Datenschutz – ein stumpfes Messer?
Beim Inkrafttreten der DSGVO 2018 läuteten in Unternehmen europaweit die Alarmglocken: Ab jetzt würden Datenschutzverstöße richtig teuer, hieß es. Sieben Jahre später sieht die Bilanz etwas anders aus. Lohnt sich da Datenschutz überhaupt?

Die Datenschutzaktivisten von noyb kritisieren bei der DSGVO ein unausgewogenes Verhältnis von rechtlichen Vorgaben und tatsächlicher Umsetzung (Grafik noyb).
Die Datenschutzaktivisten von noyb kritisieren bei der DSGVO ein unausgewogenes Verhältnis von rechtlichen Vorgaben und tatsächlicher Umsetzung (Grafik noyb).
Lohnt sich der Aufwand für den Datenschutz?
Inhalt dieses Artikels
Um die Vorgaben der DSGVO einzuhalten, geben sich Firmen inzwischen sehr viel Mühe – und stöhnen regelmäßig unter dem sich dadurch entstehenden Aufwand. Dabei gibt es gerade aus der ECM- und DMS-Branche schon lange viele und gut integrierte Angebote zur Einhaltung der DSGVO bei der Nutzung von ECM- und DMS-Software. Und auch der Bitkom hatte damals einen Leitfaden zur Einhaltung der DSGVO mit DSGVO mit ECM-Lösungen veröffentlicht. Gerade diese Integration der DSGVO-Konformität in ohnehin genutzte Software reduziert den Aufwand erheblich.
Zur Durchsetzung der DSGVO werden hohe Geldstrafen angedroht. Europaweit traf es zwischen 2018 und dem dritten Quartal 2023 (zu dem die Datenreihen enden) 6.861 Unternehmen, alleine 2.106 davon in Deutschland. Aus einer nüchternen Risikoanalyse heraus könnte der Aufwand für die DSGVO aber heute, sieben Jahre nach deren Inkrafttreten, durchaus hinterfragt werden. Denn das immer wieder beschworene Risiko hoher Geldstrafen ist relativ gering.
Datenschutzbehörden oft nur Papiertiger
Datenschutzaktivisten wie die von Max Schrems, der durch seine Verfahren gegen Facebook vor dem EuGH bekannt wurde, mitgegründete noyb, kritisieren dies. Die Organisation beruft sich dazu auf Statistiken des Europäischen Datenschutzausschusses (EDSA / European Data Protection Board – EDPB). Ihre Auswertung zeigt, dass Geldstrafen, die das wirksamste Mittel sind, um Unternehmen zur Einhaltung der Gesetze zu bewegen, von den Behörden nur in 1,3 Prozent aller Fälle von 2018 bis 2023 verhängt wurden. Zudem ziehen sich den Erfahrungen der Datenschutzaktivisten zufolge die meisten Fälle lange hin, bevor sie mit einem Vergleich abgeschlossen oder ganz verworfen werden.

In Deutschland ist die Zahl der Datenschutz-Beschwerden traditionell hoch (Grafik: edpb)
»Die europäischen Datenschutzbehörden haben alle erforderlichen Mittel, um DSGVO-Verstöße angemessen zu ahnden und Bußgelder zu verhängen. Stattdessen ziehen sich die Verhandlungen oft über Jahre hinweg in die Länge – und enden nur selten im Sinne der Betroffenen«, kritisiert NOYB-Ehrenvorsitzender Schrems die Ergebnisse.
Diese EU-Staaten ahnden Datenschutzverstöße am häufigsten
Am höchsten ist das Risiko für Firmen noch in der Slowakei (Geldstrafen in 6,84 Prozent aller Fälle), Bulgarien (4,19 Prozent) und Zypern (3,12 Prozent). Am sorglosesten können Firmen in den Niederlanden (Geldstrafen in 0,03 Prozent aller Fälle), Frankreich (0,10 Prozent) und Polen (0,18 Prozent) agieren. In Deutschland wurden bei 2.106 von insgesamt 159.930 Untersuchungen Geldstrafen verhängt – also in 1,32 Prozent der Fälle.
Allerdings haben die deutschen Aufsichtsbehörden mit weitem Abstand die meisten Beschäftigten und das höchste Budget. Sie untersuche auch mit Abstand die meisten Fälle und sind am aktivsten – das heißt, verlassen sich nicht nur auf Anzeigen, sondern werden selbst aktiv. Von den Behörden gingen seit 2018 hierzulande 7647 Untersuchungen aus. Das sind mehr als in den vier Ländern mit den nächsthöheren Werten Ungarn (3.332), Frankreich (1.571), Österreich (1.681) und Dänemark (1.013) zusammengenommen.
Geltendes Recht wird nur zögerlich durchgesetzt
»Irgendwie fehlt nur Datenschutzbehörden die notwendige Motivation, das ihnen anvertraute Recht auch tatsächlich durchzusetzen«, beklagt Schrems. »In allen anderen Bereichen führen Gesetzesverstöße regelmäßig zu Geldstrafen und ernsthaften Sanktionen.« Derzeit schienen die Datenschutzbehörden oft eher im Interesse der Unternehmen als der betroffenen Personen zu handeln, lautet daher seine Schlussfolgerung.
Zudem bezeichnet der Datenschutzaktivist die verhängten Geldstrafen als eine Farce. In Irland etwa, in dem unter anderem Apple, Google, Meta und Microsoft ihren Europasitz haben, liegt die Höhe des jährlich verhängten Strafbetrags bei 475.902.000 Euro und damit weit über dem aller andren Länder. Das möge auf den ersten Blick nach viel Geld klingen, sei es aber nicht, betont NOYB. Denn die irische Datenschutzbehörde sei federführende Behörde für einige der größten Beschwerden überhaupt und müsse regelmäßig »zu ihrem eigenen Glück gezwungen werden«. Die zwei größten Fälle von NOYB gegen Meta wurden erst nach einem Umweg über den Europäischen Datenschutzausschuss (EDSA) geleitet, bevor die DPC eine Geldstrafe von insgesamt fast 1,6 Milliarden Euro verhängte. Außer diesen Verfahren sei nicht viel passiert.
Wird Datenschutz überbewertet?
Oliver Süme, Vorstandsvorsitzender des eco-Verbandes, sieht das anders. Er sagte anlässlich des Europäischen Datenschutztages am 28. Januar »Datenschutz geht uns alle an. Datenschutz ist nicht nur ein gesetzlich verbrieftes Recht. Es ist eine zentrale Verantwortung, die sowohl Unternehmen und Behörden, als auch alle Bürgerinnen und Bürger tragen müssen.«
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider mahnt angesichts der Bemühungen um eine starke europäische Digitalwirtschaft zudem an: »Wir brauchen eine aufrichtige digitale Transformation, die sich zu den europäischen Werten unserer Gesellschaft bekennt und sie in der Digitalwirtschaft von morgen aufrechterhalten will. Ich glaube an eine Zukunft in einer solchen sozialintegrativen Digitalwirtschaft.« Dazu sei aber eine stärkere Verankerung des Datenschutzes entlang europäisch-gesellschaftlicher Werte wichtig.
Tenor der Experten: Datenschutz sei eben nicht nur eine lästige Pflichtübung, sondern könne sich kurzfristig durchaus als Wettbewerbsvorteil herausstellen. Dazu müssten es Firmen ihren Kunden aber auch leicht machen, deren Datenschutzrichtlinien zu verstehen. Aktuell ist das anders.

Laut einer vom eco bei Civey in Auftrag gegeben Umfrage im Januar 2025 halten viele Deutsche Datenschutzrichtlinen in ihrer aktuellen Form für zu kompliziert (Grafik: eco Verband)
Einer aktuellen repräsentative Umfrage des eco-Verbands zufolge lesen 64 Prozent der Befragten Datenschutzrichtlinien selten oder nie, bevor sie zustimmen. Mehr als jeder Dritte akzeptiert regelmäßig alle Cookies und immerhin rund 28 Prozent empfinden Datenschutz-Banner generell als störend. Zudem sehen 21,8 Prozent der Befragten keinen persönlichen Mehrwert im Datenschutz.
Datenschutz für die Katz?
Wenn sich Verbraucher wenig um Datenschutz kümmern und Behörden Verstöße nur lasch verfolgen – lohnt er sich dann für Firmen überhaupt? Heinz Wietfeld, Regional Director bei Hyland, hat dazu eine ganz klare Meinung: »In einer zunehmend digitalisierten und global vernetzten Welt sind Datenschutz und -sicherheit so wichtig wie nie. Der rasante technologische Fortschritt, insbesondere im Bereich der Künstlichen Intelligenz, sowie geopolitische Spannungen bedeuten zusätzliche Herausforderungen.«

Heinz Wietfeld, Regional Director DACH bei Hyland, plädiert dafür, dass Unternehmen Datenschutz nicht nur als Pflicht, sondern als Wettbewerbsvorteil für sich nutzen sollten.
Dafür, wie die sich bewältigen lassen, gibt Wietfeld einige Empfehlungen. KI etwa sei eine extrem datenintensive Technologie, bei der es aus Datenschutz- und Performancegründen entscheidend ist, mit einer soliden, sicheren und validierten Datenbasis zu arbeiten. Denn eine KI könne immer nur so sicher und leistungsfähig sein, wie die Daten, mit der sie trainiert wurde und auf die sie zugreifen kann. »Daher ist es nicht nur wichtig, sich vor KI-basierten Hackerangriffen zu schützen, sondern auch, dass sämtliche Daten, die für den Einsatz in KI-Modellen bestimmt sind, eingehend zu prüfen und für eine umfassende Datenbasis – inklusive unstrukturierter Daten – zu sorgen. Nur so können Unternehmen die Kontrolle über ihre KI-Ergebnisse und deren Korrektheit behalten«, sagt Wietfeld.
Daneben gelte es, ein Auge auf die Frage der Datensouveränität zu haben. Jedes Land habe inzwischen eigene gesetzliche Richtlinien, die Unternehmen berücksichtigen müssen. Gleichzeitig müssten Unternehmen die Kontrolle über ihre Daten behalten und den Zugriff Unbefugter verhindern. »Da sich die geopolitische Lage in den letzten Jahren deutlich verschärft hat, hat das Thema Datensouveränität oberste Priorität gewonnen«, betont Wietfeld. Unternehmen müssten also globale Risiken im Blick behalten und dabei gleichzeitig regionale Vorschriften wie die DSGVO einhalten. Datensouveränität als Fähigkeit, Daten unabhängig und sicher zu verwalten, werde damit zum Schlüssel für langfristigen Unternehmenserfolg.
Und schließlich schließt Wietfeld den Kreis, indem er auf die bereits empfohlenen, inzwischen aber natürlich noch deutlich erweiterten integrierten Sicherheitsfunktionen moderner Content-Lösungen verweist. Da könnten Kunden heute etwa auch Multifaktor-Authentifizierung oder rollenbasierten Zugangsrechte erwarten. Zudem trügen automatisierte Workflows dazu bei, menschliche Fehler zu minimieren und Sicherheitsrichtlinien einzuhalten. Dazu zählt auch das Data Lifecycle Management. Wenn der gesamte Lebenszyklus von Daten – von der Erstellung bis zur Löschung –durch klare Regeln und sichere Technologien begleitet wird, ist es einfacher, Compliance mit geltenden Richtlinien zu gewährleisten und Prozesse zu optimieren.
Flankierend empfiehlt Wietfeld Verschlüsselung, regelmäßige Audits sowie Mitarbeiterschulungen, um das Bewusstsein für den sicheren Umgang mit Daten und aktuellen Bedrohungen zu stärken. Denn schließlich ist die missbräuchliche Verwendung von Daten durch Unternehmen, die sie einmal erhoben haben, nur ein kleiner Teil des Problems. Viel gravierender ist oft der Schaden, der entsteht, wenn Daten abgeflossen und Unbefugten in die Hände geraten sind.
Weitere Artikel
Studie zur Digitalisierung im HR-Sektor
aconso hat einen neuen Report rund um die Digitalisierung im HR-Bereich veröffentlicht. Er zeigt, dass sich HR-Führungskräfte mit steigender Arbeitsbelastung, begrenzten Budgets und sich verändernde Dynamiken in der Belegschaft beschäftigen müssen.
Avision stellt flexiblen CCD-Scanner für Bücher vor
Mit dem Modell FB2380E stellt Avision einen Scanner für A4-Vorlagen, Bücher und Akten vor. Er ist ab sofort zum EVK von 449 Euro erhältlich.