Datenschutz-Reform: Bundesrat vereinheitlicht Aufsicht mit Mehrheitsprinzip
Veröffentlicht: 13.07.2026 um 04:31 Uhr, Redaktion boerse-global.de
Die Initiative, die auf einen Antrag des Landes Hamburg zurückgeht, soll die zersplitterte Datenschutzaufsicht in Deutschland vereinheitlichen. Unternehmen, Forschungseinrichtungen und NGOs sollen von weniger Bürokratie profitieren.
Ende des Flickenteppichs
Herzstück der Reform ist die Stärkung der Datenschutzkonferenz (DSK). Bislang galt dort das Einstimmigkeitsprinzip – mit der Folge langwieriger Abstimmungen und uneinheitlicher Rechtsauslegungen. Künftig können die Aufsichtsbehörden von Bund und Ländern mit Mehrheit entscheiden. Das soll für eine einheitliche Anwendung des Datenschutzrechts sorgen.
Für Unternehmen, die in mehreren Bundesländern aktiv sind, kommt ein nationaler „One-Stop-Shop“. Eine zentrale Stelle koordiniert künftig die Verfahren, Mehrfachprüfungen durch verschiedene Landesbehörden entfallen. Nach dem „Einer-für-Alle-Prinzip“ sollen Systemprüfungen einer Behörde für andere bindend sein. Die Behörden müssen ihre Zuständigkeit innerhalb eines Monats klären – passiert das nicht, tritt automatisch eine Zuständigkeit ein.
Zentralisierung der KI-Überwachung
Parallel zur BDSG-Reform hat die Länderkammer am 11. Juli das Durchführungsgesetz zum europäischen AI Act gebilligt. Die Bundesnetzagentur wird zur zentralen Marktüberwachungsbehörde für Künstliche Intelligenz in Deutschland. Sie richtet ein Koordinierungs- und Kompetenzzentrum ein, überwacht KI-Systeme und nimmt Bürgerbeschwerden entgegen.
Das Gesetz sieht zudem KI-Reallabore vor. In diesen geschützten Umgebungen können Unternehmen neue Technologien unter Aufsicht testen, bevor sie marktreif sind. Bestehende sektorale Prüfverfahren, etwa bei Medizinprodukten, bleiben teilweise erhalten. Die allgemeine KI-Aufsicht bündelt die Bundesnetzagentur.
Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der Kennzeichnung und Risikodokumentation ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle neuen Fristen, Pflichten und Risikoklassen des AI Acts. EU AI Act in 5 Schritten verstehen
Kritik an Ausnahmen für KMU und Vereine
Flankierend plant die Bundesregierung ein einheitliches Datengesetzbuch. Vorgesehen sind spezifische Ausnahmen von der DSGVO für kleine und mittlere Unternehmen, Vereine und risikoarme Tätigkeiten. Der Bundesdatenschutzbeauftragte soll gestärkt werden, die Schwellenwerte für betriebliche Datenschutzbeauftragte steigen.
Rechtsexperten sehen das kritisch. Pauschale Ausnahmen könnten den Grundrechtsschutz schwächen, warnen sie. Ein risikobasierter Ansatz sei einer pauschalen Befreiung nach Unternehmensgröße vorzuziehen. Zudem verweisen Kritiker auf den geplanten „EU digitaler Omnibus“, der voraussichtlich im November 2025 die Definition personenbezogener Daten verengen und das berechtigte Interesse für KI-Training erleichtern könnte.
Dringende Fristen für NIS2 und Cyber-Sicherheit
Unabhängig von den Reformen stehen Unternehmen unter Zeitdruck bei der Umsetzung weiterer EU-Vorgaben. Die Registrierungsfrist für die NIS2-Richtlinie endet am 31. Juli 2026. Betroffene Betriebe müssen bis dahin nachweisen, dass sie angemessene IT-Sicherheitsvorkehrungen getroffen haben. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Angesichts steigender Cyber-Risiken und neuer gesetzlicher Anforderungen müssen Unternehmen ihre IT-Sicherheit heute proaktiver denn je schützen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und Ihre Firma ohne teure Investitionen rechtssicher absichern. Gratis-Ratgeber: IT-Sicherheit effektiv stärken
Weitere Meldepflichten bringt der Cyber Resilience Act (CRA). Ab dem 11. September 2026 müssen Hersteller von Produkten mit digitalen Elementen Sicherheitslücken innerhalb von 24 Stunden vorläufig und innerhalb von 72 Stunden vollständig melden. Ein Abschlussbericht ist nach 14 Tagen fällig. Die Bußgeldobergrenzen liegen bei 15 Millionen Euro oder 2,5 Prozent des Umsatzes.
Auch die Anforderungen an Anonymisierung verschärfen sich. Der Europäische Datenschutzausschuss (EDSA) hat im Juli 2026 neue Leitlinien veröffentlicht: Anonymisierung gilt nur dann als rechtssicher, wenn eine Re-Identifizierung dauerhaft ausgeschlossen ist. Unternehmen sollten ihre Verfahren regelmäßig neu bewerten. Die Konsultationsphase läuft bis zum 30. Oktober 2026.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
