Nun ist es also so weit. Anfang Mai wurde der Koalitionsvertrag der neugewählten CDU-/SPD-Regierung unterzeichnet. In dem 144 Seiten starken Papier finden sich einige Compliance-relevante Vorgaben. Insbesondere solche zum Thema Datenschutz. Das Papier sieht eine Zentralisierung der Datenschutzaufsicht, eine gesetzliche Verankerung der Datenschutzkonferenz, Erleichterungen für KMU, Ehrenamt und risikoarme Verarbeitung sowie eine Reform der DSGVO auf EU-Ebene vor. 

Dabei sollen unter anderem die nachfolgenden Vorhaben realisiert werden:

• Zentralisierung der Datenschutzaufsicht: Die neue Bundesregierung strebt eine Bündelung und damit Zentralisierung der Datenschutzaufsicht beim Bundesbeauftragten für Datennutzung, Datenschutz und Informationsfreiheit an.
• Die DSK, das koordinierende Gremium der Datenschutzaufsichtsbehörden, soll künftig im Bundesdatenschutzgesetz (BDSG) verankert werden. Ziel dieser Verankerung ist die Erarbeitung gemeinsamer Standards.
• Für kleine und mittlere Unternehmen, ehrenamtliche Tätigkeiten und nicht kommerzielle Datenverarbeitung sollen die Anforderungen der DSGVO reduziert werden.
• Die Koalition strebt eine Reform der Datenschutz-Grundverordnung auf EU-Ebene an.

Fazit

Das Thema Datenschutz nimmt im neuen Koalitionsvertrag vergleichsweise viel Raum ein. Dies ist auch anderen Vorhaben, wie der Sicherheitspolitik, geschuldet. So beabsichtigt die Regierung etwa, die Befugnisse der Ermittlungsbehörden zu erweitern. Es soll demnach möglich sein, Internetverbindungsdaten länger zu speichern, Telefone leichter zu überwachen und biometrische Daten automatisch abzugleichen. Man darf gespannt sein, was hierbei alles umgesetzt wird.

Alle Regulierungsvorhaben sind für die Regelungsadressaten mit erheblichem Umsetzungsaufwand verbunden. Bei DORA hat der Finanzsektor den vermeintlichen Vorteil, dass mit den Anforderungen aus VAIT bzw. BAIT bereits ein in vielen Punkten ähnliches Regelwerk existiert. NIS2 hingegen dürfte gerade für „kleinere“ Unternehmen einen hohen prozessualen Aufwand bedeuten. Der CRA betrifft dagegen alle Unternehmen, die Produkte mit digitalen Elementen herstellen und erfordert somit die verbindliche Beachtung des Grundsatzes von „Security by Design“.