Datenschutz-Reform: Kleine Firmen ohne Beauftragten ab sofort
Veröffentlicht: 08.07.2026 um 22:39 Uhr, Redaktion boerse-global.de
Kern der 34 Maßnahmen: Kleine und mittlere Unternehmen sollen künftig seltener einen Datenschutzbeauftragten bestellen müssen.
Die Bundesregierung will die nationale Schwelle streichen, nach der Firmen ab 20 Beschäftigten einen Datenschutzbeauftragten benötigen. Ziel ist es, bürokratische Hürden für kleinere Betriebe abzubauen – etwa im Handwerk, wo nur Kundenlisten verwaltet werden.
Ausnahmen für sensible Daten
Die Pflicht zur Bestellung bleibt aber bestehen, wenn Unternehmen besonders schützenswerte Informationen verarbeiten. Dazu zählen Gesundheitsdaten, biometrische Daten oder systematisches Monitoring. Eine EU-weite Umsetzung weiterer Ausnahmen ist frühestens für 2028 geplant.
Branchenverbände wie der Bitkom begrüßen den Vorstoß grundsätzlich. Doch Fachorganisationen schlagen Alarm.
Warnung vor neuen Risiken
Der Berufsverband der Datenschutzbeauftragten (BvD) äußerte sich kritisch. Zwar sei ein risikobasierter Ansatz richtig, doch die pauschale Reduzierung könne den Aufwand paradoxerweise erhöhen. „Die materiellen Anforderungen der DSGVO bestehen auch ohne bestellten Beauftragten fort“, warnte BvD-Vorsitzender Thomas Spaeing.
Experten befürchten eine Verlagerung der Verantwortung direkt auf die Unternehmensführung. Ohne Fachberatung steige das Risiko von Verfahrensfehlern – und damit die Gefahr hoher Bußgelder. Auch der Verband GDD warnt vor größerer Rechtsunsicherheit.
Datendiebstahl bleibt Milliardenrisiko
Die Reform lockert die Pflicht zum Datenschutzbeauftragten – doch die materiellen DSGVO-Anforderungen bleiben. Ohne Fachberatung drohen Verfahrensfehler und Bußgelder. Dieser Report zeigt, wie Sie Ihre Compliance auch ohne Beauftragten rechtssicher gestalten. Jetzt kostenlosen Report anfordern
Die Dimension des Problems zeigt eine Bitkom-Studie aus 2025: Rund 87 Prozent der deutschen Unternehmen waren von Datendiebstahl betroffen. Der Gesamtschaden: 289,2 Milliarden Euro.
Viele Unternehmen sehen Datenschutzbeauftragte nicht als Last, sondern als Teil der Lösung, betont der BvD. Ein vorzeitiger Abbau interner Kontrollen könnte zur „Bußgeldfalle“ werden – zumal die Aufsichtsbehörden risikoorientierte Kontrollen mit schärferen Sanktionen planen.
Grenzen der Deregulierung
Jurist Tim Wybitul weist darauf hin: Die DSGVO gilt als EU-Verordnung unmittelbar. Nationale Spielräume für Deregulierung sind begrenzt. Die Pflicht zu technischen und organisatorischen Maßnahmen – etwa Zugriffskontrollen und Verschlüsselung – bleibt für alle Unternehmen bestehen.
Wie komplex Haftungsfragen sind, zeigt ein Urteil des Sozialgerichts Nürnberg vom 10. Juni 2026. Demnach besteht kein Anspruch auf DSGVO-Schadensersatz bei einem Hackerangriff über einen Zero-Day-Exploit, wenn das Unternehmen marktführende Software und ausreichende Sicherheitsvorkehrungen einsetzte.
Neue Hürden durch KI-Regulierung
Ab August 2026 greift der EU AI Act – mit Bußgeldern bis zu 35 Millionen Euro. Wer jetzt seine KI-Compliance nicht aufbaut, riskiert existenzielle Strafen. Unser Leitfaden liefert einen konkreten KI-Compliance-Plan für den Mittelstand. KI-Compliance-Plan jetzt sichern
Parallel zu den Datenschutzlockerungen kommen neue Anforderungen auf Unternehmen zu. Der EU AI Act tritt am 2. August 2026 in Kraft. Für Hochrisiko-KI-Systeme gelten strenge Transparenz- und Compliance-Regeln.
Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Der AI Act sieht keine Ausnahmen nach Unternehmensgröße vor. Fachleute raten zu revisionssicheren Protokollierungen und klaren Verantwortlichkeiten – trotz der geplanten Lockerungen bleibt die Compliance für den Mittelstand eine zentrale Herausforderung.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
