Zurück zu Aktuelles

Datenschutz & DSGVO

Punkt 14 des Koalitions-Maßnahmenpakets: Was der DSGVO-Umbau für KMU wirklich bedeutet

„DSGVO fällt für KMU weg" – so klingt die Schlagzeile. Tatsächlich zerfällt Punkt 14 in zwei sehr unterschiedliche Baustellen: eine, die nur über Brüssel läuft und Jahre braucht, und eine, die Berlin morgen umsetzen könnte. Eine nüchterne Einordnung, was realistisch ist und was nicht.

2026-07-037 Min.Peter Neubert

Anfang Juli 2026 hat der Koalitionsausschuss ein Maßnahmenpaket mit 34 Reformen beschlossen. Punkt 14 betrifft den Datenschutz – und wird in vielen Meldungen auf die griffige Formel „Vereine und KMU raus aus der DSGVO" verkürzt. Für kleine und mittlere Unternehmen klingt das nach spürbarer Entlastung. Lohnt es sich, darauf zu warten?

Bei näherem Hinsehen zerfällt Punkt 14 rechtlich in drei sehr unterschiedliche Vorhaben – mit ganz verschiedenen Erfolgsaussichten und Zeithorizonten. Dieser Beitrag ordnet nüchtern ein, was realistisch ist, was national überhaupt geht und was für Ihr Unternehmen daraus folgt. Ohne Rechtsversprechen, aber mit den Punkten, die im Alltag zählen.

Was in Punkt 14 wirklich steht

Hinter der einen Schlagzeile stecken drei getrennte Baustellen. Es hilft, sie auseinanderzuhalten, weil sie unterschiedlich schnell und unterschiedlich wahrscheinlich sind:

  • DSGVO-Ausnahme: Vereine, KMU und „risikoarme" Verarbeitungen (z. B. Kundenlisten von Handwerkern) sollen ganz aus dem Anwendungsbereich der DSGVO fallen.
  • Datenschutzbeauftragte: In kleinen und mittleren Unternehmen soll die Zahl der Pflicht-DSB sinken – über eine höhere Schwelle für die Bestellpflicht.
  • Datengesetzbuch: Ein neues Gesetzbuch auf Bundesebene soll verstreute Vorschriften bündeln und die Auslegung der EU-Regeln erleichtern.

Die DSGVO-Ausnahme: nur über Brüssel möglich

Der wichtigste Punkt, der in vielen Meldungen untergeht: Deutschland kann Vereine und KMU nicht im Alleingang aus der DSGVO herausnehmen. Auch im Beschluss steht ausdrücklich, dass die Regierung das „auf EU-Ebene" anstrebt. Der Grund ist rechtlich zwingend – die DSGVO ist eine EU-Verordnung und damit unmittelbar geltendes, vorrangiges Recht.

Nationale Ausnahmen sind nur im Rahmen der sogenannten Öffnungsklauseln möglich, und diese erlauben keine Herausnahme ganzer Verantwortlichen-Kategorien aus dem Anwendungsbereich. Ein deutscher Alleingang „Verein raus, Handwerker raus" wäre europarechtswidrig. Der Weg führt also zwingend über eine Änderung der Verordnung selbst – und die entscheidet nicht Berlin, sondern Brüssel.

Das realistische Vehikel dafür ist der EU Digital Omnibus, den die Kommission am 19. November 2025 vorgelegt hat. Nur: Der Omnibus schlägt gezielte Erleichterungen vor – etwa eine Präzisierung des Begriffs „personenbezogene Daten" und schlankere Pflichten –, nicht eine pauschale Befreiung aller KMU vom Anwendungsbereich. Die deutsche Forderung „ganz raus" geht deutlich weiter als das, was derzeit tatsächlich auf dem Tisch liegt. Und selbst dieser engere Vorschlag ist umstritten: Der Europäische Datenschutzausschuss (EDSA) hat in einer gemeinsamen Stellungnahme gewarnt, eine Verengung des Personenbezugs berühre unmittelbar das Grundrecht auf Datenschutz. Die radikalere deutsche Variante hat es also gleich doppelt schwer.

Für die Praxis heißt das vor allem eins: Zeit. Ein Vorhaben, das erst durch das EU-Gesetzgebungsverfahren muss, ist nicht in Monaten, sondern in Jahren zu denken. Planen Sie nicht damit, dass sich hier vor 2027/2028 etwas Handfestes bewegt – und auch dann nicht in der pauschalen Form der Schlagzeile.

Illustration: DSGVO-Ausnahme läuft über die EU-Ebene, nicht national
Die angekündigte DSGVO-Ausnahme ist der unsicherste und langsamste Teil – sie braucht eine Änderung der EU-Verordnung.

Datenschutzbeauftragte: national schnell machbar

Ganz anders bei der Pflicht zum betrieblichen Datenschutzbeauftragten. Die kann Deutschland tatsächlich national regeln, weil Art. 37 Abs. 4 DSGVO hier eine Öffnungsklausel enthält und die Pflicht über § 38 BDSG national ausgestaltet ist. Genau dieser Hebel wurde schon einmal betätigt: Zum 26. November 2019 hob der Gesetzgeber die Schwelle für die Bestellpflicht von zehn auf zwanzig ständig mit automatisierter Datenverarbeitung beschäftigte Personen an. Eine weitere Anhebung wäre derselbe Mechanismus – gesetzestechnisch unkompliziert und ohne Umweg über Brüssel.

Wichtig ist die Kehrseite: Der Wegfall des Datenschutzbeauftragten entfernt nicht die Pflichten, sondern nur die Fachkunde im Haus. Die datenschutzrechtliche Verantwortung bleibt vollständig bestehen – Auskunftsrechte, Löschfristen, Verträge zur Auftragsverarbeitung, Meldepflichten bei Datenpannen gelten unverändert. Fällt der betriebliche DSB weg, steigt der Beratungsbedarf im Zweifel eher, als dass er sinkt. Datenschützer nennen die reine Streichung deshalb eine „Milchmädchenrechnung".

Datengesetzbuch: Bündelung, kein DSGVO-Ersatz

Das geplante Datengesetzbuch ist keine Deregulierung, sondern eine Kodifikation. Es soll bislang verstreute nationale Vorschriften systematisch bündeln und die Auslegung der EU-Regeln auf Bundesebene erleichtern. Es kann die DSGVO weder ersetzen noch aushebeln – nur das deutsche Recht drumherum ordnen. Ob daraus echte Entlastung wird oder eine weitere Ebene, ist offen; einige Aufsichtsbehörden warnen hier eher vor zusätzlicher Bürokratie als dass sie mit spürbarer Vereinfachung rechnen.

Was heißt das für kleine und mittlere Unternehmen?

Wer Punkt 14 auseinandersortiert, bekommt statt der Schlagzeile „DSGVO fällt für KMU weg" ein präzises Bild: Der laut angekündigte Teil – die Ausnahme vom Anwendungsbereich – ist der unsicherste und langsamste und in der radikalen Form („ganz raus") europarechtlich unwahrscheinlich. Der leise Teil – die höhere Schwelle für den Datenschutzbeauftragten – ist der realistischste, weil national schnell machbar.

Wer jetzt plant, „bald braucht es keinen Datenschutz mehr", liegt fachlich daneben. Selbst im Erfolgsfall verschwindet nicht die Verantwortung, sondern nur die formale Pflichtstruktur. Und genau da liegt für uns der eigentliche Punkt: Der Hebel verschiebt sich weg vom „Compliance-Zwang" als Argument hin zu Datenhoheit und sauberen Prozessen als bewusster Qualitäts- und Souveränitätsentscheidung. Ein KMU ohne eigenen Datenschutzbeauftragten braucht dafür eher mehr verlässliche, souverän betriebene Infrastruktur – nicht weniger.

Unser praktischer Rat: Warten Sie nicht auf einen „DSGVO-Wegfall", der so nicht kommt. Sorgen Sie stattdessen für nachvollziehbare, strukturierte Prozesse und eine Datenablage, die Sie selbst kontrollieren. Das trägt unabhängig davon, wie Punkt 14 am Ende ausgeht – und ist genau der Teil, den Sie heute in der Hand haben.

Dieser Beitrag ist eine allgemeine rechtliche Einordnung, keine Rechtsberatung im Einzelfall. Für belastbare Aussagen zu Ihrer konkreten Situation gehört ein Fachanwalt für IT-/Datenschutzrecht dazu.

Häufige Fragen

Fällt die DSGVO für KMU und Vereine jetzt weg?

Nein. Der Koalitionsbeschluss strebt eine Ausnahme nur auf EU-Ebene an. Deutschland kann Vereine oder KMU nicht national aus dem Anwendungsbereich der DSGVO herausnehmen, weil die DSGVO vorrangiges EU-Recht ist und nationale Ausnahmen nur im Rahmen der Öffnungsklauseln erlaubt sind.

Wann könnte sich bei der DSGVO-Ausnahme etwas ändern?

Realistisch nicht kurzfristig. Eine echte Ausnahme setzt eine Änderung der EU-Verordnung voraus – Vehikel wäre der Digital Omnibus vom November 2025. Solche Verfahren ziehen sich über Jahre; vor 2027/2028 ist mit nichts Handfestem zu rechnen, und die pauschale Form ist ohnehin unwahrscheinlich.

Was ändert sich bei der Pflicht zum Datenschutzbeauftragten?

Das ist der Teil, den Deutschland national schnell regeln kann. Über § 38 BDSG lässt sich die Schwelle für die Bestellpflicht anheben – wie 2019, als sie von zehn auf zwanzig mit automatisierter Datenverarbeitung beschäftigte Personen stieg. Eine weitere Anhebung wäre technisch unkompliziert.

Entfällt mit dem Datenschutzbeauftragten auch die Verantwortung?

Nein. Wegfallen würde nur die Pflicht zur Bestellung – nicht die Pflichten selbst. Auskunftsrechte, Löschfristen, Auftragsverarbeitung und Meldepflichten gelten weiter. Ohne eigenen DSB steigt der externe Beratungsbedarf eher, als dass er sinkt.

Ersetzt das geplante Datengesetzbuch die DSGVO?

Nein. Es bündelt verstreute nationale Vorschriften und soll die Auslegung der EU-Regeln erleichtern. Die DSGVO kann es weder ersetzen noch aushebeln – es ordnet nur das deutsche Recht drumherum.

Was sollten KMU jetzt konkret tun?

Nicht auf einen „DSGVO-Wegfall" warten, der so nicht kommt. Sinnvoller ist, Prozesse nachvollziehbar und strukturiert aufzustellen und die eigene Datenablage selbst zu kontrollieren – das trägt unabhängig vom Ausgang von Punkt 14.

Konkrete Frage zu Ihrer Dokumentation?

Erstgespräch anfragen