Die Diskussion ist nicht neu, bekommt aber gerade wieder Fahrt: Die Pflicht zur Bestellung eines Datenschutzbeauftragten nach § 38 Abs. 1 BDSG soll abgeschafft werden. Während wir bereits im Dezember 2025 über die ersten konkreten Pläne aus der Föderalen Modernisierungsagenda berichtet haben (s. Conrad, datenschutz notizen, 12.12.2025), hat nun das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in seinem aktuellen Tätigkeitsbericht eine klare Warnung ausgesprochen und dabei Argumente geliefert, die gut nachvollziehbar machen, warum ein Datenschutzbeauftragter auch künftig sinnvoll bleibt.
Was ist geplant?
In der Föderalen Modernisierungsagenda, die Bundeskanzler und Ministerpräsidentinnen und -präsidenten am 4. Dezember 2025 beschlossen haben, findet sich unter Ziffer 160 folgende Ankündigung:
„Der Bund wird bis zum 31.12.2026 eine Aufhebung des § 38 Abs. 1 BDSG einbringen und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Artikel 37 DSGVO beschränken.“
(Besprechung des Bundeskanzlers mit den Regierungschefinnen und Regierungschefs der Länder vom 4.12.2025, Föderale Modernisierungsagenda, Nr. 160, S. 31)
Konkret bedeutet das: Wer bislang verpflichtet war, eine*n DSB zu benennen, weil in seiner Organisation mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten, würde künftig nur noch dann zur Bestellung verpflichtet sein, wenn die engeren Kriterien des Art. 37 DSGVO erfüllt sind – also etwa bei umfangreicher Verarbeitung sensibler Datenkategorien oder bei systematischer Überwachung von Personen als Kerntätigkeit.
Was sagt das ULD dazu?
In Ziff. 1.5 seines Tätigkeitsberichts bezieht das ULD unmissverständlich Position. Landesbeauftragte Dr. h. c. Marit Hansen sieht in den betrieblichen und behördlichen Datenschutzbeauftragten eine seit Jahrzehnten bewährte Erfolgsstory und formuliert ihre Sorge deutlich:
„Aus diesen Gründen sehen wir mit Sorge, dass sich Bund und Länder in der Föderalen Modernisierungsagenda vorgenommen haben, die Zusatzregeln im BDSG zu Datenschutzbeauftragten, die sich nach unserer Ansicht schon in den Vorgängerregelungen über viele Jahrzehnte bewährt haben, zurückzunehmen.“
(ULD, 44. Tätigkeitsbericht 2026, Tz. 1.5)
Das ULD betont dabei einen Punkt, der in der politischen Debatte allzu leicht übersehen wird: Wer keinen DSB benennen muss, muss dennoch sämtliche datenschutzrechtlichen Anforderungen der DSGVO erfüllen. Die Pflichten verschwinden also nicht – lediglich die sachkundige Unterstützung bei ihrer Erfüllung fällt weg.
Kein echter Bürokratieabbau – sondern mehr Verantwortung für die Unternehmen selbst
Dieser Einwand ist nicht neu, wird aber durch die ULD-Kritik erneut unterstrichen. Bereits der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) hatte anlässlich der gescheiterten Bundesratsinitiative 2024 klar formuliert:
„Die vorgeschlagene Streichung von § 38 BDSG ist aus Sicht des BvD nicht geeignet, um dieses Ziel zu erreichen. Denn: Alle datenschutzrechtlichen Anforderungen bleiben unverändert bestehen – unabhängig davon, ob ein Datenschutzbeauftragter benannt ist oder nicht.“
(BvD, Stellungnahme „Bundesrat hat über das BDSG beraten – Streichung des § 38 nicht beschlossen“, 22.3.2024)
In die gleiche Richtung argumentiert der Fachverband Externe Datenschutzbeauftragte e.V. (FED): Die Abschaffung der Benennungspflicht treffe vor allem den Mittelstand, dem dann eine zentrale fachkundige Ansprechperson fehle und der ohne DSB entweder auf teure Rechtsberatung angewiesen wäre oder die komplexen Datenschutzaufgaben selbst stemmen müsste (vgl. FED e.V., „Abschaffung der Benennungspflicht des Datenschutzbeauftragten: Kein Bürokratieabbau, sondern Gefahr für den Mittelstand“, 2024)
Besonders aufschlussreich ist dabei der Blick auf den Evaluierungsbericht des Bundesministeriums des Innern (BMI) zum BDSG. Das BMI war seinerzeit zu folgendem Schluss gekommen:
„Es hat sich gezeigt, dass Datenschutzbeauftragte eine wichtige Rolle als Ansprechpartner für Aufsichtsbehörden und bei der wirksamen operativen Umsetzung des Datenschutzrechts übernehmen. Eine weitere Anhebung der Bestellungspflichtgrenze des § 38 Abs. 1 BDSG kann nach den Rückmeldungen zu Problemen und Umsetzungsdefiziten bei Vereinen und kleineren und mittleren Unternehmen führen, während nach den Rückmeldungen ein Entlastungseffekt vielfach nicht wahrgenommen wird.“
(BMI, Bericht zur Evaluierung des Bundesdatenschutzgesetzes, Oktober 2022, Abschnitt 5.5.4)
Wie unser Beitrag vom Dezember 2025 es auf den Punkt gebracht hat: „Mit einer Streichung des § 38 BDSG schickt man die Lotsen von Bord bei gleichbleibenden Untiefen und Unsicherheiten.“
Was das für die Praxis bedeutet
Sollte die geplante Gesetzesänderung kommen, ändert sich an den materiellen Datenschutzpflichten nichts. Wer personenbezogene Daten verarbeitet – und das tut heute praktisch jedes Unternehmen –, muss:
- ein Verzeichnis der Verarbeitungstätigkeiten führen,
- Betroffenenrechte umsetzen,
- Datenpannen erkennen, bewerten und ggf. melden,
- Auftragsverarbeitungsverträge abschließen,
- technische und organisatorische Maßnahmen implementieren und dokumentieren.
All das erfordert Fachkenntnis. Und angesichts der wachsenden Zahl KI-gestützter Beschwerden – das ULD verzeichnete 2025 einen Anstieg von fast 40 Prozent (vgl. ULD, 44. Tätigkeitsbericht 2026, Tz. 1.2) – steigt das Risiko, ins Visier der Aufsicht zu geraten. Das ULD weist zudem darauf hin, dass der Zeitpunkt für einen solchen Schritt denkbar ungünstig ist: Neue Regelwerke wie der Data Act (anwendbar seit September 2025), die TTPW-Verordnung zu politischer Werbung und die KI-Verordnung bringen zusätzliche Anforderungen mit sich, die fachkundige Begleitung dringend erforderlich machen (vgl. ULD, 44. Tätigkeitsbericht 2026, Tz. 1.4 und 1.5).
Fazit
Die Abschaffung des § 38 Abs. 1 BDSG wäre kein Befreiungsschlag für Unternehmen, sondern ein Tausch: weg von klarer Struktur und Fachkompetenz, hin zu Rechtsunsicherheit und erhöhtem Haftungsrisiko. Das ULD bringt es auf den Punkt: Wer keinen DSB hat, muss dieselben datenschutzrechtlichen Anforderungen erfüllen – nur eben ohne kundige Beraterin oder kundigen Berater an der Seite.
Wer bereits auf einen externen Datenschutzbeauftragten setzt, hat also gut gewählt und gute Gründe, daran festzuhalten, unabhängig davon, wie die Gesetzeslage sich entwickelt. Für alle anderen gilt: Auch wenn die formale Pflicht künftig möglicherweise entfällt, bleibt die inhaltliche Notwendigkeit bestehen. Die Frage ist dann nicht mehr „Müssen wir?“, sondern „Wie stellen wir sicher, dass wir es richtig machen?“
30. April 2026 @ 11:37
Die Unabhängigkeit des Datenschutzbeauftragten sollte gewahrt bleiben, denn bei Wegfall des §38 würde der (interne) DSB nach Artikel 37 DSGVO ebenso geschwächt, es sei denn der Kündigungsschutz wird an diesen Artikel geknüpft. In vielen Unternehmen ist der interne DSB sehr wichtig, da er näher am Tagesgeschäft dran ist, als ein externer DSB. Der Bund sollte hier einen Kompromiss finden. Etwa die Reduzierung der Strafsummen, wenn ein Unternehmen einen DSB hat. Egal ob extern oder intern. Der DSB sollte nicht zum Papiertiger verkommen. Es hängt weit mehr daran als nur die Streichung eines Paragrafen.