BDSG-Novelle 2026: Was sich für Unternehmen jetzt konkret ändert

BDSG-Novelle 2026: Schild mit Paragraph 37a — Datenschutz kompakt

Das Bundesdatenschutzgesetz (BDSG) ist in einer wesentlich überarbeiteten Fassung in Kraft getreten. Die Änderungen betreffen nahezu jedes Unternehmen in Deutschland: Von der Bonitätsprüfung über Videoüberwachung bis zur Frage, ob ein Datenschutzbeauftragter benannt werden muss. Für die Praxis sind vier Punkte besonders relevant – und alle vier erfordern kurzfristiges Handeln.

Die Novelle ist das Ergebnis einer jahrelangen Debatte: Das Bundesverfassungsgericht und der Europäische Gerichtshof hatten mehrfach Klarstellungsbedarf angemahnt, zuletzt das EuGH-Urteil vom 7. Februar 2024 zum Scoring. Der Gesetzgeber hat nun nachgezogen und räumt zugleich langjährige Grauzonen aus.

Die wichtigsten Änderungen im Überblick

  • Neuer § 37a BDSG (Scoring): Schafft erstmals eine ausdrückliche nationale Rechtsgrundlage für automatisierte Bonitäts- und Wahrscheinlichkeitsbewertungen. Anforderungen an Datenqualität, Transparenz und Betroffenenrechte werden konkretisiert.
  • Verbot der biometrischen Gesichtserkennung im öffentlichen Raum: Die Nutzung entsprechender Systeme durch Private ist künftig nur in eng umrissenen Ausnahmefällen zulässig. Der Katalog zulässiger Zwecke ist abschließend.
  • Wegfall der DSB-Pflicht für kleine Betriebe: Unternehmen mit weniger als 20 Beschäftigten in der automatisierten Verarbeitung müssen keinen Datenschutzbeauftragten mehr benennen – sofern keine risikoreiche Verarbeitung vorliegt.
  • Institutionalisierung der DSK (§ 16a BDSG): Die Datenschutzkonferenz wird gesetzlich verankert. Ihre Beschlüsse bleiben zwar formal unverbindlich, gewinnen vor Gericht aber deutlich an Gewicht.
  • Neue Beschwerderegeln: Einheitliche Verfahren sollen die bisherige Zersplitterung zwischen den 17 Aufsichtsbehörden reduzieren.

Was sich durch § 37a BDSG konkret ändert

Bisher stützten sich viele Unternehmen – insbesondere Banken, Versandhändler und Energieversorger – auf den alten § 31 BDSG, dessen Unionsrechtskonformität umstritten war. Der neue § 37a BDSG stellt klar: Scoring ist zulässig, wenn die verwendeten Merkmale nachweislich statistisch relevant sind, keine besonderen Kategorien personenbezogener Daten einfließen und der Betroffene über die wesentlichen Faktoren informiert wird. Anschriftendaten dürfen nur noch eingeschränkt verwendet werden. Wer Scoring einsetzt oder einkauft, muss seine Prozesse bis spätestens Ende Juni 2026 überprüfen.

Gesichtserkennung: Der Anwendungsbereich ist schmaler als gedacht

Das neue Verbot richtet sich ausdrücklich auch an private Betreiber – etwa an Einzelhändler mit „intelligenten“ Videosystemen, Veranstalter mit Einlass-Biometrie oder Betreiber von Bürogebäuden mit Zugangskontrollen im öffentlich zugänglichen Bereich. Rein innerbetriebliche Zutrittskontrollen in nicht-öffentlichen Räumen bleiben unter den bekannten DSGVO-Voraussetzungen möglich. Unternehmen sollten jedes bestehende Kamera- und Analysesystem auf biometrische Funktionen prüfen.

Was bedeutet das für Unternehmen?

  1. Scoring-Prozesse dokumentieren und anpassen: Prüfen Sie, welche Wahrscheinlichkeitswerte Sie erzeugen oder einkaufen. Aktualisieren Sie Verträge mit Auskunfteien, Datenschutzhinweise und interne Richtlinien auf die neuen Anforderungen des § 37a BDSG.
  2. Videoanlagen auf biometrische Funktionen prüfen: Viele moderne Kamerasysteme enthalten Gesichtserkennungs-Features ab Werk – oft deaktiviert, aber technisch vorhanden. Dokumentieren Sie die aktuelle Konfiguration und deaktivieren Sie nicht zulässige Funktionen nachweisbar.
  3. DSB-Pflicht neu bewerten – aber mit Augenmaß: Auch wenn die gesetzliche Pflicht entfällt: Wer Gesundheitsdaten verarbeitet, umfangreiches Profiling betreibt oder regelmäßig Datenschutz-Folgenabschätzungen durchführt, bleibt benennungspflichtig. Prüfen Sie die Schwellenwerte einzelfallbezogen.
  4. DSK-Beschlüsse aktiv mitverfolgen: Da die Orientierungshilfen der DSK künftig mehr rechtliches Gewicht haben, lohnt sich ein geregelter Prozess zur Auswertung neuer Beschlüsse. Die wichtigsten Themen 2026: KI-Einsatz, Beschäftigtendatenschutz und Gemeinsame Verantwortlichkeit.
  5. Datenschutzerklärung aktualisieren: Verweise auf § 31 BDSG sind zu ersetzen. Gleiches gilt für Passagen zu Bonitätsprüfungen, Videoüberwachung und – seit Anfang April – für reCAPTCHA-Hinweise. Ein einheitliches Update spart Aufwand.

Fazit

Die BDSG-Novelle ist kein radikaler Systemwechsel, aber deutlich mehr als kosmetische Klarstellung. Unternehmen, die ihre Prozesse ohnehin dokumentiert und gepflegt haben, kommen mit überschaubarem Aufwand durch. Wer Scoring, moderne Videotechnik oder automatisierte Entscheidungsprozesse einsetzt, sollte jetzt gezielt nachsteuern – sonst drohen Abmahnungen und Bußgelder auf Basis der nun deutlich klareren Rechtslage.

Bei Fragen zur praktischen Umsetzung in Ihrem Unternehmen helfen wir Ihnen gerne weiter.

An den Anfang scrollen
×
Externe Inhalte & Cookies
Wir verwenden Cookies und externe Inhalte. Wenn Sie diese annehmen wollen, klicken Sie einfach auf "Alles akzeptieren". Über "Einstellungen" können Sie auch auswählen, welche Cookie- und Inhaltstypen Sie annehmen wollen. Lesen Sie unsere Datenschutz-Richtlinien
Einstellungen Alles ablehnen Alles akzeptieren
Externe Inhalte & Cookies
Wählen Sie aus, welche Cookies und Inhaltstypen akzeptiert werden sollen. Ihre Auswahl wird für 7 Tage gespeichert. Lesen Sie unsere Datenschutz-Richtlinien
Speichern Alles ablehnen Alles akzeptieren