Seit fünf Jahren ist die Datenschutz-Grundverordnung (DSGVO) nun anzuwenden. In den letzten Wochen und Monaten haben Wirtschaftsverbände nicht mit Kritik gespart. Doch wie sehen die Datenschutzaufsichtsbehörden die bisherige Entwicklung? Sehen auch sie Änderungsbedarf? Wir geben einen Überblick zum fünften Jahrestag der DSGVO, die weltweit Beachtung erlangt hat.
Seit 25. Mai 2018 gilt die DSGVO auch in Deutschland und muss sich immer wieder der öffentlichen Diskussion stellen: Während die einen das EU-Gesetz loben, sehen andere in ihm den Totengräber – auch digitaler – Innovation.
(Bild: noah9000 - stock.adobe.com)
„Die DSGVO meint es ernst!“, so die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) der Freien Hansestadt Bremen, Dr. Imke Sommer, anlässlich der Veröffentlichung ihres fünften Jahresberichts seit Geltung der Datenschutzgrundverordnung (DSGVO). „Die DSGVO kann ihre Zähne nicht nur zeigen, sondern damit auch kraftvoll zubeißen“, so Dr. Imke Sommer weiter.
Datenschutz weit oben auf der Unternehmensagenda
Den Unternehmen in Deutschland ist dies in den letzten fünf Jahren durchaus bewusst geworden. Allein für Bremen berichtet die zuständige Datenschutzaufsicht von 30 Geldbußen im letzten Jahr in Höhe von insgesamt 2.073.070 Euro. Doch Geldbußen sind nicht die einzigen Sanktionen und Mittel, die eine Aufsichtsbehörde nach DSGVO ergreifen kann, auch ein Verbot ist möglich, wodurch eine Datenverarbeitung komplett zum Stillstand kommen kann, nicht nur temporär, sondern auch endgültig.
Doch Sanktionen sollten sicherlich nicht der Grund sein, den Datenschutz weit oben auf die Unternehmensagenda zu setzen. Zweifellos aber haben die Möglichkeiten für solche Sanktionen dem Datenschutz in den letzten fünf Jahren mehr Gehör verschafft. Trotzdem ist der Datenschutz noch lange nicht da, wo ihn die DSGVO sieht.
An Datenschutz wird aber trotzdem zu spät gedacht
Nicht nur Unternehmen tun sich weiterhin schwer damit, Privacy by Design und Privacy by Default zu beachten, wie es in der Datenschutz-Grundverordnung eingefordert wird, auch für Behörden und Gesetzgebungsverfahren gilt dies.
Der Bundesdatenschutzbeauftragte Prof. Kelber sieht bei vielen Gesetzen und Projekten Raum für Verbesserungen: „Es wird immer noch zu viel geschaut, wie sich der Datenschutz an Vorhaben anpassen kann, statt von Beginn an nach rechtskonformen Lösungen zu suchen.“
Prof. Kelber sieht an vielen Stellen ein Grundproblem: „Seit vielen Jahren schaffen die Gesetzgeber in EU, Bund und Ländern immer neue Möglichkeiten für die Datenerhebung von Behörden, die sich danach als rechtswidrig herausstellen. Das muss sich dringend ändern, denn ansonsten besteht die Gefahr, dass Bürgerinnen und Bürger das Vertrauen in die Gesetzgebung verlieren.“ Er betonte: „Es kann nicht sein, dass falsche Entwicklungen immer erst von den Gerichten gestoppt werden.“
Betriebliche und behördliche Datenschutzbeauftragte sind entscheidend
Doch es gibt auch durchaus positive Entwicklungen, von denen die Aufsichtsbehörden berichten. Seit der Geltung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 erfasst zum Beispiel das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein die Zahl der Beschwerden. In den Anfangsjahren seien sie stets gestiegen, doch im Jahr 2022 nicht. Die Landesdatenschutzbeauftragte Marit Hansen deutet dies als vorsichtig positives Zeichen: „Die allermeisten Stellen, die personenbezogene Daten verarbeiten, kennen mittlerweile ihre Datenschutzpflichten. Viele haben außerdem kundige Datenschutzbeauftragte in der Behörde oder im Unternehmen, die vor Ort prüfen und auch bei Beschwerden intern aktiv werden. Dort werden viele Datenschutzprobleme gleich gelöst, ohne dass wir als Aufsichtsbehörde eingreifen müssen.“
Deshalb ist es wichtig, dass die Bedeutung des Datenschutzes und auch der Datenschutzbeauftragten richtig bewertet wird. „Datenschutz ist in unserer Gesellschaft keine lästige Pflicht, es ist eine wesentliche Aufgabe, um sicherzustellen, dass die Rechte und Interessen der Bürgerinnen und Bürger in Nordrhein-Westfalen gewahrt werden“, bekräftigt Bettina Gayk, die Landesdatenschutzbeauftragte von NRW. „Denn tatsächlich schützen wir nicht nur Daten, wir schützen Menschen und ihre Persönlichkeitsrechte und Freiheiten. Und das heißt: Wir achten auf die Einhaltung von Grundrechten.“
Datenschutz hilft dem Menschen
Wie wichtig der Schutz der Privatsphäre ist, zeigt sich auch gerade in der Arbeitswelt, denn auch hier ist die Digitalisierung weiter vorangeschritten. Sie ermöglicht zum Beispiel, Beschäftigte immer intensiver hinsichtlich ihrer Leistung und ihres Verhaltens zu überwachen. Auch hier setzt der Datenschutz allerdings Grenzen, wie der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Roßnagel am Beispiel erläutert: „Es ist keinesfalls zulässig, alle Beschäftigten unter Generalverdacht zu stellen und von vornherein präventiv zu überwachen. So ist es insbesondere nicht gestattet, die Fahrer und Fahrerinnen einer Spedition mit Außen-Kameras und Kameras in der Fahrkabine beim Fahren lückenlos zu überwachen.“
Mit der weiteren Digitalisierung wird der Datenschutz deshalb immer wichtiger. Der Leitende Beamte beim LfDI Baden-Württemberg, Dr. Jan Wacke, meinte entsprechend: „Vorrangig wollen wir dafür eintreten, dass Datenschutz als selbstverständlicher Teil der Digitalisierung verstanden wird und so eine nachhaltige digitale Entwicklung in der alltäglichen behördlichen, unternehmerischen und gesellschaftlich-kulturellen Praxis gestärkt wird.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Nach 5 Jahren DSGVO: Es bleibt viel zu tun
Für die Zukunft sehen die Datenschutzaufsichtsbehörden noch viel Arbeit auf all diejenigen zukommen, die sich mit Grundrechtsschutz beschäftigen. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, nannte zum Beispiel die Europäische Datenstrategie, in der Rechtsakte künftig zu Datenweitergaben verpflichten werden und zentrale Fragen zur fairen und rechtsstaatlichen Umsetzung aufwerfen.
Auch die Probleme in der Beherrschbarkeit der Risiken, die aus der massiv zunehmenden Durchdringung der Lebensbereiche mit künstlicher Intelligenz (KI) entstehen, würden sich künftig verstärkt stellen. Vorboten seien KI-Systeme wie ChatGPT. Angesichts dieser Trends äußerte sich Marit Hansen sorgenvoll: „Mit der Geschwindigkeit der Entwicklungen und den erheblichen potenziellen Auswirkungen auf Einzelne, auf die Gesellschaft und auf die Demokratie dürfen wir nicht abwarten und in Kauf nehmen, dass aus dem „Risiko XXL“ ein „Schaden XXL“ wird. Stattdessen gilt es, aus den bisherigen Erfahrungen besser als zuvor zu lernen, Risiken zu erkennen und vor allem rechtzeitig gegenzusteuern.“
Offensichtlich haben nicht nur Unternehmen noch viele Aufgaben im Datenschutz vor sich, sondern auch die Datenschutzaufsichtsbehörden. Die DSGVO kann nicht zur Seite gelegt werden, vielmehr bleibt sie aktuell und wird durch Entwicklungen zum Beispiel in Bereichen wie Cloud Computing und KI noch immer wichtiger. Die Klärung der Rechtsgrundlagen für eine Datenübermittlung in Drittstaaten bei Cloud-Nutzung ist dabei ein wichtiges Beispiel, aber nur eines von vielen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/81/bd/81bd5ce4ed478e58f0a4b58c2ca96612/0124967752v2.jpeg "Verbände und Politiker wollen die Datennutzung über den Datenschutz stellen. Dabei soll der Datenschutz die Datennutzung gar nicht verhindern, sondern ihr einen rechtlichen Rahmen vorgeben, der den Menschen die Kontrolle über ihre eigenen Daten verschafft. (Bild: © Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/f0/def067848e797d06aca429fd2ba256d6/0124161043v2.jpeg "2024 gab es 278 mehr Beschwerden bezüglich des Schutzes personenbezogener Daten als 2023. (Bild: gemeinfrei)")