Die Datenschützer wollen die DSGVO für KMU entlasten

Einmal eine gute Nachricht aus der Datenschutzecke. Die deutschen Aufsichtsbehörden selbst finden, dass die DSGVO für kleine Unternehmen an einigen Stellen zu schwer wiegt. Und sie schlagen konkrete Entlastungen vor.

Hintergrund ist der Digital Fitness Check der EU-Kommission, mit dem die europäische Daten- und Digitalgesetzgebung überprüft wird. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz DSK, hat dazu am 17. März 2026 eine Stellungnahme veröffentlicht. Der Kern: gezielte Nachjustierung statt großem Umbau. Das Schutzniveau bleibt hoch, aber der Aufwand für kleine und mittlere Unternehmen soll sinken.

Das ist bemerkenswert, weil es nicht von einem Wirtschaftsverband kommt, sondern von den Behörden, die sonst die Bußgelder verhängen.

Was die DSK vorschlägt

Drei Vorschläge stechen für kleine Betriebe heraus.

Erstens soll mehr Verantwortung bei den Herstellern landen. Hersteller und Anbieter von Hard- und Software müssen nach Ansicht der DSK die Grundsätze Datenschutz durch Technikgestaltung aus Artikel 25 DSGVO besser umsetzen. Bisher trägt fast die ganze Last die Firma, die ein Tool einsetzt, nicht die, die es baut. Das soll sich verschieben.

Zweitens soll die Meldepflicht für Datenschutzbeauftragte fallen. Konkret geht es um Artikel 37 Absatz 7. Heute müssen Unternehmen die Kontaktdaten ihres Datenschutzbeauftragten an die Aufsichtsbehörde melden. Diese Pflicht soll gestrichen werden, was vor allem Bürokratie spart.

Drittens will die DSK Begriffe schärfen, etwa die Definition von biometrischen Daten und den Umgang mit besonders sensiblen Daten nach Artikel 9. Klarere Begriffe bedeuten weniger Rätselraten für kleine Firmen ohne eigene Rechtsabteilung.

Was sich für Ihre Website jetzt nicht ändert

Wichtig zur Einordnung. Das ist ein Vorschlag, kein Gesetz. Bis daraus etwas wird, muss die EU-Kommission den Digital Fitness Check abschließen und der Gesetzgeber tätig werden. Das dauert.

Für Ihre Website gelten bis dahin die bekannten Regeln unverändert weiter. Das heißt vor allem: Cookies und Tracking brauchen weiterhin eine Einwilligung, bevor sie laden. Das regelt in Deutschland das TDDDG, und die Orientierungshilfe der DSK setzt hier klare Maßstäbe für Cookie-Banner.

Der häufigste Fehler bleibt derselbe wie eh und je. Tracker, die schon vor dem Klick auf "Akzeptieren" starten. Ein eingebettetes YouTube-Video, Google Analytics oder ein Meta-Pixel laden oft sofort beim Seitenaufruf. Genau das ist nicht erlaubt.

Ein zweiter Dauerbrenner ist die Datenschutzerklärung. Eine Copy-Paste-Vorlage von 2018 reicht längst nicht mehr. Sie muss konkret benennen, welche Daten Sie erheben, zu welchem Zweck und auf welcher Rechtsgrundlage.

So prüfen Sie Ihre Seite

Der am einfachsten zu prüfende Punkt ist auch der wichtigste. Laden Tracker, bevor jemand zugestimmt hat? Das sehen Sie nicht mit bloßem Auge, denn es passiert im Hintergrund, sobald die Seite öffnet.

Mit unserem kostenlosen Scanner sehen Sie, was Ihre Seite vor dem ersten Klick lädt. In dreißig Sekunden zeigt er, welche Tracker starten und wann, ohne Anmeldung.

Häufige Fragen

Ändert sich durch den DSK-Vorschlag etwas an meinen Pflichten?

Nein, noch nicht. Es ist eine Stellungnahme an die EU-Kommission, kein geltendes Recht. Bis zu einer möglichen Gesetzesänderung gelten alle bisherigen Regeln unverändert weiter.

Braucht meine kleine Firmen-Website ein Cookie-Banner?

Ja, wenn Ihre Seite nicht notwendige Cookies setzt, etwa für Analyse oder Werbung. Nach dem TDDDG brauchen Sie eine Einwilligung, bevor diese Tracker laden.

Was ist der häufigste Fehler bei Cookie-Bannern?

Tracker, die vor der Einwilligung laden. Ein eingebettetes Video oder ein Analyse-Skript startet oft sofort beim Seitenaufruf, obwohl das erst nach der Zustimmung erlaubt ist.

Muss ich die Kontaktdaten meines Datenschutzbeauftragten weiterhin melden?

Vorerst ja. Die Streichung dieser Pflicht aus Artikel 37 Absatz 7 ist nur ein Vorschlag der DSK. Solange das Gesetz nicht geändert ist, bleibt die Meldepflicht bestehen.

Was ist das TDDDG?

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Es löste 2024 das TTDSG ab und regelt unter anderem, wann Sie für Cookies eine Einwilligung brauchen.

---

Sie wissen nicht, was Ihre Seite vor dem Klick lädt? Scannen Sie Ihre Website kostenlos, Ergebnis in dreißig Sekunden.

Weiterlesen:

• DSGVO-konformes Cookie-Banner
• Was in Ihre Datenschutzerklärung gehört
• Kostenloser Cookie- und Compliance-Scanner