Trotz steigender Risiken: Datenschutzbudgets werden voraussichtlich vielfach schrumpfen

Laut aktueller ISACA-Studie schenken Vorstände dem Datenschutz weiterhin oft zu wenig Aufmerksamkeit – während jedoch deren -Teams mit Budgetkürzungen, Personalmangel und wachsendem regulatorischem Druck konfrontiert sind

[datensicherheit.de, 19.01.2026] „Datenschutzteams müssen mit weniger Ressourcen ein wachsendes Risiko bewältigen“ – so eine zentrale Erkenntnis aus einer neuen Studie von ISACA. Trotz zunehmender Datenschutzbedrohungen und regulatorischer Anforderungen geben demnach mehr als vier von zehn (44%) Datenschutzexperten in Europa an, dass ihre Teams unterfinanziert seien, während über die Hälfte (54%) erwartet, dass die Datenschutzbudgets im Jahr 2026 weiter sinken würden. Diese ISACA-Stellungnahme basiert auf einer Umfrage, welche ISACA im September 2025 unter 1.854 weltweit im Datenschutz tätigen Personen durchgeführt habe, davon 485 in Europa ansässig.

Juristischen und technischen Datenschutzpositionen droht Unterbesetzung

In einer Region mit einer der weltweit am weitesten entwickelten Datenschutz-Regulierungslandschaften habe diese Unterfinanzierung bereits spürbare Konsequenzen: Fast vier von zehn (39%) der juristischen Datenschutzpositionen und über die Hälfte (51%) der technischen Datenschutzpositionen in Europa seien unterbesetzt.

• Mehr als ein Viertel (26%) der Datenschutzexperten glaube, dass ihr Unternehmen im nächsten Jahr wahrscheinlich einen wesentlichen Datenschutzverstoß erleben werde.

Zusammengenommen verdeutliche dies einen wachsenden Widerspruch für europäische Organisationen: „Das Datenschutzrisiko und die regulatorischen Erwartungen steigen weiter, während die Investitionen in Personal und Ressourcen zurückgefahren werden.“

Datenschutz-Teams müssen mit weniger Ressourcen mehr Risiko bewältigen

Die Aufmerksamkeit auf Vorstandsebene bleibe indes uneinheitlich. Mehr als ein Viertel (26%) der europäischen Befragten gebe an, dass ihr Vorstand dem Datenschutz keine angemessene Priorität einräume, obwohl die Risiken weiter zunähmen.

• Chris Dimitriadis, „Global Chief Strategy Officer“ bei ISACA, kommentiert warnend: „Datenschutz-Teams müssen mit weniger Ressourcen mehr Risiko bewältigen und die Belastung wird langsam sichtbar.“

Während Unternehmen neue Technologien schnell einführten, wüchsen Umfang und Komplexität der Datenschutzpflichten parallel dazu an – doch viele Teams arbeiteten immer noch ohne die personelle Ausstattung, die Finanzierung oder die Schulungen, welche sie benötigten, um Schritt zu halten.

Unterschätzen des Datenschutzes untergräbt grundlegende Säule digitalen Vertrauens

Dimitriadis gibt zu bedenken: „Wenn Vorstände den Datenschutz unterschätzen, unterschätzen sie eine grundlegende Säule des digitalen Vertrauens. Ein einziger Datenschutzverstoß kann jahrelanges Markenkapital untergraben, Kundenbeziehungen beschädigen und erhebliche regulatorische Konsequenzen nach sich ziehen. Die Priorisierung des Datenschutzes ist nicht nur eine ,Compliance’-Anforderung, sondern eine unternehmerische Notwendigkeit!“

• Dieser Druck nehme in einer Zeit zu, „in der sich die Risiken beschleunigen“. Fast die Hälfte (49%) der Fachleute gebe an, dass die Bewältigung der mit neuen Technologien verbundenen Risiken ein großes Hindernis für ihre Datenschutzprogramme darstelle.

Die menschlichen Auswirkungen seien ebenso deutlich: 67 Prozent sagten, dass ihre Arbeit heute stressiger sei als vor fünf Jahren, wobei die Befragten das schnelle Tempo des technologischen Wandels (68%) und die Herausforderungen bei der Einhaltung von Vorschriften (64%) als Hauptgründe nennen würden.

Vorstände sollten Datenschutz als strategische und ethische Priorität betrachten

Die Komplexität der Regulierung verschärfe diese Herausforderungen. Über ein Fünftel (22%) der Datenschutzexperten in Europa gebe an, dass ihr Unternehmen Schwierigkeiten habe, seine Datenschutzpflichten zu erkennen und zu verstehen, während mehr als die Hälfte (51%) die Komplexität internationaler Gesetze und Vorschriften als wesentliches Hindernis ansehe.

• Das Vertrauen in die Zukunftsfähigkeit sei gering: Nur acht Prozent der Befragten seien vollkommen zuversichtlich, dass ihr Unternehmen in der Lage sei, neue und aufkommende Datenschutzgesetze einzuhalten.

Während die Regulierung dazu beitrage, Datenschutzdiskussionen auf Vorstandsebene zu fördern – 44 Prozent der Fachleute gäben an, dass ihr Vorstand das Datenschutzprogramm als „compliance“-getrieben ansehe –, mache ein alleiniger Fokus auf „Compliance“ die Unternehmen angreifbar. Echte Widerstandsfähigkeit erfordere nämlich, „dass Vorstände den Datenschutz als strategische und ethische Priorität betrachten“.

Datenschutz erfordert nachhaltige Investitionen in Menschen, Führungsverhalten und Kultur

Dimitriadis führt aus: „Diese Lücken unterstreichen eine entscheidende Wahrheit: Datenschutz kann nicht allein durch Kontrollen oder Checklisten gestärkt werden, selbst mit Hilfe von KI. Er erfordert nachhaltige Investitionen in Menschen, ,Governance’ und Kultur – und das beginnt an der Spitze!“

• Vorstände müssten den Datenschutz als strategischen Motor für Vertrauen, Widerstandsfähigkeit und Wettbewerbsvorteile behandeln – und eben nicht nur als ein „Kästchen“, welches zur Einhaltung von Vorschriften abgehakt wird.

Wenn Unternehmen ihre Datenschutzteams mit den erforderlichen Fähigkeiten, Ressourcen und Befugnissen ausstatten, reduzierten sie nicht nur das Risiko – sie bereiteten ihr Unternehmen auf die nächste Welle regulatorischer und technologischer Veränderungen vor. „Indem Führungskräfte heute in Schulungen und berufliche Weiterentwicklung investieren, können sie eine Grundlage für die Widerstandsfähigkeit im Datenschutz schaffen, die für die sich wandelnde Landschaft gerüstet ist.“

Mehr als ein Drittel könnte auf Datenschutzvorfälle nicht effektiv reagieren

Viele Organisationen unternähmen durchaus positive Schritte: 79 Prozent in Europa nutzten ein Rahmenwerk oder eine Verordnung, am häufigsten die DSGVO, um ihr Datenschutzprogramm zu steuern, und eine Mehrheit implementiere Kontrollen wie Datensicherheit (71%) und Verschlüsselung (73%).

• Es blieben jedoch kritische Lücken. Nur 64 Prozent der europäischen Organisationen hätten einen formellen Plan zur Reaktion auf Vorfälle als Teil ihrer Datenschutzkontrollen, wodurch mehr als ein Drittel nicht auf Datenschutzvorfälle effektiv reagieren könne.

Auch die Mitarbeiterbindung gebe zunehmend Anlass zur Sorge: 34 Prozent berichteten von Schwierigkeiten, qualifizierte Datenschutzexperten zu halten, „und 45 Prozent nennen mangelnde oder schlechte Schulungen als einen Hauptgrund für Datenschutzversäumnisse“. Da die Datenschutzrisiken weiter stiegen, warnt ISACA Unternehmen, die jetzt nicht investieren, dass sie in den kommenden Jahren zunehmend angreifbar sein könnten.

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Chris Dimitriadis: Chief Global Strategy Officer

ISACA
Challenges Abound on the Privacy Landscape / Gain deeper insight into the latest privacy trends with ISACAs latest research

ISACA, 2026
Europe Edition: The State of Privacy in 2026

datensicherheit.de, 30.03.2025
ICS/OT Cybersecurity Budget Report 2025: Über 50 Prozent der Befragten fühlen sich bedroht / Neue ICS/OT-Studie von OPSWAT und SANS Institute zeigt auf, dass trotz steigender Security-Budgets Investitionen auf traditionelle Geschäftssysteme fokussiert bleiben

datensicherheit.de, 23.04.2020
Von Security-Budgets bis Personalmangel: Status quo der IT-Sicherheit in Unternehmen / Cyberangriffe nehmen nicht nur zahlenmäßig, sondern auch in ihrer Raffinesse zu

datensicherheit.de, 04.09.2013
IT-Sicherheit in Unternehmen: Zeit und Budget fehlen / Nur knapp jedes zweite deutsche Unternehmen fühlt sich bereits ausreichend gerüstet