Datenschutz-Reform: KMU verlieren Beauftragte-Pflicht ab 2028
Veröffentlicht: 08.07.2026 um 19:46 Uhr, Redaktion boerse-global.de
Ein neuer Referentenentwurf konkretisiert die Pflicht zur elektronischen Arbeitszeiterfassung. Gleichzeitig sollen kleine Unternehmen beim Datenschutz entlastet werden. Und die jüngste Rechtsprechung schärft die Auskunftspflichten nach der DSGVO.
Elektronische Zeiterfassung wird Pflicht
Arbeitgeber müssen künftig Beginn, Ende und Dauer der täglichen Arbeitszeit elektronisch aufzeichnen. Das sieht ein aktueller Referentenentwurf zur Änderung des Arbeitszeitgesetzes vor. Auch Vertrauensarbeitszeit ist davon betroffen.
Die Übergangsfristen sind gestaffelt: Große Betriebe haben ein Jahr Zeit, Unternehmen mit weniger als 250 Mitarbeitern zwei Jahre. Kleinstbetriebe mit unter 50 Beschäftigten dürfen sich bis zu fünf Jahre Zeit lassen. Nur Betriebe mit maximal zehn Mitarbeitern sind ganz ausgenommen. Auch tarifvertragliche Abweichungen sind möglich.
Der Ausgleichszeitraum für die Höchstarbeitszeit sinkt von sechs auf vier Monate. Wirtschaftsverbände kritisieren die Pläne als bürokratischen Mehraufwand. Juristen erinnern an ein Urteil des Bundesarbeitsgerichts vom September 2022: Eine grundsätzliche Pflicht zur Zeiterfassung besteht demnach bereits. Das neue Gesetz dürfte die digitale Form als Standard festschreiben.
Schluss mit der Datenschutzbeauftragten-Pflicht für KMU
Ein Koalitionsbeschluss vom 2. Juli 2026 bringt Erleichterungen für kleinere Unternehmen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten soll entfallen. Die bisher geltende Schwelle von 20 Beschäftigten fällt weg.
Eine Bestellpflicht soll künftig nur bestehen, wenn besondere Datenkategorien verarbeitet werden. Das betrifft Gesundheitsdaten, biometrische Informationen oder Profiling. Die Reform wird frühestens 2028 umgesetzt – die Regierung strebt parallel EU-weite Ausnahmen an.
Branchenverbände der Datenschutzbeauftragten warnen. Ein risikobasierter Ansatz werde in der Praxis noch zu selten genutzt. Die Abschaffung der Bestellpflicht könne zu erhöhter Rechtsunsicherheit und steigenden Haftungsrisiken führen.
Gerichte schärfen Auskunftsrechte
Das Oberlandesgericht Stuttgart stärkte den Auskunftsanspruch nach Art. 15 DSGVO (Urteil vom 29.04.2026, Az. 4 U 353/24). Unternehmen müssen detailliert offenlegen, welche Daten erhoben, mit welchen Konten verknüpft und an welche Empfänger in Drittstaaten weitergegeben wurden. Automatisierte Self-Service-Tools allein reichen dafür oft nicht aus.
Die geplante Abschaffung der Datenschutzbeauftragten-Pflicht für KMU ab 2028 entlastet Sie von Bürokratie – aber erhöht auch Ihr Haftungsrisiko. Mit unserer Checkliste wissen Sie genau, wann Sie noch einen DSB brauchen, und erhalten einen Musterprozess für Auskunftsanfragen. Jetzt kostenlosen 3-Schritte-Plan anfordern
Das Verwaltungsgericht Düsseldorf entschied (Urteil vom 28.01.2026, Az. 29 K 9469/23): Schwärzungen personenbezogener Daten Dritter in einer Datenkopie sind zulässig. Der Anspruch bezieht sich nur auf die eigenen Daten der betroffenen Person. Das Oberlandesgericht München bestätigte (Urteil vom 06.05.2026, Az. 7 U 3115/23 e), dass gesetzliche Pflichten zur Urkundenvorlage mit der DSGVO vereinbar sind – sensible Informationen wie Kaufpreise dürfen geschwärzt werden.
Eine wichtige Entscheidung für die Cybersicherheit: Das Sozialgericht Nürnberg (Urteil vom 10.06.2026, Az. S 5 SF 65/24 DS) sprach keinen Schadensersatzanspruch zu, wenn ein Hackerangriff über einen Zero-Day-Exploit erfolgte. Voraussetzung: Das Unternehmen hatte angemessene Sicherheitsmaßnahmen getroffen und kein Verschulden trifft es.
Befristung und Kündigung: Neue Spielregeln
Die Bundesregierung plant weitere arbeitsrechtliche Reformen im Rahmen des Programms für Aufschwung und Beschäftigung. Die sachgrundlose Befristung von Arbeitsverhältnissen soll auf bis zu 48 Monate mit bis zu sechs Verlängerungen ausgeweitet werden. Diese Regelung gilt befristet bis Ende 2030.
Ab dem 1. Januar 2027 entfällt das Schriftformerfordernis bei Befristungen. Für Hochverdiener – Einkommen über dem 1,75-Fachen der Beitragsbemessungsgrenze – ist eine Lockerung des Kündigungsschutzes vorgesehen. Arbeitgeber können Arbeitsverhältnisse gegen Zahlung einer Abfindung auch ohne Angabe von Gründen beenden.
Die Krankschreibung wird verschärft: Ein ärztliches Attest soll künftig ab dem ersten Krankheitstag verpflichtend sein. Die telefonische Krankschreibung entfällt.
Gesundheitsdaten und Chatkontrolle: Neue Konflikte
Das Bundesministerium für Gesundheit plant einen erweiterten Zugriff für Betriebsärzte auf die elektronische Patientenakte (ePA). Nach dem Opt-out-Prinzip sollen Betriebsärzte künftig ohne ausdrückliche Einwilligung auf die Daten zugreifen können. Die Versicherten müssen dem widersprechen oder den Zugriff über eine App sperren. Fachverbände diskutieren das Spannungsverhältnis zwischen ärztlicher Schweigepflicht und Datenschutzrisiken am Arbeitsplatz.
Auf europäischer Ebene hat das EU-Parlament am 7. Juli 2026 den Weg für ein Eilverfahren zur Chatkontrolle geebnet. Anbieter von Kommunikationsdiensten dürfen unverschlüsselte Nachrichten freiwillig auf Missbrauchsdarstellungen scannen. Die endgültige Abstimmung ist für den 9. Juli 2026 angesetzt. Juristische Expertenverbände warnen vor einem schwerwiegenden Eingriff in die private Kommunikation und einer Gefährdung des Berufsgeheimnisses für Anwälte und andere Berufsgruppen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
