Datenschutzbeauftragte unter Druck: Neue Pflichten und politische Kritik

Die Rolle des Datenschutzbeauftragten steht vor einem Wendepunkt. Innerhalb weniger Tage türmen sich neue Herausforderungen: verschärfte Anforderungen für die elektronische Patientenakte, scharfe Kritik der obersten Datenschützerin an Überwachungsplänen der Regierung – und dazu ein Ruf nach einheitlichen Compliance-Standards aus Brüssel. Was bedeutet das für die Praxis?

Für Datenschutzbeauftragte und Compliance-Manager wird damit eines klar: Die Zeit der reinen GDPR-Verwaltung ist vorbei. Gefragt ist jetzt dynamisches Risikomanagement – und das erfordert schnelles Umdenken.

Am 3. Dezember veröffentlichte der rheinland-pfälzische Datenschutzbeauftragte gemeinsam mit der Verbraucherzentrale die „Mainzer Erklärung” zur elektronischen Patientenakte (ePA). Das Dokument formuliert sechs zentrale Empfehlungen für den geplanten Rollout Anfang 2025.

Die Kernbotschaft: „Transparenz schafft Vertrauen.” Gerade für Datenschutzbeauftragte in Gesundheitsunternehmen und Versicherungen wird dieser Grundsatz zur neuen Messlatte. Mit der Initiative „ePA für alle”, die in wenigen Wochen startet, wächst der Druck: Das Widerspruchsrecht der Patienten muss nicht nur theoretisch existieren, sondern praktisch nutzbar sein.

Die digitale Infrastruktur müsse „sicher, nutzbringend und alltagstauglich” sein, heißt es in der Erklärung. Konkret bedeutet das: Unternehmen müssen jetzt prüfen, ob ihre Datenverarbeitung diesen Transparenzstandards genügt – insbesondere beim Datenaustausch und bei der Möglichkeit, Einwilligungen zu widerrufen.

Seit August 2024 gelten neue Regeln für KI-Systeme – und viele Datenschutzverantwortliche sind mit den praktischen Anforderungen noch nicht vertraut. Ein kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt verständlich, welche Pflichten, Risikoklassen und Dokumentationsanforderungen jetzt relevant sind. Mit klaren Checklisten, Vorlagen zur Pflichtdokumentation und Handlungsschritten für Datenschutzbeauftragte, Entwickler und Produktverantwortliche, die ihre Compliance-Prozesse sofort anpassen müssen. KI‑Verordnung: Gratis-Umsetzungsleitfaden herunterladen

BfDI schlägt Alarm: „Diese Debatte läuft in die falsche Richtung”

Ebenfalls am 3. Dezember äußerte sich Bundesbeauftragte Louisa Specht-Riemenschneider in einem ausführlichen Interview mit netzpolitik.org kritisch zur digitalen Sicherheitspolitik der Bundesregierung.

Ihr Vorwurf: Die Diskussion um das geplante „Digitale Omnibus”-Gesetz und die Wiedereinführung der Vorratsdatenspeicherung gehe „in die falsche Richtung”. Datenschutz werde zunehmend als Innovationshemmnis betrachtet – dabei ignoriere die Politik, dass hundertprozentige Sicherheit in technischen Systemen schlicht nicht existiere.

Für Datenschutzbeauftragte bedeutet das: Das regulatorische Umfeld wird volatil. Sollte die Vorratsdatenspeicherung tatsächlich kommen, müssten Unternehmen ihre Löschkonzepte komplett überarbeiten. Ausgerechnet jene, die jahrelang Datensparsamkeit durchgesetzt haben, würden dann gezwungen, massenhaft Nutzerdaten für Ermittlungsbehörden vorzuhalten.

Specht-Riemenschneider kritisierte zudem die auf jüngsten Digitalgipfeln verbreitete Haltung „Produkt zuerst, Regulierung später”. Diese Mentalität gefährde das Grundrecht auf informationelle Selbstbestimmung. Datenschutzbeauftragte müssen daher als internes Gegengewicht fungieren – während Fachabteilungen unter lockerer politischer Rhetorik Daten ausnutzen wollen, bleiben die strengen GDPR-Anforderungen unverändert in Kraft.

Professionalisierung: Schulungen und EU-Standards

Die zunehmende Komplexität treibt die Nachfrage nach spezialisierten Weiterbildungen und einheitlichen Werkzeugen in die Höhe.

EDPB-Konsultation zu Vorlagen

Der 3. Dezember markierte auch die Frist für die öffentliche Konsultation des Europäischen Datenschutzausschusses (EDPB) zu standardisierten Vorlagen für Datenschutz-Folgenabschätzungen und Meldungen von Datenpannen. Die Botschaft ist eindeutig: Die Regulierer steuern auf eine strengere, einheitlichere Durchsetzung zu.

Datenschutzbeauftragte, die an der Konsultation teilnahmen, haben mitgeholfen, die künftigen Branchenstandards zu formen. Wer die Gelegenheit verpasste, muss sich nun darauf einstellen, interne Prozesse an diese EU-Vorlagen anzupassen – sonst droht regulatorischer Gegenwind.

DFN-Konferenz in Hamburg

Die Dringlichkeit zeigt sich auch im Veranstaltungskalender: Vom 9. bis 10. Dezember findet in Hamburg die 12. DFN-Konferenz zum Datenschutz statt. Im Fokus stehen die praktische Umsetzung in komplexen IT-Umgebungen und das Zusammenspiel von KI-Verordnung und DSGVO – ein entscheidender Punkt für Datenschutzbeauftragte in Forschung und Hochschulen.

Die hohe Nachfrage ist branchenweit spürbar. Zertifizierungskurse, etwa der Bitkom Academy, verzeichnen Rekordanmeldungen. Die Botschaft dahinter: Unternehmen erkennen, dass die Rolle des Datenschutzbeauftragten mehr erfordert als juristisches Grundwissen.

Vom Compliance-Officer zum „Chief Trust Officer”

Die Entwicklungen der vergangenen Tage verdeutlichen einen grundlegenden Wandel: Der Datenschutzbeauftragte entwickelt sich zum „Chief Trust Officer”. Die Mainzer Erklärung zeigt, dass technische Compliance ohne öffentliches Vertrauen wertlos ist. Die BfDI-Warnung macht klar, wie schnell politische Winde rechtliche Verpflichtungen ändern können.

Branchenbeobachter stellen fest: Das „Digitale Omnibus”-Gesetz und die KI-Verordnung zwingen Datenschutzbeauftragte zur technischen Kompetenz, die die DSGVO nie explizit verlangte. Die Trennung zwischen IT-Sicherheit (CISO) und Datenschutz (DPO) verschwimmt zusehends.

Zudem signalisiert der EDPB-Vorstoß eine neue Durchsetzungsphase. Die Ära der „kreativen Compliance” – vage formulierte Folgenabschätzungen – geht zu Ende. Datenschutzbeauftragte sollten sich auf automatisierte Prüftools einstellen, die standardisierte Formulare abgleichen. Das erhöht die Wahrscheinlichkeit von Audits deutlich.

Ausblick: Was kommt auf Unternehmen zu?

Im ersten Quartal 2026 dürfte die Mainzer Erklärung die finalen Betriebsrichtlinien für die ePA im Januar beeinflussen. Werden die Transparenzforderungen ignoriert, könnten Verbraucherschützer klagen – mit Datenschutzbeauftragten zwischen den Fronten.

Parallel wird sich bis Jahresende der gesetzgeberische Weg des „Digitalen Omnibus” klären. Kommen Vorratsdatenspeicherungs-Mandate, müssen Datenschutzbeauftragte sofort automatisierte Löschroutinen für bestimmte Datenkategorien aussetzen – ein technischer Kraftakt.

Die DFN-Konferenz kommende Woche könnte erste Hinweise liefern, wie akademischer und öffentlicher Sektor mit diesen Übergängen umgehen. Diese Bereiche erproben oft Compliance-Strategien, die später in die Privatwirtschaft überschwappen. Die Botschaft dieser Woche ist unmissverständlich: Kontinuierliche Weiterbildung ist kein Nice-to-have mehr – sie ist überlebenswichtig.

PS: Die Übergangsfristen der EU‑KI‑Verordnung laufen in vielen Bereichen früher aus als gedacht – jetzt handeln lohnt sich. Dieser kostenlose Leitfaden fasst Kennzeichnungs‑ und Dokumentationspflichten sowie die praktischen Schritte zur Risikoklassifikation zusammen, damit Ihre KI‑Projekte rechtskonform bleiben. Enthalten sind Checklisten, Vorlagen und klar priorisierte To‑dos für Datenschutzbeauftragte und Produktverantwortliche. Jetzt KI‑Umsetzungsleitfaden sichern