Die Bundesregierung hat im Dezember 2025 angekündigt Änderungen bei der Pflicht zur Benennung eines Datenschutzbeauftragten umzusetzen.
Konkret geht es um die deutsche Sonderregelung im §38 BDSG. Dort wird die Pflicht zur Benennung eines betrieblichen DSB geregelt, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Die DSGVO regelt die Benennungspflicht anders, nämlich geknüpft an Art und Risiko der Datenverarbeitung.
Wenn jetzt tatsächlich mit dem Jahresende der §38 Abs. 1 BDSG verschwinden sollte, entfiele die Bennenungspflicht für eine Vielzahl von kleineren Unternehmen ohne risikoreiche Datenverarbeitung.
Was bedeutet das für Unternehmen, die keinen DSB mehr benennen müssen?
Mit der Benennungspflicht entfiele nicht die Pflicht die Regelungen der DSGVO weiterhin umzusetzen. Unternehmen, die künftig auf einen externen DSB verzichten würden, müssten intern für datenschutzrechtliche Kenntnisse und Expertise sorgen.Daraus folgt eine noch größere Verantwortung bei der Geschäftsführung.
Weiterhin müsste regelmäßig geprüft und dokumentiert werden, dass das Unternehmen nicht in den Bereich der risikoreichen Datenverarbeitung rutscht, und damit eine DSB Pflicht gem. ART 37 DSGVO entsteht. Insbesondere kann z.B. der Einsatz von KI-gestützten Systemen zur Datenverarbeitung ein Unternehmen schnell in den von ART 37 DSGVO umfassten Bereich befördern.
Fazit: Für einige Unternehmen würde der Entfall der starren 20 Personen Regelung einen Vorteil bringen. Weniger Bürokratie – geringere Kosten. Ohne den professionellen Datenschutzbeauftragten steigen jedoch Schulungsaufwand, Dokumentationspflichten und Verantwortung im Unternehmen.
