Analyse
/ 05. Mai 2025

Datenschutz im Koalitionsvertrag 2025

Digitale Themen sind im Koalitionsvertrag von CDU, CSU und SPD hoch im Kurs. Es wird digitalisiert, die Datennutzung vorangetrieben und der Datenschutz überarbeitet. Was geplant ist und was Datenschutzbeauftragte beachten müssen.

Der Koalitionsvertrag „Verantwortung für Deutschland“ (2025 – 2029) ist unterzeichnet. CDU, CSU und SPD haben sich damit auf den politischen Kurs für die kommenden vier Jahre verständigt. Vorgesehen sind dabei auch zahlreiche Vorhaben, die den Datenschutz direkt oder indirekt betreffen. Datenschutzbeauftragte müssen sich auf signifikante Änderungen einstellen, die sowohl Chancen als auch Risiken für den Schutz personenbezogener Daten mit sich bringen.

Zentralisierung der Datenschutzaufsicht

Ein zentraler Aspekt der Reform des Datenschutzes ist, die Datenschutzaufsicht stärker zu bündeln: „Im Interesse der Wirtschaft streben wir eine Bündelung der Zuständigkeiten und Kompetenzen bei der Bundesdatenschutzbeauftragten an. Sie soll dann Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit sein“, heißt es diesbezüglich (S. 65, Rn. 2106 ff.). Ziel ist eine einheitlichere Auslegung und Durchsetzung datenschutzrechtlicher Vorschriften zu erreichen.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider zeigt sich offen für diese Zentralisierung. „Ich stehe bereit, diese neue Verantwortung anzunehmen und werde mich für einen innovationsfreundlichen und zugleich effektiven Datenschutz einsetzen“, erklärt sie. Ziel müsse es sein, passgenaue, branchenspezifische Beratung anzubieten und einheitliche Entscheidungen zu gewährleisten. „Zeitgleich müssen Bürgerinnen und Bürger auch weiterhin gut geschützt bleiben, wenn ihre personenbezogenen Daten verarbeitet werden.“

Auch zur geplanten Umbenennung äußert sich Specht-Riemenschneider positiv: „Es ist ohnehin meine Überzeugung, dass Datenschutz und Datennutzbarkeit zusammengedacht werden müssen. Zugleich bedeutet eine Umbenennung nicht, dass ich mich dem Schutz der informationellen Selbstbestimmung der Bürgerinnen und Bürger weniger verbunden fühlen werde.“

Die geplante Zentralisierung stößt jedoch auch auf Kritik. Der Landesdatenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann, warnt beispielsweise vor einer möglichen Überbürokratisierung und dem Verlust kurzer Wege, die insbesondere für kleine und mittlere Unternehmen (KMU) wichtig sind.

Auch von weiteren Landesdatenschutzbeauftragten kommt Widerspruch. So erklärt Bettina Gayk, Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen: „Solche Pläne sind noch nicht zu Ende gedacht. Das dokumentiert bereits der Koalitionsvertrag, der das Thema zwei Mal mit variierenden Aussagen aufgreift, nämlich bei den Randnummern 2094 und 2299. Die zweite Variante ist in ihrer Aussage zu Recht deutlich zurückhaltender. Die Zielsetzung ist klar, Wirtschaft und Ehrenamt sollen entlastet werden. Das begrüße ich. Aber man erreicht das nicht durch eine zentrale Datenschutzaufsicht. Solche Pläne bringen weder Bürokratieabbau noch sparen sie Kosten. Stattdessen nehmen sie den Unternehmen, den Bürger*innen und auch der Politik im Land Service, Rechte und Gestaltungsmöglichkeiten.“

Gesetzliche Verankerung der DSK

Gleichzeitig kündigt der Koalitionsvertrag die gesetzliche Verankerung der Datenschutzkonferenz (DSK) im Bundesdatenschutzgesetz (BDSG) an – „um gemeinsam Standards zu erarbeiten“ (S. 70, Rn. 2249 f.). ​

Mit diesem Schritt soll die Rolle der DSK gestärkt und formal abgesichert werden. Derzeit beruht ihre Tätigkeit lediglich auf Geschäftsordnungen und freiwilliger Kooperation. Ein gesetzlicher Rahmen könnte ihre Verbindlichkeit erhöhen, insbesondere in Bezug auf gemeinsame Beschlüsse und abgestimmte Verfahren der Aufsichtsbehörden.

In Verbindung mit der angestrebten Zentralisierung der Datenschutzaufsicht im wirtschaftlichen Bereich könnte sich zudem eine neue Aufgabenteilung ergeben: Die DSK würde künftig vor allem für die Koordinierung der öffentlichen Datenschutzaufsicht auf Landes-, Behörden- und Kommunalebene zuständig sein, während der Bundesdatenschutzbeauftragte die Aufsicht über die Privatwirtschaft übernimmt.

Spielräume der DSGVO nutzen

Zusätzlich zur angestrebten Entlastung durch die Zentralisierung plant die Koalition, „alle vorhandenen Spielräume der DSGVO“ zu nutzen, „um beim Datenschutz für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu sorgen“ (S. 65, Rn. 2102 f.). Ähnliche Bestrebungen gibt es auch im Gesundheitswesen: Dort sollen Datenschutzvorgaben „auf ihre zwingende Notwendigkeit“ hin überprüft werden (S. 110, Rn. 3497 f.).

Auf europäischer Ebene setzt sich die Koalition dafür ein, nicht kommerzielle Tätigkeiten – etwa in Vereinen –, kleine und mittlere Unternehmen sowie risikoarme Datenverarbeitungen vom Anwendungsbereich der DSGVO auszunehmen. So sollen beispielsweise einfache Verarbeitungsvorgänge wie Kundenlisten von Handwerksbetrieben von bestimmten Pflichten befreit werden.

Auch die Europäische Kommission hatte in ihrem Bericht von 2024 betont, dass insbesondere kleinere Organisationen administrative Entlastung benötigen – ohne dabei den Schutz personenbezogener Daten zu gefährden. „In den kommenden Jahren sollte der Schwerpunkt insbesondere darauf liegen, die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – zu unterstützen, klarere und umsetzbarere Leitlinien der Datenschutzbehörden bereitzustellen und eine einheitlichere Auslegung und Durchsetzung der DSGVO in der gesamten EU zu erreichen“, heißt es dort.

Datennutzung im Fokus

Wie bereits die geplante Umbenennung des BfDI andeutet, ist ein zentrales Anliegen des Koalitionsvertrags, „eine Kultur der Datennutzung und des Datenteilens“ zu etablieren (S. 69, Rn. 2239). Entsprechend finden sich in zahlreichen Kapiteln des Vertrags Hinweise auf eine verstärkte Nutzung von Daten.

So heißt es im Bereich der öffentlichen Verwaltung: „Wir treten für ein offeneres und positives Datennutzungsverständnis ein. Wir wollen Daten zur strategischen Steuerung, Modellierung und Wirkungskontrolle bündeln und besser nutzen. Dazu stärken wir die Datenkompetenz und beseitigen bestehende Hindernisse.“ (S. 58, Rn. 1858)

Auch im Bereich der Sozialleistungen sollen Daten verstärkt eingesetzt werden, etwa „um auf mögliche Leistungsansprüche hinzuweisen und die Beantragung zu vereinfachen“ (S. 15, Rn. 451). Beim Thema Digitale Souveränität setzt die Koalition auf eine „datenbasierte Steuerung und Wirkungsorientierung“ (S. 68, Rn. 2178). Zudem sollen für junge Menschen ohne berufliche Perspektive „die gesetzlichen Grundlagen zur systematischen und datenschutzkonformen Datennutzung durch die Jugendberufsagenturen“ geschaffen werden.

Dies sind nur einige Beispiele für den angestrebten Kulturwandel im Umgang mit Daten.

Rechtsanspruch auf Open Data

Darüber hinaus möchte die Koalition, „einen Rechtsanspruch auf Open Data bei staatlichen Einrichtungen“ (S. 69 f., Rn. 2244 f.) schaffen. Dieser Anspruch richtet sich insbesondere auf Datenbestände in den Bereichen Mobilität, Gesundheit, Umwelt und Forschung, bei denen ein erheblicher gesellschaftlicher und wirtschaftlicher Nutzen durch Weiterverwendung besteht.

Damit greift die Bundesregierung zentrale Empfehlungen des European Data Strategy und der EU Open Data Directive (EU 2019/1024) auf, die öffentlichen Daten als „öffentliche Ressource“ begreifen.

Der geplante Rechtsanspruch wird jedoch nicht schrankenlos gewährt. Der Koalitionsvertrag betont: „Dabei wahren wir berechtigte Interessen.“ (S. 70, Rn. 2246 f.)

Dies bedeutet, dass personenbezogene Daten entweder vollständig anonymisiert oder durch geeignete Maßnahmen gegen Re-Identifikation abgesichert werden müssen. Hierfür sollen gezielt Privacy Enhancing Technologies (PETs) eingesetzt und gefördert werden (S. 70, Rn. 2247). PETs umfassen Technologien wie:

  • Differential Privacy (z.B. bei statistischen Veröffentlichungen),
  • Datenminimierung und Aggregierung,
  • pseudonyme Datenspeicherung,
  • sowie vertrauenswürdige Rechenumgebungen (z.B.  Secure Multi-Party Computation).

Einführung eines „Datengesetzbuchs“

Ein weiteres zentrales Vorhaben im Kontext der Datennutzung ist die Beseitigung bestehender Rechtsunsicherheiten: „Wir schaffen die Grundlage, um Regelwerke, für die es sachgemäß ist, in einem Datensetzbuch zusammenzufassen“ (S. 69, Rn. 2241 f.).

Das geplante Datengesetzbuch soll bislang verstreute Vorschriften systematisch bündeln. Ziel ist es, die Rechtsanwendung zu vereinfachen, Innovationen in der Datenwirtschaft zu fördern und den Zugang zu Daten klarer und transparenter zu regeln.

Frankreich hat beispielsweise mit dem „Code des relations entre le public et l’administration“ bereits Erfahrungen mit einer Kodifizierung digitaler Rechtsvorschriften gesammelt, auf die sich Deutschland nun beziehen könnte.

Weitere Gesetze zur Datennutzung

Gleichzeitig sollen neue Gesetze entstehen beziehungsweise bestehende angepasst werden, um die Datennutzung voranzutreiben. Das betrifft vor allem das Gesundheitswesen und die Forschung. Einerseits ist hier geplant „Hürden zugunsten eines besseren Datenaustausches im Rahmen des Gesundheitsdatennutzungsgesetzes“ zu beseitigen. Was genau damit gemeint ist, wird jedoch nicht näher erläutert.

Zudem soll noch in diesem Jahr ein Forschungsdatengesetz vorgelegt (S. 79, Rn. 2572 f.) und die „Aktivitäten für die Nationale Forschungsdateninfrastruktur“ (S. 80, Rn. 2597) verstetigt werden.

Einsatz von Datentreuhändern

Zur Stärkung des Vertrauens in die Nutzung personenbezogener und sensibler Daten plant die Bundesregierung die Einführung sogenannter Datentreuhandmodelle. Im Koalitionsvertrag heißt es dazu: „Wir verfolgen den Grundsatz ‚public money, public data’ und gewährleisten dabei durch Datentreuhänder Vertrauen in Datenmanagement und hohe Datenqualität.“ (S. 69, Rn. 2243 f.)

Datentreuhänder sollen als neutrale Instanzen zwischen Datengebern (z. B. Bürgerinnen und Bürgern, Unternehmen) und Datennutzern (z. B. Forschung, Industrie oder Verwaltung) agieren. Sie übernehmen treuhänderisch die Verwaltung des Datenzugangs und der Datennutzung, indem sie über Zwecke, Empfänger und Nutzungsrahmen wachen – und so einen strukturierten, transparenten und rechtssicheren Umgang mit Daten ermöglichen.

Solche Modelle sind auch bereits im Rahmen des europäischen Data Governance Act (DGA) vorgesehen, der klare Anforderungen an sogenannte „Data Intermediaries“ stellt – etwa in Bezug auf Unabhängigkeit, Zweckbindung und Transparenz.

Speicherung von IP-Adressen

Der liberalere Umgang mit Daten betrifft auch die Strafverfolgungsbehörden. In diesem Zusammenhang ist erneut eine Form der Vorratsdatenspeicherung vorgesehen: „Wir werden die europa- und verfassungsrechtlichen Spielräume ausschöpfen, um ein Höchstmaß an Sicherheit für unsere Bürgerinnen und Bürger zu gewährleisten. Das Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und datenschutzrechtlichen Vorgaben muss deshalb neu austariert werden.“

Was das konkret bedeutet, wird einige Zeilen später deutlich: „Wir führen eine verhältnismäßige und europa- sowie verfassungsrechtskonforme dreimonatige Speicherpflicht für IP-Adressen und Portnummern ein, um diese einem Anschlussinhaber zuordnen zu können.“

Damit reagiert die Koalition auf die Vorgaben des Europäischen Gerichtshofs (EuGH). Dieser hatte frühere Versuche zur Einführung einer anlasslosen Vorratsdatenspeicherung für unvereinbar mit europäischem Recht erklärt, jedoch unter bestimmten Bedingungen eine Ausnahme für die Speicherung von IP-Adressen zugelassen.

Der Grund für diese Einschränkungen: Bereits bei kurzer Speicherdauer kann aus der Gesamtheit der erfassten Daten ein detailliertes Bild des Privatlebens nahezu jeder Person entstehen. Das sei ohne Anlass europarechtswidrig.

Fazit

Der Koalitionsvertrag 2025 enthält zahlreiche politische Impulse, die den Datenschutz sowohl direkt – etwa durch neue Regelungen zur Aufsicht, zur Datennutzung und zur Verarbeitung personenbezogener Daten – als auch indirekt – bspw. durch digitale Infrastrukturprojekte und gesetzliche Vereinfachungen – betreffen. Ob und in welchem Umfang diese Ankündigungen tatsächlich umgesetzt werden und welche konkreten Auswirkungen sie haben werden, lässt sich derzeit jedoch nicht genau sagen.

Die Wirtschaft bewertet die Vorhaben jedenfalls grundsätzlich positiv: „Die im Koalitionsvertrag verankerten Maßnahmen bieten eine einzigartige Chance, den eigenen Datenschutz als Wettbewerbsfaktor zu nutzen und gleichzeitig den Anforderungen des digitalen Wandels gerecht zu werden“, erklärt Anja Olsok, Geschäftsführerin der Bitkom Servicegesellschaft mbH.

Natalie Ziebolz

URL zum Beitrag: https://www.datenschutz-praxis.de/weiterbildung-fachkunde/datenschutz-im-koalitionsvertrag-2025/
Beitrag gedruckt von Datenschutz PRAXIS: https://www.datenschutz-praxis.de

Copyright © Datenschutz PRAXIS. All rights reserved.

Klicken zum Drucken