Vor dem Europäischen Datenschutztag: Worum es in Unternehmen 2026 wirklich geht

Der Euro­päi­sche Daten­schutz­tag am 28. Janu­ar gibt Anlass, aktiv zu reflek­tie­ren, was Daten­schutz heu­te im Unter­neh­mens­all­tag bedeu­tet. Nach acht Jah­ren Gel­tung der DSGVO ist der Daten­schutz längst kein Pro­jekt mehr, in Unter­neh­men wirkt er als Grad­mes­ser orga­ni­sa­to­ri­scher Rei­fe. Span­nen­de Her­aus­for­de­run­gen bringt der wach­sen­de Ein­satz Künst­li­cher Intel­li­genz.

Als die Daten­schutz-Grund­ver­ord­nung in Kraft trat, behan­del­ten vie­le Unter­neh­men Daten­schutz zunächst als ein­ma­li­ges Umset­zungs­pro­jekt. Sie benann­ten Daten­schutz­be­auf­trag­te, erstell­ten Daten­schutz­er­klä­run­gen, leg­ten Ver­zeich­nis­se an – und hak­ten das The­ma dann weit­ge­hend ab.

Die­ses Ver­ständ­nis greift 2026 viel zu kurz. Die rich­ti­ge Nut­zung von Daten ist heu­te für nahe­zu alle Bran­chen und Geschäfts­be­rei­che hoch­re­le­vant. Unter­neh­men, die das wirt­schaft­li­che Poten­zi­al der ihnen zur Ver­fü­gung ste­hen­den Daten nicht nut­zen, gera­ten im Wett­be­werb ins Hin­ter­tref­fen. Gleich­zei­tig lässt sich die­ses Poten­zi­al nur dann dau­er­haft und belast­bar aus­schöp­fen, wenn der Umgang mit Daten, Zwe­cken, Ver­ant­wort­lich­kei­ten und Ent­schei­dungs­we­gen daten­schutz­recht­lich trag­fä­hig abge­bil­det wur­de.

Dau­er­auf­ga­be Daten­schutz: Wor­auf Behör­den ach­ten

Neue Sys­te­me, exter­ne Dienst­leis­ter, Ana­ly­se­werk­zeu­ge oder KI-gestütz­te Anwen­dun­gen wer­den heu­te regel­mä­ßig im lau­fen­den Betrieb ein­ge­führt oder ange­passt. Dadurch ent­ste­hen oder ver­än­dern sich Daten­ver­ar­bei­tun­gen stän­dig, ohne dass dies als eigen­stän­di­ges Pro­jekt wahr­ge­nom­men wür­de.

Daten­schutz-Com­pli­ance im Jahr 2026 ent­schei­det sich des­halb nicht mehr bei der ein­ma­li­gen Umset­zung. Heu­te geht es dar­um, ob eine Orga­ni­sa­ti­on mit der tat­säch­li­chen Ent­wick­lung von Daten­ver­ar­bei­tun­gen Schritt hal­ten kann – oder ob Daten­schutz und Geschäfts­be­trieb aus­ein­an­der­lau­fen.

Behör­den kon­zen­trie­ren sich pri­mär dar­auf, inwie­weit Unter­neh­men nach­voll­zieh­bar dar­le­gen kön­nen, wie sie mit per­so­nen­be­zo­ge­nen Daten umge­hen. Wich­tig ist ihnen nicht die per­fek­te Umset­zung aller For­ma­li­en. Den Behör­den geht es um ein erkenn­ba­res Bewusst­sein, klar gere­gel­te Zustän­dig­kei­ten, funk­tio­nie­ren­de Abläu­fe und doku­men­tier­te, nach­voll­zieh­ba­re Ent­schei­dun­gen. Wer Daten­schutz struk­tu­rell inte­griert, steht des­halb häu­fig deut­lich bes­ser da.

Daten­schutz betrifft mehr als IT oder Rechts­ab­tei­lung

Daten­schutz ist dabei weder eine rei­ne IT-Fra­ge noch ein iso­lier­tes Rechts­the­ma. Er betrifft nahe­zu alle Berei­che eines Unter­neh­mens, weil per­so­nen­be­zo­ge­ne Daten in fast allen Geschäfts­zwei­gen und Abtei­lun­gen eines Unter­neh­mens erho­ben, genutzt und aus­ge­wer­tet wer­den.

Die unter­neh­me­ri­sche Gesamt­ver­ant­wor­tung trägt die Geschäfts­lei­tung, unab­hän­gig davon, ob Auf­ga­ben dele­giert wur­den. Fach­ab­tei­lun­gen ent­schei­den über Zwe­cke und Inhal­te von Daten­ver­ar­bei­tun­gen. Die IT sorgt für tech­ni­sche Umsetz­bar­keit und Sicher­heit. Rechts­ab­tei­lun­gen oder exter­ne Bera­ter unter­stüt­zen bei der recht­li­chen Ein­ord­nung.

So weit die Theo­rie. In der Pra­xis wird Daten­schutz oft­mals kri­tisch, wenn die­se Rol­len und Ver­ant­wort­lich­kei­ten nicht aus­rei­chend auf­ein­an­der abge­stimmt wur­den. Typi­sche Bei­spie­le sind etwa die ohne jede Abstim­mung gestar­te­te Mar­ke­ting­ak­ti­on oder die unge­prüf­te Ein­füh­rung neu­er Tools. Daten­schutz ist des­halb vor allem Koor­di­na­ti­ons­auf­ga­be.

Auch beim KI-Ein­satz im Unter­neh­men: Daten­schutz bleibt Maß­stab

KI-Tools wie ChatGPT, Micro­soft Copi­lot, DeepL oder Noti­on AI sind schnell fes­ter Bestand­teil vie­ler Unter­neh­men gewor­den. Sie unter­stüt­zen bei der Text- und Bild­ge­ne­rie­rung, auto­ma­ti­sie­ren Aus­wer­tun­gen, hel­fen im Kun­den­kon­takt und die­nen als inter­ne Assis­ten­ten.

Der ver­brei­te­te Ein­druck, für KI-Anwen­dun­gen gäl­ten dabei eige­ne Spiel­re­geln, ist unzu­tref­fend. Auch beim Ein­satz von KI gel­ten die bekann­ten daten­schutz­recht­li­chen Grund­sät­ze unein­ge­schränkt. Sobald per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, stel­len sich die­sel­ben Fra­gen wie bei ande­ren Sys­te­men: Zu wel­chem Zweck wer­den sie genutzt? Wel­che Daten flie­ßen ein? Wer erhält Zugriff und wer bleibt für die Ver­ar­bei­tung ver­ant­wort­lich?

In Unter­neh­men wer­den sol­che Tools dabei erfah­rungs­ge­mäß häu­fig als eine Art Black Box wahr­ge­nom­men, der auch per­so­nen­be­zo­ge­ne Daten ohne Wei­te­res anver­traut wer­den kön­nen, weil ihr wei­te­rer Ver­bleib ohne­hin nicht rekon­stru­iert wer­den kön­ne. Die­se Annah­me ist mensch­lich zwar nach­voll­zieh­bar, aber ris­kant und daten­schutz­recht­lich klar unzu­läs­sig. Wird KI auf die­se Wei­se ohne bewuss­te Ent­schei­dun­gen, ohne kla­re Zweck­fest­le­gung und ohne lau­fen­de Ver­ant­wor­tungs­zu­ord­nung ein­ge­setzt, ver­liert das Unter­neh­men die Kon­trol­le über die ihm anver­trau­ten Daten. Der Scha­den kann irrepa­ra­bel sein.

Aktu­el­le Ent­wick­lun­gen: AI Act und der Fokus der Behör­den

Neben der DSGVO tritt seit August 2024 schritt­wei­se die EU-KI-Ver­ord­nung (AI Act) in Kraft. Sie klas­si­fi­ziert KI-Sys­te­me nach Risi­koklas­sen und ver­pflich­tet Anbie­ter und Betrei­ber von Hoch­ri­si­ko-KI-Sys­te­men zu zusätz­li­chen Trans­pa­renz- und Doku­men­ta­ti­ons­pflich­ten. Unter­neh­men, die KI ein­set­zen, soll­ten prü­fen, ob und in wel­chem Umfang sie von den neu­en Rege­lun­gen betrof­fen sind.

Par­al­lel dazu set­zen Daten­schutz­auf­sichts­be­hör­den 2025 und 2026 kla­re Prü­fungs­schwer­punk­te: Sie fokus­sie­ren sich auf den Ein­satz von KI-Sys­te­men (ins­be­son­de­re im HR- und Mar­ke­ting­be­reich), Track­ing- und Coo­kie-Tech­no­lo­gien sowie auf inter­na­tio­na­le Daten­trans­fers. In die­sen Berei­chen wird nicht mehr nur die Exis­tenz von Kon­zep­ten geprüft, son­dern auch, ob Pro­zes­se tat­säch­lich funk­tio­nie­ren und Ver­ant­wort­lich­kei­ten im Unter­neh­mens­all­tag grei­fen.

Daten­schutz als Prüf­stein unter­neh­me­ri­scher Sorg­falt

Daten­schutz ist 2026 kein abs­trak­tes Com­pli­ance-The­ma mehr, son­dern Teil der unter­neh­me­ri­schen Sorg­falt. In Ver­trags­ver­hand­lun­gen, Aus­schrei­bun­gen, Part­ner­schaf­ten und Prüf­pro­zes­sen wird regel­mä­ßig erwar­tet, dass Unter­neh­men ihren Umgang mit per­so­nen­be­zo­ge­nen Daten nach­voll­zieh­bar dar­le­gen kön­nen.

In die­sem Sin­ne wirkt Daten­schutz über sei­ne inhalt­li­chen Zie­le hin­aus in vie­len Unter­neh­men wie ein Grad­mes­ser orga­ni­sa­to­ri­scher Rei­fe. Wo Zustän­dig­kei­ten klar sind, Pro­zes­se funk­tio­nie­ren und Ent­schei­dun­gen doku­men­tiert wer­den, ist auch der Umgang mit per­so­nen­be­zo­ge­nen Daten in der Regel struk­tu­riert. Daten­schutz ist damit nicht nur Selbst­zweck, son­dern auch Aus­druck pro­fes­sio­nel­ler Unter­neh­mens­füh­rung.

Pra­xis­tipps

Daten­schutz bleibt 2026 eine fort­lau­fen­de Füh­rungs­auf­ga­be, die Zuver­läs­sig­keit und Klar­heit in der Orga­ni­sa­ti­on ver­langt. Um die wich­tigs­ten Anfor­de­run­gen prak­tisch umzu­set­zen, emp­fiehlt es sich:

• Prü­fen Sie, wel­che KI-Tools und daten­ver­ar­bei­ten­den Sys­te­me im Unter­neh­men genutzt wer­den – auch infor­mell.
• Stel­len Sie sicher, dass neue Sys­te­me daten­schutz­recht­lich bewer­tet wer­den, bevor sie in den Betrieb gehen.
• Klä­ren Sie intern, wer über die Zwe­cke und Rah­men­be­din­gun­gen der Daten­ver­ar­bei­tung ent­schei­det.
• Las­sen Sie sich von Ihrem Daten­schutz­be­auf­trag­ten die größ­ten aktu­el­len Risi­ken für Ihr Unter­neh­men auf­zei­gen.
• Doku­men­tie­ren Sie Zustän­dig­kei­ten und typi­sche Abläu­fe, um Ver­läss­lich­keit nach außen bele­gen zu kön­nen.

Rund um den Euro­päi­schen Daten­schutz­tag am 28. Janu­ar 2026 fin­den zahl­rei­che Ver­an­stal­tun­gen, Ver­öf­fent­li­chun­gen und Dis­kus­sio­nen statt. Für Unter­neh­men kann das ein guter Anlass sein, den eige­nen Daten­schutz­stand kri­tisch zu über­prü­fen — und Fra­gen, die viel­leicht ein wenig in den Hin­ter­grund gera­ten sind, wie­der bewusst in den Blick zu neh­men.