Datenschutzrecht: Bundesrat beschließt BDSG-Reform und KI-Gesetz
Veröffentlicht: 12.07.2026 um 23:30 Uhr, Redaktion boerse-global.de
Juli 2026 den Weg für tiefgreifende Änderungen im deutschen Datenschutzrecht freigemacht. Die Länderkammer verabschiedete die Reform des Bundesdatenschutzgesetzes (BDSG) sowie das nationale KI-Durchführungsgesetz (KI-MIG). Damit reagiert die Politik auf die wachsende Komplexität digitaler Verwaltungsprozesse. Während Kommunen verstärkt auf zertifizierte IT-Sicherheit und KI-Pilotprojekte setzen, warnen Kritiker vor einer Aufweichung von Grundrechtsschutz-Standards.
Mehrheitsbeschlüsse statt ewiger Abstimmungen
Ein zentraler Baustein der Reform ist die Neuordnung der Datenschutzaufsicht. Die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzbehörden – wird institutionalisiert. Künftig sind dort Mehrheitsbeschlüsse möglich, um langwierige Abstimmungsprozesse zu verkürzen.
Gleichzeitig führt der Gesetzgeber einen nationalen „One-Stop-Shop“ für verbundene Unternehmen und die Forschung ein. Nach dem „Einer-für-Alle“-Prinzip ist künftig eine federführende Behörde zuständig. Die Zuständigkeit orientiert sich an Kriterien wie Beschäftigtenzahl oder Umsatz. Das soll vor allem kleinere Unternehmen und Nichtregierungsorganisationen (NGOs) entlasten und Doppelprüfungen vermeiden.
Parallel plant die Bundesregierung ein einheitliches Datengesetzbuch. Es könnte weitere Ausnahmeregelungen für Vereine und kleine Betriebe bei risikoarmen Tätigkeiten vorsehen.
KI-Überwachung: Bundesnetzagentur übernimmt
Die Länderkammer verabschiedete ebenfalls das KI-Durchführungsgesetz (KI-MIG). Damit wird die Marktüberwachung für Künstliche Intelligenz in Deutschland zentral bei der Bundesnetzagentur gebündelt. Branchenverbände wie der TÜV-Verband begrüßten den Schritt, mahnten jedoch einen zügigen Aufbau der erforderlichen Notifizierungs- und Aufsichtsprozesse an.
Die Dringlichkeit zeigt der Zeitplan der europäischen KI-Verordnung: Ab dem 2. August 2026 treten verschärfte Transparenzpflichten in Kraft. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes. Für verbotene KI-Praktiken sind sogar Sanktionen von bis zu 35 Millionen Euro oder sieben Prozent des Umsatzes vorgesehen.
Bereits im November 2025 hatte ein EU-Omnibus-Verfahren das berechtigte Interesse als Rechtsgrundlage für das Training von KI-Modellen mit personenbezogenen Daten gestärkt.
Biometrische Daten: Migrationsverwaltung wird digitaler
Wer die neuen Bußgeldrisiken ab August 2026 unterschätzt, riskiert bis zu 35 Millionen Euro. Unser Report liefert die konkrete Checkliste für Transparenzpflichten, One-Stop-Shop-Zuständigkeit und ISMS-Aufbau. Jetzt kostenlosen Compliance-Report anfordern
Einen Tag vor der Bundesratssitzung verabschiedete der Bundestag das Gesetz zur Modernisierung der Migrationsverwaltung (MDWG). Der Bundesrat stimmte am 10. Juli zu. Das Gesetz sieht eine umfassende Speicherung und Nachnutzung biometrischer Daten vor – darunter Fingerabdrücke und Lichtbilder – im Ausländerzentralregister (AZR).
Ab dem 1. November 2027 sollen bestimmte Daten automatisch per Push-Verfahren an zuständige Behörden übermittelt werden. Datenschützer bemängeln eine unzureichende Berücksichtigung der Datenminimierung. Sie warnen vor dem Risiko unzulässiger Zweckänderungen bei der Nutzung der Datensätze, deren Bestand Ende 2025 auf rund 35,3 Millionen beziffert wurde.
Kommunale Praxis: KI testen, Sicherheit stärken
Trotz der rechtlichen Debatten schreitet die Digitalisierung auf kommunaler Ebene voran. In Thüringen testen die Landkreise Greiz und Saalfeld-Rudolstadt seit Herbst 2025 den Einsatz von KI zur Prüfung von Bauanträgen. Das Pilotprojekt läuft bis Juli 2026. Die KI sortiert Dokumente automatisch und prüft auf Vollständigkeit – das soll die Bearbeitungszeiten in den Bauämtern senken.
Gleichzeitig rückt die IT-Sicherheit in den Fokus der lokalen Verwaltungen. Im April 2026 erhielt die Verwaltungsgemeinschaft Baunach das Siegel „Kommunale IT-Sicherheit“. Dort wurde bereits Anfang 2022 ein Informationssicherheitsmanagementsystem (ISMS) etabliert. Auch die Stadt Rüsselsheim bekam kürzlich eine entsprechende Auszeichnung des Landes Hessen.
Dass diese Maßnahmen notwendig sind, zeigen aktuelle Vorfälle: Ende Juni 2026 legte ein Hackerangriff die Kommunikation des Stadttheaters Gießen lahm. In Darmstadt reagiert die Stadtverwaltung auf eine zurückliegende E-Mail-Panne mit dem Aufbau von fünf neuen IT-Stellen. Oberbürgermeister Hanno Benz hat die Steuerung zentraler IT-Vorhaben übernommen. Eine Task Force unter der Leitung von Dezernent Holger Klötzner koordiniert die Aufarbeitung.
Strengere Regeln für anonymisierte Daten
Die neue One-Stop-Shop-Regelung entlastet kleine Unternehmen – doch nur, wenn Sie die Zuständigkeit richtig bestimmen. Unser Leitfaden zeigt, wie Sie von der „Einer-für-Alle“-Regelung profitieren und Doppelprüfungen vermeiden. One-Stop-Shop-Leitfaden jetzt sichern
Zusätzliche Anforderungen kommen durch neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) auf öffentliche und private Stellen zu. Demnach dürfen Daten nur dann als anonymisiert gelten, wenn eine Re-Identifizierung dauerhaft ausgeschlossen werden kann. Verantwortliche müssen ihre Sicherheitskonzepte regelmäßig neu bewerten.
Wie fragil Datensätze trotz Sicherheitsvorkehrungen sein können, zeigte ein aktueller Vorfall bei einem externen Dienstleister des Lidl-Onlineshops. Dort kam es zu einem unbefugten Zugriff auf Kundendaten wie Namen, Telefonnummern und Geburtsdaten. Passwörter oder Bankverbindungen waren laut Unternehmensangaben nicht betroffen. Die zuständigen Behörden wurden informiert.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
