Politikbrief Sommer 2025

9. Juli 2025

PDF Download

Frischer Wind im Datenschutz

Die Diskussion um einen praxisorientierteren Datenschutz nimmt auch auf EU-Ebene Fahrt auf. BvD-Vorstand und Mitglieder diskutierten kürzlich mit Axel Voss über neue und effizientere Datenschutz- Lösungen. Über unseren öffentlichen Fireside-Chat mit Axel Voss berichten wir in diesem Politikbrief.

Auf europäischer Ebene wird aktuell eine Diskussion über vermeintliche Dokumentationserleichterungen geführt (Art. 30 DSGVO – Verarbeitungstätigkeiten). In unserem Politikbrief zeigen wir Ihnen praktisch, dass es sich hierbei um eine Nebelkerze handelt und Kleinst- und Kleinunternehmen auf eine andere Weise sofort und ohne Gesetzesänderung geholfen werden kann. Durch unsere Lösung wird zudem die gefährliche Minimierung des Datenschutzniveaus für alle Bürgerinnen und Bürger durch die vermeintliche Entbürokratisierung vermieden.

Jedes noch so kleine Elektrogerät darf nur mit einem CE-Siegel in die EU eingeführt werden. Anders verhält es sich bei Produkten und Dienstleistungen, die zur Verarbeitung von personenbezogenen Daten eingesetzt werden. Für Produkthersteller ist es völlig normal, dass ihre Produkte in definierten Spezifikationen funktionieren müssen. Im Datenschutz sollte dies ebenfalls normal sein. Unternehmen sollten sich darauf verlassen können, dass Datenschutz-Produkte und -Dienstleistungen datenschutzkonform eingesetzt werden können. Die Datenschutzgrundverordnung (DSGVO) kennt dies bereits als Privacy by Design. Würden Hersteller zu diesem Prinzip verpflichtet, könnten viele Unternehmen – vor allem KMU – im Datenschutz erheblich entlastet werden. In diesem Politikbrief erläutern wir unseren Vorschlag dazu.

Außerdem berichten wir kurz von unserem erfolgreichen Datenschutz-Kongress im Mai 2025.

Wir freuen uns auf den weiteren Austausch mit Ihnen nach der Sommerpause.

Thomas Spaeing

Vorstandsvorsitzender BvD e.V.

Reform statt Stillstand – und überraschende Schnittmengen mit dem BvD

Axel Voss zur DSGVO

In einem öffentlichen Fireside-Chat am 12.06.2025 stellte der Europaabgeordnete Axel Voss seine Überlegungen zur Reform der Datenschutz- Grundverordnung (DSGVO) vor und überraschte dabei mit differenzierten Tönen. Zwar plädiert Voss weiterhin für tiefgreifende strukturelle Änderungen und eine stärkere wirtschaftliche Fokussierung im europäischen Datenschutz, doch betonte er mehrfach, wie wichtig ein risikobasierter Ansatz sei – eine zentrale Forderung des BvD.

Voss kritisiert die starre Einheitsanwendung der DGSVO: Kleine Handwerksbetriebe und Vereine sollten nicht denselben Pflichten unterliegen wie datengetriebene Großunternehmen. Er fordert eine Vereinheitlichung der Auslegung innerhalb der EU und sprach sich für eine zentralisierte, europaweit abgestimmte Rechtsauslegung aus.

Für Spannung sorgte der Vorschlag, den Fokus stärker auf „Privatsphärenschutz“ als auf „Datenschutz“ zu legen und Verpflichtungen von Verantwortlichen auf Hersteller digitaler Produkte zu verlagern. Hier stieß Voss auf unerwartete Zustimmung: Der BvD forderte erneut verbindliche Datenschutzkonformität „by design“ – inklusive Privacy-Voreinstellungen und Konformitätsnachweisen –, damit nicht die Unternehmen die gesamte Umsetzungslast tragen müssen. Nicht das Handwerksunternehmen, soll die Datenschutz- Compliance der eingesetzten Anwendungen nachweisen müssen, sondern der in der Regel viel größere Hersteller, der das Produkt ja auch bestens kennt. Dieser Punkt fand bei Voss deutlichen Zuspruch.

Unterschiede bleiben jedoch bestehen. Voss plädiert grundsätzlich für mehr Flexibilität und geringere Eingriffsschwellen, etwa beim KITraining mit personenbezogenen Daten. Aus Sicht des BvD darf dieser Punkt jedoch nicht relativiert werden. Dennoch zeigt der Dialog: Es gibt Raum für gemeinsame Reformgedanken, wenn diese klar risikoorientiert, praxistauglich und mit Blick auf die Betroffenenrechte gedacht werden.

Reformvorschläge zur DSGVO: Für mehr Klarheit, Sicherheit und Umsetzbarkeit im digitalen Alltag

Der BvD hat ein neues Positionspapier veröffentlicht, in dem er eine zielgerichtete Reform der Datenschutz- Grundverordnung (DSGVO) fordert. Ziel ist es, den Datenschutz praxisnah zu gestalten und die Grundrechte zu bewahren.

Die DSGVO hat sich seit ihrem Inkrafttreten im Jahr 2018 als weltweit beachteter Standard etabliert. Gleichzeitig zeigen sich in der praktischen Anwendung jedoch auch gravierende Herausforderungen. Unternehmen, insbesondere kleine und mittlere, sehen sich häufig mit bürokratischen Hürden, unklaren Verantwortlichkeiten und fehlender Rechtssicherheit konfrontiert.

Im Mittelpunkt des Papiers steht der Vorschlag, Datenschutzanforderungen künftig stärker an der tatsächlichen Risikostruktur auszurichten. So soll die Belastung durch Dokumentations- und Nachweispflichten bei risikoarmen Verarbeitungen reduziert werden, ohne das Schutzniveau abzusenken. Als wesentlichen Baustein sieht man eine veränderte Verantwortungsverteilung vorgeschlagen: Nicht der Nutzer, sondern der Hersteller digitaler Produkte soll vorrangig für die Datenschutzkonformität verantwortlich sein.

Zudem fordert der BvD eine sprachliche und inhaltliche Klarstellung der Verordnung. Diese muss für alle Akteure – auch ohne juristische Ausbildung – verständlich und umsetzbar sein. Uneinheitliche Auslegungen innerhalb der EU, fehlende Standards zur Anonymisierung und Unsicherheiten bei der Anwendung der Auskunftsrechte belegen den Reformbedarf.

Den Datenschutzbeauftragten kommt dabei eine zentrale Rolle zu. Sie sorgen – insbesondere im Mittelstand – für eine fachlich fundierte und rechtskonforme Umsetzung der DSGVO. Deshalb fordert der BvD eine gesetzliche Stärkung dieser Rolle, klare Aufgabenprofile, eine risikoorientierte Benennungspflicht sowie zertifizierte Qualifikationsstandards.

Die DSGVO bleibt ein Meilenstein des Grundrechtsschutzes. Damit sie auch im Zuge der digitalen Transformation ihre Wirkung entfalten kann, ist jetzt eine praxisnahe, transparente und einheitliche Weiterentwicklung erforderlich.

Lesen Sie hier das gesamte Positionspapier und kommen Sie mit uns ins Gespräch.

Privacy by Design – Das CE-Siegel für Software und Dienste

Die CE-Kennzeichnung besagt, dass der Hersteller ausdrücklich erklärt, dass er alle relevanten EU Richtlinien mit dem in Verkehr gebrachten Produkt einhält.

Von Anbietern von Produkten und Diensten zur Verarbeitung personenbezogener Daten kann und muss verlangt werden, dass von den Unternehmen diese Leistungen datenschutzkonform eingesetzt werden können. Diese Forderung ist als Privacy by Design bekannt. Die Aufgabe der Unternehmen, die diese Produkte und Dienste einsetzen, ist dann die datenschutzkonforme Anpassung der Produkte an den konkreten Einsatzzweck (Privacy by Default).

Der BvD empfiehlt, dass alle Anbieter von Produkten und Diensten zur Verarbeitung personenbezogener Daten auf die Einhaltung von Privacy by Design verpflichtet werden. Für Unternehmen, die diese Leistungen einsetzen, ist es eine enorme Erleichterung, wenn sie sich darauf verlassen können, dass Produkte und Dienste datenschutzkonform einsetzbar sind. Am Beispiel von MS 365: Es wäre für die gesamte deutsche Wirtschaft wesentlich effizienter gewesen, wenn sich Microsoft und die Aufsichtsbehörden auf die Parameter des Einsatzes von MS 365 geeinigt hätten und diese Diskussion von den betroffenen Unternehmen nicht einzeln geführt werden mussten.

Natürlich können Unternehmen weiterhin Produkte und Dienste zur Verarbeitung personenbezogener Daten einsetzen, deren Anbieter Privacy by Design nicht bestätigen, diese Unternehmen müssen sich dann aber nach wie vor um die Datenschutzkonformität selber kümmern.

Praktiker lehnen Änderungen am Art. 30 DSGVO ab – aus gutem Grund

Die EU-Politik verkauft Ausnahmen von der Führung des Verzeichnisses der Verarbeitungstätigkeiten (VVT) als einen großen Wurf zur Entbürokratisierung. Ein Blick in die Praxis entlarvt diese Forderung sofort als Nebelkerze zu Lasten aller Bürger*innen – und vor allem als Risiko für die Unternehmen.

Prozesslandkarte

Das VVT ist eine Prozesslandkarte, die jedes Unternehmen für die eigene Organisation benötigt, ergänzt um acht datenschutzspezifische Angaben. Die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten ist nicht zeitaufwändig, zumal ein guter Kaufmann über eine Prozesslandkarte verfügen sollte, die eine der Grundlagen für betriebswirtschaftlich notwendige Prozessoptimierungen ist.

Das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) hat für Kleinstunternehmen und Soloselbstständige aus dem Bereich Handel ein solches VVT erstellt. Bei einem Blick auf das VVT wird auch Datenschutz- Laien sofort klar, dass der Verzicht auf das Führen eines VVT keine Bürokratieerleichterung sein kann.

Hier das Muster des BayLDA

Nutzen des VVT

Nur mit Hilfe des VVT kann das Risiko einer Datenverarbeitung für die Rechte und Freiheiten einer betroffenen Person systematisch bestimmt werden und damit auch die technischen Maßnahmen, die zur Absicherung der personenbezogenen Daten erforderlich sind. Auch wird das VVT zur Erfüllung von Betroffenenrechten und Behandlung von Datenschutzvorfällen benötigt.

Ein Verzicht auf das Führen eines VVT schaltet ein Unternehmen auf einen Datenschutz-Blindflug und schwächt die Rechte und Freiheiten aller Bürgerinnen und Bürger massiv, ohne den Unternehmen Vorteile bei der Entbürokratisierung zu bringen.

Erleichterung für Kleinstunternehmen ist ohne Gesetzesänderung möglich

Schon jetzt kann Klein- und Kleinstunternehmen bei der Erstellung ihres VVT schnell und unkompliziert geholfen werden, indem die jeweiligen Berufsorganisationen bzw. Branchenverbände gemeinsam mit den Datenschutzaufsichtsbehörden für ausgewählte Branchen Muster- VVT erstellen, veröffentlichen und aktualisieren. Klein- und Kleinstunternehmen können diese Muster nutzen und auf ihre spezifischen Bedürfnisse anpassen.

Die Bereitstellung dieser Muster ist eine praxisorientierte Forderung des BvD und könnte mit dem entsprechenden Willen sofort und ohne Gesetzesänderung umgesetzt werden. Der BvD berät die Politik hier gerne und steht auch für Diskussionen zur Verfügung.

KI, Vertrauen und Verantwortung

Ende Mai kamen bei den BvD-Verbandstagen 2025 in Berlin rund 300 Fachleute aus den Bereichen Datenschutz, Wirtschaft, Verwaltung und Politik zusammen. Unter dem Motto „KI und Datenschutz (k)ein Widerspruch“ diskutierten sie die Herausforderungen und Chancen datengetriebener Technologien sowie die wachsende Verantwortung von Datenschutzbeauftragten in der digitalen Transformation.

Weitere Impressionen der Veranstaltung finden Sie hier.

Vorstandswahlen des BvD: Neue Führung gewählt

Bewährte Köpfe, frische Ideen: So könnte man die neue Zusammensetzung des Vorstands des Berufsverbands der Datenschutzbeauftragten zusammenfassen. Die erfolgreiche Arbeit des Verbands spiegelt sich auch in der Konstanz an der Spitze wider: Mit Thomas Spaeing als Vorstandsvorsitzenden sowie Dr. Kai-Uwe Loser als zweitem Stellvertreter, der unter anderem für die wichtigen Fragen der Zusammenarbeit mit Hochschulen und Forschungseinrichtungen zuständig ist, bleiben nicht nur die wichtigsten Gesichter erhalten – alle Mitglieder des Vorstands können sich weiter einbringen. Einen Wechsel gab es auf dem Sitz des stellvertretenden Vorstandsvorsitzenden: Dr. Christoph Bausewein übernimmt von Jürgen Hartz. Damit kommt nicht nur die Kompetenz im Bereich ITSecurity von Bausewein zum Tragen, sondern dieser Schritt zeigt auch die gewachsene Bedeutung des Ausschusses Künstliche Intelligenz, den Bausewein leitet.

Den neuen Vorstand finden Sie hier.

Positionspapiere des BvD

Datenschutz stärken, Bürokratie abbauen, Mittelstand entlasten

In einem aktuellen Positionspapier fordert der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. eine umfassende Reform der Datenschutz-Grundverordnung (DSGVO). Ziel ist eine moderne, risikobasierte Weiterentwicklung, die Bürokratie reduziert, Unternehmen mehr Rechtssicherheit bietet und zugleich die Schutzwirkung für Betroffene erhöht.

DOWNLOAD

Stellungnahme des BvD-Ausschusses KI zur erforderlichen KI-Kompetenz von Datenschutzbeauftragten

Mit dem Einzug von Künstlicher Intelligenz (KI) in immer mehr Anwendungsbereichen sehen sich Datenschutzbeauftragte neuen fachlichen Herausforderungen gegenüber. In einer aktuellen Stellungnahme beschreibt der BvD-Ausschuss Künstliche Intelligenz, welche Kompetenzen Datenschutzbeauftragte im Umgang mit KI-Systemen benötigen – auch im Lichte der verabschiedeten KI-Verordnung.

DOWNLOAD

Stellungnahme zu den Koalitionsplänen zur Zentralisierung der Datenschutzaufsicht

Die Diskussion um eine Vereinfachung der Datenschutz-Compliance ist bitter notwendig und wird weitergeführt. Aus Sicht des Berufsverbands der Datenschutzbeauftragten ist eine Vereinheitlichung der Datenschutzaufsicht und ein Abbau des Föderalismus jedoch nicht der richtige Weg.

DOWNLOAD

Bleiben Sie informiert

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten! Melden Sie sich für unseren Presseverteiler an und erhalten Sie regelmäßig Informationen aus dem Netzwerk der Datenschutz-Profis.

Anmeldung zu unserem Presseverteiler

Um sich für den beschriebenen Presseverteiler anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.