DatenschutzZwei Jahre DSGVO - ein Grund zum Feiern?
Von
Jürgen Schreier
6 min Lesedauer
Zwei Jahre Datenschutzgrundverordnung: Seither ist das allgemeine Bewusstsein für das Thema Datenschutz stark gestiegen. Doch erweist sich die DSGVO bisweilen auch als Hemmschuh für Innovationen. Zudem tun sich manche Unternehmen immer noch schwer damit, ihre Daten umfassend zu managen.
Am 25. Mai ist die DSGVO seit zwei Jahren in Kraft. Doch nicht alle werden die Sektkorken knallen lassen.
Mitte Juni soll sie nun endlich verfügbar sein, die offizielle Corona-Warn-App, Erste Designentwürfe kann man auf dem auf dem Entwickler-Portal GitHub betrachten. Anschaulich und in wenigen Minuten leicht einzurichten sei sie, urteilt das Computermagazin Chip. der IT-Journalist Friedhelm Greis zeigt sich in einem Kommentar für den Deutschlandfunk ist nicht ganz so begeistert, wobei er sich aber in erster Linie an der Nutzung der in Smartphones verwendeten Bluetooth-Technologie stört. Denn Bluetooth ist in nur bedingt geeignet für das exakte Messen von Entfernungen.
Die Corona-App nutzt jetzt DP-3T
War ursprünglich eine App geplant gewesen, die ihre Daten zur Auswertung an einen zentralen Server liefert, so ist die Politik nach heftiger Kritik von Datenschützern auf eine Variante umgeschwenkt, die unter Nutzung des sogenannten Decentralized Privacy-Preserving Proximity Tracing (DP-3T), den Intentionen des Schutzes personenbezogener Daten gerecht wird und dennoch eine wissenschaftliche Auswertung der Daten ermöglicht.
Schließlich begeht die EU am 25. Mai den zweiten Jahrestag der "Einführung" der europäischen Datenschutz-Grundverordnung (DSGVO). Seither ist das "Datenschutzbewusstsein" bei vielen Bürgern merklich gewachsen. wie die Diskussion um die Corona-App zeigt.
Doch nicht überall dürften am kommenden Montag die Sektkorken knallen. So zieht beispielsweise der Digitalverband Bitkom eine eher "durchwachsene" Bilanz.
„Die Corona-Krise zeigt, welche herausragende Bedeutung der Datenschutz in Deutschland inzwischen hat. Dabei dominiert der Datenschutz selbst in dieser Krisensituation viele weitere Rechte wie das Recht auf körperliche Unversehrtheit, Versammlungsfreiheit, Gewerbefreiheit oder den Zugang zu schulischer Bildung", sagt Bitkom-Präsident Achim Berg. So würden einerseits weitgehende Einschränkungen von Grundrechten akzeptiert, gleichzeitig scheiterte die Veröffentlichung einer von vielen Einschränkungen befreienden Tracing-App an Datenschutzbedenken. Bergs Fazit: "Offenkundig ist das bislang gut ausbalancierte System an Freiheits- und Schutzrechten mit der DSGVO aus den Fugen geraten."
Datenschutzpraxis in der EU immer noch nicht einheitlich
Das Gesetzgebungsverfahren zur Datenschutz-Grundverordnung war eines der aufwändigsten in der Geschichte der Europäischen Union. Zwar hat das allgemeine Bewusstsein für das Thema Datenschutz hat stark zugenommen, und das ist in jedem Fall positiv. Jedoch sei man, so Berg, von einem EU-weit einheitlichen Datenschutzniveau in der Praxis aber noch weit entfernt – dafür sei die Auslegung in den Mitgliedsstaaten zu unterschiedlich, so der Digitalverband.
Hinzu kommt laut Bitkom, dass viele Unternehmen auch zwei Jahre nach Geltungsbeginn noch immer nicht alle Anforderungen der DSGVO umgesetzt hätten. Presseberichten zufolge haben mindestens 234 Unternehmen gegen die DSGVO derart massiv verstoßen, dass die Datenschutzbehörden in Europa ihnen Bußgelder in Höhe von mehr als 467 Millionen Euro auferlegten. In Deutschland wurden im vergangenen Jahr allein 187 Bußgelder verhängt, die Strafen belaufen sich auf mehr als 25 Millionen Euro.
Die DSGVO fordert von Firmen außerdem, Datenpannen an die Behörden zu melden. Seit Mai 2018 gab es mehr als 21.000 solcher Vorfälle in Deutschland. Die Dunkelziffer mag um ein Vielfaches höher sein, da vermutlich nicht jeder den Meldepflichten nachkommt und Vorfälle lieber verschweigt.
Einige Firmen scheinen mit der Umsetzung überfordert
Nach Einschätzung des Compliance-Spezialisten Veritas legen diese Ereignisse nahe, dass einige Firmen möglicherweise überfordert sind, ihre Daten umfassend zu managen und besonders den Zugriff auf persönliche Daten strenger zu kontrollieren. Die internen Prozesse sind zu lückenhaft und die Verantwortlichen übersehen wichtige Datenquellen, in denen personenbezogene Daten liegen könnten.
Veritas hat einige der typischen Fehler, die Firmen im Bereich des Datenmanagements machen, zusammengetragen:
1. Falsches Verständnis von Compliance
Die IT-Abteilung ist in der Praxis oft eine der ersten, die mit den neuen Anforderungen aus der DSGVO wie dem fristgerechten Löschen oder der Auskunftspflicht konfrontiert wird. Dadurch wurden Compliance-Projekte stark technisch interpretiert und rein technische Lösungen gefunden. Dabei ist Compliance eine klar rechtliche Aufgabe, bei der Technik, Prozesse, Risiken und Mitarbeiter eng zusammenspielen müssen und sich gegenseitig abstimmen sollten. Bei erfolgreichen Projekten wurden alle Beteiligten wie die Rechtsabteilung, der Datenschutzbeauftragte, die IT und die Geschäftsführung zusammengebracht. Auf diese Weise haben alle wichtigen Beteiligten das gleiche Verständnis der Compliance gewonnen und mögliche Risiken gemeinsam eingeschätzt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
2. Fehlender Management-Support
Compliance-Projekte stehen stark mit Kundendaten im Zusammenhang und wirken sich so direkt auf Abläufe aus, mit denen ein Unternehmen Geld verdient. Blieb die Verantwortung für solche Projekte auf IT-Ebene, wurden den Teams oft zu wenig Budget, Zeit und Mannstunden zugesprochen. Es ist entscheidend, der Führungsebene klar die Risiken aufzuzeigen und den hohen finanziellen und nachhaltigen Reputationsschaden zu verdeutlichen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen und den Umsatz. Das Management eines Unternehmens sollte die strategische Bedeutung eines solchen Projekts sehen und ihm entsprechend Interesse, Zeit und Ressourcen einräumen.
3. WORM ist nicht gleich Compliance
Der Begriff WORM oder “Write once, read many” beschreibt Speicher, auf denen Daten per se unveränderlich abgelegt werden. Leider irren immer noch Unternehmen, dass sie mit dieser technischen Insellösung Revisionssicherheit (fälschlich auch „Rechtssicherheit“) erreicht hätten, wie der größte DSGVO-Fall gegen die Immobilienfirma Deutsche Wohnen zeigt.2 Die Firma war nicht in der Lage, personenbezogene Daten im Einklang mit der DSGVO nach Ablauf des Zwecks automatisch zu löschen.
Firmen sollten bei personenbezogenen Daten daher alle Verfahren beschreiben, die mit diesen Daten hantieren und sie detailliert dokumentieren. Dazu gehört, die Zugriffe der Mitarbeiter auf die Daten zu beschränken und in Audit Logs genau nachzuvollziehen. Die Rechte selbst sollten in einem Rollenkonzept klar definiert und ebenfalls dokumentiert sein. Ebenso wichtig ist es, nach Ablauf des dokumentierten Zwecks personenbezogene Daten automatisch zu löschen. Und zwar nicht nur in den Archiven, sondern auch in anderen Datenquellen, in denen sie abgelegt sind. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das personenbezogene Daten automatisch und treffsicher in allen Speicherorten erkennt.
4. Das falsche Maß anlegen
Die Aufgabe, DSGVO-konform zu werden, wirkt groß und hat zu zwei typischen Reaktionen geführt. Die Zuständigen wurden vom Ausmaß der Aufgabe überwältigt und schoben das Compliance Projekt auf die lange Bank. Sie sind also das Risiko bewusst eingegangen, gegen Vorgaben zu verstoßen. Andere Firmen haben sich auf das absolute Minimum aus den Vorgaben und Pflichtenheften beschränkt und nur diese technischen Minimal-Maßnahmen umgesetzt. Beim Testen und in der Praxis stellte sich dann schnell heraus, dass ihr Ansatz zu viele Lücken ließ und sie das ganze Projekt neu konzipieren mussten.
Die besten Ergebnisse, so die Erfahrung der Compliance-Experten von Veritas, erzielten Firmen, die ihr Projekt nach einem klaren Prozess und definierten Plan vorangetrieben haben, der die internen Abläufe und Daten in einer Istaufnahme erfasste. Daraus wurde ein Sollzustand definiert und gemeinsam mit allen Beteiligten wie der Rechtsabteilung, den Datenschutzbeauftragten, der IT und der Geschäftsführung ein pragmatischer Anforderungskatalog mit klaren Zielen und Zwischenschritten definiert.
Doch nicht nur die Unternehmen sind in der Pflicht. Nach der geplanten Evaluierung der Datenschutzregeln müsse die EU den grundsätzlichen Geburtsfehler beseitigen, fordert der Bitkom - nämlich die Tatsache, dass die DSGVO jeden einzelnen Datenverarbeitungsvorgang und jede Datenerhebung reglementiert.
Vereine, Startups und Großkonzerne würden, so der Verband, über denselben Kamm geschoren und nicht differenziert behandelt. Die in der DSGVO vorgesehenen Ausnahmen für kleinere Unternehmen kämen in der Praxis so gut wie nie zum Tragen. Dabei sollten Art und Umfang der Datenverarbeitungen ausschlaggebend für die Verpflichtungen sein, auch sollte man die Regeln grundsätzlich vereinfachen.
"In der Forschung sollten der Datennutzung weniger Hürden in den Weg gestellt werden – insbesondere für EU-weite Projekte im Gesundheitsbereich“, sagt Bitkom-Präsident Berg.
Zur geplanten Evaluierung der DSGVO durch die EU-Kommission hat Bitkom Empfehlungen erarbeitet. Aus Bitkom-Sicht sollte es vor allem eine beschleunigte Abstimmung auf EU-Ebene geben, um die Auslegung der DSGVO stärker zu harmonisieren.
:quality(80)/p7i.vogel.de/wcms/24/66/24667644b79bd11777eccc289c06ef8c/0113143253v1.jpeg "In unserem China Market Insider versorgen wir Sie regelmäßig mit relevanten Informationen direkt aus China. (Bild: © Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/64/09648ff8806a4d78040f4bbce830e80c/0128900162v1.jpeg "Gute Aussichten für alle, die in der Fertigung mit Personalknappheit zu kämpfen haben! Denn EVO Informationssysteme hat sein ERP-System mit einer neuen Funktion für die Einsatzplanung der Mitarbeiter optimiert. Lesen Sie hier, warum man eigentlich nicht darum herumkommt. (Bild: EVO Informationssysteme)")
:quality(80)/p7i.vogel.de/wcms/2b/94/2b9486b7576a8901db9deea3161e602f/0128898304v1.jpeg "Glückwunsch an den Software-Anbieter Osapiens aus Mannheim! Denn das Start-up gehört nun auch zu den sogenannten Einhörnern, weil Experten analysiert haben, dass dessen Wert die Milliarden-Dollar-Marke erreicht hat. (Bild: Osapiens)")
:quality(80)/p7i.vogel.de/wcms/82/9c/829c52109d85f2bd37761c28400ae1c5/0128880111v1.jpeg "Zweibeinige Automatisierungsrevolution aus Europa! Neura Robotics und Robert Bosch Robotics kombinieren ihr Know-how, um humanoiden Robotern den Weltmarkt zu erschließen ... (Bild: Neura Robotics)")
:quality(80)/p7i.vogel.de/wcms/70/3e/703e5803c10535c237f7ba8dcbcb3ba8/0128912156v1.jpeg "Berend Booms ist Head of EAM Insights bei Ultimo (Bild: Ultimo)")
:quality(80)/p7i.vogel.de/wcms/6a/67/6a6798088aa547767582c527839d1ee8/0128877030v1.jpeg "Künstliche Intelligenz wird von vielen Unternehmen als Enabler für den Erfolg der Zukunft betrachtet. Doch man muss auch vorsichtig sein und die Probleme kennen, wie die Allianz mahnt. Hier folgt ein Bericht, der die größten Risiken durch KI für Unternehmen aufzeigt ... (Bild: Attackatack)")
:quality(80)/p7i.vogel.de/wcms/f0/6c/f06c016a2f548bcb3ff2e161f6f742d0/0128440733v4.jpeg "Mittels eines privaten Schlüssels auf einem sicheren Token erfolgt die Authentifizierung passwortfei. (Bild: Pointsharp)")
:quality(80)/p7i.vogel.de/wcms/49/97/49978f6e20bc42aafa77a8c0ab714921/0128555555v1.jpeg "Um die Cybersecurity zu gewährleisten ist insbesondere auch die Transparenz in der gesamten Lieferkette relevant. Denn Sicherheitslücken können nicht nur durch eigene Mitarbeiter entstehen. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/f1/b8f1995c2024b72efab490d3550d3863/86592347v1.jpeg "Quantencomputer machen sich Quantenmechanische Effekte wie die Superposition und die Verschränkung zunutze, um eine enorme Rechenpower zu erbringen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/9d/c7/9dc72b2bd2ea44ab9102a1fbcacaefe1/0127194003v1.jpeg "Der diesjährige Nobelpreis für Physik hat Möglichkeiten für die Entwicklung der nächsten Generation der Quantentechnologie eröffnet. (Bild: © Jean-Luc Flémal - BE - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/18/1d1844dbd7c4cdd339fefbc27c2820f9/0128779595v2.jpeg "Die 1.000-Qubit-Quantum-Control-System-Lösung von Keysight, installiert am National Institute of Advanced Industrial Science and Technology (AIST) in Tsukuba, Japan. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/37/9e/379e617e321c62f26010f99622741522/0128779581v2.jpeg "Dr. Mark Mattingley-Scott, Europacheff von Quantum Brilliance (Bild: Quantum Brilliance)")
:quality(80)/p7i.vogel.de/wcms/41/93/419373ffcf0a9e907d37929abcd13a56/0128720268v1.jpeg "Das fränkische Traditionsunternehmen Puma will seine Kunden mit hochwertigen Sportartikeln schneller, flexibler und reaktionsfähiger machen. Dabei spielt auch die Logistik eine tragende Rolle. (Bild: Logistics Reply)")
:quality(80)/p7i.vogel.de/wcms/ad/ae/adae6d1f2baafb6585e56600d63cf841/0128720463v2.jpeg "Pepsico digitalisiert ausgewählte Produktionsstätten und Lagerhäuser in den USA mithilfe von Digital Twin Composer. (Bild: Pepsico)")
:quality(80)/p7i.vogel.de/wcms/c5/ae/c5aef324adf74c24ab1e70821654a592/0128333963v1.jpeg "Das schwedische Unternehmen Begner Agenturer setzt auf eine arc80X von Gefertec, um an seinem Standort ein leistungsstarkes Applikationszentrum zu errichten. (Bild: Gefertec)")
:quality(80)/p7i.vogel.de/wcms/c7/5b/c75b0b26a4193afa90be565e959de69b/0128179719v1.jpeg "Nikon SLM Solutions druckte das Bauteil aus Inconel 718, einer Luft‑ und Raumfahrt‑Nickellegierung, die speziell dafür ausgelegt ist, die enormen thermischen Lasten und Drücke eines Vollstrom‑Stufenverbrennungs‑Zyklus (FFSC) auszuhalten. (Bild: Nikon SLM)")
:quality(80)/p7i.vogel.de/wcms/bb/a1/bba10f3e515608b13c49f262d226189f/0128050068v1.jpeg "Die Formnext 2025 nahm das Fraunhofer IGCV aus Augsburg zum Anlass, zu zeigen, wie das Verfahren Pulverbettfusion (PBF) die Batteriezellenentwicklung beschleunigen und günstiger machen kann. (Bild: Fraunhofer IGCV)")
:quality(80)/p7i.vogel.de/wcms/83/eb/83eb3b206c8de60e9c7e61990e218c1e/0128897323v1.jpeg "Die Batteriefrischmacher! Lithium-Ionen-Batterien für Elektrofahrzeuge kommen im Lauf der Zeit ins Ungleichgewicht, was die Leistung stark abfallen lässt. Battery X Metals weiß aber, wie man die Balance wieder herstellen kann. Das haben die Kanadier nun auch per Tests belegen können. (Bild: Power Boy)")
:quality(80)/p7i.vogel.de/wcms/ac/33/ac33ced41f5c8dab00710d8f5e22b3b0/0128879076v1.jpeg "Mutares hielt bisher den Löwenanteil am Speziallogistikunternehmen „LiBCycle“. Nun ist der Verkauf der Anteile an Reverse Logistic Group erfolgreich abgeschlossen worden. Hier mehr dazu ... (Bild: Mutares)")
:quality(80)/p7i.vogel.de/wcms/43/cf/43cf6cc67cd7f991c7441ef2870a6826/0127737811v1.jpeg "Das Less-Label mache CO₂-reduzierten Stahl erstmals transparent und vergleichbar. (Bild: Thyssenkrupp Steel Europe AG)")
:quality(80)/p7i.vogel.de/wcms/fc/04/fc045b135a360956d23d4d5294915f1d/0127598551v1.jpeg "EMW Scale ist bereits heute SAP-kompatibel und somit nahtlos in moderne ERP-Umgebungen integrierbar. (Bild: EMW Stahl-Service-Center )")
:quality(80)/p7i.vogel.de/wcms/96/37/9637610548e7aceac2313326f091253b/83510126v4.jpeg "Der „Cube“ des Zentrums für Digitale Innovation (ZDI) Mainfranken in Würzburg bietet Firmengründern die passenden Rahmenbedingungen für ihre Ideen und deren Umsetzung. Vorhanden sind maßgeschneiderte Räumlichkeiten für jede Phase der Gründung eines Unternehmens. (Bild: Louisa Krüger)")
:quality(80)/p7i.vogel.de/wcms/d4/8f/d48f0b6c75580804b55be195b6d30124/84740727v2.jpeg "Unternehmen benötigen neue Prozesse für die Kontrolle ihrer Daten. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/08/91/0891a2022ec8ab32498af4b7144f0e01/0123364030v4.jpeg "Einige rechtliche Aspekte im Umgang mit Datenräumen werden im Folgenden näher beleuchtet, um Unternehmen Strategien an die Hand zu geben, rechtssicher und verantwortungsbewusst mit Daten umzugehen und im Falle von Datenschutzverletzungen angemessen zu reagieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/d2/b6/d2b672093a2b0b5ea0a58469c5c40daf/0123834984v2.jpeg "Obwohl sich an der Rechtslage nichts geändert hat, plant Meta nun doch die Einführung seiner KI-Funktionen im Europäischen Wirtschaftsraum. (Bild: frei lizenziert)")