Deutschland will Hersteller für Datenschutz-Pflichten haften lassen

Die Bundesregierung plant eine grundlegende Reform der EU-Datenschutzgrundverordnung (DSGVO). Kern des Vorstoßes: Die Verantwortung für datenschutzkonforme Software soll künftig bei den Herstellern liegen – nicht mehr bei den nutzenden Unternehmen.

Laut der Ende Dezember 2025 veröffentlichten „Modernisierungsagenda“ der Bundesregierung soll die DSGVO an neue EU-Gesetze wie den Cyber Resilience Act (CRA) und den KI-Verordnung angeglichen werden. Konkret bedeutet das: Hersteller standardisierter IT-Produkte müssten „Privacy by Design“ gesetzlich verpflichtend einbauen. Tausende kleine und mittlere Unternehmen (KMU) wären damit von komplexen Compliance-Risiken entlastet, die sie technisch nicht kontrollieren können.

Hinter dem Reformvorschlag steht eine klare Erkenntnis: Die aktuelle DSGVO belastet vor allem die Software-Nutzer – häufig KMU oder nicht-technische Organisationen. Nach Artikel 25 der DSGVO liegt die Pflicht zu „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ beim sogenannten Verantwortlichen, also dem Anwender. Doch dieser hat oft weder das Durchsetzungsvermögen noch das technische Know-how, um globale Softwareanbieter zu Änderungen zu zwingen.

Die neue Initiative will diese Pflichten direkt auf die Hersteller ausweiten. Softwareanbieter wären damit rechtlich verantwortlich, dass ihre Produkte ab Werk strengen Datenschutzstandards entsprechen. Die Datenschutzkonferenz (DSK) von Bund und Ländern unterstützt diesen Ansatz laut einer Resolution ausdrücklich. Für „Standard-IT-Produkte“ sei der Hersteller die einzige Stelle, die wirksame Datenschutzvorkehrungen umsetzen könne.

Passend zum Thema Datenschutz-Folgenabschätzung – droht Ihrem Unternehmen ein Bußgeld wegen fehlender DSFA? Bis zu 2% des Jahresumsatzes können fällig werden. Dieses kostenlose E-Book erklärt Schritt für Schritt, wann eine DSFA Pflicht ist, liefert bearbeitbare Muster-Vorlagen in Word und Excel sowie prüfungssichere Checklisten. Ideal für Datenschutzbeauftragte und verantwortliche Stellen in KMU, die Compliance schnell und rechtssicher umsetzen wollen. Jetzt kostenlosen DSFA-Leitfaden herunterladen

Das Konzept sieht vor, dass Hersteller verbindliche „DSGVO-Konformitätserklärungen“ ausstellen. Unternehmen, die diese zertifizierte Software einsetzen, könnten sich darauf berufen und kämen so in einen sicheren Hafen für ihre eigene Compliance.

Harmonisierung mit Cyber-Resilienz- und KI-Verordnung

Experten sehen in dem Vorstoß eine logische Angleichung des digitalen EU-Regelwerks. Die Haftungsmodelle des Cyber Resilience Act und der KI-Verordnung, die primär die Hersteller in die Pflicht nehmen, sollen nun auch für den Datenschutz gelten.

Der bereits verabschiedete CRA verpflichtet Hersteller bereits, Cybersicherheit über den gesamten Lebenszyklus eines Produkts zu gewährleisten. Die deutsche Initiative will diese Logik auf den Datenschutz übertragen und so eine regulatorische Lücke schließen. Bislang könnte ein Produkt unter dem CRA als „sicher“ gelten, aber unter der DSGVO wegen der Privatsphäreeinstellungen „nicht konform“ sein – wofür der Kunde haftet.

Rechtsexperten betonen, dieser Schritt sei nötig, damit Organisationen Standardlösungen „einfacher und rechtskonform“ einsetzen können. Die Angleichung schaffe einen einheitlichen Rahmen, in dem „Security by Design“ (CRA) und „Privacy by Design“ (DSGVO) beide Herstelleraufgaben sind.

Ein „Digitaler Omnibus“ und der EU-Kontext

Die deutsche Initiative läuft parallel zur umfassenderen „Digitaler Omnibus“-Strategie der EU-Kommission. Während sich Brüssel auf die Vereinfachung von Meldepflichten konzentriert – etwa bei Cookie-Bannern –, geht der deutsche Vorschlag strukturell tiefer und ändert die Durchsetzungsmechanismen der DSGVO.

Die geplante Haftungsverschiebung könnte den Bedarf für individuelle Datenschutz-Folgenabschätzungen (DSFA) bei Standardsoftware überflüssig machen – vorausgesetzt, der Hersteller liefert eine Konformitätszertifizierung mit. Dies würde die von der Kommission angestrebten milliardenschweren Einsparungen bei Verwaltungskosten bis 2029 unterstützen.

Zudem prüft die Bundesregierung offenbar, spezifische nationale Regeln zur Bestellung von Datenschutzbeauftragten zu streichen. Man wolle sich künftig allein an die Kriterien von Artikel 37 der DSGVO halten. Dies würde das nationale Datenschutzrecht (BDSG) weiter mit der EU harmonisieren und Hürden für internationale Unternehmen abbauen.

Notwendige Evolution oder zu weitreichend?

Der Vorschlag markiert eine Abkehr von der „verantwortungszentrierten“ Sichtweise, die seit 1995 das Datenschutzrecht prägt. Branchenverbände argumentieren seit Jahren, es sei unrealistisch, von einem Kleinunternehmen zu erwarten, den Code eines großen Cloud-CRM-Anbieters zu prüfen. Mit der Verlagerung der Haftung an den Anfang der Lieferkette erkennen die Regulierer die Realität moderner Software-Beschaffung an, bei der Software als Dienstleistung (SaaS) konsumiert wird.

Die Marktreaktion dürfte gemischt ausfallen. Während Unternehmenskunden und KMU die reduzierte Haftung begrüßen werden, könnten große Softwareanbieter gegen das erhöhte rechtliche Risiko opponieren. Das Konzept der „Gefährdungshaftung“ für Softwarefehler – Ende 2024 bereits für Sicherheitsprobleme eingeführt – würde damit auf Datenschutzmängel ausgeweitet.

Gleichzeitig rückt die Rolle von Konformitätszertifizierungen in den Fokus. Wenn Hersteller die DSGVO-Konformität bescheinigen müssen, entsteht voraussichtlich ein neuer Markt für Prüf- und Zertifizierungsstellen – ähnlich wie bei ISO-Normen oder den Konformitätsbewertungen des CRA.

Ausblick: Intensive Debatten stehen bevor

Der Vorschlag ist Teil der Gesetzgebungsagenda der Bundesregierung und wird in die laufenden Diskussionen auf EU-Ebene zum „Digitalen Omnibus“ und zur nächsten Evaluierung der DSGVO einfließen.

Eine Phase intensiver Lobbyarbeit und Konsultationen beginnt. Die Konsultation der EU-Kommission zur digitalen Fitness, die diese Themen abdeckt, läuft noch bis zum 11. März 2026. Sollte die Haftungsverschiebung auf EU-Ebene Anklang finden, könnten innerhalb der nächsten 12 bis 24 Monate gezielte Änderungen an der DSGVO folgen.

Unternehmen sollten diese Entwicklungen genau beobachten. Noch ist die Haftungsverschiebung nicht Gesetz, doch die Richtung ist klar: Die Ära des „Anwender haftet“ bei Unternehmenssoftware neigt sich dem Ende zu. Ersetzt wird sie durch ein Regelwerk, bei dem Anbieter sowohl Sicherheit als auch Privatsphäre garantieren müssen.

PS: Sie wollen schnell prüfen, ob Ihre eingesetzte Standard-Software eine Datenschutz-Folgenabschätzung braucht – und wie Sie Haftungsrisiken minimieren? Das Gratis-Paket liefert eine klare Schritt-für-Schritt-Anleitung zur rechtssicheren Erstellung einer DSFA, inklusive sofort einsetzbarer Vorlagen und Checklisten. Besonders geeignet für KMU und Datenschutzverantwortliche, die Compliance pragmatisch umsetzen möchten. Gratis-DSFA-Paket jetzt anfordern