Stuttgarter Impulse zur Modernisierung des Datenschutzes

Version 1.0, Stand 19. Juni 2026

Eckpunkte aus Sicht der Aufsichtspraxis

Von den unabhängigen Datenschutzaufsichtsbehörden der Länder am 18.6.2026 einstimmig beschlossen.

Stuttgarter Impulse zur Modernisierung des Datenschutzes als PDF

 

Abstract

Datenschutz ist grundrechtlich fest verankert. Er ist von den Menschen gewollt und die ortsnahe Aufsicht wird insbesondere von den kleinen und mittleren Unternehmen und den Bürgerinnen und Bürgern intensiv in Anspruch genommen. Es braucht eine Modernisierung der Datenschutzaufsicht und auch des Datenschutzrechts. Kompetenzen müssen stärker verzahnt werden, die Datenschutzkonferenz ist gesetzlich abzusichern. Die Datenschutzaufsichtsbehörden der Länder machen Vorschläge zur Verbesserung des Datenschutzes. Sie treten für eine Beibehaltung einer Aufsicht vor Ort ein.

A. Ausgangssituation und Ziele

Zehn Jahre nach Verabschiedung der Datenschutz-Grundverordnung (DSGVO) hat sich auf europäischer genauso wie auf nationaler Ebene eine breite Debatte über grundlegende Reformerfordernisse im Datenschutz entwickelt. Sie betrifft nicht nur das Zusammenspiel der DSGVO mit den seit 2016 erlassenen weiteren Rechtsakten zur Schaffung des Digitalen Binnenmarkts (den Gesetzen über Digitale Dienste und Digitale Märkte, dem Datengesetz oder der Verordnung über Künstliche Intelligenz) sowie deren Durchsetzung, sondern auch weitergehende, grundsätzliche Fragen der Innovations- und Wettbewerbsfähigkeit und der Gewährleistung europäischer Werte und Handlungsfähigkeit in einer global vernetzten, digitalen Welt unter zunehmenden geopolitischen Spannungslagen. In Deutschland wird vor dem Hintergrund der Durchführung der Digitalgesetze und der Vereinbarungen im Koalitionsvertrag sowie der föderalen Modernisierungsagenda auch über eine Reform der Datenschutzaufsicht gesprochen.

Mit diesen Impulsen beteiligen sich die Datenschutzaufsichtsbehörden der Länder an dieser Reformdebatte. Sie wollen damit dazu beitragen, die bisher durch Wissenschaft, Politik, Wirtschaft und Zivilgesellschaft aufgezeigten Reformerfordernisse auf Grundlage ihrer Vollzugserfahrungen durch Handlungsempfehlungen aufzugreifen, die – unbeschadet des Zeitbedarfs der teils erforderlichen Gesetzesänderungen –, zeitnah umsetzbar sind und kurzfristig praktische Wirkung entfalten können.

Kernbereiche des Datenschutzes, des Schutzes der Privatsphäre und des freien Verkehrs personenbezogener Daten sowie unabhängige Aufsichtsbehörden sind mit Art. 7 und 8 der Charta der Grundrechtecharta sowie Art. 16 AEUV auf europäischer Ebene grundrechtlich geschützt, dem Unionsgesetzgeber vorbehalten und damit in weiten Bereichen nationaler Ausgestaltung entzogen.

Die Zweckbindung, die Abwägung aller Interessen im Rahmen einer Rechtsgrundlage, die Einwilligung und die Interventionsrechte der betroffenen Personen machen den Wesenskern des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) aus. Das bedeutet, ein Konzept der „Erlaubnis für kompatible Zwecke“ kann nicht einseitig an den Interessen der verarbeitenden Stellen ausgerichtet sein, sondern muss die Interessen der betroffenen Personen gleichermaßen berücksichtigen. Alles andere hieße, den durch Art. 8 GRCh gesetzten Rahmen zu verlassen und den Schutzstandard der Grundrechte zu senken.

Weniger Regulierung im Datenschutz, risikobasiertere Regulierung oder etwaige Paradigmenwechsel können nicht rein national gedacht werden. Wer etwas ändern will im Datenschutzrecht, muss Europa überzeugen und die Europäische Grundrechtecharta beachten. Ein rein nationales „Wunschkonzert“ lohnt nicht der Diskussion!

B. Datenschutzaufsicht – Mythen und Fakten

In der aktuellen Diskussion über eine Reform der Datenschutzaufsicht kursieren allerdings Mythen etwa über eine angeblich uneinheitliche Datenschutzaufsicht oder eine vermeintlich überzogen strenge Auslegung einzelner Aufsichtsbehörden. Vor diesem Hintergrund stellen wir unseren Reformvorschlägen zur Modernisierung im Datenschutz einige Fakten voran, die den Rahmen der Datenschutzaufsicht prägen.

Mythos 1: Datenschutzaufsicht lässt sich beliebig strukturieren? 

Fakt ist: Datenschutzaufsicht im Föderalismus ist verfassungsrechtlich determiniert.

Im föderalen System der Bundesrepublik kann der Datenschutz bei öffentlichen Stellen der Länder und Kommunen nur durch die jeweils zuständigen Landesbehörden kontrolliert werden. Auch in den Bereichen medizinischer Versorgung, Lehre und Forschung, Schulen, Kultur, Medien und Gerichte liegt die Gesetzgebungskompetenz und damit auch der Vollzug verfassungsrechtlich grundsätzlich bei den Ländern. Eine Aufsicht ohne Landesaufsichtsbehörden ist damit nicht möglich. Sie vermeidet auch unnötige Schnittstellen innerhalb eines Landes. Unabhängig von jeder Entscheidung über Aufsichtszuständigkeiten im nicht-öffentlichen Bereich besteht Datenschutzaufsicht im föderalen Staat daher immer aus Bundes- und Länderbehörden, die den Koordinierungs- und Kohärenzanforderungen der DSGVO unterliegen. Datenschutzaufsicht im Föderalismus ist damit verfassungsrechtlich determiniert pluralistisch und koordinierungsbedürftig.

Mythos 2: Beschwerdebearbeitung ist ein skalierbares Massengeschäft?

Fakt ist: Über 60.000 Beschwerden – Tendenz steigend

Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben im Jahr 2025 weit über 60.000 Beschwerden von betroffenen Personen erhalten, die Tendenz im Jahr 2026 ist weiter steigend, der Schwerpunkt liegt dabei mit mehr als 50% im nicht-öffentlichen Bereich. Trotz unterschiedlicher Bevölkerungszahlen übertrifft der Bedarf in jeder einzelnen Beschwerde als Anzeige eines vermuteten Datenschutzverstoßes sogar die Fallzahlen der für die Mehrzahl der unionsweit zuständigen BigTech-Unternehmen zuständigen irischen Behörden.

Die Forderung nach einem grundlegenden Perspektivwechsel zugunsten von Innovationsförderung und Datennutzung sollte diesen realen Bedarf an staatlicher Rechtsdurchsetzung und Einlösung eines Schutzversprechens der DSGVO nicht ausblenden. Zuständigkeitsverlagerungen bieten insoweit keine Abhilfe und erfordern damit letztlich 1:1 Personal- und Kostenverlagerungen. Datenschutzbeschwerden eröffnen anders als z.B. Zuwendungsentscheidungen mit klar definierten Anforderungskatalogen kaum strukturelle Synergiepotentiale, da in jedem Fall die Prüfung individueller Rechtsschutzanliegen erforderlich ist, die allenfalls teilweise Typisierungen ermöglicht.

Fakt ist: Aufsicht in der Beschwerdebearbeitung skaliert nicht

Die Bearbeitung von Beschwerden bindet die Arbeit der Datenschutzaufsicht zu einem sehr hohen Anteil. Die Aufsicht trifft mit hohem Ressourcenaufwand viele individuelle Entscheidungen für individuelle Beschwerdefälle. Daher wird die Datenschutzaufsicht bei den Verantwortlichen seltener durch systematische Prüfung und Beratung, sondern in erste Linie in der Bearbeitung von Einzelfällen sichtbar. Um die Aufsichtsressourcen risikobasierter ausrichten zu können und noch mehr Standardisierung in der Aufsichtspraxis zu erreichen, bedarf es gesetzlicher Anpassungen.

Mythos 3: Zentralisierung bringt einen Effizienzgewinn?

Fakt ist: Beratung und Unterstützung zum Greifen nahe

Im Jahre 2025 haben die Aufsichtsbehörden der Länder hunderte Veranstaltungen und tausende individuelle Beratungen auf Nachfrage vor Ort durchgeführt. Dadurch profitieren insbesondere kleine und mittlere Unternehmen sowie Freiberufler und Freiberuflerinnen – immerhin 99,2 Prozent der Unternehmen in Deutschland – von den heutigen Strukturen im Datenschutz. Mit den Landesdatenschutzbehörden gibt es bewährte Ansprechpartnerinnen vor Ort, die durch Veranstaltungen im Land und regionale Veröffentlichungen bekannt sind. Örtliche Ansprechbarkeit braucht dezentrale Strukturen.

Fakt ist: Die Bearbeitung von Datenschutzbeschwerden bindet Personal

Der überwiegende Teil der o.g. Beschwerden betrifft den Bereich der Wirtschaft. Wer über eine Bündelung oder Zentralisierung der Datenschutzaufsicht nachdenkt, wird berücksichtigen müssen, dass diese Beschwerden weder personalneutral noch kostenneutral zentralisiert bearbeitet werden können. Personalabbau führt zu weniger Grundrechtsschutz.

Mythos 4: Datenschutz wird in Deutschland besonders streng ausgelegt?

Fakt ist: Es gibt kein „German Vote“

Die deutschen Aufsichtsbehörden arbeiten mit den anderen europäischen Datenschutzaufsichtsbehörden im Europäischen Datenschutzausschuss zusammen. Sie haben sich auf eine Vielzahl an Leitlinien und anderen Instrumenten verständigt, die einen einheitlichen Vollzug des Datenschutzrechts in der EU sicherstellen sollen. Etablierte und bewährte Verfahren der DSK stellen dabei schon jetzt sicher, dass es in den Abstimmungen der Datenschutzbehörden des Bundes und der Länder keine sogenannte „German Vote“ gibt. Die DSK ist in der Lage auch sehr kurzfristig (mitunter innerhalb von 24h), eine inhaltliche Abstimmung unter Beteiligung aller 18 Behörden durchzuführen und so die Diskussion auf europäischer Ebene wirkungsvoll mitzubestimmen. Grenzüberschreitende Fälle werden im Verbund mit anderen europäischen Aufsichtsbehörden oder ggf. im Kohärenzverfahren im Europäischen Datenschutzausschuss entschieden. Sanktionsverfahren und Bußgeldhöhen müssen in diesen Fällen ebenfalls europäisch abgestimmt werden. Diese Verfahren setzen einheitliche Maßstäbe in Europa und Deutschland für die Aufsichtspraxis, die natürlich auch in die nicht grenzüberschreitenden Verfahren wirken. Einen „deutschen Datenschutz“ in der Aufsicht gibt es damit nicht.

Fakt ist: Der EuGH bestätigt die deutschen Aufsichtsbehörden

Eine zu strenge Überinterpretation der DSGVO durch die deutschen Datenschutzaufsichtsbehörden, die vom EuGH hätte korrigiert werden müssen, existiert nicht. Bei den wenigen Entscheidungen des EuGH, die sich bisher mit aufsichtsbehördlichen Maßnahmen aus Deutschland befasst haben, hat der Gerichtshof das Datenschutzrecht überwiegend strenger ausgelegt, als dies zuvor von den deutschen Aufsichtsbehörden bewertet/praktiziert wurde.

Dazu zählen beispielsweise die Speicherdauer von Daten über eine Restschuldbefreiung und die Einstufung des Schufa-Scores als automatisierte Einzelentscheidung unter bestimmten Rahmenbedingungen.

Mythos 5: „Uneinheitlichkeit“ der Datenschutzaufsicht?

Fakt ist: Koordinierungsmechanismen funktionieren

Das Narrativ einer uneinheitlichen Datenschutzaufsicht in Deutschland wird ungeprüft zum Anlass einer Modernisierung der Datenschutzaufsicht herangezogen, das der aktuellen Vollzugspraxis strukturell koordinierter Zusammenarbeit in der Datenschutzkonferenz nicht Stand hält. Spürbare Gewinne an Effizienz und Rechtssicherheit sind durch die Fortentwicklung der bereits bestehenden und bewährten Koordinierungsmechanismen, nicht durch einseitige Zuständigkeitsverlagerungen zu erreichen.

Fakt ist: Vielfältige Datenverarbeitungen

Die den deutschen Datenschutzaufsichtsbehörden zugrunde liegenden Sachverhalte sind so vielfältig wie das Leben.. Dass es dabei zu unterschiedlichen Entscheidungen der Aufsichtsbehörden kommen kann, ist kein Spezifikum des Datenschutzrechts. Wie in keinem anderen Rechtsgebiet stimmen die Datenschutzaufsichtsbehörden sich ab, um bei vergleichbaren Sachverhalten zu vergleichbaren Entscheidungen zu kommen. Die DSK hat sich dazu auf eine Vielzahl von Orientierungshilfen und Beschlüssen geeinigt, die einen einheitlichen Vollzug des Datenschutzrechts garantieren sollen. Die geringe Anzahl von Entscheidungen des Bundesverwaltungsgerichtes unterstreicht die weitgehende Einheitlichkeit der Entscheidungspraxis der deutsche Datenschutzaufsichtsbehörden.

Fakt ist: Gebundene Verwaltungspraxis und landesgesetzliche Besonderheiten

Die in der DSK versammelten Aufsichtsbehörden erkennen ihre mehrheitlich getroffenen Entscheidungen an und legen diese ihrer Aufsichtspraxis zugrunde. Aufsichtsbehörden mit gravierenden Bedenken können sich durch ein explizites und begründetes Votum der Selbstbindung entziehen. In der ganz überwiegenden Mehrzahl richtet die DSK ihre Praxis an den gefundenen gemeinsamen Entscheidungen aus, die Abweichungen beruhen zu einem nicht unerheblichen Teil auch auf landesgesetzlichen Besonderheiten.

C. Modernisierung der Datenschutzaufsicht

Koordiniert. Effizient. Zukunftsfähig.

Die Datenschutzregeln werden in Deutschland zurzeit intensiv diskutiert. Besondere Aufmerksamkeit verdient dabei die Bundesratsinitiative 356/26 der Freien und Hansestadt Hamburg, deren Ziel es ist, den Datenschutz für Unternehmen, Forschungseinrichtungen sowie Bürgerinnen und Bürger einheitlicher und effizienter zu gestalten. Die DSK unterstützt die Vorschläge und bringt folgende – teils darüberhinausgehende – Aspekte in die Diskussion ein:

1. Kompetenzen stärker verzahnen. Synergien nutzen.

Im Koalitionsvertrag der Bundesregierung ist vorgesehen, dass eine „Bündelung der Zuständigkeiten und Kompetenzen“ der Datenschutzbehörden „im Interesse der Wirtschaft“ erfolgen soll (Zeile 2106 f.). Allerdings sind sich die unterschiedlichen Wirtschaftsakteure alles andere als einig, wie die künftige Aufsichtsstruktur aussehen soll. Zurecht hat die Wirtschaft ein Interesse an Rechtssicherheit und weniger Bürokratie. Dieses Ziel verfolgt auch die DSK.

Nach einer aktuellen Umfrage der Stiftung Datenschutz halten 48,1 % der privatwirtschaftlichen Entscheider auf C-Level (z. B. CEO, CFO oder COO) ein hohes Niveau im Datenschutz als Standortfaktor in der EU für (sehr) wichtig. Als Qualitäts- und Wettbewerbsmerkmal kann Datenschutz von entscheidender wettbewerblicher Bedeutung sein. Eine vertrauensvolle, stabile und kooperative Beziehung zwischen Unternehmen und ihren Aufsichtsbehörden ist hierfür Grundvoraussetzung.

Die Aufsichtsbehörden der Länder verfügen über detaillierte Kenntnisse regionaler wirtschaftlicher und gesellschaftlicher Strukturen sowie über gewachsene Netzwerke zu Unternehmen, insbesondere zu KMUs, sowie Verbänden und Verwaltungen. Eine föderal gegliederte Datenschutzaufsicht ermöglicht passgenaue Beratung und praktikable Lösungen unter Einbeziehung lokaler Besonderheiten und heterogener Bedürfnisse.

Zentralisierung mag Effizienz und Einheitlichkeit versprechen, sie birgt aber die Gefahr, regionale und wirtschaftliche Expertise aus den Ländern zu verdrängen. Die föderale Aufsichtsstruktur garantiert eine Datenschutzaufsicht mit Umsicht, die regionale Besonderheiten angemessen berücksichtigt.

Zukunftsfähige Verbesserungen und Synergieeffekte können – auch entsprechend der Ziele des Koalitionsvertrages – am besten durch eine Bündelung von Kompetenzen im Rahmen des kooperativen Föderalismus realisiert werden. Eine so verstandene Bündelung bedeutet auch, vorhandenes Wissen Bürgerinnen und Bürgern, Unternehmen und Verwaltungen sowie Aufsichtsbehörden leicht zugänglich zu machen (siehe dazu: Punkt 8).

2. DSK gesetzlich verankern

DSK institutionalisieren.

Wesentliche Grundlage für eine Modernisierung der Datenschutzaufsicht ist die DSK: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat sich in den vergangenen Jahren als zentrales Koordinierungsgremium der deutschen Datenschutzaufsicht etabliert. Sie erfüllt bereits heute eine wesentliche Funktion bei der Abstimmung zwischen den Ländern und dem Bund und trägt maßgeblich zur Vereinheitlichung der Rechtsanwendung bei. Dennoch erfolgt ihre Tätigkeit bislang überwiegend auf informeller Grundlage, was ihre strukturellen Möglichkeiten begrenzt.

Die gesetzliche Verankerung der DSK im Bundesdatenschutzgesetz (BDSG) würde ihre Rolle institutionell absichern und ihre Arbeitsfähigkeit nachhaltig stärken. Im BDSG sollten klare Zuständigkeiten, Verfahren und Zielsetzungen definiert werden. Dies erhöht nicht nur die Transparenz, sondern verbessert auch die Verbindlichkeit der Zusammenarbeit.

Die Erfahrung zeigt, dass eine einheitliche Auslegung des Datenschutzrechts auch durch effektive und verbindliche Abstimmungsmechanismen erreicht werden kann, ohne die Vorteile regionaler Aufsicht aufzugeben (siehe dazu: Punkt 3).

3. Verbindliche Mehrheitsentscheidungen etablieren

Einheitlichkeit durch verbindliche Beschlüsse.

In der öffentlichen Debatte wird den deutschen Aufsichtsbehörden häufig vorgeworfen, dass sie das Datenschutzrecht unterschiedlich bewerten würden. Hierdurch käme es zu widersprüchlichen Anforderungen, die Rechtsunsicherheit schaffen und Investitionen erschweren würden. Dies ist unzutreffend. Mit der Einführung verbindlicher Mehrheitsentscheidungen der Datenschutzkonferenz (DSK) zu bundesweit einheitlich geregelten Sachverhalten können auch diese Bedenken ausgeräumt werden.

Die Geschäftsordnung der DSK sieht schon heute entsprechende Mechanismen vor, die sich in der Praxis bewährt und die aufsichtsbehördliche Praxis bereits vereinheitlicht haben. Künftig sollen diese Abstimmungsmechanismen für die deutschen Aufsichtsbehörden bindend sein. Verbindliche Mehrheitsentscheidungen ermöglichen es, offene Rechtsfragen zu klären, Position zu beziehen und eine einheitliche Rechtsanwendung sicherzustellen. Sie sorgen für Rechtssicherheit bei der Anwendung datenschutzrechtlicher Vorschriften und sind damit Voraussetzung für ein innovationsförderndes Datenschutzrecht.

4. DSK durch eine Geschäftsstelle professionalisieren

Koordination strukturell stärken.

Derzeit wechseln mit dem DSK-Vorsitz auch die Organisation von Abstimmungsprozessen, Sitzungen, Umlaufverfahren der DSK. In der Praxis bedeutet das, dass sich jährlich ein neues Team von Beschäftigten des jeweiligen Vorsitzlandes in die im Zusammenhang mit der DSK anfallenden Aufgaben und Tätigkeiten einarbeitet. Nachhaltiger Wissensaufbau, Optimierung von Prozessen und eine effiziente Geschäftsführung sind hierdurch erheblich erschwert. Eine zentrale Geschäftsstelle der DSK würde hier Abhilfe schaffen. Die DSK-Geschäftsstelle würde dann eine Schlüsselrolle übernehmen, denn sie könnte die organisatorische und fachliche Unterstützung der Zusammenarbeit zwischen den Aufsichtsbehörden sicherstellen und insbesondere die Vorbereitung, Durchführung und Nachbereitung von Abstimmungsprozessen verbessern. Darüber hinaus könnte die Geschäftsstelle der DSK dazu beitragen, Wissen systematisch zu dokumentieren und für Bürger, Unternehmen und Verwaltungen leicht zugänglich zu machen. Eine DSK-Geschäftsstelle sichert Kontinuität und vermeidet Doppelarbeit.

5. Spezialkompetenzen gezielt bündeln

Expertise konzentrieren, um Doppelstrukturen zu vermeiden.

Die fortschreitende Digitalisierung stellt die Datenschutzbehörden vor komplexe und vielschichtige Herausforderungen, z. B. in Bereichen wie Künstliche Intelligenz, Plattformökonomie, Cloud-Infrastrukturen oder Wissenschaft und Forschung.

Eine arbeitsteilige Organisation innerhalb der Datenschutzaufsicht ist daher zu begrüßen und bereits heute gelebte Praxis. Durch die gezielte Bündelung von Spezialkompetenzen können Ressourcen effizient genutzt und Kompetenzschwerpunkte aufgebaut werden.

Eine Bündelung von Kompetenzen bei der BfDI sollte dadurch erreicht werden, dass ihr im nicht-öffentlichen Bereich die Zuständigkeiten für

• „Marktortfälle“ nach Art. 3 Abs. 2 DS-GVO,
• die Beratung von Anbietern von Datenverarbeitungsdiensten mit Infrastrukturcharakter für viele Nutzerinnen und Nutzer im Bundesgebiet,
• die zentrale Koordinierung von Verhaltensregeln und Akkreditierungen von Zertifizierungsstellen sowie
• die Vertretung in technischen Normierungsverfahren

übertragen werden.

6. Orientierung insbesondere für Unternehmen bieten

Klarheit für die Praxis schaffen.

Die Datenschutz-Grundverordnung (DSGVO) enthält eine Vielzahl an Generalklauseln und offenen Rechtsbegriffen. Eine klare und praxistaugliche Orientierung ist daher entscheidend.

Gemeinsame Positionen der DSK ermöglichen es gerade Unternehmen, datenschutzrechtliche Anforderungen besser zu verstehen und umzusetzen. Gleichzeitig unterstützen sie die Aufsichtsbehörden bei einer einheitlichen Anwendung des Rechts. Daher haben die Aufsichtsbehörden in der Vergangenheit bereits regelmäßig einstimmig eine Fülle von Leitfäden, Praxis- und Orientierungshilfen veröffentlicht. Entlang der Helsinki-Vorgaben sollen Dialog und Orientierungshilfen für die Praxis künftig weiter ausgebaut werden.

7. Zentrales digitales Portal (Single entry point & „no wrong door“)

Zugang vereinfachen.

Die Einrichtung eines einheitlichen digitalen Zugangs zur Datenschutzaufsicht im nicht-öffentlichen Bereich ist ein zentraler Baustein für eine moderne und nutzerfreundliche Verwaltung. Nach dem Prinzip „no wrong door“ sollen künftig alle Anfragen unabhängig von der (sachlichen und räumlichen) Zuständigkeit der Datenschutzbehörde über ein zentrales digitales Portal entgegengenommen werden können. Zusätzlich sollen die Meldewege für Datenschutzverletzungen zentralisiert werden. Die nachfolgende Weiterleitung und Bearbeitung erfolgt effizient und geräuschlos. Dadurch wird der Zugang zur Datenschutzaufsicht vereinfacht und die Bearbeitung der Anliegen gleichzeitig beschleunigt. Auch für Unternehmen mit mehreren Standorten wird so ein klarer und einheitlicher Kommunikationskanal entstehen.

Ein zentrales digitales Portal stärkt die Effizienz der Aufsicht, ohne die föderale Struktur aufzugeben. Es ist Voraussetzung für eine moderne, nutzerfreundliche Verwaltung.

8. Gemeinsame Entscheidungsdatenbank aufbauen

Transparenz und Kohärenz erhöhen.

Entscheidungen der deutschen Datenschutzaufsichtsbehörden werden bislang nicht systematisch gebündelt und veröffentlicht. Eine gemeinsame Datenbank der Datenschutzaufsicht für Entscheidungen und Veröffentlichungen wie Orientierungshilfen und Handreichungen könnte hier Abhilfe schaffen, wenn eine Geschäftsstelle der DSK eine solche Arbeit unterstützt (s.o. C.4.) und im Bußgeldbereich eine gesetzliche Veröffentlichungserlaubnis geschaffen würde. Bürgerinnen und Bürger sowie Unternehmen können so die Aufsichtspraxis besser nachvollziehen: Es entstünde mehr Verlässlichkeit und Vorhersehbarkeit.

Die DSK erarbeitet daher derzeit ein Konzept für eine gemeinsame Entscheidungsdatenbank. Diese wird perspektivisch mehr Transparenz schaffen, die Rechtssicherheit bei allen Beteiligten erhöhen und einen weiteren Beitrag zur einheitlichen Anwendung der DS-GVO leisten, da der Zugriff auf vorhandenes Wissen erleichtert und die Entscheidungspraxis abgeglichen werden kann.

9. „Einer-für-Alle“-Prinzip einführen

Doppelarbeit vermeiden.

Ein wesentliches Effizienzproblem der aktuellen Aufsichtsstruktur im nicht-öffentlichen Bereich besteht in parallelen Prüfungen ähnlicher oder identischer Sachverhalte durch mehrere Behörden. Dies führt auf allen Seiten zu erhöhten Aufwänden. Das „Einer-für-Alle“-Prinzip setzt genau an diesem Punkt an.

Es sieht vor, dass die Prüfung eines Sachverhalts durch eine zuständige Aufsichtsbehörde bundesweit Verbindlichkeit entfaltet, sofern dieser Sachverhalt bundesweit gesetzlich einheitlich geregelt ist. Damit wird sichergestellt, dass identische Fragestellungen nicht mehrfach geprüft werden müssen. Insbesondere bei komplexen, länderübergreifenden Sachverhalten können hiermit erhebliche Effizienzgewinne erzielt werden.

Zugleich trägt das Prinzip zur Vereinheitlichung der Rechtsanwendung bei, da eine einmal getroffene Bewertung für alle Beteiligten gilt. Daher arbeitet die DSK derzeit an der Erstellung von Standards und Vorlagen zur Erfüllung der Dokumentationspflichten der Verantwortlichen.  Die Verwendung dieser Standards und Vorlagen führt zur Qualitätsverbesserung und der Vergleichbarkeit der Dokumentation und ist wichtige Voraussetzung der übergreifenden Anerkennung von Prüfergebnissen.

10. Koordination stärken und Verfahren beschleunigen

Effizienz durch klare Prozesse.

Eine Verbesserung der Koordination ist ein zentraler Ansatzpunkt für Reformen. Ziel ist es, Verfahren zu standardisieren, Bewertungskriterien zu vereinheitlichen und Entscheidungsprozesse zu beschleunigen, ohne die Qualität der Rechtsanwendung zu beeinträchtigen.

Ein wichtiger Baustein ist dabei die Einführung klarer Prozesse und Zuständigkeiten. Einheitliche Ansprechpartner, etwa im Sinne eines One-Stop-Shop-Modells, können die Kommunikation erheblich vereinfachen.

Eine verbesserte Koordination (siehe dazu: Punkt 4) ermöglicht es, die Vorteile der föderalen Struktur zu erhalten und gleichzeitig die Effizienz deutlich zu steigern: Eine moderne Datenschutzaufsicht entsteht nicht durch Zentralisierung, sondern durch optimierte Zusammenarbeit auf föderaler Grundlage.

D.  Kernthesen zum materiellen Datenschutzrecht

Datenschutzrecht zielorientiert modernisieren

Die Datenschutzkonferenz hat eine Reihe von konkreten Vorschlägen zur Weiterentwicklung des materiellen Datenschutzrechts vorgelegt, etwa zum Schutz von Kindern im Netz oder zur Förderung gemeinwohlorientierter Forschung. Die Datenschutz-Grundverordnung könnte und sollte darüber hinaus unter mehreren Gesichtspunkten modernisiert werden.

1. Leitplanken für KI

Der Einsatz von KI braucht einen sicheren Rahmen. An die Seite der bereits diskutierten Vorgaben für ein angemessenes Training der KI mit personenbezogenen Daten muss die Sicherstellung einer effektiven Durchsetzung der Betroffenenrechte treten. Beim Einsatz von KI-Systemen ist durch technisch-organisatorische und rechtliche Vorkehrungen die effektive Wirksamkeit der grundlegenden Prinzipien des Datenschutzes sicherzustellen.

2. Operationalisierung verbessern

Eine Reihe von Regelungen sollten zu besserer Funktionalisierung und Operationalisierung entschlackt werden. Bisher dysfunktionale Instrumente zur Selbstregulierung vor allem der Wirtschaft bedürfen der Vereinfachung. Dies betrifft insbesondere die Zertifizierung oder die Verhaltenskodizes (Art. 40 ff. DSGVO).

3. Risikobasierte Ansätze prüfen

In die DSGVO können einige risikobasierte Ansätze eingebaut werden, aber mit Bedacht. Gegenstände könnten beispielsweise die Verarbeitung von Daten besonderer Kategorien (Art. 9 DSGVO) oder die Übermittlung von Daten in Drittstaaten (Art. 44 ff. DSGVO) sein. Dies kann zu Erleichterungen bei manchen Datenverarbeitungen, aber auch zu höheren Anforderungen bei anderen führen.

4. Auftragsverarbeitung entbürokratisieren, Hersteller in die Pflicht nehmen

Die Rechtsrahmen für Auftragsverarbeitungsverhältnisse bietet erhebliche Vereinfachungspotentiale, ohne dass dadurch Abstriche am Datenschutz hingenommen werden müssen: durch Umgestaltung der Auftragsverarbeitung zu einem gesetzlichen Schuldverhältnis können unnötige Prüferfordernisse und Fehlerquellen verringert werden. Gleichzeitig wird arbeitsteilige Datenverarbeitung vereinfacht und entbürokratisiert. Vor allem zur Entlastung von KMU müssen die Pflichten der Akteure von Datenerarbeitungen gerechter verteilt werden. Die Hersteller von Anwendungen müssen für ihre Produkte und Lösungen nach dem Vorbild der KI-Verordnung auch im Rahmen der DSGVO verantwortlich sein.

5. Grundrechtsschutz effektivieren

Das Datenschutzrecht könnte stärker auf die Mehrung gesellschaftlichen Nutzens ausgerichtet werden, ohne den Grundrechtsschutz zu schwächen. Im Fokus sollten risikoreiche Datenverarbeitungen stehen. Dazu sollte die Bearbeitung von Beschwerden priorisiert werden können, auch um Raum für die gezielte Unterstützung innovativer und datenschutzgerechter Anwendungen zu schaffen. Bei allen Änderungen der DSGVO sind der Schutz personenbezogener Daten durch Art. 8 GRCh, Art. 16 AEUV und die allgemeinen Prinzipien des Art. 5 DSGVO zu wahren.

 

Stuttgarter Impulse zur Modernisierung des Datenschutzes als PDF