Datenschutzbeauftragter: Pflicht 2026 — braucht mein Unternehmen noch einen?

Datenschutz · Reform 2026

Datenschutzbeauftragter: Pflicht 2026 — brauche ich noch einen?

Die Bundesregierung will die Bestellpflicht lockern. Doch ein politisches Vorhaben ist noch kein Gesetz. Was heute gilt und was Sie jetzt besser nicht tun.

Ist ein Datenschutzbeauftragter noch Pflicht? Diese Frage stellen sich seit Anfang Juli 2026 viele Unternehmen. Denn die Bundesregierung hat ein Reformpaket angekündigt. Es soll die deutsche Bestellpflicht für kleinere Betriebe lockern und Bürokratie abbauen. Das klingt nach Entlastung. Aber Vorsicht: Angekündigt ist nicht beschlossen. Bis ein Gesetz verabschiedet und veröffentlicht ist, bleibt alles beim Alten.

Wer jetzt vorschnell handelt, riskiert mehr, als er spart. Dieser Beitrag ordnet die Lage ein: Was ist heute Pflicht? Was will die Reform ändern? Und wann bleibt ein Datenschutzbeauftragter sinnvoll, ganz unabhängig von der formalen Pflicht?

Datenschutzbeauftragter: Wann die Pflicht heute gilt

Die Pflicht speist sich aus zwei Quellen. Die erste ist europäisch, die zweite national. Beide gelten parallel. Wichtig zu wissen: Nur die nationale Ebene steht gerade zur Debatte.

🇪🇺  DSGVO (Art. 37) — bleibt

Ein Datenschutzbeauftragter ist unter anderem Pflicht für Behörden, bei umfangreicher systematischer Überwachung von Personen und bei umfangreicher Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten. Diese Fälle ändert die Reform nicht.

🇩🇪  § 38 BDSG — soll gelockert werden

Zusätzlich gilt in Deutschland: Wer in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss einen Datenschutzbeauftragten bestellen. Genau diese nationale Zusatzpflicht will die Reform reduzieren.

Reform 2026: Was sich bei der Pflicht ändern soll — und was nicht

Das Reformpaket verfolgt drei Ziele: die nationale Bestellpflicht (§ 38 BDSG) lockern, die Aufsichtsstrukturen neu ordnen und den Aufwand für kleine und mittlere Unternehmen senken. Das ist nachvollziehbar. Trotzdem gilt: Es handelt sich um ein politisches Vorhaben, nicht um geltendes Recht.

„Eine Ankündigung entbindet niemanden von der geltenden Pflicht. Wer heute einen Datenschutzbeauftragten braucht, braucht ihn auch morgen — bis ein Gesetz das wirklich ändert.“

— TBCS IT GmbH

Entscheidend ist die zweite Hälfte der Nachricht: Die DSGVO selbst bleibt unverändert. Sie ist europäisches Recht und steht in Deutschland nicht zur Disposition. Die Reform betrifft nur, ab welcher Größe ein Unternehmen zwingend einen Datenschutzbeauftragten bestellen muss (Art. 37 DSGVO bleibt davon unberührt).

Was trotz Reform unverändert bleibt

Selbst wenn die Bestellpflicht fällt: Ihre Kernpflichten aus der DSGVO bleiben vollständig bestehen. Wer keinen Datenschutzbeauftragten mehr hat, muss diese Aufgaben trotzdem erfüllen — nur eben ohne die Person, die sich bisher darum gekümmert hat.

✓  Rechtmäßigkeit jeder Verarbeitung (Art. 6 DSGVO)

✓  Grundsätze wie Zweckbindung und Datenminimierung (Art. 5 DSGVO)

✓  Technische und organisatorische Sicherheit (Art. 32 DSGVO)

✓  Verarbeitungsverzeichnis und Dokumentation (Art. 30 DSGVO)

✓  Betroffenenrechte wie Auskunft und Löschung (Art. 12–22 DSGVO)

✓  Meldung von Datenpannen binnen 72 Stunden (Art. 33, 34 DSGVO)

Voreilig abbestellen? Die Rechnung geht selten auf

Die laufenden Kosten für einen Datenschutzbeauftragten sind planbar und meist überschaubar. Der Verzicht spart diese Gebühr — verschiebt das Risiko aber in den Krisenfall. Und dort wird es schnell teuer.

💸  Kosten verlagern sich, sie verschwinden nicht

Statt planbarer Monatskosten fallen im Ernstfall Stundensätze spezialisierter Berater und Fachanwälte an — schnell mehrere hundert Euro pro Stunde. Das Sparen von heute wird zum Kostenrisiko von morgen.

⚖️  Die Haftung bleibt in voller Höhe

Bußgelder bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO), Schadensersatzansprüche Betroffener (Art. 82 DSGVO) und Reputationsschäden. An diesen Risiken ändert die Reform nichts.

Wann ein externer Datenschutzbeauftragter sinnvoll bleibt

Ob Pflicht oder nicht — die eigentliche Frage ist wirtschaftlich: Bringt ein Datenschutzbeauftragter mehr Sicherheit, als er kostet? In vielen Fällen lautet die Antwort klar Ja. Vor allem dann, wenn Ihre Datenverarbeitung anspruchsvoll ist.

🎯  Externer DSB bleibt sinnvoll

bei komplexer oder sensibler Datenverarbeitung, regelmäßiger Einführung neuer Technologien (etwa KI- und Cloud-Tools), branchenspezifischen Vorgaben (Medizin, Soziales) und internationalen Datenübermittlungen.

🧭  Punktuelle Beratung kann reichen

bei einfacher, überschaubarer Datenverarbeitung, bereits etabliertem Datenschutzbewusstsein und der Bereitschaft, bei Bedarf gezielt Audits und Fachberatung hinzuzuziehen.

Ein guter Datenschutzbeauftragter hakt nicht nur Formulare ab. Er begleitet neue Tools, prüft KI- und Cloud-Einsatz und hält Ihre Organisation prüffest — genau das zeigt unsere Serie aus dem täglichen Leben eines Datenschutzbeauftragten.

Ihre nächsten Schritte

01  Rechtslage beobachten — Verfolgen Sie das Gesetzgebungsverfahren. Erst der veröffentlichte Gesetzestext zählt.

02  Risikoanalyse durchführen — Welche Daten verarbeiten Sie? Wo entstehen die größten Risiken?

03  Organisation prüfen — Wer ist intern zuständig? Welche Prozesse existieren — und welche fehlen?

04  Strategie festlegen — Entscheiden Sie bewusst: DSB behalten oder nicht — aus Risiko- und Wirtschaftlichkeitssicht, nicht nur aus formaler Pflicht.

Was Sie jetzt besser nicht tun: den Datenschutzbeauftragten vorschnell abbestellen, Schulungen und Sicherheitsmaßnahmen kürzen oder neue KI- und Cloud-Lösungen ohne Fachprüfung einführen. Die Reform ist kein Freifahrtschein.


Fazit: Pflicht ist nicht der einzige Grund

Die geplante Reform bringt Flexibilität — aber keinen Grund für Datenschutzabbau. Die DSGVO gilt weiter, die Haftung bleibt, und die Aufgaben verschwinden nicht. Kluge Unternehmen entscheiden deshalb nicht nach der Pflicht, sondern nach dem Risiko: Ist ein Datenschutzbeauftragter ein kalkulierbarer Baustein, der teure Krisen verhindert? Für die meisten lautet die Antwort auch 2026 noch Ja.

Datenschutzbeauftragter behalten oder nicht?

Wir bewerten mit Ihnen, ob eine Bestellung für Ihr Unternehmen Pflicht ist — und ob ein externer Datenschutzbeauftragter für Sie wirtschaftlich sinnvoll bleibt.