Reformpaket der Bundesregierung

Reformpaket der Bundesregierung

Was die neuen Datenschutz-Beschlüsse für Unternehmen in Mecklenburg-Vorpommern bedeuten

Am 2. Juli 2026 hat der Koalitionsausschuss von CDU/CSU und SPD sein Reformpaket „Ein Programm für Aufschwung und Beschäftigung“ vorgestellt, 34 Einzelbeschlüsse zu Steuern, Arbeitsmarkt, Rente und Bürokratieabbau. Unter Punkt 14, „Moderner Datenschutz für mehr Wachstum“, stehen weitreichende Ankündigungen zur Vereinfachung des Datenschutzrechts.
Beim Lesen fiel mir etwas auf: Ein großer Teil dieser Ankündigungen deckt sich fast wortgleich mit den „Stuttgarter Impulsen zur Modernisierung des Datenschutzes“, die die unabhängigen Datenschutzaufsichtsbehörden der Länder erst zwei Wochen zuvor, am 18. Juni 2026, einstimmig beschlossen hatten. Die Bundesregierung übernimmt hier weitgehend die Vorschläge der eigenen Aufsichtsbehörden.

Stuttgarter Impulse

Zehn Jahre nach Inkrafttreten der DSGVO läuft die Reformdebatte auf Hochtouren, in Brüssel wie in Berlin. Die Landesaufsichtsbehörden hatten sich mit den Stuttgarter Impulsen bewusst eingeschaltet: Vorschläge aus der eigenen Vollzugserfahrung, kurzfristig umsetzbar, ohne den grundrechtlich verankerten Schutzstandard zu senken. Dass die Bundesregierung wenige Tage später nachzieht, zeigt, dass aus der Fachdiskussion politischer Handlungsdruck geworden ist. Für Unternehmen in Mecklenburg-Vorpommern lohnt sich deshalb schon jetzt ein Blick auf die Details, auch wenn noch kein Gesetzentwurf vorliegt.

Die Kernpunkte des Reformpakets im Überblick

1. Ausnahmen für Vereine, KMU und risikoarme Verarbeitungen auf EU-Ebene

Die Koalition will sich dafür einsetzen, nicht-kommerzielle Tätigkeiten wie Vereinsarbeit, kleine und mittelständische Unternehmen sowie risikoarme Verarbeitungen wie die Kundenliste eines Handwerksbetriebs aus dem Anwendungsbereich der DSGVO herauszunehmen.

Das ist eine Ansage Richtung Brüssel, keine nationale Regelung im Alleingang. Der Grundrechtsschutz aus Art. 8 GRCh lässt sich nicht rein national verschieben, das betonen auch die Stuttgarter Impulse selbst. Eine Änderung des Anwendungsbereichs braucht die europäische Ebene und dürfte Jahre dauern.

2. Ein Datengesetzbuch für mehr Rechtsklarheit

Ein neues Datengesetzbuch soll das deutsche Datenrecht bündeln, harmonisieren und, wo sinnvoll, vereinfachen. Ein großes Vorhaben mit langer Gesetzgebungsstrecke. Für die betriebliche Praxis ändert sich dadurch kurzfristig nichts.

3. Bündelung der Aufsichtsstrukturen beim BfDI

Die Koalition kündigt eine Zuständigkeitskonzentration beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) an.

Genau hier setzen die Stuttgarter Impulse einen eigenen Akzent: Die Länder befürworten eine gezielte Bündelung von Spezialkompetenzen beim BfDI, etwa bei Marktortfällen oder Zertifizierungen, warnen aber vor einer vollen Zentralisierung. Die ortsnahe Beratung für KMU, auch in Mecklenburg-Vorpommern, hängt an den Landesbehörden.

4. Gesetzliche Verankerung der Datenschutzkonferenz (DSK)

Die DSK soll erstmals gesetzlich im BDSG verankert werden, um gemeinsame Standards der Aufsichtsbehörden zu institutionalisieren.

Dieser Punkt deckt sich praktisch mit Punkt 2 der Stuttgarter Impulse. Eine gesetzlich abgesicherte DSK mit verbindlichen Mehrheitsentscheidungen könnte tatsächlich mehr Rechtssicherheit schaffen, weil uneinheitliche Länderpraxis seltener würde.

5. Weniger Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten

Die Koalition will die Zahl der in kleinen und mittleren Unternehmen erforderlichen betrieblichen Datenschutzbeauftragten reduzieren.

Viele Geschäftsführer kennen dazu nur eine Faustregel: „Ab 20 Beschäftigten braucht man einen Datenschutzbeauftragten.“ Diese Formulierung ist ungenau. § 38 BDSG verlangt keine 20 Beschäftigten, sondern mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein Betrieb mit 30 Mitarbeitenden, von denen nur acht regelmäßig mit Kundendaten arbeiten, liegt darunter. Ein Betrieb mit 15 Mitarbeitenden kann trotzdem einen Datenschutzbeauftragten benötigen, denn die Personenzahl ist nur einer von mehreren Auslösern. In der öffentlichen Diskussion geht regelmäßig unter, dass ein DSB auch aus anderen Gründen zu bestellen ist, unabhängig von der Mitarbeiterzahl:

  • die Verarbeitung unterliegt einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
  • die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO, etwa Gesundheits- oder biometrische Daten
  • die Kerntätigkeit erfordert eine umfangreiche, regelmäßige und systematische Überwachung von Personen, etwa durch Profiling, Tracking oder Scoring
  • die Verarbeitung erfolgt geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Markt- und Meinungsforschung (§ 38 Abs. 1 BDSG)
  • der Einsatz neuartiger Technologien mit hohem Risiko für Betroffene, etwa KI-gestütztes Profiling

Genau hier lauert eine Bußgeldfalle. In den Köpfen vieler Geschäftsführer verbindet sich die Schlagzeile „Bürokratieabbau im Datenschutz“ schnell mit „wir brauchen keinen Datenschutzbeauftragten mehr“, gerade bei den in Punkt 1 erwähnten Handwerksbetrieben, deren Kundenliste künftig als risikoarme Verarbeitung gelten könnte. Das ist ein Trugschluss: Eine mögliche EU-Ausnahme für risikoarme Verarbeitungen sagt nichts über die eigenständigen Bestellgründe aus § 38 BDSG und Art. 37 DSGVO aus. Wer seinen Datenschutzbeauftragten abmeldet, weil er sich durch eine Presseüberschrift in Sicherheit gewogen fühlt, aber weiterhin etwa Gesundheitsdaten von Mitarbeitenden verarbeitet oder Kunden systematisch trackt, bestellt pflichtwidrig keinen DSB mehr, mit Bußgeldrisiko nach Art. 83 DSGVO. Das Reformpaket verkauft sich als Entlastung, ohne auf dieses Risiko hinzuweisen. Genau das prüfen wir für unsere Mandanten: Ist ein DSB erforderlich, sagen wir das klar. Ist er es nicht, sagen wir auch das klar. Nur sollte niemand allein auf eine Zeitungsmeldung vertrauen und dabei ins offene Messer laufen.

Der Praxis-Blick: Auftragsverarbeitung entbürokratisieren

Ein Vorschlag aus den Stuttgarter Impulsen taucht im Reformpaket der Bundesregierung noch nicht ausdrücklich auf, verdient aus meiner Sicht als Datenschutzberater aber die meiste Aufmerksamkeit: die Entbürokratisierung der Auftragsverarbeitung bei gleichzeitiger Inpflichtnahme der Hersteller (Punkt D.4 der Stuttgarter Impulse).

Die Idee: Statt dass jedes Unternehmen mit jedem Dienstleister einen individuellen Auftragsverarbeitungsvertrag aushandelt, prüft und pflegt, soll die Auftragsverarbeitung zu einem gesetzlichen Schuldverhältnis werden. Die Grundpflichten würden dann unmittelbar aus dem Gesetz folgen, ähnlich wie es die KI-Verordnung für Anbieter von KI-Systemen bereits vorsieht. Hersteller und Anbieter von Software und Cloud-Lösungen stünden stärker selbst in der Verantwortung, statt die komplette Prüflast an ihre Kunden weiterzureichen.

Für die Praxis wäre das eine echte Entlastung. Kleine und mittlere Unternehmen in Mecklenburg-Vorpommern verbringen heute viel Zeit damit, AVV-Muster zu vergleichen, Anlagen zu technisch-organisatorischen Maßnahmen zu prüfen und Vertragsstände zu pflegen. Aufwand, der selten zu mehr tatsächlichem Datenschutz führt, aber Fehlerquellen und Kosten produziert. Eine gesetzlich standardisierte Grundlage würde Datenschutz verständlicher machen und die Dokumentation weniger fehleranfällig gestalten, ohne dass Betroffene schlechter geschützt wären. Im Gegenteil: Wenn Hersteller selbst in der Pflicht stehen, sinkt das Risiko lückenhafter oder veralteter Verträge, die heute oft unbemerkt in Aktenordnern schlummern.

Sollte dieser Vorschlag es in ein Gesetzgebungsverfahren schaffen, wäre er aus meiner Sicht der praktikabelste und für Unternehmen spürbarste Baustein der gesamten Reform, wirksamer als viele der medienwirksameren Ankündigungen zu Ausnahmen und Zuständigkeiten.

Was bedeutet das für Unternehmen in Mecklenburg-Vorpommern?

Rechtlich bindend ist bislang nichts. Sowohl das Reformpaket als auch die Stuttgarter Impulse sind Positionspapiere, konkrete Gesetzentwürfe zu Datengesetzbuch oder AVV-Reform fehlen noch. Bemerkenswert ist trotzdem, wie sehr Bundesregierung und Landesaufsichtsbehörden in dieselbe Richtung denken, das erhöht die Chance, dass zumindest einzelne Punkte wie die gesetzliche Verankerung der DSK schneller kommen als der Rest. Die ortsnahe Aufsicht bleibt dabei wichtig: Für Unternehmen in Mecklenburg-Vorpommern ist der Landesbeauftragte für Datenschutz und Informationsfreiheit MV auch nach einer Reform der erste Ansprechpartner vor Ort. Und wer seine Auftragsverarbeitungsverträge und sein Verarbeitungsverzeichnis schon jetzt sauber führt, ist für jede Übergangsregelung gut aufgestellt.

Fazit

Die Reformlust ist da, das Recht dazu noch nicht. Bis aus den Ankündigungen geltendes Recht wird, dürfte einige Zeit vergehen. Für Unternehmen in Mecklenburg-Vorpommern heißt das: die Entwicklung im Blick behalten, aber die bestehenden Pflichten so lange ganz normal weiter erfüllen.

Die Datenschutzexperten von Datenschutz Nordost verfolgen die Entwicklung für Sie und melden sich, sobald konkrete Gesetzentwürfe vorliegen. Fragen zu Ihrer Auftragsverarbeitung oder zur DSB-Bestellpflicht? Wir sind für Sie da.


Quellen:

  • Koalitionsausschuss: „Ein Programm für Aufschwung und Beschäftigung“, 34 Reformbeschlüsse, 02.07.2026 (berichtet u. a. bei BR24, Haufe, beck-aktuell, DataAgenda)
  • Datenschutzaufsichtsbehörden der Länder: „Stuttgarter Impulse zur Modernisierung des Datenschutzes“, Version 1.0, Stand 19.06.2026, beschlossen am 18.06.2026 (baden-wuerttemberg.datenschutz.de/stuttgarter-impulse)
Nach oben scrollen