Wer in Deutschland und der EU Geschäfte machen will, kommt an einem Thema nicht vorbei: dem Datenschutz. Seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gelten strenge Regeln, wie personenbezogene Daten verarbeitet, gespeichert und geschützt werden müssen.
In Deutschland sind die Menschen besonders sensibel, was die Nutzung ihrer Daten betrifft, hier wird Datenschutz traditionell sehr ernst genommen und streng gehandhabt. Da wundert es nicht, dass die deutsche Gesetzgebung das europäische Recht in einigen Punkten sogar noch ergänzt. Wer also den europäischen Markt inklusive Deutschland bedienen möchte, muss auch das deutsche Bundesdatenschutzgesetz (BDSG) im Blick haben.
Verstöße gegen die Datenschutzgesetze können sehr teuer werden, zum einen wegen der happigen Geldbußen und zum anderen, weil sie zu Imageschäden führen – die Menschen nehmen es Unternehmen übel, wenn nicht sorgfältig mit ihren Daten umgegangen wird. Und: Die EU-Datenschutzbehörden sind streng: Allein seit Inkrafttreten der DSGVO bis zur Vorlage des „ Zweiten Berichts zur Anwendung der Datenschutz-Grundverordnung“ im Juli 2024 verhängten sie über 6.680 Bußgelder in Höhe von insgesamt rund 4,2 Milliarden Euro.
Kurzum: Wirtschaftliche Aktivitäten in der EU und Deutschland erfordern eine genaue Kenntnis der Datenschutzgesetze sowie eine professionelle Strategie zum Schutz von Daten. Alles andere birgt unkalkulierbare Risiken.
Die europäische Datenschutz-Grundverordnung (DSGVO)
Die DSGVO ist der zentrale Rechtsrahmen für den Datenschutz in der gesamten EU. Sie regelt, wie Unternehmen personenbezogene Daten verarbeiten müssen und räumt dabei Betroffenen umfassende Rechte ein.
Wichtig: Die DSGVO gilt nicht nur für Unternehmen mit Sitz in der EU, sondern auch für alle, die EU-Bürgern ihre Waren oder Dienstleistungen anbieten.
Das deutsche Bundesdatenschutzgesetz (BDSG)
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO dort, wo nationale Regelungen zulässig sind – etwa bei dem Beschäftigtendatenschutz, der Bestellung von Datenschutzbeauftragten oder bei besonderen Vorschriften für Datenübermittlungen an Sicherheitsbehörden.
DSGVO vs. BDSG – Was gilt wo und was ist der Unterschied?
In Deutschland gilt nicht nur die EU-Datenschutz-Grundverordnung (DSGVO), sondern zusätzlich auch das Bundesdatenschutzgesetz (BDSG). Unternehmen, die in Deutschland aktiv sind, müssen also beide Regelwerke kennen und befolgen, dabei aber immer mit der DSGVO als oberstem Maßstab.
Die DSGVO ist das zentrale europäische Datenschutzgesetz – und gilt in allen EU-Ländern direkt.
Das BDSG ergänzt die DSGVO, wo sie nationale Regelungen erlaubt, zum Beispiel beim Datenschutz am Arbeitsplatz. So räumt die DSGVO in Artikel 88 ein, dass Mitgliedstaaten den Datenschutz im Beschäftigungskontext „genauer regeln“ dürfen. Deutschland hat diese Öffnung genutzt und im Paragraf 26 seines BDSG sehr spezifisch beschrieben, unter welchen Bedingungen Daten von Beschäftigten verarbeitet werden dürfen, etwa wenn es um Bewerbungsverfahren oder die Aufdeckung von Straftaten im Unternehmen geht.
Weitere datenschutzrechtlich relevante Gesetze
Die ePrivacy-Richtlinie regelt insbesondere Tracking, Cookies und elektronische Kommunikation. Sie soll perspektivisch durch die ePrivacy-Verordnung ersetzt werden, deren Verabschiedung jedoch seit Jahren auf sich warten lässt.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist seit 2021 in Deutschland gültig. Es konkretisiert die ePrivacy-Regelungen für Websites und Apps.
Unternehmen sollten die Entwicklungen genau verfolgen, da mit der ePrivacy-Verordnung zusätzliche Pflichten entstehen könnten – etwa strengere Anforderungen an Einwilligungen bei Online-Diensten.
Compliance-Anforderungen rund um den Datenschutz
Viele Datenschutzverstöße entstehen nicht aus bösem Willen, sondern weil Prozesse, Zuständigkeiten oder technische Details nicht auf ihre Gesetzeskonformität geprüft wurden. Wer sich vor dem Markteintritt in die EU um ein sauberes Datenschutzkonzept kümmert, ist auf der sicheren Seite – rechtlich und reputationsmäßig. Hier eine Auswahl an grundlegenden Anforderungen an den Datenschutz:
„Privacy by Design“ und „Privacy by Default“
„Privacy by Design“ bedeutet, Systeme, Software und Prozesse so zu gestalten, dass der Schutz personenbezogener Daten von Beginn an berücksichtigt ist. Der Datenschutz muss bereits in der Entwicklung mitgedacht werden und nicht erst dann, wenn ein Produkt oder ein Prozess schon fertig ist.
„Privacy by Default“ heißt, dass die datenschutzfreundlichste Einstellung standardmäßig voreingestellt ist, etwa bei Apps, Websites oder Online-Diensten. So darf zum Beispiel eine neue App nicht automatisch Standortdaten erfassen, sondern muss die Nutzer aktiv fragen, ob sie damit einverstanden sind. Dabei muss es genauso einfach sein, mit „Nein“ zu antworten wie mit „Ja“.
Immens wichtig: Einwilligungen richtig einholen
Wenn Unternehmen personenbezogene Daten verarbeiten – zum Beispiel, weil sie Newsletter versenden oder personalisierte Werbung machen – brauchen sie in den meisten Fällen eine klare, freiwillige und informierte Einwilligung. Diese Zustimmung muss nachweisbar dokumentiert sein, zum Beispiel über ein Opt-in-Feld mit Zeitstempel. Ein bereits voreingestelltes abgehaktes Kästchen gilt nicht als gültige Zustimmung.
Kein Service, sondern Pflicht: Betroffenenrechte ernst nehmen
Jede Person hat laut DSGVO umfassende Rechte, wenn es um die Nutzung ihrer persönlichen Daten geht. Dazu zählen • das Recht auf Auskunft, welche Daten gespeichert sind.
• das Recht auf Auskunft, welche Daten gespeichert sind.
• das Recht auf Berichtigung falscher Angaben.
• das Recht auf Löschung (auch das „Recht auf Vergessenwerden“ genannt).
• das Recht auf Datenübertragbarkeit zu einem anderen Anbieter.
Unternehmen müssen solche Anfragen zügig und vollständig beantworten, meist innerhalb eines Monats.
Die Datenschutz-Folgenabschätzungen (DSFA)
Der Begriff ist bürokratisch, die Idee dahinter nachvollziehbar: die Datenschutz-Folgenabschätzung dient dazu, datenschutzrechtliche Risiken zu erkennen, bevor sie zu einem Problem werden. Wenn zum Beispiel neue Technologien oder Prozesse, wie etwa die Gesichtserkennung oder die Nutzung von Gesundheitsdaten, die Rechte und Freiheiten von Personen gefährden könnten, ist die DSFA Pflicht. Sie prüft im Detail, wo Risiken liegen und wie sie sich reduzieren lassen.
Augen auf bei der Auswahl der Dienstleister
Unternehmen, die personenbezogene Daten von Dritten verarbeiten lassen – beispielsweise von einem Cloud-Anbieter, einem externen Callcenter oder einem Newsletter-Dienstleister – müssen sicherstellen, dass diese Dienstleister die Datenschutzregeln ebenfalls penibel einhalten.
Das heißt konkret, dass sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO brauchen. Die Unternehmen sind verpflichtet, ihre Dienstleister sorgfältig zu prüfen und im Zweifel zu wechseln. Es empfiehlt sich, die Prüfungen gut zu dokumentieren, um gegebenenfalls gegenüber Aufsichtsbehörden Rechenschaft ablegen zu können.
Achtung: Meldepflicht!
Wird ein Unternehmen auf eine Datenschutzpanne aufmerksam, ist es grundsätzlich verpflichtet, die zuständige Aufsichtsbehörde zu informieren – es sei denn, es ist absehbar, dass daraus kein Risiko für die Rechte und Freiheiten der Betroffenen entsteht. Die Meldung muss in der Regel innerhalb von 72 Stunden erfolgen.
Deutsche Sonderregelung: die Datenschutzbeauftragten
In Deutschland sind Unternehmen verpflichtet, eine Person als Datenschutzbeauftragte zu benennen, wenn mehr als 20 Mitarbeitende regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder auch, wenn besonders sensible Daten verarbeitet werden. Die oder der Datenschutzbeauftragte kann intern oder extern arbeiten, gefordert sind Fachwissen, Unabhängigkeit und eine klare Zuständigkeit.
Was droht bei Verstößen?
Verstöße gegen europäische und deutsche Datenschutzvorgaben sind keine Kavaliersdelikte – sie können richtig teuer werden. Bei DSGVO-Verstößen drohen bis zu 20 Millionen Euro Strafe.
Die DSGVO sieht zwei Stufen von Bußgeldern vor: Verstoßen Unternehmen gegen organisatorische Pflichten, sind Strafen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vorgesehen.
Bei Verstößen gegen zentrale Grundprinzipien oder Betroffenenrechte sind es bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
Noch nicht eingerechnet: eventuelle Schadensersatzforderungen betroffener Personen und Reputationsschäden, die mit Datenschutzverstößen einhergehen. Juristen sprechen mit Blick auf Schadenersatzforderungen von erheblichen Risiken, weil europäische Gerichte in der Vergangenheit immer wieder sehr verbraucherfreundliche Urteile gefällt haben. Da Verstöße gegen das DSGVO oft sehr viele Personen betreffen, können sie entsprechend viele Klagen gegen das Unternehmen nach sich ziehen.
Wer zahlt bislang am meisten?
Bislang führen die großen US-Tech-Firmen nicht nur bei der Anzahl, sondern auch bei der Bußgeldhöhe die Rangliste der DSGVO-Verstöße an. Da wundert es nicht, dass im vergleichsweise kleinen Irland gut die Hälfte der gesamten Bußgeldsumme fällig wurde – dort unterhalten viele ausländische Tech-Unternehmen ihren EU-Hauptsitz. Unter den Top Ten der höchsten Bußgelder für Verstöße gegen das DSGVO findet sich tatsächlich nur ein europäisches Unternehmen: ein italienischer Energiekonzern, der 79 Millionen Euro Strafe wegen des Handels mit Kundendaten zahlen musste. Alle anderen sind – mit Ausnahme eines chinesischen Social Network-Betreibers – US-Firmen.
Teure Fehltritte
Es gibt eine große Bandbreite möglicher Verstöße: von technischen Mängeln über Cyber-Crime oder Virenattacken bis hin zu menschlichen Fehlern und individuellem kriminellen Verhalten. Hier eine kleine Auswahl von Verstößen, die bereits geahndet wurden:
Wenn ein Mitarbeiter Daten stiehlt
Im Mai 2023 wurde ein erhebliches Datenleck im deutschen Werk eines US-Autobauers bekannt. Ein ehemaliger Mitarbeiter soll etwa 100 Gigabyte vertraulicher Daten entwendet und weitergegeben haben. Diese Daten umfassten unter anderem persönliche Informationen von über 100.000 aktuellen und ehemaligen Mitarbeitern, darunter Gehälter, Adressen und Sozialversicherungsnummern, sowie sensible Kundendaten und interne Unternehmensinformationen. Außerdem steht der Verdacht im Raum, dass das Unternehmen den Verstoß nicht binnen 72 Stunden gemeldet hat.
Wenn, wie hier, ein möglicher Datenschutzverstoß Personen in gleich mehreren EU-Staaten betrifft, werden die Ermittlungen federführend von der Behörde des EU-Landes übernommen, in dem das Unternehmen seine Hauptniederlassung in der EU unterhält. Derzeit wird noch geprüft, ob und in welchem Ausmaß der Autohersteller gegen die DSGVO verstoßen hat. Je nachdem, was diese Prüfung ergibt, wird ein Bußgeldverfahren eingeleitet.
Wenn ein Unternehmen Mitarbeitende ausspäht
Im Jahr 2020 kassierte ein großer schwedischer Modehändler einen Bußgeldbescheid über rund 35 Millionen Euro. Der Händler hatte seine Mitarbeitenden nach den Corona-Lockdowns in sogenannten Welcome Back Talks über deren Privatleben und etwaige familiäre und gesundheitliche Probleme ausspionieren lassen. Diese Daten waren digital festgehalten und Führungskräften zugänglich gemacht worden. Das Unternehmen legte keine Berufung ein und entschuldigte sich.
Wenn Kundendaten ohne Einwilligung genutzt werden
Auch wenn Kundendaten ohne eine wirksame Einwilligung zu Werbezwecken genutzt werden, kann es teuer werden: Eine Krankenkasse in Baden-Württemberg zahlte dafür ein Bußgeld von 1,24 Millionen Euro. Sie hatte personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.
Wenn ein Streaming-Dienst Daten sammelt – und nicht sagt, wofür
Im Dezember 2024 verhängte die niederländische Datenschutzbehörde Dutch Data Protection Authority (Dutch DPA) ein Bußgeld von 4,75 Millionen Euro gegen einen großen US-amerikanischen Streaming-Anbieter. Der hatte zwischen 2018 und 2020 massenhaft private Nutzerdaten gesammelt, allerdings in seinen Geschäftsbedingungen nicht klar genug darüber informiert, was genau mit diesen Daten geschieht – auch nicht, als diese nachfragten. Der Streaming-Anbieter hat Einspruch erhoben.
Wenn ein Fahrdienstleister Fahrerdaten nicht ausreichend schützt
Auch in diesem Fall ist ein US-Unternehmen ins Visier geraten: Ein Fahrdienstleister soll zwischen August 2021 und November 2023 personenbezogene Daten von europäischen Kunden in seine Zentrale in den USA übermittelt und nicht ausreichend geschützt haben. Nach Angaben der Datenschutzbehörde in Den Haag gehörten zu den auf US-Servern gespeicherten Daten unter anderem Identitätsnachweise und Zahlungsdetails sowie teils sogar Standortdaten, Fotos oder strafrechtliche und medizinische Daten der Fahrer.
Die niederländische Datenschutzbehörde verhängte deshalb im August 2024 ein Bußgeld über 290 Millionen Euro. Auch dieses Unternehmen hat Widerspruch eingelegt. In dem beanstandeten Zeitraum war das Datenschutzabkommen zwischen der EU und den USA wegen europäischer Gerichtsentscheide außer Kraft gesetzt.
Auch die EU-Kommission musste schon Strafe zahle
Die EU-Kommission muss einem Besucher einer von ihr betriebenen Website 400 Euro Schadensersatz zahlen: Der Kläger hatte sich über die Website zu einer Veranstaltung angemeldet und nutzte den Authentifizierungsdienst „EU Login“ der Kommission. Dabei entschied er sich für die Option „mit Facebook anmelden“. Später klagte er unter anderem deswegen, weil seine IP-Adresse an die Facebook-Mutter Meta übermittelt worden sei. Das Gericht der Europäischen Union in Luxemburg entschied im Januar 2025, der Betroffene habe durch die Übermittlung seiner IP-Adresse an Facebook einen immateriellen Schaden erlitten. Zu diesem Zeitpunkt sei nicht sicher gewesen, dass die USA personenbezogene Daten von EU-Bürgern angemessen schützt.
Datenschutzbehörden in Deutschland
In Deutschland kümmern sich Datenschutzbehörden sowohl auf Bundesebene als auch auf Ebene der 16 Bundesländer um das Thema. Sie machen ihre Arbeit in alljährlichen Tätigkeitsberichten transparent. Im Tätigkeitsbericht vom April 2025 meldete die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) einen neuen Beschwerde-Höchststand: Mit 8.670 Beschwerden sind im Jahr 2024 888 mehr bei der BfDI eingegangen als im Vorjahr.
Schaut man auf die Bundesländer sind auch hier Rekorde zu verzeichnen: Allein der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verzeichnete über 4.000 Beschwerden und Datenpannen sowie 20 rechtskräftig abgeschlossene Bußgeldverfahren mit einer Bußgeldhöhe von insgesamt über 1,2 Millionen Euro. Viele Fälle, so die Behörde in einer offiziellen Mitteilung, „waren Ausdruck eines schlechten Datenmanagements. Daten wurden vielfach deutlich länger gespeichert als notwendig, Datenlisten werden schlecht entsorgt, oft weniger aus bösem Willen als aus Unachtsamkeit oder fahrlässigem Unwissen. Gut strukturierte digitale Prozesse sind jedoch nicht nur für den Datenschutz unabdingbar, sondern auch für eine zukunftsfähige Unternehmensführung. Gerade für Unternehmen mit digitalen Geschäftsmodellen ist eine professionelle Datennutzung unumgänglich.“
Künstliche Intelligenz und Datenschutz
Der Einsatz Künstlicher Intelligenz berührt viele Fragen des Datenschutzes. Unternehmen, die KI einsetzen – zum Beispiel für Chatbots oder automatisierte Analysen – betreten datenschutzrechtliches Neuland. Auf welcher Rechtsgrundlage erfolgt die Datenverarbeitung? Sind die Entscheidungsprozesse nachvollziehbar? Welche Rechte haben Betroffene bei automatisierten Entscheidungen? Diese Fragen werden in der EU derzeit intensiv diskutiert. Datenschutzbehörden warnen zunehmend vor „Black Box“-KI-Anwendungen, bei denen unklar ist, wie Entscheidungen zustande kommen.
Der EU AI Act
Am 1. August 2024 ist die europäische Verordnung über künstliche Intelligenz – die KI-Verordnung, auch bekannt als EU AI Act – in Kraft getreten. Die meisten Vorschriften gelten jedoch erst ab 2026. Der EU AI Act verpflichtet Unternehmen zum Beispiel beim Einsatz von „hochriskanten KI-Systemen“, wie etwa KI-basierter medizinischer Software oder KI-Systemen für die Personaleinstellung, zu strengen Prüfungen, Dokumentationen und einer menschlichen Kontrolle.
Die DSGVO wird Stand Frühjahr 2025 nicht geändert, aber in der Praxis durch die Regelungen des EU AI Act ergänzt – insbesondere dort, wo KI-Systeme personenbezogene Daten verarbeiten.
Die DSGVO enthält bereits Regelungen, die KI-Anwendungen betreffen, etwa:
- Artikel 5: Grundsätze wie Datenminimierung und Transparenz
- Artikel 22: Verbot rein automatisierter Entscheidungen mit Rechtswirkung (mit Ausnahmen)
- Artikel 13/14: Informationspflichten – auch über die Logik automatisierter Verarbeitung
- Artikel 35: Datenschutz-Folgenabschätzung (DSFA) – verpflichtend bei risikoreichen KI-Systemen
EU-Kommission und Datenschutzaufsicht (EDPB) arbeiten an Leitlinien, wie DSGVO-Vorgaben auf KI anzuwenden sind. Deutschland prüft parallel dazu, ob auch das BDSG mit Blick auf KI-Anwendungen angepasst werden muss.
Übrigens: Schon seit Februar 2025 müssen Anbieter und Betreiber von KI-Systemen laut KI-Verordnung Maßnahmen ergreifen, die sicherstellen, dass „ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“.
Wer KI im Unternehmen einsetzt, sollte die Gesetzeslage auf jeden Fall im Blick behalten und sehr sorgfältig prüfen, ob der KI-Einsatz rechtskonform geschieht.
Dieser Artikel ist Teil unseres Leitfadens Compliance-Vorschriften in Deutschland: Ihr umfassender Leitfaden. Lesen Sie den vollständigen Leitfaden, um Ihre regulatorischen Pflichten einzuordnen und ein belastbares, vertrauenswürdiges Compliance-Programm aufzubauen.
Compliance-Vorschriften in Deutschland: Ihr umfassender Leitfaden
Das regulatorische Umfeld in Deutschland gehört zu den komplexesten in Europa. Für Unternehmen mit Aktivitäten in oder Verbindungen zum deutschen Markt ist ein fundiertes Verständnis der geltenden …
