Hamburger Bundesratsinitiative: Reform der Datenschutzaufsicht in Deutschland
15.06.2026
Zusammenfassung
Der Hamburger Senat hat am 9. Juni 2026 eine Bundesratsinitiative beschlossen, welche die Datenschutzaufsicht in Deutschland grundlegend reformieren soll. Kern der Vorschläge sind ein nationaler „One-Stop-Shop“ für länderübergreifend tätige Unternehmen und Forschungseinrichtungen, verbindliche Mehrheitsbeschlüsse der Datenschutzkonferenz (DSK) sowie das „EfA-Prinzip“, wonach die Prüfung durch eine Behörde für alle anderen bindend wirkt. Ziel ist es, Rechtssicherheit zu erhöhen, Bürokratie abzubauen und den Datenschutz in Deutschland einheitlicher und effizienter zu gestalten – ohne das bestehende Schutzniveau zu senken.
4 Minuten Lesezeit
Hintergrund und Relevanz
Der Hamburger Senat hat am 9. Juni 2026 eine Bundesratsinitiative beschlossen, die auf eine grundlegende Reform der Datenschutzaufsicht in Deutschland abzielt. Die Initiative geht auf ein Ersuchen der Hamburger Bürgerschaft zurück und adressiert ein seit Jahren diskutiertes strukturelles Problem: die Zersplitterung der Datenschutzaufsicht auf 16 Bundesländer zuzüglich der Bundesebene. Für Unternehmen und Forschungseinrichtungen, die länderübergreifend tätig sind, bedeutet diese Struktur bislang erheblichen Mehraufwand – ein Umstand, den Hamburg nun gesetzgeberisch angehen möchte.
Das föderale Aufsichtsgefüge als Ausgangspunkt
Das deutsche Datenschutzrecht ist geprägt von einer dualen Struktur: Auf der einen Seite steht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), auf der anderen die Datenschutzbehörden der 16 Bundesländer. Koordiniert werden diese durch die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden. Die DSK fasst bislang jedoch keine verbindlichen Beschlüsse, sondern gibt lediglich Orientierungshilfen und Empfehlungen heraus. In der Praxis kann dies dazu führen, dass identische Rechtsfragen von verschiedenen Behörden unterschiedlich bewertet werden – ein erhebliches Maß an Rechtsunsicherheit für Verantwortliche und Betroffene gleichermaßen.
Die drei Kernforderungen der Initiative
Hamburg benennt in seiner Initiative drei konkrete Reformansätze:
Erstens soll die DSK eine gesetzliche Grundlage erhalten und fortan verbindliche Mehrheitsbeschlüsse fassen können, die für alle deutschen Datenschutzbehörden gelten. Damit würde das bisher informelle Gremium zu einem regulatorisch belastbaren Koordinationsorgan aufgewertet.
Zweitens soll ein nationaler „One-Stop-Shop“ eingeführt werden. Unternehmen und Forschungseinrichtungen, die in mehreren Bundesländern tätig sind, sollen künftig nur noch mit einer einzigen Datenschutzbehörde kommunizieren müssen. Dieses Prinzip ist auf europäischer Ebene für grenzüberschreitende Verarbeitungen bereits durch Art. 56 DS-GVO bekannt, fehlt aber im rein nationalen Kontext bislang vollständig.
Drittens soll das sogenannte „EfA-Prinzip – Einer für Alle“ eingeführt werden. Hat eine Datenschutzbehörde einen Sachverhalt geprüft und eine Entscheidung getroffen, soll diese für alle anderen Behörden bindend sein. Doppelprüfungen und voneinander abweichende Ergebnisse würden auf diese Weise strukturell vermieden.
Rechtlicher Rahmen und gesetzgeberischer Handlungsbedarf
Die Initiative bewegt sich im Spannungsfeld zwischen DS-GVO, BDSG und dem verfassungsrechtlichen Grundsatz der Länderautonomie. Die DS-GVO lässt in Art. 51 Abs. 1 ausdrücklich zu, dass jeder Mitgliedstaat eine oder mehrere Aufsichtsbehörden einrichtet, enthält jedoch keine Vorgaben zur innerstaatlichen Koordination mehrerer Behörden. Das BDSG regelt in §§ 40 ff. die Zuständigkeiten der Landesbehörden, ohne eine verbindliche Abstimmungspflicht zu normieren. Genau hier setzt Hamburg an: Die angestrebten Änderungen würden eine Ergänzung des BDSG erfordern, die der Bundesgesetzgeber im Rahmen seiner konkurrierenden Gesetzgebungskompetenz vornehmen könnte.
Praktische Bedeutung für Unternehmen
Für Unternehmen, die in mehreren Bundesländern operieren, oder für Forschungskooperationen mit länderübergreifenden Partnern, wäre die Reform eine spürbare Entlastung. Heute müssen sie bei solchen Vorhaben unter Umständen mehrere Aufsichtsbehörden konsultieren, Anfragen von verschiedenen Stellen beantworten und sich auf divergierende Auslegungen einstellen. Ein verbindlicher One-Stop-Shop sowie das EfA-Prinzip würden Planungssicherheit schaffen und den Compliance-Aufwand reduzieren. Besonders für den Forschungsbereich, in dem schnelle behördliche Klärungen innovationsrelevant sind, könnten die Vorschläge erhebliche Vorteile bringen.
Gleichzeitig ist darauf hinzuweisen, dass die Initiative zunächst eine politische Willensbekundung darstellt. Der Weg vom Bundesratsbeschluss über die parlamentarische Behandlung im Bundestag bis hin zu einer tatsächlichen BDSG-Novelle ist erfahrungsgemäß lang. Unternehmen sollten die Entwicklung daher aufmerksam verfolgen, bestehende Compliance-Strukturen jedoch nicht voreilig umgestalten.
Fazit
Die Hamburger Bundesratsinitiative greift ein strukturelles Defizit der deutschen Datenschutzaufsicht auf, das seit Jahren in Fachkreisen kritisiert wird. Die Forderungen nach einer gesetzlich verankerten DSK, einem nationalen One-Stop-Shop und dem EfA-Prinzip sind datenschutzrechtlich konsistent und könnten – bei erfolgreicher Umsetzung – sowohl die Rechtssicherheit als auch die praktische Handhabbarkeit des Datenschutzes in Deutschland verbessern. Unternehmen sind daher gut beraten, die weiteren Beratungen im Bundesrat und Bundestag im Blick zu behalten.
