Datenschutz hat einen hohen Stellenwert und unterliegt strengen Vorgaben. Entsprechend viel haben Datenschutzbeauftragte (DSB) schon heute zu tun. Mit den neuen Datengesetzen der EU könnten weitere Aufgaben auf sie hinzukommen. Aber geht das überhaupt? Was können und sollen Datenschutzbeauftragte in Zukunft (noch) alles tun? Nicht nur Aufsichtsbehörden haben sich schon geäußert.
Viele Datenschutzbeauftragte sind nur in Teilzeit in diesem Bereich tätig und brauchen dringend mehr Unterstützung in ihren Unternehmen.
(Bild: thodonal - stock.adobe.com)
Praktisch alle Unternehmen haben seit Einführung der Datenschutz-Grundverordnung (DSGVO) ihren Aufwand für Datenschutz hochgefahren, so eine Umfrage des Digitalverbands Bitkom. 16 Prozent stellten fest, dass dieser langsam wieder abnimmt, aber 47 Prozent gehen von einem gleichbleibend höheren Aufwand aus, 30 Prozent erwarten sogar, dass der bereits gestiegene Aufwand noch weiter zunimmt. Nur sechs Prozent sehen keinen Mehraufwand, für kein Unternehmen ist der Aufwand gesunken.
Wenn es um hohen Aufwand für den Datenschutz geht, sind viele Bereiche im Unternehmen betroffen, oder sie sollten es sein, denn Datenschutz betrifft immer das ganze Unternehmen. Die Stellen im Unternehmen, die aber immer von den zusätzlichen Aufgaben betroffen sind, das sind die betrieblichen Datenschutzbeauftragten (DSB).
Was DSBs schon heute alles tun müssen
Ein Blick in die DSGVO zeigt, warum die DSBs eigentlich nicht nach neuen Aufgaben suchen. So sollen DSBs sicherstellen, dass die für die Verarbeitung Verantwortlichen und die betroffenen Personen über ihre Rechte, Pflichten und Verantwortlichkeiten im Bereich des Datenschutzes unterrichtet werden, sie sollen bei der Anwendung der Datenschutzvorschriften beraten und entsprechende Empfehlungen aussprechen, auf ein Register der Verarbeitungsvorgänge hinweisen und die Verarbeitungen melden, die besondere Risiken beinhalten, auf die Einhaltung der Datenschutzvorschriften hinwirken und dabei helfen, Rechenschaft hierüber abzulegen, auf Ersuchen oder von sich aus Anfragen oder Beschwerden nachgehen, mit den Aufsichtsbehörden zusammenarbeiten und die verantwortliche Stelle auf jede Nichteinhaltung der geltenden Datenschutzvorschriften hinweisen.
Dabei sind viele Datenschutzbeauftragte nur in Teilzeit im Datenschutz tätig. Anstatt weitere Aufgaben zu erhalten, sollten sie also unterstützt und entlastet werden, zum Beispiel durch Datenschutzkoordinatoren und andere Multiplikatoren für den Datenschutz im Betrieb. Es ist also an der Zeit, die Arbeitssituation der DSBs zu überprüfen. Genau das passiert gerade.
Aufsichtsbehörden prüfen Stellung und Aufgaben der DSBs
Rund fünf Jahre nach dem Geltungsbeginn der Datenschutz-Grundverordnung haben die europäischen Datenschutzaufsichtsbehörden eine europaweite Prüfaktion gestartet, zur Stellung und den Aufgaben der Datenschutzbeauftragten.
Dazu Michael Will, Präsident des BayLDA (Bayerisches Landesamt für Datenschutzaufsicht): „Für das BayLDA sind die Datenschutzbeauftragten seit jeher mehr als nur die ersten Ansprechpartnerinnen und Ansprechpartner der Aufsichtsbehörde. Sie sind die Garanten des Datenschutzes im Alltag, gerade für kleine und mittlere Unternehmen. Sie leisten Tag für Tag einen zentralen Beitrag für das Gelingen datenschutzgerechter Digitalisierung. Mit der Datenschutz-Grundverordnung wurde ihre Stellung im Unternehmen als vorgelagerte Beratungs- und auch Kontrollinstanz nochmals gestärkt.“ Zur Prüfaktion sagte Will: „Die gemeinsame Prüfaktion bildet den Rahmen für eine genaue Analyse der heutigen Handlungsbedingungen in der betrieblichen Praxis und den Austausch der Datenschutzbehörden über mögliche Verbesserungen oder auch Abhilfemaßnahmen. Wir werden versuchen, die Ergebnisse unserer Untersuchungen so rasch wie möglich auszuwerten und unsere Schlussfolgerungen damit für alle der mehr als 36.000 bei uns gemeldeten Datenschutzbeauftragten nutzbar zu machen.“
Was genau geprüft wird
Im Mittelpunkt der Prüfung stehen neben Fragen der Qualifikation und Ressourcenausstattung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung. Insbesondere die Ausübung von Zusatzfunktionen kann dabei Interessenkonflikte begründen, wie etwa bei Compliance-Beauftragten, IT-Verantwortlichen oder Personalverantwortlichen. Ein besonderes Augenmerk gilt außerdem der Anforderung, dass Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters zu berichten haben.
BayLDA-Präsident Will erläutert hierzu: „Auf Grundlage unserer Prüfbefugnisse werden wir die Handlungsbedingungen der betrieblichen Datenschutzbeauftragten gezielt in den Blick nehmen und uns sowohl Organigramme als auch Jahresberichte der Datenschutzbeauftragten vorlegen lassen. Wir werden sehr genau hinterfragen, wie Datenschutzbeauftragte, die nur über eine sogenannte „dotted line“ über verschiedene Hierarchieebenen hinweg an die Unternehmensleitung herantreten können, dem Erfordernis jederzeitiger unmittelbarer Berichtsrechte genügen, um so ein klares Bild zur Situation der Datenschutzorganisation zu vermitteln und Fehlentwicklungen entgegenzutreten.“
Was im Datenschutz noch alles auf der Agenda steht
Veränderungen im Bereich des Datenrechts in der EU könnten sich aber auch auf die Rollen und Aufgaben der DSBs auswirken und ihre Zukunft beeinflussen.
„Heute stellen uns global agierende Unternehmen und Plattformen, Big Data und lernende Algorithmen vor neue Herausforderungen“, so der Bundesdatenschutzbeauftragte (BfDI). „Mit der europäischen Datenschutz-Grundverordnung haben wir es geschafft, diesen Entwicklungen gemeinsam mit anderen Ländern mit einem starken Regelwerk nach europäischen Werten zu begegnen.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mit neuen Rechtsakten zur Digitalisierung, wie dem Data Governance Act, dem Digital Services Act, dem Digital Markets Act und den Artificial Intelligence Acts, geht die Europäische Union den nächsten Schritt der Regulierung. Aus Sicht des BfDI ist das lange überfällig: „Wir benötigen dringend mehr Transparenz bei Algorithmen, eindeutige rote Linien beim Verhaltenstracking und Einschränkungen von manipulativen Designs.“
Auch der Digitalverband Bitkom wünscht sich Veränderungen. So sagte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: „Zwei Dinge gehören 2023 ganz oben auf die Datenschutz-Agenda: Die längst überfällige Strukturreform der Datenschutz-Aufsichtsbehörden und eine Weichenstellung zu einer Datenökonomie in Deutschland. Wir befinden uns im Jahr fünf der Geltung der Datenschutz-Grundverordnung. Mit der DSGVO ist die Bedeutung von Datenschutz stärker in das Bewusstsein gerückt, aber nach wie vor gibt es etwa aufgrund unterschiedlicher Auslegungen durch die Aufsichtsbehörden große Unsicherheit bei der Umsetzung der Vorschriften in Unternehmen“.
Der Bitkom-Verband sieht Bedarf für strukturelle Änderungen: „Statt mit 18 verschiedenen Datenschutzaufsichten weiterzumachen, ist es höchste Zeit, Schwerpunktaufsichten zu bilden, bestehende Dopplungen abschaffen und die Absprachemechanismen zu verbessern. So würden zugleich Kapazitäten frei, um die Beratungsangebote der Aufsichten deutlich auszubauen. Die Zeit drängt, denn es werden mit dem Data Act und AI Act bald zahlreiche neue Zuständigkeiten auf die Datenschutz-Aufsicht zukommen. Vor allem kleinere und mittlere Unternehmen werden mit den neuen Regulierungen erneut, wie schon bei der DSGVO, große Schwierigkeiten bekommen, wenn wir nicht rechtzeitig Maßnahmen ergreifen.“
Wenn aber bei den Datenschutzaufsichtsbehörden zusätzliche Aufgaben anstehen, kann dies für ihre Kontaktpersonen in den Unternehmen und damit den betrieblichen Datenschutzbeauftragten auch zu Veränderungen führen.
Kompetenzen im Datenrecht sind gefragt
Bereits im Dezember 2022 hatte sich der Dachverband European Federation of Data Protection Officers (EFDPO) zum Data Act geäußert und dabei die Datenschutzbeauftragten ins Spiel gebracht. So weist die EFDPO darauf hin, dass viele Unternehmen und öffentliche Einrichtungen bereits über Expertinnen und Experten verfügen, die sich in ihrer täglichen Arbeit mit Daten, Datenverarbeitung und Datenaustausch befassen, die Datenschutzbeauftragten nach DSGVO. Sie könnten nach Auffassung der EFDPO eine wichtige und positive Rolle bei der Umsetzung des Data Act in die Praxis spielen.
Eine stärkere Einbeziehung der Datenschutzbeauftragten in die Umsetzung des Data Act hätte laut EFDPO nicht nur positive Auswirkungen auf die Geschwindigkeit der Umsetzung, sondern auch auf das Vertrauen der Öffentlichkeit, der betroffenen Unternehmen und der Aufsichtsbehörden in die Machbarkeit der Umsetzung. Schließlich, und das sei wichtig, würde ein größeres Vertrauen in die Datenschutzbeauftragten wahrscheinlich auch zu erheblichen Einsparungen für die Unternehmen und Behörden führen, die sich zur Verbesserung ihrer Tätigkeiten auf den Data Act stützen müssten.
Entscheidend ist aber dabei, so die Meinung des Autors: Zusätzliche Aufgaben erfordern eine zusätzliche Entlastung, damit sich die DSB auf ihre besonderen Kompetenzen im Datenrecht konzentrieren können. Gleichzeitig muss sichergestellt sein, dass weitere Aufgaben für DSB nicht zu Interessenskonflikten führen können, zwischen einer möglichst breiten Datennutzung und einem möglichst umfassenden Datenschutz. Zwischen Data Use, Data Compliance und Data Protection muss eine sinnvolle Symbiose gefunden werden. Dann könnte auch aus den Data Protection Officer ein Data Compliance Officer entstehen und damit ein spannendes, erweitertes Tätigkeitsfeld für Datenschutzbeauftragte, ohne Interessenskonflikt, dafür aber mit Entlastung und Unterstützung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/81/bd/81bd5ce4ed478e58f0a4b58c2ca96612/0124967752v2.jpeg "Verbände und Politiker wollen die Datennutzung über den Datenschutz stellen. Dabei soll der Datenschutz die Datennutzung gar nicht verhindern, sondern ihr einen rechtlichen Rahmen vorgeben, der den Menschen die Kontrolle über ihre eigenen Daten verschafft. (Bild: © Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/a9/cda95039da4b9c87193aaebb39bb4c7d/0128260721v3.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")