Koalitionsvertrag: Geplante Änderungen bei Datenschutz und Informationssicherheit
10.04.2025
Zusammenfassung
SPD, CDU und CSU haben sich auf einen Koalitionsvertrag geeinigt. Der Beitrag stellt die beabsichtigten Anpassungen in den Bereichen Datenschutz und Informationssicherheit dar.
6 Minuten Lesezeit
Die Parteien CDU, CSU und SPD haben sich auf einen Koalitionsvertrag geeinigt, der auch zahlreiche beabsichtigte Anpassungen in den Bereichen Datenschutz und Informationssicherheit beinhaltet.
Vereinfachung datenschutzrechtlicher Vorgaben
- Die Koalition beabsichtigt eine Entbürokratisierung des Datenschutzes auf deutscher und – soweit möglich – europäischer Ebene (Rz. 2094).
- Es wird angestrebt, alle Spielräume der DSGVO zu nutzen, um Kohärenz, einheitliche Auslegungen und Vereinfachungen im Datenschutz für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu gewährleisten (Rz. 2101). Möglich ist auch eine Änderung der Schwelle, ab wann Unternehmen einen Datenschutzbeauftragten in Deutschland zu bestellen haben.
- Die neuen Regierungsparteien wollen Lösungen im Rahmen des europäischen Rechts entwickeln, um aufwändige Einwilligungslösungen für die Nutzung staatlicher Dienstleistungen durch unbürokratische Widerspruchslösungen zu ersetzen, wobei das Grundrecht auf informationelle Selbstbestimmung berücksichtigt bleiben soll (Rz. 2099).
- Auf europäischer Ebene soll sich dafür eingesetzt werden, nichtkommerzielle Tätigkeiten (z.B. in Vereinen), kleine und mittlere Unternehmen sowie risikoarme Datenverarbeitungen (z.B. Kundenlisten von Handwerkern) vom Anwendungsbereich der Datenschutzgrundverordnung auszunehmen (Rz. 2103).
- Dieser Diskussionsprozess zur Novellierung der DSGVO – unter anderem angestoßen durch den „Draghi-Report“ im vergangenen Jahr –auf europäischer Ebene hat bereits begonnen. Für den 21.5.2025 werden Vorschläge der EU-Kommission erwartet, wie die DSGVO – unter Wahrung des bisherigen Schutzniveaus – für kleine und mittelständische Unternehmen vereinfacht werden kann. “One goal is to simplify the record keeping requirements which small and medium sized enterprises with less than 500 people are subjected to”, wird der EU-Justizkommissar Michael McGrath zu diesem Vorhaben zitiert.
Neustrukturierung der Datenschutz-Aufsicht
- Die Koalition strebt für den Bereich der Wirtschaft eine Bündelung der Zuständigkeiten und Kompetenzen bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) an (Rz. 2095). Diese soll zudem in Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit umbenannt werden (Rz. 2254). Die BfDI hat bereits mitgeteilt, dass sie für eine Bündelung der Aufsicht zur Verfügung stünde.
- Dies steht im Widerspruch zur ebenfalls beinhalteten Forderung, zur Vereinheitlichung der Auslegung durch die Landesdatenschutzaufsichtsbehörden die Datenschutzkonferenz (DSK) im Bundesdatenschutzgesetz (BDSG) zu verankern (Rz. 2249); vgl. hierzu auch das Forderungspapier der Landesdatenschutzaufsichtsbehörden.
- Auf europäischer Ebene waren erste Wortmeldungen zu vernehmen, den Europäischen Datenschutzausschuss abzuschaffen und die Durchsetzung der DSGVO auf europäischer Ebene bei der EU-Kommission zu bündeln (wie ursprünglich auch bei der Verhandlung zur Einführung der DSGVO seitens der EU-Kommission bereits gefordert).
- Und so ist nicht auszuschließen, dass die derzeitigen Reformvorhaben auf deutscher Ebene letztlich im Licht dieser beabsichtigten europäischen Harmonisierung der Aufsichtsstrukturen zu verstehen sind. Im Interesse der mittelständischen deutschen Wirtschaft dürfte es indes sein, das bisherige System der Landesdatenschutzaufsichtsbehörden beizubehalten und die Rolle der Datenschutzkonferenz zu stärken.
Stärkung der Datennutzung
- Die Datennutzung (BDSG) soll erleichtert und noch in diesem Jahr ein Forschungsdatengesetz vorgelegt werden (Rz. 2573).
- Die Regierung verfolgt das Ziel einer Kultur der Datennutzung und des Datenteilens, die eine Datenökonomie etabliert, auf Innovation setzt und Grund- und Freiheitsrechte schützt. Dabei sollen Rechtsunsicherheiten beseitigt, Datenschätze gehoben, Daten-Ökosysteme gefördert und auf Datensouveränität gesetzt werden (Rz. 2238).
- Es soll die Grundlage geschaffen werden, Regelwerke, für die es sachgemäß ist, in einem Datengesetzbuch zusammenzufassen. Der Grundsatz „public money, public data“ wird verfolgt, wobei durch Datentreuhänder Vertrauen in Datenmanagement und hohe Datenqualität gewährleistet werden soll (Rz. 2243).
- Wo möglich, soll ein Rechtsanspruch auf Open Data bei staatlichen Einrichtungen geschaffen werden (Rz. 2245).
- Es soll eine moderne Regelung für Mobilitäts-, Gesundheits- und Forschungsdaten geschaffen werden, wobei alle berechtigten Interessen gewahrt und die breite Anwendung von Privacy Enhancing Technologies gefördert werden soll (Rz. 2247).
- Der „Once-Only“-Grundsatz soll gelten, wonach Bürgerinnen und Bürger sowie Unternehmen ihre Daten gegenüber dem Staat nur einmal angeben müssen. Dafür soll ein grundsätzliches Doppelerhebungsverbot und Verpflichtungen zum Datenaustausch innerhalb der Verwaltung etabliert werden (Rz. 478).
Fokus auf erweiterte Datenerfassung für Kriminalitätsbekämpfung
- Im Kontext der Bekämpfung von Cyberkriminalität wird auf die Notwendigkeit hingewiesen, das Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und datenschutzrechtlichen Vorgaben neu auszutarieren (Rz. 2625).
- Die Sicherheitsbehörden sollen für bestimmte Zwecke eine Befugnis zur Vornahme einer automatisierten (KI-basierten) Datenanalyse erhalten. Unter bestimmten, eng definierten Voraussetzungen bei schweren Straftaten soll den Strafverfolgungsbehörden eine retrograde biometrische Fernidentifizierung zur Identifizierung von Täterinnen und Tätern ermöglicht werden (Rz. 2852). Man möchte zudem eine verhältnismäßige und europa- und verfassungsrechtskonforme dreimonatige Speicherpflicht für IP-Adressen und Portnummern einführen, um diese einem Anschlussinhaber zuordnen zu können (Rz. 2630).
- Zu Strafverfolgungszwecken soll der Einsatz von automatisierten Kennzeichenlesesystemen im Aufzeichnungsmodus gestattet werden (Rz. 2637)
- Im Digitalen Gewaltschutzgesetz soll es ermöglicht werden, auch anonyme Hass-Accounts mit strafbaren Inhalten zu sperren (Rz. 2938).
- Plattformen sollen Schnittstellen zu Strafverfolgungsbehörden bereitstellen, damit relevante Daten automatisiert und schnell abgerufen werden können (Rz. 2939).
Stärkung der Cyberabwehr
- Stärkung der Cybersicherheit und des Bundesamts für Sicherheit in der Informationstechnik (BSI): Die Koalitionspartner wollen die Nationale Cybersicherheitsstrategie weiterentwickeln mit dem Ziel einer klaren Rollen- und Aufgabenverteilung. Das BSI soll gestärkt und zu einer Zentralstelle für Fragen der Informations- und Cybersicherheit ausgebaut werden. Die Kommunikationsnetze, insbesondere für die Krisen- und VS-Kommunikation, sollen gehärtet werden (Rz. 2676).
- Ausbau der Fähigkeiten zur aktiven Cyberabwehr: Im Rahmen des verfassungsrechtlich Möglichen sollen die Fähigkeiten zur aktiven Cyberabwehr ausgebaut werden. Bei den Nachrichtendiensten soll ein stärkerer gemeinsamer Fokus auf den Cyber- und Informationsraum gelegt werden, auch durch die Schaffung einer neuen spezialisierten technischen Zentralstelle unter Einbeziehung von ZITiS (Rz. 2685).
- Umsetzung der NIS-2-Richtlinie: Im Rahmen der Umsetzung der NIS-2-Richtlinie soll das BSI-Gesetz novelliert werden (Rz. 2682).
- Schutz des Mittelstands vor Cyberangriffen: Der Mittelstand soll durch Aufklärung und Unterstützung bei Cybersicherheitsmaßnahmen besser vor Cyberangriffen geschützt werden. Die Unternehmen sollen bei der Umsetzung des Cyber Resilience Act unterstützt werden (Rz. 285).
- Sicherheitsanforderungen für kritische Infrastruktur: Für kritische Komponenten in der Infrastruktur müssen höchste Sicherheitsanforderungen gelten. In sensiblen Bereichen der kritischen Infrastruktur dürfen ausschließlich vertrauenswürdige Komponenten verbaut werden (Rz. 283).
