Wirtschaftsvorteil Datenschutz(?)

Frederick Richter, LL.M.

Wenn jemand an den Titel eines von seiner eigenen Einrichtung herausgegebenen Thesenpapiers ein Fragezeichen anfügt – bedeutet das dann, dass er nicht mehr hinter dem Inhalt des Papieres steht? Nein. Vielmehr soll das vermeintliche Infragestellen die mit dem Thema verbundene Debatte einbeziehen. Denn wenn wir darüber sprechen, wie der Datenschutz die Wirtschaft in Europa und in Deutschland voranbringen kann, dann müssen wir nicht nur über Gesetze sprechen, sondern auch über die real existierende Umsetzung derselben, über die Datenschutzkultur und über Erwartungshaltungen.

Datenschutz in der Defensive

Das erwähnte Papier der Stiftung Datenschutz aus dem Januar dieses Jahres wurde zum Europäischen Datenschutztag 2026 veröffentlicht¹. Es entstand unter dem Eindruck eines zunehmend kritischen datenpolitischen Klimas. Wohl selten schlug dem Datenschutz der Wind härter ins Gesicht als in den vergangenen Monaten. Ein Jahr vor Erscheinen dieser Kolumne hatten die deutschen Regierungsparteien einen Koalitionsvertrag verhandelt, in dem Datenschutz nurmehr unter dem Stichwort „Bürokratieabbau“ vorkam. Und ein gutes halbes Jahr später war es dann – nach einem guten halben Jahrzehnt des legislativen Verharrens – soweit, dass in Brüssel ziemlich unerwartet Vorschläge zur Änderung des europäischen Datenschutzrechts veröffentlicht wurden. Diese Vorschläge sind in Teilen durchaus diskutabel, aber im Ganzen lösten sie starke Befürchtungen bei vielen Datenschützenden aus. Derzeit steht vieles potentiell in Frage, von der Definition des Personenbezuges bis zur Bestellpflicht betrieblicher Beauftragter. Und wenn das nach der Veröffentlichung der Kommission von manchen skizzierte Untergangsszenario auch arg übertrieben sein mag, so erscheint der Datenschutz doch einigermaßen in die Ecke gedrängt. Er muss sich zunehmend rechtfertigen und ist in der Defensive (wobei wir über die neuen Vorschläge zur Vorratsdatenspeicherung noch gar nicht reden). In einer solchen Stimmung kann es sich für einen „Tendenzbetrieb“ wie die Bundesstiftung anbieten, einmal positive Töne anzuschlagen. Wir wiesen deshalb darauf hin, dass Datenschutz bei zielgerichteter Interpretation und Anwendung ein entscheidender Wettbewerbsvorteil sein könnte. 

Das gute Ziel nicht aus den Augen verlieren

Damit dieser Vorteil real entstehen kann sind zwei Bedingungen zu erfüllen: Die „Angebotsseite“ – das heißt: die Verantwortlichen, die Entscheiderinnen und Entscheider in der Wirtschaft – muss entschiedene Bemühungen um guten Datenschutz als geboten und lohnenswert erachten. Nur dann wird sie erweiterte Ressourcen bereitstellen – und nicht erst dann investieren, wenn Sanktionen drohen. Und die „Nachfrageseite“ – das heißt: die Datensubjekte, die Konsumentinnen und Konsumenten – muss ihre Auswahlentscheidungen (zumindest auch) von Datenschutzfreundlichkeit abhängig machen. Solange die eine Seite die Datenschutzfreundlichkeit von Produkten und Dienstleistungen a) nicht herstellt und b) nicht herausstellt und die andere Seite solche Datenschutzfreundlichkeit auch gar nicht sucht und einfordert, wird es schwer bleiben. 

Kein Vorteil, wenn niemand ihn würdigt

Was ist also wirklich dran am „Wettbewerbsvorteil Datenschutz“? Gibt es diesen idealen Zustand etwa nur in datenpolitischen Sonntagsreden? Die Diskussion darüber ist nicht neu, ob denn guter Datenschutz schon ein Vorteil im wirtschaftlichen Wettbewerb sei oder ob und wann er es denn zumindest zukünftig werden könne. So konstatierte der damalige Landesbeauftragte von Schleswig-Holstein bereits 2002 recht selbstbewusst: „Wer Datenschutz bislang als Belastung und Wettbewerbsnachteil gesehen hat, muss umdenken“.² An die Datenschutzgrundverordnung war seinerzeit noch nicht zu denken, und die Datenschutzrichtlinie hatte sieben Jahre nach ihrem Erlass, mangels harmonischer Umsetzung, nicht das vielersehnte level playing field in der EU entstehen lassen. Auch damals schon war die Annahme von gewissem Optimismus geprägt, vor allem hinsichtlich der (vermeintlich) verheißungsvollen Zukunft der Datenschutzzertifizierung. 

Doch im Kern bleibt Optimismus Pflicht. Denn würden wir einem Narrativ nicht widersprechen, demzufolge Datenschutz nur eine lästige Compliance-Pflicht wäre, die möglichst stark zurückgeschnitten gehört, um den digitalen Fortschritt nicht zu sehr zu stören, dann beförderten wir eine – mitunter bereits wahrnehmbare – bedenkliche Tendenz. Wenn wir den Wesenskern des Datenschutzes nicht mehr herausstellen und nur noch über Dokumentationspflichten streiten, die wegkönnen, dann kann dabei herauskommen, dass eines Tages in breiteren Kreisen der Politik darüber gestritten wird, ob nicht der Datenschutz selbst wegkann. 

Machen wir es einfacher!

Was braucht es neben einer solchen positiven Grundhaltung noch für einen „Wirtschaftsvorteil Datenschutz“? Damit vor allem die Seite der Verantwortlichen sich beherzt für guten Datenschutz einsetzt, sollte die Rechtsumsetzung klarer und einfacher werden. Hohe Komplexität in der DSGVO-Compliance mag für große Akteure mit gut ausgestatteten Inhouse-Teams und gut gefüllter Kasse für externe Beratung noch leicht stemmbar sein. Für kleine mittelständische Unternehmen und erst recht für ganz kleine Organisationen gewerblicher oder nicht-gewerblicher Art jedoch schreckt eine hohe Komplexität ab. Sie kann dazu führen, dass Datenschutzprojekte auf die lange Bank geschoben werden. 

Es könnte eine erhebliche Vereinfachung für diese kleinen Akteure sein, wenn Lasten von ihnen als Nutzern von Datenverarbeitungsinstrumenten hin zu den Anbietern dieser Instrumente verlagert würden. Daher stimmt die Stiftung Datenschutz den Aufsichtsbehörden bei deren Forderung zu, die gesetzliche Verpflichtung zu „Datenschutz durch Technikgestaltung“ und gegebenenfalls weitere Pflichten auf die Anbieter zu erstrecken. Diese Einbeziehung von Herstellern und Anbietern digitaler Werkzeuge könnte erheblich entlasten – und damit den von allen so vehement geforderten Bürokratieabbau im Datenschutz mit einem großen Hebeleffekt bewirken. Der hessische Landesbeauftragte fragte dazu im Januar anschaulich: „Wäre es nicht besser, wenn nicht Millionen von Einrichtungen, die das IT-Produkt eines internationalen Anbieters nutzen, umfangreiche Datenschutzprüfungen und Folgeabschätzungen machen müssten, sondern stattdessen nur dieser eine internationale Anbieter?“.³ Die bei dieser rhetorischen Frage anwesende Vertreterin der EU-Kommission jedoch befand die Forderung nach einer Herstellereinbeziehung als zu grundlegend und zu groß, um sie in das gesetzgeberische Schnellverfahren eines „Omnibus“ aufzunehmen. Warum hingegen eine womöglich grundlegende Änderung beim Personenbezug als dem zentralen Anknüpfungspunkt des Datenschutzrechts nicht zu groß für das laufende Verfahren wäre, sagte sie nicht. 

Vereinfachen und gleichzeitig schützen

Auch abseits der Ausweitung und Verlagerung von Verantwortlichkeiten bietet sich Raum für Vereinfachung und Verklarung. Noch viel zu oft werden Verantwortliche bislang auf eine Prüfung des Einzelfalls verwiesen. Dies bedeutet Aufwand, der global betrachtet dann nicht effizient ist, wenn gleichgelagerte Verarbeitungssituationen bei verschiedenen Verantwortlichen wiederkehrend geprüft werden müssen. Stattdessen könnten für Standardfälle Erlaubnis- und Verbotslisten geschaffen werden.⁴ Mit einer solchen Typisierung und kategorisierten Regulierung vergleichbarer Risikokonstellationen könnte die Praxis deutlich erleichtert werden. Idealerweise würde die Herstellung von Rechtskonformität verschlankt und beschleunigt, ohne das grundrechtliche Schutzniveau zu senken. 

Auch wenn diese Diskussion noch am Anfang steht: Es ist die Gedanken wert, sie zu führen.

¹ „Wirtschaftsvorteil Datenschutz – Warum DSGVO-Standards Unternehmen resilient und zukunftsfähig machen“, abrufbar unter: stiftungdatenschutz.org/veroeffentlichungen/wirtschaftsvorteil-datenschutz

² H. Bäumler, A. v. Mutius, Datenschutz als Wettbewerbsvorteil, Wiesbaden, 2002.

³ Europas digitaler Omnibus: Wohin steuert der Datenschutz?; Veranstaltung der europäischen Akademie für Informationsfreiheit und Datenschutz am 28. Januar 2026; Veranstaltungshinweis abrufbar unter: www.eaid-berlin.de/28-01-2026-europas-digitaler-omnibus-wohin-steuert-der-datenschutz

⁴ siehe die Vorschläge der Arbeitsgruppe DSGVO am TUM Think Tank vom Dezember 2025, abrufbar unter: https://tumthinktank.de/wp-content/uploads/DSGVO_Ampelkonzept_V1.pdf

Dieser Artikel erscheint hier mit freundlicher Genehmigung des Erich Schmidt Verlages und wurde zuerst in der PinG – Privacy in Germany 2 / 2026 am 27.02.2025 veröffentlicht.