Von Datenschutz zu Datennutzung : Aufsicht als Hebel für eine neue Datenkultur

Heute beginnt der Reformprozess der Datenschutzaufsicht mit einem gemeinsamen Werkstattgespräch des Bundesministeriums des Innern (BMI) und des Bundesministeriums für Wirtschaft und Energie (BMWE). Von Beginn an wird dabei bewusst die Praxisperspektive einbezogen – ein wichtiges Signal. Denn die konkreten Auswirkungen der gegenwärtigen, dezentral organisierten Datenschutzaufsicht auf Unternehmen sind seit Langem spürbar. Es geht um Fragen der Umsetzbarkeit. Um Zuständigkeiten. Und letztlich um die Bedingungen, die notwendig sind, damit digitale Innovation gelingen kann.

Wer die damit einhergehenden Herausforderungen ernsthaft angehen will, muss beim Status quo beginnen.

Fragmentierung führt zu Nachteilen

Die derzeitige föderale Struktur der Datenschutzaufsicht hat zweifellos Stärken. Landesbehörden sind oft nah an Unternehmen, die Gesprächsatmosphäre ist vielerorts konstruktiv.

Doch der vermeintliche Vorteil kippt schnell. Eine Unternehmensgruppe mit mehreren Gesellschaften oder Partnerschaften zwischen Unternehmen in Deutschland muss meist mit einer geteilten Aufsicht umgehen. Die Folge: divergierende Bewertungen, unterschiedliche Anforderungen, inkonsistente Entscheidungen. Während die einen Behörden etablierte Branchenlösungen akzeptieren, lehnen andere sie ab. So entsteht keine Rechtsklarheit, sondern Unsicherheit.

Fünf Praxisbeispiele zeigen, was das konkret bedeutet:

• Ein branchenübliches Consent-Management-System (das System hinter den mäßig beliebten, durch die europäische Datenschutzgesetzgebung aber zwingend notwendigen Cookie-Bannern) wird in einem Bundesland als Best Practice akzeptiert, in einem anderen als unzureichend kritisiert. Die Folge: Anbieter solcher Systeme müssen das Produkt so anbieten, dass Maßnahmen regional unterschiedlich aufgesetzt werden können. Das treibt Implementierungsaufwand und erzeugt anhaltende Rechtsunsicherheit.
• Ein Technologieanbieter muss sein DSGVO-konformes Produkt derzeit in 15 verschiedenen Versionen für den deutschen Markt anbieten, um den Anforderungen der jeweiligen Aufsichtsbehörden gerecht zu werden.
• Ein Unternehmen arbeitet mit dem sogenannten Transparency & Consent Framework (TCF) – einem für die Werbeindustrie entwickelten Standard zur Einholung und Weitergabe von Nutzereinwilligungen nach der DSGVO. Die Verarbeitung von Daten im Layer einer Webseite fällt damit unter die Landesaufsicht, der direkte Zugriff auf ein verknüpftes E-Mail-Postfach hingegen unter die Bundesaufsicht. Für digital integrierte Unternehmen ist das nur mit erheblichem Aufwand handhabbar.
• Ein Konzern bietet Serviceleistungen für die regionalen Tochtergesellschaften und Partner an. Schon bei der Benennung der Datenschutzbeauftragten muss das Unternehmen den Vorgang 16-mal separat durchführen – je nach zuständiger Landesaufsichtsbehörde auf unterschiedlichen Wegen und mit unterschiedlichen Anforderungen.
• Beim Datenschutzvorfall kommt es ganz besonders auf den Standort an: Die einen verlangen nur die Meldung des gesicherten Vorfalls, andere schon des Verdachts – mal per Mail, mal als PDF, mal tabellarisch. Eben ganz individuell.

All das sind tatsächliche Fälle. Und sie sind nicht die Ausnahme, sondern symptomatisch für ein System, das mit der gewachsenen Komplexität die klaren Linien verloren hat.

Beratung, Rechtssicherheit und Vereinfachung

Der Digitalen Wirtschaft geht es nicht um einen regulatorischen Freifahrtschein. Und sie ist auch nicht so blauäugig zu glauben, dass mit einer Bündelung der Datenschutzaufsicht automatisch eine Liberalisierung einhergeht. Sie wünscht sich Klarheit, Verbindlichkeit und die Möglichkeit, verlässlich und holistisch beraten zu werden.

Datenschutz ist längst kein reines Compliance-Thema mehr, sondern zentraler Bestandteil datengetriebener Geschäftsmodelle. Doch heute fehlt eine Instanz, die wirtschaftsnah agiert, Zusammenhänge erkennt und Orientierung gibt.

Die Bündelung der Zuständigkeiten – wie sie politisch vereinbart ist – eröffnet die Chance, dies neu zu denken und zu professionalisieren. Integrierte Wissenskonsolidierung, einheitliche Auslegung und zentrale Erreichbarkeit. Das schafft Rechtssicherheit, reduziert Bürokratiekosten und beschleunigt die Umsetzung von digitalen Vorhaben.

Von Datenschutz zur Datennutzung

Die von CDU/CSU und SPD geplante Umbenennung zur „Bundesdatennutzungsbeauftragten“ ist vor diesem Hintergrund mehr als Symbolpolitik. Sie markiert einen Kulturwandel: von reaktiver Kontrolle hin zu aktiver Befähigung. Daran knüpft sich auch eine Hoffnung der Digitalen Wirtschaft.

Datennutzung ist ein Querschnittsthema. Neben die DSGVO treten horizontale Regelwerke wie Data Act, Digital Services Act oder AI Act. Hinzu kommen Spezialgesetze wie das Gesundheitsdatennutzungsgesetz. Diese Vielzahl verlangt nach einer Aufsicht, die integriert denkt und berät, statt nur zu kontrollieren.

Eine Bundesdatennutzungsaufsicht hätte das Potenzial, Innovation nicht nur zu beaufsichtigen, sondern aktiv zu ermöglichen. Und sie könnte den Anspruch einlösen, Datenschutz als Wettbewerbsfaktor zu verstehen – im besten Sinne.

Zuständigkeiten klar ordnen

Aus Sicht der Digitalen Wirtschaft muss eine Neuordnung dort ansetzen, wo Fragmentierung am meisten schadet: bei überregional tätigen Unternehmen und Partnerschaften.

Dabei ist klar: Die Landesdatenschutzbehörden sind nicht aus sich heraus das Problem. Viele von ihnen leisten mit begrenzten Ressourcen beeindruckende Arbeit. Beispielsweise in Bayern, Hamburg und auch Baden-Württemberg zeigt sich, wie Datenschutz auch praxisnah und lösungsorientiert gestaltet werden kann.

Doch genau darin liegt die Crux: Gleiche Qualität ist nicht flächendeckend garantiert. Datenschutz darf nicht vom Standort abhängen. Er muss einheitlich, planbar und skalierbar sein.

Es geht also nicht um eine Macht- oder Personendebatte, sondern um Kohärenz. Es geht um eine Struktur, die dort gebündelt wird, wo Einheitlichkeit nötig und möglich ist.

Eine zentrale Aufsicht kann hier Effizienz, Vertrauen und Spezialisierung sichern. Landesbehörden bleiben dabei weiter wichtige Eckpfeiler: als Ansprechpartner für öffentliche Stellen und regional verankerte Unternehmen. So entsteht ein arbeitsteiliges System.

Praktische Umsetzung ohne Grundgesetzänderung möglich

Abschließend: Die Reform ist rechtlich mit geringem Aufwand machbar. Eine Anpassung des Bundesdatenschutzgesetzes genügt. Entscheidend sind eine saubere Aufgabenteilung, eine verbindliche Koordination und ein gemeinsames Verständnis für die neue Rolle der Aufsicht.

In Deutschland stößt jede Infragestellung föderaler Strukturen traditionell und schon fast reflexartig auf Widerstand, was Reformen für die Politik zu einer dauerhaften Herausforderung macht. Den politischen Auftrag hat sich die Bundesregierung selbst ins Lastenheft geschrieben. Mit dem Werkstattgespräch ist der Startschuss gesetzt. BMI und BMWE verdienen Anerkennung dafür, dass sie den Prozess anstoßen und die Praxis frühzeitig einbinden.

Gleichzeitig gilt: Datenschutz bleibt auch in dieser Legislatur zersplittert. Umso wichtiger ist es, ressortübergreifend zu handeln. Das Digitalministerium und das Justizministerium sollten sich ebenfalls aktiv einbringen, damit sich die jüngste Vergangenheit nicht wiederholt.

Gestalten wir endlich eine Aufsicht, die Schutz und Anwendung zusammendenkt. Die nicht nur kontrolliert, sondern auch befähigt. Eine Aufsicht, die Sicherheit schafft und Nutzung ermöglicht. Kurz: eine Aufsicht, die Deutschland zukunftsfähig macht.

Moritz Holzgraefe ist seit 2021 ehrenamtlich Vizepräsident des Bundesverbands Digitale Wirtschaft (BVDW). Seit Januar 2025 ist er für die politische Arbeit von YouTube in DACH, den nordischen Ländern sowie in Zentral- und Osteuropa (CEE) zuständig.