Die 20-Beschäftigte-Schwelle für den DSB könnte wegfallen

Beschäftigt dein Startup 20 oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten, schreibt § 38 Abs. 1 BDSG aktuell einen Datenschutzbeauftragten vor. Diese Pflicht steht zur Disposition.

Die Ministerpräsidentenkonferenz hat am 4. Dezember 2025 beschlossen, dass die Bundesregierung die Abschaffung von § 38 Abs. 1 BDSG bis Jahresende 2026 vorschlagen soll. Ziel: Bürokratieabbau für kleine und mittlere Unternehmen. Ein gleichlautender Vorstoß war im März 2024 im Bundesrat gescheitert, doch das erneuerte Mandat aller 16 Ministerpräsidenten verleiht dem Vorhaben mehr Gewicht.

Fällt § 38 Abs. 1 weg, gilt nur noch Art. 37 DSGVO. Dort knüpft die DSB-Pflicht nicht an eine Kopfzahl an, sondern an das Risiko: Deine Kerntätigkeit muss in der umfangreichen systematischen Überwachung von Betroffenen oder der umfangreichen Verarbeitung besonderer Datenkategorien bestehen. Die meisten Early-Stage-Startups mit klassischem B2B-Geschäft fallen nicht darunter. SaaS-Unternehmen, die signifikante Mengen an Nutzerdaten verarbeiten, vermutlich schon.

Der praktische Haken: Du verlierst eine klare Grenze und gewinnst einen abstrakten Maßstab. Statt Köpfe zu zählen, bewertest du den Umfang deiner Verarbeitung, und diese Einschätzung liegt bei dir.

Ich rate, die bestehende DSB-Regelung beizubehalten. Die Abschaffung ist ein politisches Bekenntnis, kein Gesetz. Beobachte das Gesetzgebungsverfahren. Falls es kommt, prüfe deine DSGVO-Pflichten und kläre, ob Art. 37 DSGVO auf deine Verarbeitungstätigkeiten anwendbar ist.