DSGVO vor der Entrümpelung: Was der Koalitionsbeschluss für Vereine, Handwerker und kleine Firmen bedeutet

von | 03.07.2026 | Digital

Die Koalition will den Datenschutz radikal vereinfachen: Vereine, kleine Betriebe und „risikoarme“ Datenverarbeitung sollen komplett aus der DSGVO fallen. Klingt nach Befreiungsschlag – ist aber vorerst nur eine Absichtserklärung. Was wirklich beschlossen wurde, wo der Haken liegt und was sich für dich ändert.

Die DSGVO hat viele Schattenseiten, das kennen wir alle aus dem Alltag.

Wenn zB. ein Handwerksbetrieb mit zwölf Leuten eine Rechnung schreiben will, braucht er dafür heute theoretisch: ein Verzeichnis von Verarbeitungstätigkeiten, dokumentierte technische und organisatorische Maßnahmen, eine Datenschutzerklärung – und ab einer bestimmten Größe einen Datenschutzbeauftragten.

Für eine(!) Kundenliste. Irre!

Genau an dieser Stelle setzt der Koalitionsausschuss an, der Anfang Juli sein „Programm für Aufschwung und Beschäftigung“ vorgelegt hat. Bundeskanzler Friedrich Merz brachte die Stoßrichtung auf den Punkt: Der Datenschutz sei zu einem „Bürokratiemonster“ geworden und müsse schlanker werden.

Logo der DSGVO mit einem Schild und Sterne auf blauem Hintergrund

Der Ist-Zustand: Warum die DSGVO kleine Betriebe überfordert

Seit 2018 gilt die Datenschutz-Grundverordnung für alle gleich – für Google genauso wie für den Sportverein und die Schreinerei um die Ecke.

Schlecht formuliert. Das war von Anfang an das Grundproblem: Die DSGVO kennt zwar risikobasierte Elemente, aber keine echte Größenklausel. Die einzige nennenswerte Ausnahme steckt in Artikel 30: Betriebe unter 250 Mitarbeitern müssen kein Verarbeitungsverzeichnis führen – allerdings nur, wenn sie Daten „nur gelegentlich“ verarbeiten. Wer regelmäßig Kundendaten speichert (und das tut jeder Betrieb), fällt aus der Ausnahme wieder heraus.

Das Ergebnis kennst du vermutlich aus eigener Anschauung: Vereinsvorstände, die sich mit Einwilligungen für Mannschaftsfotos herumschlagen. Handwerker, die Formulare ausfüllen statt Aufträge abzuarbeiten. Und eine diffuse Angst vor Abmahnungen und Bußgeldern, die in der Praxis meist unbegründet ist, aber Zeit und Nerven kostet.

Das hat die Koalition beschlossen

Der Koalitionsbeschluss enthält beim Datenschutz vier Kernpunkte:

Ausnahmen von der DSGVO: Auf EU-Ebene will die Bundesregierung darauf hinwirken, dass nicht-kommerzielle Tätigkeiten (etwa in Vereinen), kleine und mittlere Unternehmen sowie „risikoarme“ Datenverarbeitungen – als Beispiel nennt das Papier ausdrücklich Kundenlisten von Handwerkern – ganz aus dem Anwendungsbereich der DSGVO herausfallen.

Ein Datengesetzbuch: Auf Bundesebene soll ein neues Datengesetzbuch die Auslegung der EU-Vorschriften vereinfachen und die zersplitterten deutschen Datenschutzregeln bündeln.

Gebündelte Aufsicht: Die Aufsichtsstrukturen sollen vereinfacht und zusammengeführt werden, die Datenschutzkonferenz von Bund und Ländern wird institutionalisiert. Bislang legen 18 Aufsichtsbehörden dieselbe Verordnung teils unterschiedlich aus – ein Ärgernis für jedes Unternehmen mit mehreren Standorten.

Weniger Datenschutzbeauftragte: In kleinen und mittleren Unternehmen soll die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten deutlich seltener greifen.

Das Handwerk jubelt erwartungsgemäß. Handwerkspräsident Jörg Dittrich sieht die Chance, den administrativen Aufwand in den Betrieben spürbar zu senken und Ressourcen für Ausbildung und Aufträge freizusetzen.

DSGVO Bürokratieabbau mit Aktenordner im Mülleimer
Weniger Bürokratie durch neue DSGVO-Regeln? Die Illustration zeigt, was sich für Vereine und Organisationen ändern könnte.

Der Haken: Berlin will, Brüssel muss

Und jetzt der entscheidende Punkt, der in vielen Schlagzeilen untergeht: Die DSGVO ist eine EU-Verordnung. Deutschland kann sie nicht im Alleingang ändern.

Alles, was über das Ausreizen bestehender Öffnungsklauseln hinausgeht – und die großen Ausnahmen für Vereine und KMU gehen weit darüber hinaus –, muss in Brüssel beschlossen werden. Der Koalitionsbeschluss ist an dieser Stelle also keine Reform, sondern eine Verhandlungsposition.

Immerhin: Die Debatte in Brüssel läuft bereits. Mit dem „Digitalen Omnibus“ hat die EU-Kommission im November 2025 ein Paket vorgelegt, das unter anderem die DSGVO vereinfachen soll – ausgelöst vom Draghi-Bericht, der die europäische Digitalregulierung als Innovationsbremse identifiziert hat.

Der KI-Teil des Pakets ist inzwischen im Trilog geeint. Der Datenschutz-Teil, der sogenannte Datenomnibus, hängt dagegen fest: Die Mitgliedstaaten haben zentrale Vorschläge der Kommission bereits abgeschwächt, etwa die umstrittene Neudefinition personenbezogener Daten.

Der Europäische Datenschutzausschuss warnt vor einer Aushöhlung des Schutzniveaus. Kurz: Selbst die moderaten EU-Vereinfachungen sind umkämpft. Eine komplette Herausnahme aller KMU aus der DSGVO, wie Berlin sie fordert, wäre noch einmal eine ganz andere Hausnummer.

So steht die Diskussion

Die Reaktionen zeigen die ganze Bandbreite. Wirtschaftsverbände begrüßen den Vorstoß, mahnen aber die Umsetzung an. Datenschützer und Teile der Opposition schlagen Alarm: KMU machen über 99 Prozent aller Unternehmen in Deutschland aus – wer sie pauschal ausnimmt, schafft den Datenschutz für den Großteil der Wirtschaft faktisch ab, so der Vorwurf.

Denn „klein“ heißt nicht „harmlos“: Auch eine kleine Arztpraxis, ein Inkassobüro oder ein Datenhändler mit fünf Mitarbeitern verarbeitet hochsensible Daten.

Genau da liegt die offene Flanke des Beschlusses: Der Begriff „risikoarm“ ist bislang nicht definiert. Zwischen der Kundenliste des Schreiners und der Patientenkartei liegt ein weites Feld – und wo die Grenze verläuft, sagt das Papier nicht. Seriös wäre eine Entlastung, die sich am tatsächlichen Risiko der Datenverarbeitung orientiert statt an der Betriebsgröße. Ob die Verhandlungen in Brüssel diese Differenzierung hinbekommen, ist die eigentliche Frage der nächsten Monate.

Was das für dich bedeutet

Die wichtigste Botschaft zuerst: Es ändert sich vorerst nichts. Die DSGVO gilt unverändert weiter – für deinen Verein, deinen Betrieb, deine Website. Wer jetzt Datenschutzerklärungen löscht oder das Verarbeitungsverzeichnis in die Tonne tritt, handelt sich Ärger ein. Die Aufsichtsbehörden haben für 2026 sogar einen Prüfschwerpunkt auf Transparenzpflichten gelegt.

Realistisch ist folgender Fahrplan: Die nationalen Maßnahmen – Datengesetzbuch, gebündelte Aufsicht, weniger Pflicht-Datenschutzbeauftragte – kann Berlin vergleichsweise schnell umsetzen, vermutlich innerhalb dieser Legislaturperiode. Die großen DSGVO-Ausnahmen dagegen brauchen Brüssel, und dort dauern solche Verfahren Jahre. Selbst im besten Fall dürfte vor 2028 keine grundlegende Änderung in Kraft treten.

Mein Fazit

Die Diagnose der Koalition stimmt: Die DSGVO behandelt den Sportverein wie einen Datenkonzern, und das ist absurd. Eine risikobasierte Entlastung ist überfällig. Aber der Beschluss verkauft eine Verhandlungsposition als Reform – und lässt die entscheidende Frage offen, wo Entlastung endet und Entkernung beginnt. Bis Brüssel entschieden hat, gilt: Datenschutz bleibt Pflicht. Nur die Hoffnung, dass er bald weniger Papierkram bedeutet, die ist jetzt offiziell.