Wie hat sich der Markt für Datenschutzrecht in den letzten Jahren entwickelt und welche Trends beobachten Sie derzeit in Ihrer Praxis?
Wenn ich auf die letzten Jahre zurückblicke, ist der Wandel enorm. Ich sehe, dass wir den Sprung vom „nice to have“ zum zwingenden Compliance-Faktor erlebt haben. Seit die DSGVO wirklich Zähne bekommen hat, ist Datenschutz für mich nicht mehr nur ein IT-Problem, sondern ein zentrales Element jedes Unternehmens. Die Aufsichtsbehörden agieren konsequenter, die Bußgeldsummen erreichen Rekordhöhen und die theoretischen Höchststrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes sind ein real gewordenes Risiko. Der Fall Meta, mit einem Bußgeld von über 1,2 Milliarden Euro wegen unzureichender Datentransfers in die USA, verdeutlicht die Entwicklung eindrucksvoll. Behörden nehmen verstärkt fundamentale Verstöße ins Visier, etwa fehlende Rechtsgrundlagen oder unzureichende Technisch-Organisatorische Maßnahmen (TOMs).
Zudem stellt die tiefgreifende Digitalisierung der Arbeitswelt eine erhebliche Herausforderung dar. Homeoffice, Cloud-Tools, digitale HR-Prozesse und Zeiterfassungssysteme verschärfen die Gratwanderung zwischen effektiver Steuerung und Beschäftigtendatenschutz. Hinzu kommt ein stark wachsender Bereich: Datenschutz beim Einsatz von KI, befeuert durch die bevorstehende KI-Compliance im Rahmen des EU AI Act. KI-Systeme basieren zwingend auf großen Datenmengen und erfordern hohe Anforderungen an Datenschutz, Datensicherheit und Nachvollziehbarkeit.
Ein weiterer Trend bleibt die Unsicherheit beim Datentransfer in die USA. Nach den Schrems-I- und Schrems-II-Urteilen des EuGH wurden Safe Harbor und Privacy Shield gekippt. Zwar besteht seit Juli 2023 mit dem EU-US Data Privacy Framework eine neue Grundlage, doch bleibt laut Experten Rechtsunsicherheit bestehen. Politische Entwicklungen könnten das Abkommen erneut destabilisieren. Die Nutzung US-basierter Cloud- oder Analyse-Tools bleibt für viele Unternehmen komplex und führt dazu, dass europäische Alternativen zunehmend in Betracht gezogen werden.
Welche Herausforderungen und Risiken sehen Sie für Unternehmen bei der Umsetzung der aktuellen Datenschutzbestimmungen?
Die größte Klippe für viele Unternehmen ist, Datenschutz aus der Theorie in die Praxis zu bringen. Prozesse müssen so gestaltet sein, dass sie im Alltag gelebt werden und nicht nur formal existieren. Die Diskrepanz zwischen Dokumentation und Realität ist ein zentraler Angriffspunkt der Behörden. Das Verzeichnis von Verarbeitungstätigkeiten muss tagesaktuell sein und die tatsächlichen Abläufe abbilden. Wenn etwa eine Pseudonymisierung dokumentiert, aber technisch nicht umgesetzt ist, liegt ein Verstoß vor.
Eng damit verbunden ist die Datenschutz-Folgenabschätzung für neue oder risikoreiche Verarbeitungsvorgänge, die proaktiv erfolgen muss. Unternehmen müssen Risiken identifizieren, dokumentieren und minimieren, bevor Systeme in Betrieb gehen.
Ein organisatorischer Engpass liegt häufig in der Überlastung interner Datenschutzbeauftragter. Das gesetzlich geforderte Spezialwissen kann intern oft nicht abgedeckt werden, was zu fehleranfälligen Prozessen führt. Zudem bleibt menschliches Fehlverhalten der häufigste Auslöser von Datenpannen – mangelnde Sensibilisierung ist ein strukturelles Problem.
Nicht zu unterschätzen ist die Komplexität internationaler Datentransfers, insbesondere in die USA. Trotz neuer Abkommen müssen zusätzliche Schutzmaßnahmen ergriffen werden, was viele Unternehmen organisatorisch wie technisch überfordert. Hinzu kommt der Reputationsschaden bei Datenpannen, der häufig gravierender ist als das Bußgeld selbst.
Können Sie aus Ihrer Erfahrung berichten, welche häufigen Fehler Unternehmen im Umgang mit Datenschutz machen und wie diese vermieden werden können?
Ein Kardinalfehler ist die falsche Annahme, Datenschutz sei ein einmaliges Projekt. In Wahrheit ist er eine kontinuierliche organisatorische Aufgabe. In der Praxis treten immer wieder dieselben typischen Fehler auf:
Ein häufiger formeller Fehler ist der fehlende oder unzureichende Auftragsverarbeitungsvertrag mit externen Dienstleistern. Jeder Anbieter, der personenbezogene Daten verarbeitet – vom IT-Support bis zum Newsletter-Service –, benötigt einen solchen Vertrag.
Ein zweiter Dauerbrenner ist die übermäßige Speicherung personenbezogener Daten. Das widerspricht dem Grundsatz der Datenminimierung und erhöht das Risiko im Falle eines Hacks. Unternehmen müssen wesentlich konsequenter löschen.
Hinzu kommt die mangelnde Sensibilisierung der Belegschaft. Ohne Schulung verliert selbst die beste Technik an Wirkung. Mitarbeiter bleiben das schwächste Glied in der Kette.
Meine Empfehlung ist eindeutig: Unternehmen müssen nach Risiko priorisieren. Zuerst gilt es, besonders sensible Kunden-, Mandanten- und HR-Daten abzusichern. Danach sollten regelmäßige Audits und Schulungen fest verankert werden, um nachhaltige Compliance sicherzustellen.
Inwiefern könnten zukünftige technologische Entwicklungen, wie Künstliche Intelligenz, die Anforderungen an den Datenschutz verändern?
KI wird das Datenschutzrecht massiv verändern. Die Kernfrage lautet: Wie lassen sich die Grundprinzipien der DSGVO – insbesondere Transparenz und Zweckbindung – auf selbstlernende Systeme übertragen?
Zwei Achillesfersen sind besonders relevant: Erstens erfordert „Privacy by Design“, dass Trainingsdaten von Beginn an datenschutzkonform sind. Privacy-Enhancing Technologies werden unerlässlich, um Rückschlüsse auf Einzelpersonen zu verhindern. Zweitens wird die Erklärbarkeit von KI-Entscheidungen zu einer zentralen juristischen Herausforderung. Wenn Algorithmen Prozesse wie Recruiting oder Bonitätsprüfungen beeinflussen, müssen Unternehmen die Entscheidungslogik nachvollziehbar offenlegen können.
Diese Entwicklungen machen interdisziplinäre Zusammenarbeit unerlässlich. Juristen, Techniker und Entwickler müssen gemeinsam arbeiten – traditionelles Silodenken behindert Compliance. Zukunftsorientierte Kanzleien integrieren daher bereits KI-Spezialisten oder Legal Engineers in ihre Teams.
Betrachtet man die europäische Datenschutz-Grundverordnung im globalen Kontext, welche Unterschiede oder Gemeinsamkeiten sehen Sie im Vergleich zu Datenschutzgesetzen anderer Länder?
Die DSGVO ist international der Maßstab. Ihr extraterritorialer Anwendungsbereich und die strengen Anforderungen haben weltweit eine regulatorische Sogwirkung entfaltet. Viele Staaten haben ihre Datenschutzgesetze nachgeschärft.
Der wesentliche Unterschied liegt jedoch in der Philosophie: Während die DSGVO Datenschutz als Grundrecht begreift und auf einem Opt-In-System basiert, orientieren sich Gesetze wie der California Consumer Privacy Act stärker am Verbraucherschutz und am Opt-Out-Prinzip. Gleichzeitig entstehen durch die DSGVO weltweit Gemeinsamkeiten, etwa in Brasilien oder Südkorea, die europäische Standards weitgehend übernehmen.
Unternehmen, die sich an der DSGVO orientieren, schaffen damit eine stabile Grundlage für globale Compliance.
