buchmann von der rheinland-pfälzischen Aufsichtsbehörde über die Anwendung der KI-Verordnung im Sicherheits- und Justizbereich. Vor allem, wenn Sicherheitsbehörden biometrische Daten mithilfe von KI auswerten wollen und damit ein Hochrisiko-KI-System installieren, bietet die KI-Verordnung klare Regeln, befanden sie. Am Beispiel mehrere Tools der Justizbehörden erläuterten sie, was es dabei konkret für Datenschutzbeauftragte und Verantwortliche zu beachten gilt.
Weitere Themen des Datenschutztags waren Microsoft 365, der richtige Umgang mit Datenpannen und Datenschutz-Managementsysteme zur Erfüllung der Rechenschaftspflicht.
Zum Abschluss griff Monika Grethel, Landesbeauftragte für Datenschutz und Informationsfreiheit Saarland, den angekündigten Bürokratieabbau noch einmal auf. Auch sie hält es „für zweifelhaft“, ob der Verzicht auf ein Verarbeitungsverzeichnis bei kleinen und mittelständischen Betrieben tatsächlich zu einer Entlastung führen wird, denn der Verantwortliche würde Gefahr laufen, die Rechtmäßigkeit seiner Verarbeitung nicht nachweisen zu können. „Wie soll der Verantwortliche dem Informationsrecht der Betroffenen nachkommen können, wenn er selbst den Überblick verloren hat, welche Daten er überhaupt übermittelt?“, fragte Grethel. Die EU-Kommission habe durch die angestrebte Entlastung von KMU Einsparungen von 400 Millionen Euro prognostiziert. „Wenn die verantwortlichen Stellen aber in Schadensersatz oder Sanktionen hineinlaufen, wird die Ersparnis schnell weg sein“, kritisierte Grethel.
Bei der Frage der Entlastung kleiner Firmen sollte der Gesetzgeber nicht auf die Zahl der Mitarbeitenden schauen, sondern auf das dem Unternehmenskonzept zugrunde liegende Datenschutzrisiko, sagte Grethel. „Selbst kleinste Startups können Datenverarbeitungsprozesse mit hohem Risiko durchführen.“ Die Forderung vertritt der BvD ebenfalls seit langem.
Grethel sprach außerdem weitere Reformvorhaben auf Bundesebene an, darunter die mögliche Abschaffung der Benennpflicht für Datenschutzbeauftragte. Eine vollständige Abschaffung sei zwar denkbar, „aber ist sie sinnvoll?“, fragte Grethel. Die Verpflichtung zur Benennung eines Datenschutzbeauftragten seie eine der ältesten Datenschutzregelungen Deutschlands und seit vielen Jahrzehnten fester Bestandteil der deutschen Datenschutzgesetze. Dieses bewährte Konzept habe die DSGVO übernommen. „Man hat erkannt, dass die Datenschutzbeauftragten eine wichtige Rolle bei der Einhaltung des Datenschutzes spielen“, sagte Grethel. Und diese Bedeutung sei im Laufe der Zeit nicht geringer geworden.
Grethel wird den nächsten Datenschutztag Rhein – Main – Saar in Frankfurt am Main gemeinsam mit den Kollegen aus Rheinland-Pfalz und Hessen in Kooperation mit dem BvD mit ausrichten. Der 5. Datenschutztag findet am 10. Juni 2026 statt.
https://www.bvdnet.de/de/veranstaltungen/fortbildungen/
datenschutztag-hessen-rheinland-pfalz-2026/
