Stuttgarter Impulse zur Modernisierung des Datenschutzes

Die Diskussion über eine Modernisierung des Datenschutzes hat in Deutschland an Dynamik gewonnen. Im Mittelpunkt steht dabei nicht nur die Frage, ob die Datenschutz-Grundverordnung praktikabler ausgestaltet werden muss, sondern auch wie die Datenschutzaufsicht in Deutschland künftig organisiert sein soll. Die unabhängigen Datenschutzaufsichtsbehörden der Länder haben hierzu mit den „Stuttgarter Impulsen zur Modernisierung des Datenschutzes“ eigene Eckpunkte vorgelegt.

Danach soll die Aufsicht im Kern moderner, verbindlicher und effizienter werden, ohne die föderale Struktur aufzugeben. Die Behörden wenden sich damit gegen die Vorstellung, eine Zentralisierung der Datenschutzaufsicht sei der entscheidende Weg zu mehr Einheitlichkeit und Entlastung. Stattdessen setzen sie auf eine institutionell gestärkte Datenschutzkonferenz, verbindlichere Abstimmungen, bessere digitale Zugänge und mehr Transparenz der Aufsichtspraxis.

Ausgangspunkt: Modernisierung ja, Zentralisierung nein

Die Datenschutzaufsichtsbehörden der Länder erkennen Reformbedarf ausdrücklich an. Sie verweisen auf die zunehmende Komplexität des europäischen Digitalrechts, neue Regelungsbereiche wie KI, Datenwirtschaft und Plattformregulierung sowie den Wunsch von Unternehmen nach mehr Rechtssicherheit und weniger Bürokratie.

Gleichzeitig betonen sie, dass die Grundstruktur des Datenschutzes nicht beliebig national umgebaut werden kann. Der Schutz personenbezogener Daten ist unionsrechtlich und grundrechtlich verankert. Nationale Reformen müssen daher die Datenschutz-Grundverordnung, Art. 8 der Europäischen Grundrechtecharta und die Zuständigkeitsordnung im föderalen Staat beachten.

Die zentrale Botschaft lautet: Mehr Einheitlichkeit soll nicht durch eine Abschaffung oder Schwächung der Landesaufsichten erreicht werden, sondern durch verbindlichere Koordination.

Welche Modernisierungsansätze wünschen dich die Aufsichtsbehörden?

Die Aufsichtsbehörden haben hierzu die folgenden zehn Modernisierungsvorschläge erarbeitet:

  1. Kompetenzen stärker verzahnen. Synergien nutzen.
  2. Die DSK gesetzlich verankern
  3. Verbindliche Mehrheitsentscheidungen etablieren
  4. DSK durch eine Geschäftsstelle professionalisieren
  5. Spezialkompetenzen gezielt bündeln
  6. Orientierung insbesondere für Unternehmen bieten
  7. Zentrales digitales Portal (Single entry point & „no wrong door“)
  8. Gemeinsame Entscheidungsdatenbank aufbauen
  9. „Einer-für-Alle“-Prinzip einführen
  10. Koordination stärken und Verfahren beschleunigen

Im Fokus der Modernisierungsüberlegungen steht dabei vor allem die Datenschutzkonferenz (DSK). Diese soll im Bundesdatenschutzgesetz (BDSG) abgesichert werden und weiterreichende Kompetenzen erhalten.

Die DSK ist zwar bereits heute das zentrale Abstimmungsgremium der deutschen Datenschutzaufsicht, bislang beruht ihre Arbeit jedoch überwiegend auf informellen Strukturen. Eine gesetzliche Verankerung, insbesondere im BDSG, soll Zuständigkeiten, Verfahren und Zielsetzungen klarer festlegen. Darüber hinaus sollen Mehrheitsentscheidungen der DSK verbindlicher werden. Dadurch könnten bundesweit einheitlich geregelte Sachverhalte konsistenter bewertet werden. Die Behörden wollen damit Rechtsunsicherheit reduzieren, ohne die regionale Nähe der Aufsicht aufzugeben.

Im Übrigen sollen digitale und organisatorische Strukturen verbessert werden. Dazu gehören eine professionelle Geschäftsstelle der DSK, ein zentrales digitales Portal für Eingaben und Meldungen sowie eine gemeinsame Entscheidungsdatenbank.

Schließlich sollen Spezialkompetenzen gezielter gebündelt werden. Komplexe Themen wie KI, Cloud-Infrastrukturen, Plattformökonomie, Forschung, Zertifizierung oder technische Normung sollen arbeitsteilig bearbeitet werden, um Doppelarbeit zu vermeiden und Expertise aufzubauen.

Mythen und Fakten in der Reformdebatte

Die Datenschutzbehörden versuchen zudem mit gängigen Mythen in der Modernisierungsdebatte aufzuräumen.

  • Mythos 1: „Datenschutzaufsicht kann beliebig zentralisiert werden.“ Die Behörden halten dem entgegen, dass Datenschutzaufsicht im föderalen Staat verfassungsrechtlich mitgeprägt ist. Für öffentliche Stellen der Länder und Kommunen, aber auch für Bereiche wie Schulen, Hochschulen, Forschung, Kultur, Medien oder Gerichte bestehen landesrechtliche Zuständigkeiten. Eine Aufsicht vollständig ohne Landesbehörden wäre deshalb nicht realistisch.
  • Mythos 2: „Beschwerdebearbeitung ist ein leicht skalierbares Massengeschäft.“ Nach Darstellung der Aufsichtsbehörden wurden 2025 bundesweit weit über 60.000 Beschwerden registriert, mit weiter steigender Tendenz. Ein erheblicher Teil betrifft den nicht-öffentlichen Bereich. Die Bearbeitung solcher Beschwerden ist regelmäßig einzelfallbezogen und personalintensiv. Eine bloße Zuständigkeitsverlagerung würde den Aufwand daher nicht beseitigen.
  • Mythos 3: „Zentralisierung bringt automatisch Effizienzgewinne.“ Die Landesaufsichtsbehörden verweisen auf ihre regionale Beratungspraxis, Veranstaltungen und individuelle Unterstützung insbesondere für kleine und mittlere Unternehmen. Gerade KMU profitieren häufig von örtlich erreichbaren Ansprechpartnern. Eine Zentralisierung könnte zwar einheitlicher wirken, würde aber regionale Expertise und bestehende Netzwerke schwächen.
  • Mythos 4: „Deutschland legt die DSGVO besonders streng aus.“ Die Behörden widersprechen dem Eindruck eines isolierten „deutschen Datenschutzes“. Deutsche Aufsichtsbehörden stimmen sich im Europäischen Datenschutzausschuss und innerhalb der DSK ab. Zudem verweisen sie darauf, dass der EuGH in einschlägigen Fällen nicht pauschal eine zu strenge deutsche Aufsichtspraxis korrigiert habe.
  • Mythos 5: „Die deutsche Datenschutzaufsicht ist grundsätzlich uneinheitlich.“ Die Behörden räumen ein, dass unterschiedliche Sachverhalte auch zu unterschiedlichen Bewertungen führen können. Sie sehen darin aber kein spezifisches Datenschutzproblem. Aus ihrer Sicht bestehen bereits heute umfangreiche Koordinierungsmechanismen, Orientierungshilfen und gemeinsame Beschlüsse. Reformbedarf bestehe daher vor allem bei der Verbindlichkeit und Sichtbarkeit dieser Abstimmung.

Impulse zum materiellen Datenschutzrecht

Neben der Aufsichtsstruktur greifen die Stuttgarter Impulse auch materielle Fragen auf. Beim Einsatz von KI sollen Datenschutzprinzipien und Betroffenenrechte wirksam durchgesetzt werden können. Zudem sehen die Behörden Reformbedarf bei Selbstregulierungsinstrumenten wie Zertifizierungen und Verhaltenskodizes, die in der Praxis bislang nicht ihr volles Potenzial entfalten.

Risikobasierte Ansätze sollen geprüft werden, allerdings nicht als pauschale Deregulierung. Je nach Verarbeitung können sie Erleichterungen oder höhere Anforderungen bedeuten. Auch die Auftragsverarbeitung soll entbürokratisiert werden. Die Behörden regen an, Auftragsverarbeitung stärker gesetzlich zu strukturieren und Hersteller digitaler Produkte stärker in die Verantwortung zu nehmen.

Was bedeutet das für die Unternehmenspraxis?

Für Unternehmen ist besonders relevant, dass die Aufsichtsbehörden den Wunsch nach mehr Rechtssicherheit ausdrücklich aufnehmen. Die vorgeschlagenen Instrumente würden in der Praxis vor allem drei Effekte haben.

Erstens könnten verbindliche DSK-Entscheidungen und eine gemeinsame Entscheidungsdatenbank die Vorhersehbarkeit aufsichtsbehördlicher Bewertungen verbessern. Unternehmen müssten weniger stark auf informelle Einschätzungen einzelner Behörden angewiesen sein.

Zweitens könnten zentrale digitale Zugänge Melde- und Kommunikationsprozesse vereinfachen. Das wäre insbesondere für Unternehmen mit mehreren Standorten oder komplexen Konzernstrukturen relevant.

Drittens könnte das „Einer-für-Alle“-Prinzip Doppelprüfungen reduzieren. Wenn gleichgelagerte Sachverhalte nicht mehrfach bewertet werden müssten, könnten Datenschutzmanagement, Dokumentation und behördliche Kommunikation effizienter werden.

Gleichzeitig sollten Unternehmen die Impulse nicht als Ankündigung einer materiellen Abschwächung des Datenschutzes verstehen. Die Behörden stellen ausdrücklich klar, dass Grundrechtsschutz, Betroffenenrechte und zentrale DSGVO-Prinzipien erhalten bleiben sollen. Praktische Entlastung soll vor allem durch bessere Verfahren, mehr Standardisierung und klarere Zuständigkeiten entstehen.

Fazit

Die Stuttgarter Impulse sind kein Plädoyer für weniger Datenschutz, sondern für eine anders organisierte Datenschutzaufsicht. Die Landesaufsichtsbehörden erkennen Modernisierungsbedarf an, lehnen aber eine einfache Zentralisierung als Lösung ab. Ihr Gegenmodell lautet: föderale Nähe erhalten, Koordination verbindlicher machen, DSK institutionalisieren, Entscheidungen transparenter veröffentlichen und digitale Zugänge vereinfachen.

Für Unternehmen liegt der praktische Mehrwert vor allem in möglicher Rechtsklarheit, besseren Orientierungshilfen und weniger parallelen Verfahren. Ob diese Ziele erreicht werden, hängt allerdings davon ab, ob die vorgeschlagenen Strukturen tatsächlich gesetzlich umgesetzt und mit ausreichenden Ressourcen ausgestattet werden. Ohne verbindliche Verfahren, belastbare Zuständigkeiten und eine funktionierende Geschäftsstelle bliebe die Modernisierung vor allem ein organisatorischer Anspruch. Mit ihnen könnte sie dagegen zu einer spürbaren Verbesserung der Datenschutzpraxis führen.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern