Software Briefing
Bundesrat will das Datenschutz-Wirrwarr beenden: Was die BDSG-Reform für Unternehmen ändern könnte
Der Bundesrat will die Datenschutzaufsicht im BDSG stärker vereinheitlichen. Für Unternehmen ist das vor allem dann relevant, wenn sie bundesweit Systeme ausrollen, mit mehreren Landesaufsichten zu tun haben oder in datenintensiven SaaS- und Forschungsumfeldern arbeiten.
Dieses Bild wurde mit KI erstellt.Kurz gesagt
Der Bundesrat will die Datenschutzaufsicht im BDSG stärker vereinheitlichen. Für Unternehmen ist das vor allem dann relevant, wenn sie bundesweit Systeme ausrollen, mit mehreren Landesaufsichten zu tun haben oder in datenintensiven SaaS- und Forschungsumfeldern arbeiten.
Was der Bundesrat an der BDSG-Reform anschieben will
Kurz gesagt: Der Vorstoß zielt nicht auf ein neues Datenschutz-Grundprinzip, sondern auf weniger Reibung in der Aufsicht. Konkret will der Gesetzesantrag aus Hamburg die föderale Struktur beibehalten, sie aber dort straffer koordinieren, wo heute Doppelprüfungen, mehrere Ansprechpartner und uneinheitliche Bewertungen entstehen können.
Für Unternehmen ist das vor allem bei bundesweit eingesetzten Systemen relevant. Genau dort beschreibt die Bundesratsdrucksache das Problem: länderübergreifend tätige Unternehmen und Verantwortliche können heute mit mehrfachen Prüfungen und dem Risiko unterschiedlicher Rechtsanwendung konfrontiert sein. Als Lösung nennt der Entwurf drei Hebel: eine gesetzlich verankerte Datenschutzkonferenz, eine gebündelte Zuständigkeit für bestimmte länderübergreifende Fälle und ein Einer-für-Alle-Prinzip für bereits geprüfte Verfahren oder Systeme.
Der praktische Kern dahinter ist einfach: Wenn ein Unternehmen dieselbe Verarbeitung oder dasselbe System nicht in mehreren Ländern immer wieder fast neu erklären muss, sinkt Abstimmungsaufwand. Das wäre gerade für SaaS-Anbieter, Plattformen und datenintensive Teams interessant, die ihre Prozesse nicht nur in einem Bundesland ausrollen.
Wichtig ist aber schon am Anfang die Bremse: Das ist ein Reformvorstoß, kein bereits geltendes neues Datenschutzregime. Wer jetzt sofort interne Prozesse umstellt, wäre zu früh dran. Interessanter ist im Moment die Richtung: Deutschland sucht sichtbar nach weniger Datenschutz-Flickenteppich, ohne den Föderalismus ganz aufzugeben.
Welche Quellen den Reformvorschlag tragen
Die belastbarste Quelle ist nicht die Schlagzeile, sondern die Bundesratsdrucksache 356/26. Dort steht der eigentliche Normtext. Er sieht vor, die Datenschutzkonferenz im BDSG ausdrücklich zu verankern. Die DSK besteht schon heute als Gremium der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern; laut BfDI soll sie eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts fördern.
Neu am Entwurf ist weniger die Existenz der DSK als ihre stärkere rechtliche Einbindung. Nach dem vorgeschlagenen § 18 sollen Bund und Länder in bestimmten Verfahren einen gemeinsamen Standpunkt finden; wenn das nicht gelingt, soll die Datenschutzkonferenz mit einfacher Mehrheit entscheiden. Diese Beschlüsse binden nach dem Entwurf ihre Mitglieder untereinander, entfalten aber nicht unbegrenzt Außenwirkung für alle.
Dazu kommt der zweite Kernbaustein: Hat eine zuständige Aufsichtsbehörde ein Verfahren oder System bereits datenschutzrechtlich geprüft, soll diese Bewertung andere Aufsichtsbehörden binden, sofern das System anderswo ohne wesentliche Änderungen eingesetzt wird. Genau daraus leitet sich das versprochene Einer-für-Alle-Prinzip ab.
Der Kontext ist nicht neu. In einer BfDI-Stellungnahme von 2024 wird bereits auf Klarstellungen zum Verfahren der Zusammenarbeit nach § 18 BDSG verwiesen. Zugleich heißt es dort, dass viele Vorschläge von BfDI und Datenschutzkonferenz aus der BDSG-Evaluierung nicht oder nicht ausreichend aufgegriffen worden seien. Auch politisch ist die Debatte älter: Schon im Parlamentsbrief 2021 war von einer Optimierung der Datenschutzaufsicht, mehr Kooperation und einer Stärkung der Stimme der Datenschutzkonferenz die Rede.
Für Leser aus Produkt, Legal oder Datenschutz heißt das: Die aktuelle Meldung ist kein isolierter Einfall, sondern Teil einer längeren Strukturdebatte. Gerade deshalb lohnt es sich, nicht nur auf die Reformidee zu schauen, sondern auf die konkrete Frage, ob daraus wirklich weniger Mehrfachabstimmung entsteht.
Was sich für Unternehmen in der Aufsichtspraxis ändern könnte
Die größte mögliche Entlastung läge nicht in neuen Freiheiten, sondern in mehr Vorhersehbarkeit. Wenn ein Unternehmen heute in mehreren Bundesländern aktiv ist, können Rückfragen, Prüfungen oder Auslegungen je nach zuständiger Aufsicht unterschiedlich laufen. Der Entwurf adressiert genau dieses Problem bei bundesweit eingesetzten Systemen und länderübergreifenden Unternehmen.
Für verbundene Unternehmen soll bei länderübergreifenden Datenverarbeitungen eine gebündelte Zuständigkeit beantragt werden können. Das würde die Kommunikation mit Aufsichten zumindest in bestimmten Konstellationen zentraler machen. Für Organisationen mit mehreren Gesellschaften, geteilten Datenplattformen oder einheitlichen HR-, CRM- oder Analytics-Systemen wäre das operativ deutlich relevanter als es der juristische Wortlaut zunächst vermuten lässt.
Besonders interessant ist das für SaaS-Anbieter und Plattformteams. Wer standardisierte Funktionen deutschlandweit ausrollt, leidet nicht nur unter formalen Anforderungen, sondern unter Variabilität in der Auslegung. Wenn die Bewertung eines bereits geprüften Systems unter dem vorgeschlagenen EfA-Prinzip auch anderswo bindet, steigt die Chance auf planbarere Rollouts, klarere Dokumentation und weniger Parallelkommunikation mit mehreren Behörden.
Das heißt aber nicht automatisch, dass jede Datenschutzfrage damit leichter wird. Unterschiedliche Einzelfälle, veränderte Implementierungen oder landesspezifische Besonderheiten können weiter relevant bleiben. Trotzdem ist die Stoßrichtung für die Wirtschaft klar: weniger Doppelprüfung, weniger Mehrfachabstimmung, mehr zentrale Ansprechpartner.
Wer sich mit Governance in verteilten Tool-Landschaften beschäftigt, findet hier eine bekannte Logik wieder: Nicht jede einzelne Stelle entscheidet alles neu, sondern ein abgestimmter Rahmen reduziert Reibung. Genau deshalb passt die Debatte auch zu Themen wie MCP wird für Unternehmen erst jetzt wirklich steuerbar: In beiden Fällen geht es weniger um ein neues Feature als um kontrollierbarere Zuständigkeiten.
Was die Reform nicht automatisch löst
Die wichtigste Grenze: Föderale Aufsicht bleibt föderale Aufsicht. Der Entwurf modernisiert Koordination und Zuständigkeitsbündelung, aber er ersetzt nicht das gesamte System durch eine einzige deutsche Datenschutzbehörde. Wer also auf eine vollständige Zentralisierung hofft, liest zu viel in den Vorstoß hinein.
Auch mehr Koordination ist nicht dasselbe wie vollständige Rechtsklarheit. Die Drucksache selbst spricht davon, die föderale Struktur zu erhalten und sie durch verbindliche Kooperationsmechanismen zu modernisieren. Das kann Auslegungslinien glätten, beseitigt aber nicht automatisch alle Grauzonen in Einzelfällen. Gerade bei neuen Datenmodellen, KI-gestützten Funktionen oder komplexen Konzernstrukturen bleibt viel davon abhängig, wie ähnlich die tatsächlichen Verarbeitungen wirklich sind und ob sie als "ohne wesentliche Änderungen" gelten.
Dazu kommt der politische Vorbehalt. Zwischen Gesetzesantrag, Ausschussberatung und möglicher späterer Gesetzesfassung können Details verändert, abgeschwächt oder neu justiert werden. Unternehmen sollten den Vorstoß deshalb als Signal verstehen, nicht als bereits belastbare Betriebsgrundlage.
Und noch etwas bleibt unabhängig von jeder Reform wahr: Schlechte interne Daten-Governance wird durch bessere Behördenkoordination nicht plötzlich gut. Wer Verzeichnisse, Zuständigkeiten, Löschlogik oder Auftragsverarbeitungsstrukturen intern nicht im Griff hat, wird auch mit einer reformierten Aufsicht nicht automatisch entspannter arbeiten. In diesem Punkt berührt das Thema dieselbe betriebliche Realität wie Warum KI-Projekte an Infrastruktur und Menschen scheitern: Externe Klarheit hilft, ersetzt aber keine interne Betriebsreife.
Worauf Teams jetzt intern schauen sollten
Für Datenschutz-, Legal-, IT- und SaaS-Teams ist jetzt nicht Aktionismus gefragt, sondern Sortierung.
Erstens: Prüfen, in wie vielen Bundesländern die eigene Datenverarbeitung heute praktisch Berührung mit Aufsichten haben kann. Wer nur lokal arbeitet, spürt eine spätere Reform womöglich viel weniger als ein bundesweit ausgerolltes Produkt.
Zweitens: Identifizieren, welche Verfahren oder Systeme wirklich standardisiert sind. Das vorgeschlagene EfA-Prinzip wäre vor allem dort hilfreich, wo dieselbe Verarbeitung ohne wesentliche Änderungen mehrfach eingesetzt wird. Wer viele Sonderwege, kundenspezifische Setups oder regionale Abweichungen hat, profitiert voraussichtlich weniger.
Drittens: Interne Ansprechpartner klarziehen. Falls die Reform später greift, wird der operative Nutzen vor allem dann real, wenn Datenschutz, Produkt, IT und Legal dieselben Prozesse sauber beschreiben können. Sonst bleibt selbst ein zentralerer Behördenkontakt nur bedingt entlastend.
Viertens: Das Gesetzgebungsverfahren beobachten, aber nicht antizipierend umschreiben. Die sinnvolle Zwischenfrage lautet nicht "Was müssen wir sofort ändern?", sondern: An welchen Stellen würden wir sofort profitieren, wenn Mehrfachabstimmungen tatsächlich sinken?
Für viele Unternehmen ist das letztlich Teil einer größeren Entwicklung: Compliance wird weniger punktuelles Audit und mehr laufendes Betriebsmodell. Wer das vertiefen will, kann direkt bei Warum Compliance-Automation jetzt vom Audit-Problem zum Betriebsmodell wird anschließen.
Unterm Strich ist der Vorstoß deshalb relevant, auch wenn er noch kein neues Recht setzt. Wenn aus der BDSG-Reform am Ende klarere Zuständigkeiten, weniger Doppelprüfungen und besser planbare Bewertungen werden, wäre das für datengetriebene Unternehmen mehr als bloße Behördenkosmetik. Ob es dazu kommt, entscheidet aber nicht die Überschrift, sondern der weitere Gesetzestext.
Quellen
- https://www.heise.de/news/BDSG-Reform-Bundesrat-will-Ende-des-Datenschutz-Flickenteppichs-11361882.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag
- https://dserver.bundestag.de/brd/2026/0356-26.pdf
- https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Stellungnahmen/2024/StgN_%C3%84nderung-BDSG.pdf?__blob=publicationFile&v=2
- https://www.bfdi.bund.de/DE/Fachthemen/Gremienarbeit/Datenschutzkonferenz/datenschutzkonferenz_node.html
- https://www.bfdi.bund.de/DE/BfDI/Inhalte/Parlamentsbrief/2021-7.html
Weitere Artikel aus Developer Tools
Lokale KI mit Llama.cpp: Wann die flexible Alternative zu Ollama und LM Studio zählt
llama.cpp ist nicht der bequemste Einstieg in lokale KI, aber oft der kontrolliertere. Für Teams, die Hardware-Nähe, Server-Betrieb oder feinere Konfiguration brauchen, kann der Mehraufwand sinnvoll sein. Wer dagegen vor allem schnell Modelle lokal starten will, fährt mit Ollama oder LM Studio oft einfacher.

Warum offene Datenarchitekturen bei KI jetzt gewinnen
Snowflake, Databricks, Iceberg v3 und Apache Polaris zeigen eine klare Marktbewegung: Für KI wird nicht die möglichst geschlossene Plattform wertvoller, sondern die Architektur, die Daten, Metadaten und Governance über mehrere Engines hinweg nutzbar hält.

MCP wird fuer Unternehmen erst jetzt wirklich steuerbar
Die neue Enterprise-Managed-Authorization fuer MCP soll den Wechsel von einzelnen Consent-Prompts zu zentral gesteuertem Zugriff ueber den Identity Provider bringen. Fuer Unternehmen ist das weniger ein Login-Detail als ein Schritt hin zu kontrollierbarer KI-Infrastruktur.
