[datensicherheit.de, 06.05.2026] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat nach eigenen Angaben gegen die Berliner Verkehrsbetriebe (BVG) eine Verwarnung „wegen des mangelhaften Umgangs mit einem Datenschutzvorfall“ verhängt. Die BVG hatte demnach die Löschung von Daten bei einem Dienstleister nicht kontrolliert und einen anschließenden Datenschutzvorfall erst deutlich verspätet gemeldet.

© Annette Koroll

Meike Kamp kommentiert: Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen!

BVG hatte Kontrollpflichten gemäß DSGVO gegenüber Dienstleister nicht ausreichend ausgeübt

Am 17. April 2025 habe ein von der BVG beauftragter Dienstleister die BVG erstmals über einen erfolgreichen Angriff auf dessen IT-Systeme informiert. Der Dienstleister habe im Januar 2025 als sogenannter Auftragsverarbeiter der BVG Briefe und E-Mails verschickt und dafür rund 180.000 Datensätze von BVG-Kunden verarbeitet.

• Betroffen gewesen seien Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Bankdaten und Passwörter indes seien laut BVG nicht betroffen gewesen. Am 30. April 2025 habe die BVG diesen Vorfall der BlnBDI gemeldet und anschließend alle betroffenen Kunden schriftlich per Brief benachrichtigt.

Die Prüfung der BlnBDI habe ergeben, dass die BVG ihre Kontrollpflichten gemäß der Datenschutz-Grundverordnung (DSGVO) gegenüber dem Dienstleister nicht ausreichend ausgeübt habe. Zum Zeitpunkt des Angriffs hätten die Daten der BVG-Kunden nicht mehr vom Dienstleister gespeichert werden dürfen, da der Auftrag abgeschlossen gewesen sei.

Nach dem ersten Hinweis des Dienstleisters hätte die BVG unverzüglich Untersuchungen einleiten müssen

Die BVG habe nicht kontrolliert, dass der Dienstleister die Daten tatsächlich gelöscht hat, sondern sich allein auf die vertraglich vereinbarte Löschung verlassen. „Damit hat die BVG gegen Artikel 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f i. V. m. Art. 32 Abs. 1 Hs. 1 (DSGVO) verstoßen.“

• Zudem habe die BVG aufgrund mangelnder organisatorischer Maßnahmen gegen ihre Pflicht zur unverzüglichen Meldung von Datenschutzvorfällen nach Artikel 33 DSGVO verstoßen.

Bereits nach dem ersten Hinweis des Dienstleisters am 17. April 2025 hätte die BVG unverzüglich Untersuchungen einleiten müssen. Diese seien aus mehreren Gründen nur verzögert erfolgt.

Formelle BVG-Meldung an die BlnBDI überschritt gesetzlich vorgeschriebene 72‑Stunden‑Frist

Spätestens am 25. April 2025 hätten ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall bestanden; die formelle Meldung an die BlnBDI sei jedoch erst am 30. April 2025 erfolgt und habe damit die gesetzlich vorgeschriebene 72‑Stunden‑Frist überschritten. Die BVG habe außerdem gegen Artikel 28 Abs. 3 Satz 2 lit. f DSGVO verstoßen, indem sie kein konkretes Verfahren für den Umgang mit Datenschutzvorfällen im Auftragsverarbeitungsvertrag mit dem Dienstleister festgelegt habe.

• Die BlnBDI, Meike Kamp, kommentiert: „Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen! Wenn Unternehmen Datenverarbeitungen im Wege der Auftragsverarbeitung auslagern, darf dies nicht dazu führen, dass Untersuchungen oder Meldeprozesse verzögert werden.“

Dieser Fall mache auch deutlich, welches Risiko von unnötig lange gespeicherten Daten ausgehe: Hätte die BVG die Löschung der Daten konsequent kontrolliert, wären diese nicht von dem Datenschutzvorfall betroffen gewesen. „Mittlerweile hat die BVG Maßnahmen angekündigt, um ähnliche Vorfälle in der Zukunft zu verhindern“, so Kamp abschließend.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

WIKIPEDIA
Berliner Verkehrsbetriebe

BVG, 22.05.2025
Datenschutzvorfall bei einem Dienstleister der BVG: Information über eine mögliche Verletzung des Schutzes von personenbezogenen Daten nach Art. 34 DSGVO 

datensicherheit.de, 19.05.2025
DSGVO: Verlässlicher Datenschutz schafft Vertrauen und stärkt die Wirtschaft / Stellungnahme vom Verbraucherzentrale Bundesverband zum Vorschlag der EU-Kommission zu DSGVO-Ausnahmen für KMU

[datensicherheit.de, 13.04.2026] Die rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA steht 2026 offensichtlich vor einer Belastungsprobe: „Transatlantische Datenströme werden zunehmend zum Bestandteil internationaler Handelskonflikte“, so Ari Albertini, CEO von FTAPI, in seiner aktuellen Stellungnahme. Für Unternehmen in Deutschland wachse damit die Rechtsunsicherheit, da die Stabilität aktueller Abkommen zur Datenübermittlung massiv von politischen Weichenstellungen in Washington D.C. abhänge. „Damit entwickelt sich die Frage der Digitalen Souveränität – also der Fähigkeit, selbstbestimmt über die eigenen Daten zu verfügen, – von einer juristischen Pflichtaufgabe zu einer Kernfrage der strategischen Risikovorsorge!“, betont Albertini.

Foto: FTAPI

Ari Albertini: Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt

Rechtsunsicherheit beim Datenschutz als Standortrisiko

Zwar sollten internationale Abkommen den Datenfluss regeln, doch bleibt der Grundkonflikt zwischen europäischem Datenschutz gemäß DSGVO und US-Gesetzen wie dem „US CLOUD Act“ bisher ungelöst – letzterer erlaubt nämlich US-Behörden den Zugriff auf Daten selbst dann, wenn diese physisch auf Servern innerhalb Europas gespeichert sind. Für deutsche Unternehmen entsteht dadurch laut Albertini eine doppelte Belastung:

1. Regulatorisches Risiko
   Sollten Abkommen fallen, droht ein Rechtsvakuum. Ohne souveräne Alternativen drohten dann langwierige Verfahren und Sanktionen von bis zu vier Prozent des weltweiten Jahresumsatzes.
2. Operative Abhängigkeit
   Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in diesem Zusammenhang vor einer schleichenden „Cyber Dominance“. Dieser Begriff beschreibt die Macht von Software-Herstellern, durch die Kontrolle über proprietäre Systeme dauerhaft Einfluss auf die Infrastruktur ihrer Kunden auszuüben.

In einer vernetzten Wirtschaft werde diese Abhängigkeit zum „Single Point of Failure“: Ein plötzlicher Stopp oder eine Einschränkung essenzieller „Cloud“-Dienste aus politischen Gründen könnte kritische Geschäftsprozesse binnen kürzester Zeit lähmen und die Wettbewerbsfähigkeit des gesamten Standorts gefährden.

FTAPI-Checkliste: In drei Schritten zur Datenhoheit

Um die Handlungsfähigkeit unabhängig von geopolitischen Entwicklungen zu wahren, empfiehlt FTAPI folgendes Vorgehen:

Schritt 1: Bestandsaufnahme und Abhängigkeiten prüfen!

Unternehmen müssten ihre Software-Landschaft analysieren:

• „Wo werden geschäftskritische US-Lösungen genutzt, die einen schnellen Wechsel verhindern (,Vendor-Lock-in’)?“

• Der „EU Data Act“ biete hierzu den rechtlichen Hebel, um die Übertragbarkeit von Daten gegenüber Providern einzufordern und technische Wechselhürden abzubauen.

Schritt 2: Risikobasierte Maßnahmen ableiten!

Migration: Für sensible Bereiche wie Personalwesen oder Forschung wird der Wechsel zu europäischen Anbietern mit Gerichtsstand in der EU empfohlen.

• Vertragliche Leitplanken: Wo US-Anbieter alternativlos sind, sollte auf die Fixierung der „EU Data Residency“ (Speicherung in der EU) bestanden werden. Dies biete zwar keinen Schutz vor dem „CLOUD Act“, erschwere aber den unbefugten Zugriff auf administrativer Ebene.
• Exit-Strategien: Für den Ernstfall müssten Notfallpläne existieren, um Daten zeitnah in souveräne „Cloud“-Umgebungen umzuziehen.

Schritt 3: Technologische Schutzschirme implementieren!

Echte Unabhängigkeit entsteht erst durch Technik, nicht durch Verträge:

• Zero-Knowledge-Prinzip: Der Einsatz von Verschlüsselung, bei welcher der Anbieter technisch keinen Zugriff auf die Schlüssel hat, stelle sicher, dass Daten selbst bei einer Herausgabepflicht im Drittstaat unlesbar blieben.
• Standards nutzen: Die Bevorzugung von Software mit offenen Schnittstellen (APIs) verhindere die dauerhafte technologische Bindung an einen einzelnen Hersteller.
• Datensparsamkeit: Automatisierte Abläufe sollten so eingestellt sein, dass nur das für den Prozess absolut notwendige Minimum an Daten geteilt werde.

Souveränität als Wettbewerbsvorteil: Schutz der eigenen Daten und der operativen Handlungsfreiheit

„Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt!“, betont Albertini.

• Er führt weiter aus: „In der Praxis bedeutet das: Wir dürfen uns nicht allein auf politische Abkommen verlassen! Unternehmen müssen ihre Resilienz durch eine Kombination aus rechtlicher Absicherung und technischen Standards aktiv steuern.“
• Die aktuelle Debatte markiere das Ende der technologischen Naivität. Echte Souveränität lasse sich nicht allein durch Verträge herbeiführen, sondern müsse durch „strategisches Mapping“ und moderne Verschlüsselung aktiv hergestellt werden.

Albertinis Fazit: „Unternehmen, die diese Unabhängigkeit als Wettbewerbsvorteil begreifen, schützen nicht nur ihre Daten, sondern ihre gesamte operative Handlungsfreiheit in einem volatilen globalen Markt.“

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld / Michael Scheffler rät Unternehmen zur „Zero Trust“-Policy

datensicherheit.de, 12.07.2019
U.S. CLOUD Act: EDSA positioniert sich zu Auswirkungen / Stellv. BfDI, Jürgen H. Müller, berichtet von Ergebnissen der letzten Sitzung des Europäischen Datenschutzausschusses

[datensicherheit.de, 04.04.2026] Obwohl 80 Prozent der europäischen Unternehmen glaubten, ihre Datensouveränität im Griff zu haben, haben nach Erkenntnissen aus dem „Kiteworks Data Sovereignty Report 2026“ im letzten Jahr – 2025 – 32 Prozent dennoch einen Vorfall gemeldet, wodurch sich eine kritische „Souveränitätslücke“ auftue. Das Problem ist demnach nicht mangelndes Wissen, sondern eine operative Schwäche. Trotz Millionen-Budgets klaffe eine Kluft zwischen „Compliance“-Richtlinien und technischer Architektur.

Abbildung: Kiteworks

„2026 Data Security and Compliance Risk: Data Sovereignty Report“ – Erkenntnisse für die EU

Auffällige Diskrepanz bei den Unternehmen auf ihrem Weg zur Datensouveränität

Der aktuelle „2026 Data Security and Compliance Risk: Data Sovereignty Report“ von Kiteworks deckt eine auffällige Diskrepanz auf dem Weg zur Datensouveränität auf. Die zugrundeliegende Umfrage zeige, dass Unternehmen die Vorschriften zur Datensouveränität zwar besser denn je kennen würden, jedoch auch jedes dritte Unternehmen in den letzten zwölf Monaten einen Vorfall im Zusammenhang mit Datensouveränität verzeichnet habe.

• Für diesen Report wurden laut Kiteworks 286 Fachleute, meist IT-Manager, CIOs oder CTOs, in Europa (189), Kanada (43) und dem Nahen Osten (54) befragt. Die Einhaltung der DSGVO und neue Rahmenwerke zur KI-Governance hätten dabei in Europa im Mittelpunkt gestanden. Signifikantes Ergebnis des Reports sei das Aufzeigen einer Lücke zwischen Bewusstsein für die Anforderungen von Datensouveränität und der Häufigkeit von Vorfällen.

44 Prozent der Befragten in jeder Region bezeichneten sich als „sehr gut informiert“ über die Anforderungen an die Datensouveränität. In Europa fühlten sich 80 Prozent „gut“ (36%) bis „sehr gut“ (44%) informiert. Dennoch bestätigten 32 Prozent der europäischen Befragten einen Vorfall (23% in Kanada, 44% im Nahen Osten). Zu diesen Vorfällen zählten am häufigsten unbefugte grenzüberschreitende Datenübermittlungen, behördliche Auskunftsersuche, Datenschutzverletzungen mit Auswirkungen auf die Souveränität sowie „Compliance“-Verstöße durch Dritte.

Souveränitätslücke der Unternehmen ist operativer, nicht informativer Natur

Es zeige sich: „Die verbleibende Lücke ist operativer, nicht informativer Natur – und um sie zu schließen, bedarf es einer geeigneten Architektur, nicht unbedingt weiterer Schulungen.“

• Als größtes Bedenken und Hindernis bei den Souveränitätsbestrebungen würden 44 Prozent der Befragten in Europa die Souveränitätsgarantien der Anbieter nennen – es sei der höchste Wert aller befragten Regionen und das, obwohl die DSGVO fast überall eingehalten werde.

Viele „Cloud“-Umgebungen erfüllten zwar die rechtlichen Anforderungen an den Datenstandort, böten jedoch keine alleinige Kontrolle über die Encryption-Schlüssel – „was bedeutet, dass der Anbieter weiterhin technisch in der Lage ist, auf Kundendaten zuzugreifen“. Diese Lücke untergrabe die Souveränitätsgarantien, welche viele Unternehmen benötigten.

Unternehmen in allen untersuchten Regionen geben Millionen für die Einhaltung von Datenschutzbestimmungen aus…

Des Weiteren empfänden 40 Prozent den „EU AI Act“ als Hindernis – und 36 Prozent politische Kurswechsel in den USA, 34 Prozent die Durchsetzung der Datenschutzgesetze und 23 Prozent mögliche Änderungen bei den sogenannten Angemessenheitsentscheidungen. Keine andere Region sehe sich mit so vielen regulatorischen Herausforderungen gleichzeitig konfrontiert.

• „Unternehmen in allen von uns untersuchten Regionen geben Millionen für die Einhaltung von Datenschutzbestimmungen aus, weisen ein hohes Bewusstsein für die Thematik auf und sind dennoch von Datenschutzverletzungen, unbefugten Datenübertragungen und behördlichen Auskunftsersuchen betroffen“, kommentiert Dario Perfettibile, „Vice President & GM of European Operations“ bei Kiteworks.

Er führt weiter aus: „Die Lücke liegt nicht im Wissen. Es ist die Kluft zwischen den Richtlinien und der Architektur, die die Datenresidenz tatsächlich durchsetzt, den Zugriff kontrolliert und bei Bedarf auditierbare Nachweise liefert.“

Datensouveränität mit Fokus auf unternehmenseigener Architektur

In Europa führten 58 Prozent Änderungen an der technischen Infrastruktur (59% insgesamt) sowie Fachwissen in den Bereichen Recht und „Compliance“ (53% Europa und insgesamt) als ressourcenintensivste Bereiche an. Danach kämen Dokumentation und Auditierung mit 41 Prozent als größter Ressourcenfresser (42% insgesamt).

• Die Mehrheit der Unternehmen gebe jährlich mehr als eine Million US-Dollar für die Einhaltung von Souveränitätsvorschriften aus.

Souveränität liefere einen klaren geschäftlichen Mehrwert: So sähen 61 Prozent, dass ihre Bestrebungen mit einer erhöhten Sicherheit (insgesamt 63%) sowie einem gesteigerten Kundenvertrauen einhergingen (51% in Europa, 52% insgesamt). Mehr als die Hälfte in Europa (55%) plane, in den nächsten zwei Jahren in die Automatisierung von „Compliance“-Prozessen zu investieren (insgesamt 53%). Auch verbesserte technische Kontrollen stünden in Europa (51%) wie in allen drei Regionen im Mittelpunkt der Zweijahresplanung.

KI-„Governance“ der Unternehmen entwickelt sich zum nächsten Schauplatz

Der Kiteworks-Report beleuchtet zudem die wachsende Herausforderung bei der Datensouveränität mit Blick auf den Einsatz Künstlicher Intelligenz (KI). Etwa ein Drittel aller Befragten bewahre alle KI-Trainingsdaten innerhalb der eigenen Region auf (36%), ein weiteres Drittel verfolge einen je nach Sensibilität variierenden Ansatz (34%).

• Der Rest sei noch dabei, seine KI-Souveränitätsstrategie zu entwickeln oder möchte dazu keine Aussage treffen. In Europa spiegelten sich diese Zahlen: 34 Prozent der Befragten bewahrten alle KI-Trainingsdaten innerhalb der EU auf und weitere 34 Prozent verfolgten einen gemischten Ansatz, welcher sich nach der Sensibilität der Daten richte.

„Früher bedeutete Souveränität vor allem Geographie – man musste die Daten nur im richtigen Land aufbewahren und schon war man auf der sicheren Seite“, so Perfettibile. Indes sei diese Ära nun vorbei. Abschließend gibt er zu bedenken: „Aufsichtsbehörden, Kunden und Beschaffungsteams verlangen heute Nachweise: Wer hat Zugriff auf die Daten, wer verwaltet die Schlüssel und lässt sich die Einhaltung der Vorschriften auf Anfrage nachweisen? Die Unternehmen, die diese Nachweise in ihre Architektur integrieren, werden die Nase vorn haben. Alle anderen werden zwar weiterhin die Regeln kennen, aber immer wieder ins Straucheln geraten.“

Weitere Informationen zum Thema:

Kiteworks
Über Kiteworks: Zero-Trust-Datenaustausch ermöglichen

Kiteworks
Management: Lernen Sie das Team kennen, das das Team führt

Kiteworks, 2026
2026 Data Security and Compliance Risk / Data Sovereignty Report / Awareness is high. Incidents are higher. How organizations across Canada, the Middle East, and Europe are navigating the new rules of data residency

Kiteworks, 2026
Executive Summary: 2026 Data Security and Compliance Risk: Data Sovereignty in Europe / The Most Regulated Market in the World Is Still Learning That Contracts Can’t Override Laws – and Architecture Is the Real Defence

datensicherheit.de, 23.02.2026
Regionale Datensouveränität im Zeitalter der KI: Spannungsfeld zwischen Freiheit und Regulierung mit maximalem Mehrwert / Während sich Künstliche Intelligenz rasant beschleunigt und Datenvolumina exponentiell wachsen, müssen Unternehmen in nie dagewesener Geschwindigkeit innovieren im Rahmenzunehmend strenger regulatorischer, geopolitischer und Souveränitäts-bezogener Rahmenbedingungen.

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 21.03.2025
Zero Trust noch sicherer durch europäische Datensouveränität / IT-Security in hybriden IT-Infrastrukturen

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 29.11.2024
Datensouveränität: Bedeutung der Self Sovereign Identities / Annahme der novellierte eIDAS-Verodnung durch das EU-Parlament

datensicherheit.de, 28.02.2019
WebEngine: Stärkung der Datensouveränität / Mit der dezentralen Suchmaschine sollen Nutzer die vollständige Kontrolle über ihre Daten behalten

[datensicherheit.de, 09.02.2026] Mit Blick auf den diesjährigen „Safer Internet Day“ (SID) am 10. Februar 2026 fordert die „Plattform Privatheit“ Datenschutzverbesserungen für Kinder und gibt konkrete Anregungen. In dieser vom Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) geförderten Initiative untersuchen Experten „interdisziplinär, kritisch und unabhängig Fragestellungen zu Privatheit und Datenschutz in der digitalen Welt“. Die „Plattform Privatheit“ wird vom Fraunhofer-Institut für System- und Innovationsforschung (ISI) und dem Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel koordiniert.

Kinder bei Nutzung von „Social Media“ und anderen digitalen Diensten besser schützen

Egal, ob z.B. „Instagram“ oder „Snapchat“ – Soziale Netzwerke sammeln personenbezogene Daten. Somit sind Kinder bei der Datenverarbeitung offensichtlich besonders gefährdet. Unter dem Begriff „Kind“ versteht das Unionsrecht nach Art. 1 der UN-Kinderrechtskonvention jede Person, welche das 18. Lebensjahr noch nicht erreicht hat.

• Fokussiert eher auf die unmittelbaren Effekte und Belohnungen digitaler Dienste, verstehen Minderjährige die langfristigen Nachteile der Dienstenutzung oft noch nicht.

Forscher der „Plattform Privatheit“ nehmen den SID 2026 zum Anlass, zu erklären, warum gerade Minderjährige im Zeitalter von Chatbots und Künstlicher Intelligenz (KI) besonders gefährdet sind – und präsentieren zudem Lösungsvorschläge, damit Kinder und Jugendliche im Internet, bei der Nutzung von „Social Media“ und anderen digitalen Diensten besser geschützt werden.

Sprachverarbeitende Systeme könnten Kinder zur bedenklichen Preisgabe von Informationen verleiten

Minderjährige unterschätzten oft, wie viele Daten bei der Nutzung von „Social Media“ und anderen digitalen Diensten unbemerkt über sie gesammelt würden. Aber auch die freiwillige Übermittlung privater Daten stelle ein Risiko dar:

• Insbesondere sprachverarbeitende Systeme wie „ChatGPT“ verleiteten Kinder dazu, im Gespräch mit dem Dienst zahlreiche Informationen von sich preiszugeben.

„Je jünger die Kinder sind, umso eher bringen menschenähnliche Systeme sie dazu, ihnen zu vertrauen und ihnen infolgedessen im Gespräch äußerst private Details zu offenbaren“, kommentiert Prof. Dr. Nicole Krämer, Direktorin des „Research Center Trustworthy Data Science and Security“ an der Universität Duisburg-Essen über die Ergebnisse ihrer sozialpsychologischen Studien.

Kinder müssen erst noch Bewusstsein für Privatsphäre entwickeln

Wissen über Handlungsfolgen bilde sich bei Minderjährigen erst nach und nach heraus. Ihnen sei daher oft nicht klar, „dass aus den Daten, die sie preisgeben oder die durch die Beobachtung ihres Verhaltens entstehen, neue Daten über sie generiert werden, die ihr Bild von sich selbst und der Welt prägen, ihre sozialen Beziehungen beeinflussen und sogar Vorhersagen über ihr Verhalten ermöglichen“.

• Hinzu komme, dass Minderjährige von ihren Eltern zunehmend stark überwacht würden. „Mehr und mehr werden Tracker, Smartwatches oder Videoüberwachung für Klein- und Schulkinder genutzt – und im Ausland auch bereits Anwendungen, die mittels KI fast die gesamte Kommunikation von Jugendlichen kontrollieren.“ Gerade für die prägende Phase der Kindheit sei es aber wichtig, ein Bewusstsein für die eigene Privatsphäre und den Schutz vor permanenter Überwachung zu entwickeln.

Minderjährige würden in der Regel ihre Rechte als „betroffene Person“, wie es im Datenschutzrecht heißt, noch nicht kennen. „Und selbst wenn sie ihnen bekannt wären, wären sie meist nicht in der Lage, sie wahrzunehmen.“ Aus diesen Gründen hätten diese einen besonderen Bedarf an Schutz und Fürsorge bei der Verarbeitung ihrer Daten und im Digitalen Raum.

DSGVO sollte vollumfänglich berücksichtigen: Kinder eben noch keine Erwachsenen

Die besondere Schutz- und Fürsorgepflicht des Gesetzgebers berücksichtige auch die Datenschutz-Grundverordnung (DSGVO) – allerdings nicht in allen notwendigen Aspekten. Sie stelle zwar in Erwägungsgrund 38 Satz 1 fest, dass Kinder „bei ihren personenbezogenen Daten besonderen Schutz (verdienen), da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind“.

• Sie berücksichtige die besondere Schutzbedürftigkeit von Kindern jedoch nur in sechs Regelungen. In allen anderen Regelungen behandele die DSGVO Kinder wie Erwachsene und biete Kindern nur punktuell Schutz.

Es sei jedoch ein Gesamtkonzept erforderlich, welches den verantwortlichen Datenverarbeitern klare Regelungen an die Hand gebe, in welchen Situationen Kinderrechte mit welchen Rechtsfolgen berücksichtigt werden müssten. „Eine Verbesserung des Datenschutzes für Kinder ist zentral, um Kinder in einer digitalen Gesellschaft vor ungerechtfertigter und permanenter Überwachung zu schützen. Das Recht von Kindern auf Privatheit ist die Grundlage dafür, dass sie als zukünftige Bürgerinnen und Bürger frei und selbstbestimmt an Demokratie teilhaben“, betont Prof. Dr. Jessica Heesen, Medienethikerin an der Universität Tübingen.

Anregungen zum DSGVO-Upgrade im Interesse der Kinder

Ein Konzept zum effektiven Schutz von Minderjährigen müsse alle wesentlichen Situationen erfassen, in denen diese besonderen Risiken ausgesetzt sind und in denen ihre Möglichkeiten, Risiken zu erkennen, zu bewerten und sich gegen sie zu schützen, eingeschränkt sind.

Dabei seien auch die in der Praxis beschränkten Möglichkeiten ihrer Erziehungsberechtigten, sie zu schützen, zu berücksichtigen. „Für diese Situationen sind spezifische datenschutzrechtliche Regelungen erforderlich!“

Konkrete Vorschläge zur Ergänzung der DSGVO:

• Die „Plattform Privatheit“ schließt sich den Vorschlägen zur Verbesserung der DSGVO an, die die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erarbeitet hat.
• Nach diesen solle die DSGVO die Verarbeitung personenbezogener Daten eines Kindes für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen untersagen, einen Widerspruch gegen die Datenverarbeitung erleichtern, wenn der Verantwortliche Daten eines Kindes verarbeitet und die Einwilligung eines Kindes in die Verarbeitung seiner Daten für automatisierte Entscheidungen ausschließen.
• Die Verantwortlichen sollten bei der Gestaltung ihrer Verarbeitungssysteme einen besonderen Schutz der Rechte von Kindern vorsehen, ihre Systeme insbesondere für Kinder datenschutzfreundlich voreinstellen und in ihrer Datenschutzfolgenabschätzung in besonderer Weise die Risiken für Kindern berücksichtigen. Zu ergänzen seien diese Regelungen um konkrete Altersbegrenzungen vor allem für „Social Media“- und Spiele-Angebote sowie konkrete Vorgaben für funktionierende Altersverifikationssysteme.

Verbesserter Kinderdatenschutz stärkt sogar Marktposition europäischer KMU

Die vorgeschlagenen Schutzregelungen erforderten nur geringen Aufwand, würden aber den Datenschutz von Kindern deutlich verbessern. Diese Verbesserung sei mit den Vorgaben zum Online-Schutz Minderjähriger in Art. 28 „Digital Services Act“ und dem geplanten „Digital Fairness Act“ zu verbinden.

• Sie wären ein wichtiger Beitrag für das Aufwachsen von Kindern zu mündigen Bürgern und für den Schutz der Demokratie.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit und Sprecher der „Plattform Privatheit“, Prof. Dr. Alexander Roßnagel, fordert hierzu: „Die Europäische Kommission muss ihre Vorschläge zur Reform der DSGVO um die gebotenen Schutzregelungen zum Datenschutz für Kinder ergänzen!“ Diese seien mindesten ebenso notwendig wie Erleichterungen für Kleinere und Mittlere Unternehmen (KMU) – zumal sie die Wettbewerbsfähigkeit von KMU in Europa eher stärkten als schwächten, weil die fehlenden Schutzregelungen für Kinder bisher vor allem Vorteile für US-amerikanische und chinesische Tech-Konzerne böten.

Weitere Informationen zum Thema:

Plattform Privatheit
Wer wir sind und was wir tun

Fraunhofer ISI Fraunhofer-Institut für System- und Innovationsforschung ISI
gemeinsam | Zukunft | gestalten / Unsere Forschung – Das Fraunhofer ISI forscht als unabhängiger Vordenker für Gesellschaft, Politik und Wirtschaft

UNIVERSITÄT KASSEL, Forschung
Wissenschaftliches Zentrum für Informationstechnik-Gestaltung (ITeG)

UA RUHR, Research Center Trustworthy Data Science and Security
Psychology & Social Sciences / Prof. Nicole Krämer

EBERHARD KARLS UNIVERSITÄT TÜBINGEN, Internationales Zentrum für Ethik in den Wissenschaften (IZEW)
Prof. Dr. Jessica Heesen / Vorstand IZEW, Leitung der Forschungsgruppe Medienethik, Technikphilosophie & KI

DSK DATENSCHUTZKONFERENZ, 20.11.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. November 2025: Verbesserung des Datenschutzes von Kindern in der Datenschutz-Grundverordnung

datenschutz.hessen.de
Der HBDI: Prof. Dr. Alexander Roßnagel

Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit
Safer Internet Day 10.02.2026

datensicherheit.de, 07.02.2026
Safer Internet Day 2026: Gut 50.000 Jugendliche werden Umgang mit KI-Begleitern am 10. Februar 2026 diskutieren / Der diesjährige „Safer Internet Day“ stößt offenbar in ganz Deutschland auf große Resonanz: Mehr als 1.000 Schulen, Vereine, Bibliotheken, Unternehmen und Initiativen möchten sich mit eigenen Aktionen und Veranstaltungen engagieren

datensicherheit.de, 07.02.2026
Safer Internet Day 2026: Digitale Achtsamkeit und Skepsis angesichts der KI-Dominanz geboten / Das diesjährige Thema „Intelligente Technologie, sichere Entscheidungen – Erkundung der sicheren und verantwortungsvollen Nutzung von KI” unterstreicht die dringende Notwendigkeit neuer digitaler Kompetenzen bei Menschen jeden Alters

datensicherheit.de, 29.01.2026
Am Safer Internet Day 2026 DsiN-Talk zu Medienkompetenzen in der Schule / Deutschland sicher im Netz e.V. (DsiN) lädt zu einer Hybridveranstaltung am 10. Februar 2026 ein

datensicherheit.de, 22.06.2020
Digitale Transformation: Deutschlands Schüler bleiben zurück / Neue Studie stellt Zukunftsfähigkeit des deutschen Bildungssystems in Frage – Schüler weitgehend „digital inkompetent“ und Lehrpläne sowie Infrastruktur „mangelhaft“

datensicherheit.de, 30.07.2019
Data-Kids: Medienpädagogisches Angebot für Grundschulen überarbeitet / Bildungsangebot der Berliner Beauftragten für Datenschutz und Informationsfreiheit

datensicherheit.de, 01.07.2019
Digitalcourage: Datenschutz-Lexikon für Schüler als Neuauflage / „#Kids #digital #genial – Schütze dich und deine Daten“ stark nachgefragt

[datensicherheit.de, 08.02.2026] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte Experten zu einem offenen Austausch am 5. Februar 2026 zum Zusammenspiel von Datenschutz-Grundverordnung (DSGVO) und „Data Act“ eingeladen. Demnach erhielten 13 Vertreter von Unternehmen, Verbänden und der Zivilgesellschaft eine Plattform, um gemeinsam fundiert über bestehende Unklarheiten und Herausforderungen bei der „Data Act“-Umsetzung im Zusammenhang mit der DSGVO zu sprechen.

Die BfDI sieht noch grundlegende offene Fragen im Kontext der Rechtsklarheit

Insbesondere hätten die Teilnehmer anhand konkreter Fallkonstellationen diskutiert, „wann ein Personenbezug vorliegt und zu welchem Grad der Hersteller des vom ,Data Act’ geregelten IoT-Gerätes datenschutzrechtlich Verantwortlicher ist“.

• Zudem habe es einen Austausch zur Frage der Rechtsgrundlage bei der Verarbeitung personenbezogener Daten gegeben.

Es habe sich gezeigt, dass derzeit noch grundlegende Fragen offen seien, „deren Beantwortung für eine Rechtsklarheit notwendig sind“.

Die BfDI soll für Datenschutzfragen rund um den „Data Act“ zuständig sein

Die BfDI werde diese Diskussionsergebnisse nutzen, um aufkommende Fragen in Zusammenarbeit mit der Bundesnetzagentur zu behandeln.

• Weiterhin werde die BfDI sich in den einschlägigen Gremien dafür einsetzen, noch bestehende Unsicherheiten aufzulösen.

Die Bundesregierung habe vorgesehen, dass die BfDI für Datenschutzfragen rund um den „Data Act“ zuständig sein solle – das Gesetzgebungsverfahren laufe noch. Aufgrund der „positiven Resonanz“ soll das Format „Denkwerkstatt der BfDI“ fortgeführt werden.

Weitere Informationen zum Thema:

BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Unsere Mission: Datenschutz, Datenschutzaufsicht und Informationsfreiheit als Wegbereiter einer grundrechtssensiblen digitalen Transformation

datensicherheit.de, 15.09.2025
Data Act: Geltung verschafft Nutzern von IoT-Systemen mehr Rechte / Nutzer sollen gemäß „Data Act“ fortan leichter zwischen genutzten Diensten wechseln können, welche mit Produkten im Kontext des „Internet of Things“ (IoT) zusammenhängen

datensicherheit.de, 14.09.2025
Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen / Nach 20 Monaten Übergangsfrist fehlt es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden zum „Data Act“ der EU

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 30.01.2026] Der alljährliche „Europäische Datenschutztag“, jeweils am 28. Januar begangen, dient als eine bewusste fortwährende Initiative, um für Datenschutz und Privatsphäre zu sensibilisieren – konkret wird an diesem Tag an die Unterzeichnung des „Übereinkommens zum Schutz des Menschen bei der Verarbeitung von personenbezogenen Daten“ durch den Europarat am 28. Januar 1981 erinnert. Wie Anonymisierung und Pseudonymisierung richtig umgesetzt dabei helfen könnten, Daten zu nutzen und gleichzeitig den Datenschutz zu wahren, war in diesem Zusammenhang auch Thema einer Veranstaltung am „Europäischen Datenschutztag 2026“, welche die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) zum Abschluss ihres Vorsitzes der DATENSCHUTZKONFERENZ (DSK) organisiert hatte: Meike Kamp, die BlnBDI, kritisierte dabei vehement die Vorschläge der EU-Kommission zur Reform der Datenschutz-Grundverordnung (DSGVO).

© Annette Koroll

BlnBDI Meike Kamp plädiert: Wir sollten den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) erhalten!

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg neuer DSK-Vorsitzender

Auf der Veranstaltung am 28. Januar 2026 wurde ein Zwischenstand der geplanten Anwendungshinweise der DSK zur Anonymisierung und Pseudonymisierung vorgestellt und mit Fachleuten aus Wissenschaft, Wirtschaft und Aufsicht diskutiert.

• Zahlreiche Forschungsprojekte erhielten zudem Gelegenheit zur Präsentation ihrer praktischen Ansätze zur Anonymisierung personenbezogener Daten, etwa im Gesundheitswesen, im Mobilitätsbereich und bei Web-Statistiken.

Der jährlich wechselnde DSK-Vorsitz koordiniert die Zusammenarbeit und vertritt die DSK nach außen. Für das Jahr 2025 war Meike Kamp die DSK-Vorsitzende. Nun erfolgte für 2026 die Übergabe der Verantwortung an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Prof. Dr. Tobias Keber.

Geplante Änderungen der Definition personenbezogener Daten berühren Kernbereich des Datenschutzes

Kamp kritisierte die Vorschläge der EU-Kommission zur DSGVO-Reform: Die geplanten Änderungen an der Definition personenbezogener Daten berührten den Kernbereich des Datenschutzes und gingen weit über die Rechtsprechung des Europäischen Gerichtshofs (EuGH) hinaus, so in ihrem Grußwort zu Beginn der Veranstaltung.

• „Die von der EU-Kommission vorgeschlagenen Änderungen haben erhebliche Auswirkungen auf den Anwendungsbereich der Datenschutz-Grundverordnung. Ich halte dies nicht für den richtigen Weg. Die EU-Kommission rüttelt mit der Änderung der Definition personenbezogener Daten an den Grundpfeilern des Datenschutzes!“ Es sei beispielsweise zu befürchten, dass dadurch viele Datenverarbeitungen im Kontext der Online-Werbung künftig nicht mehr unter das Datenschutzrecht fallen könnten.

Kamp spricht sich stattdessen für eine Stärkung von Verfahren der Pseudonymisierung und auch Anonymisierung aus: „Wir sollten den Anwendungsbereich der Datenschutz-Grundverordnung erhalten. Für Datenverarbeitungen mit guter Pseudonymisierung und geringen Auswirkungen für Betroffene sollte es gewisse Erleichterungen für Verantwortliche geben. Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen!“

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

WIKIPEDIA
Europäischer Datenschutztag

datensicherheit.de, 30.01.2026
Bitkom sieht Pseudonymisierung als Schlüssel, um Datenschutz und datengetriebene Anwendungen zusammenzubringen / Datenschutz gilt als das Innovationshemmnis Nummer 1 in der deutschen Wirtschaft – laut Susanne Dehmel müsste das nicht so sein

datensicherheit.de, 24.11.2025
DATENSCHUTZKONFERENZ: 10 Vorschläge zur DSGVO-Verbesserung im Kinderinteresse / Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat den diesjährigen „Internationalen Tag der Kinderrechte“ zum Anlass genommen, Reformvorschläge zur Verbesserung des Datenschutzes von Kindern vorzulegen

datensicherheit.de, 02.02.2025
Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant / Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern fasste Beschluss auf 1. Zwischenkonferenz am 29. Januar 2025 in Berlin

datensicherheit.de, 20.01.2025
Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen / Berliner Beauftragte für Datenschutz und Informationsfreiheit begrüßt Beschluss

datensicherheit.de 30.06.2020
Anonymisierung: Konsultationsverfahren erfolgreich / Der BfDI, Prof. Ulrich Kelber, dankt für rege Teilnahme

[datensicherheit.de, 12.01.2026] Laut einer Meldung der Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH vom 12. Januar 2026 soll im Januar 2026 eine Datenpanne bei der DATEV eG – im „LODAS“-System – dazu geführt haben, dass hochsensible Lohn- und Gehaltsdaten zeitweise bei falschen Empfängern gelandet sind. „Nach einem Bericht von ,heise online’ vom 11. Januar 2026 wurden Probeabrechnungen wegen eines Zuordnungsfehlers nicht an die rechtmäßigen Auftraggeber zurückgesendet, sondern fremden Mandanten angezeigt.“ Eine öffentlich bestätigte Zahl der betroffenen Kanzleien, Unternehmen oder Arbeitnehmer liege bislang noch nicht vor. Betroffene des DATEV-Vorfalls sollten indes prüfen lassen, „ob ein ersatzfähiger immaterieller Schaden vorliegt, ob Informationspflichten nach Art. 34 DSGVO erfüllt wurden und ob sich konkrete Ansprüche ergeben“. Eine kostenlose Ersteinschätzung bietet Dr. Stoll & Sauer mittels „DSGVO-Online-Check“ an.

„DATEV LODAS“ – eine besonders kritische Datenschutzverletzung

Die Kanzlei Dr. Stoll & Sauer bewertet diesen Vorfall als „besonders kritische Datenschutzverletzung“ – „weil Lohnabrechnungen regelmäßig Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten enthalten“ – und sieht „Ansatzpunkte für Ansprüche nach der DSGVO“.

Auslöser soll laut laut „heise online“eine technische Störung beim Rückfluss von in DATEV-Rechenzentren erzeugten Probeabrechnungen am 8. Januar 2026 gewesen sein, welche anschließend durch eine Übergangslösung behoben werden sollte – mit gravierender Nebenwirkung: „Dokumente wurden falschen Kunden zugeordnet!“

Zusammenfassung der Faktenlage durch die Kanzlei Dr. Stoll & Sauer:

• Betroffenes System
  „DATEV LODAS“ (Lohn- und Gehaltsabrechnung), insbesondere Probeabrechnungen zur untermonatlichen Qualitätskontrolle.
• Zeitraum
  Störung ab Donnerstag, dem 8. Januar 2026; Workaround / Übergangslösung am Folgetag; nach DATEV-Angaben Behebung bis zum späten Freitag-Nachmittag, dem 9. Januar 2026.
• Art der Daten
  Lohn- und Gehaltsdokumente u.a. Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten enthaltend.
• Information der Behörde
  Nach DATEV-Angaben wurde die zuständige Datenschutzaufsicht (BayLDA) informiert; betroffene Anwender seien unterrichtet worden.
• Zahl der Betroffenen
  Weder DATEV noch die bisherigen Medienberichte bezifferten öffentlich, wie viele Kanzleien / Unternehmen oder wie viele Arbeitnehmer tatsächlich betroffen sind; das Online-Magazin „Golem“ berichtet, DATEV ermittle den Kreis der betroffenen Kunden.
• Praktische Tücke
  „Wer eine „Fremd-Abrechnung“ erhalten hat, erkennt den Fehler sofort – aber das Unternehmen, dessen Daten unbefugt offengelegt wurden, erfährt davon nicht zwingend automatisch.“

DATEV-Datenpanne datenschutzrechtlich heikel

Lohn- und Gehaltsdaten betreffen offenkundig die Privatsphäre und die wirtschaftliche Situation der Arbeitnehmer unmittelbar. Deshalb sei die Schwelle zu einer „meldepflichtigen Datenschutzverletzung“ regelmäßig schnell erreicht.

Wichtige Pflichten (allgemeine Einordnung):

• Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden
  Wenn ein Risiko für Rechte und Freiheiten besteht (Art. 33 DSGVO).
• Information betroffener Personen
  Wenn ein hohes Risiko besteht (Art. 34 DSGVO).

Aus Sicht von Dr. Stoll & Sauer entlastet der Hinweis „keine Hinweise auf Missbrauch“ nicht automatisch: Maßgeblich sei bereits die unbefugte Offenlegung und das daraus folgende Risiko.

Was von der DATEV-Datenpanne Betroffene jetzt tun könnten

• Arbeitgeber / Personalabteilung schriftlich um Auskunft bitten, ob eigene Daten betroffen waren (und welche Datenkategorien).
• Mitteilung und Zeitpunkt der Kenntnis dokumentieren.
• Prüfung, ob eine Benachrichtigung erfolgt ist und welche Maßnahmen zum Schutz ergriffen wurden.
• Ansprüche auf DSGVO-Schadensersatz prüfen lassen, insbesondere bei nachvollziehbarer Belastung durch die Offenlegung von Gehaltsinformationen.

Probeabrechnungen dienten dazu, Änderungen an Abrechnungsparametern vor der finalen Lohnabrechnung zu kontrollieren. Sie seien deshalb häufig inhaltlich nahezu „vollwertig“ aufgebaut – und enthielten genau die Daten, „die später auch in der endgültigen Abrechnung stehen“.

EuGH und BGH stärken Schadensersatz nach DSGVO

Bei Datenpannen – wie jetzt aktuell bei der DATEV – könnten Betroffene unter Umständen immateriellen Schadensersatz nach Art. 82 DSGVO verlangen. Der EuGH habe im Urteil „Österreichische Post“ (C-300/21, Urteil vom 04.05.2023) klargestellt: „Ein DSGVO-Verstoß allein genügt nicht, aber es gibt keine Bagatellgrenze – auch ein nicht erheblicher immaterieller Schaden kann ersatzfähig sein.“

• Für Datenleck-Fälle besonders wichtig sei zudem das EuGH-Urteil C-340/21 (Urteil vom 14.12.2023, „Natsionalna agentsia za prihodite“): Danach könne bereits die begründete Befürchtung eines Missbrauchs entwendeter Daten einen immateriellen Schaden darstellen; entscheidend bleibe die nachvollziehbare Darlegung im Einzelfall.

Der Bundesgerichtshof habe im „Scraping“-Komplex zu „facebook“ ebenfalls Leitlinien gesetzt: Schon der bloße (auch kurzzeitige) Verlust der Kontrolle über personenbezogene Daten könne einen immateriellen Schaden begründen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Starke Vertretung, klare Lösungen – Ihr Recht ist unser Ziel / kostenlose Ersteinschätzung

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Kostenlose Erstberatung direkt online abrufen

YouTube, heie & c’t, 12.01.2026
DATEV-Panne: Warum plötzlich fremde Gehaltsdaten auftauchten

heise online, Stefan Krempl, 11.01.2026
Datenpanne bei der Datev: Wenn die Lohnabrechnung beim Falschen landet / Ein mangelhafter Reparaturversuch im Lodas-System hat zur Fehlzustellung sensibler Mandantendaten bei der Datev geführt und Kunden in Erklärungsnot gebracht.

DATEV
Störung bei Probeabrechnung?

Golem, Günter Born, 10.01.2026
Lohnabrechnungen falsch verschickt: DSGVO-Vorfall bei der Datev / Nach einer technischen Störung bei der Datev-Lohnabrechnung sind Kundendaten in falsche Hände gelangt. Auslöser war ausgerechnet ein Problemlösungsversuch.

WIKIPEDIA
DATEV

[datensicherheit.de, 30.12.2025] Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt zu einer Veranstaltung anlässlich des „Europäischen Datenschutz‑Tages 2026“ ein. Im Mittelpunkt dieses Abends steht demnach der kürzlich von der Europäischen Kommission vorgestellte „Digital‑Omnibus“, mit dem zahlreiche europäische Rechtsakte im Digitalbereich aktualisiert und angepasst werden sollen.

Notwendige Harmonisierung bzw. Vereinfachung oder Bedrohung des Datenschutzes

Der besondere EADI-Fokus soll dabei auf den vorgesehenen Änderungen der Datenschutz‑Grundverordnung (DSGVO) liegen: „Handelt es sich um eine notwendige Harmonisierung und Vereinfachung oder kommt der Datenschutz dabei ,unter die Räder, wie Kritikerinnen und Kritiker meinen?“

Folgende Experten haben laut EADI ihre Teilnahme bereits zugesagt:

• Renate Nikolay, Europäische Kommission (DG CONNECT)
• Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit

Angefragt sind außerdem

• Axel Voss (MEP, Europäische Volkspartei) und
• Max Schrems (NOYB – Europäisches Zentrum für digitale Rechte).

Die Moderation übernimmt Prof. Dr. Dennis-Kenji Kipker, Mitglied des EAID‑Vorstands.

„Europas digitaler Omnibus: Wohin steuert der Datenschutz?“

Mittwoch, 28. Januar 2026 um 19.00 Uhr
– Präsenzveranstaltung –
Europäische Akademie Berlin (EADI)
Bismarckallee 46/48 in 14193 Berlin (Grunewald)
Präsenzveranstaltung – Teilnahme kostenlos, Anmeldung erforderlich per E-Mail an anmeldung-26-01-28@eaid-berlin.de

Im Anschluss an den offiziellen Teil lädt die EADI zu einem informellen „Get Together“ ein – als Gelegenheit, die Themen dieses Abends in persönlicher Atmosphäre weiter zu vertiefen.

Weitere Informationen zum Thema:

EADI
Europäische Akademie für Informationsfreiheit und Datenschutz e.V.

Die Bundesregierung, 06.05.2025
FAQ zum Europäischen Datenschutztag Bewusstsein für Datenschutz schärfen

datensicherheit.de, 12.12.2025
Digitaler Omnibus im Kontext Künstlicher Intelligenz gefährdet Verbraucherrechte / Verbraucherzentrale Bundesverband fordert, die Registrierungspflicht für „Hochrisiko-KI“ beizubehalten

datensicherheit.de, 20.11.2025
Bitkom publiziert Positionspapier zum „Digitalen Omnibus“ der EU / Laut Bitkom ist das vorliegende „Digitale Omnibus“-Paket nicht ausreichend, um Europas Regulierungsdschungel zu lichten – Europa müsse aber digital wettbewerbsfähig und souverän werden

datensicherheit.de, 20.11.2025
Digitaler Omnibus: eco setzt auf mehr Klarheit bei Europas Digitalregeln / Laut dem eco-Vorstandsvorsitzenden,Oliver Süme, braucht Europa ein digitalpolitisches Gesamtbild – klar, konsistent und anwendbar

[datensicherheit.de, 21.12.2025] Laut einer Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) vom 18. Dezember 2025 übermittelt „TikTok“ vorerst weiterhin Daten unter anderem nach China. „Zuvor hatte die irische Datenschutzbehörde diese Übermittlung als rechtswidrig beschieden.“ Eine gerichtliche Klärung dazu stehe aus – aber in jedem Fall müsse „TikTok“ seine Nutzer über diese Datenübermittlung jetzt benachrichtigen. Gemäß der Datenschutz-Grundverordnung (DSGVO) ist die irische Datenschutzbehörde (Data Protection Commission / DPC) aufgrund der dortigen europäischen Hauptniederlassung des „TikTok“-Betreibers die federführende Aufsichtsbehörde in Europa. Die DPC stimmt sich mit den anderen europäischen Datenschutzbehörden eng ab. Innerhalb Deutschlands koordiniert die BlnBDI die Zusammenarbeit mit der irischen DPC, da der „TikTok“-Betreiber seine deutsche Niederlassung in Berlin hat.

© Annette Koroll

Meike Kamp: In Europa gelten klare Regeln, die den Menschen die Kontrolle über ihre Daten geben sollen!

„TikTok“-Nutzer müssen über das laufende Aufsichtsverfahren Kenntnis erlangen

Die DPC hatte im April 2025 ein Bußgeld von 530 Millionen Euro gegen den Betreiber, die TikTok Technology Ltd., aufgrund der rechtswidrigen Übermittlung von Daten in die Volksrepublik China verhängt.

• „Zudem hatte die DPC die rechtswidrigen Übermittlungen nach China untersagt. Am 13. November 2025 hat der Irish High Court in einer Eilentscheidung beschlossen, dass die DPC ihre erlassenen Maßnahmen gegen ,TikTok’ vorläufig nicht durchsetzen darf.“

„TikTok“ müsse bis zu einer Entscheidung über die Zulässigkeit der Übermittlungen an China keine Änderungen an der Verarbeitung vornehmen. Der gewährte zeitliche Aufschub sei indes an eine besondere Transparenzauflage geknüpft: „TikTok“ müsse alle Nutzer über das laufende Aufsichtsverfahren informieren.

Bedeutung der Benachrichtigung der „TikTok“-Nutzer in der EU

Alle europäischen Nutzer müssten eine Benachrichtigung darüber erhalten, wie „TikTok“ mit ihren personenbezogenen Daten umgeht, aus der hervorgeht:

• „TikTok“ übermittelt weiterhin personenbezogene Daten europäischer Nutzer an Länder außerhalb der EU, darunter China.
• Die DPC hat zuvor – in Kooperation mit den europäischen Datenschutzbehörden – entschieden, dass diese Übermittlung gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.
• Das irische Gericht hat die verhängten Maßnahmen vorübergehend ausgesetzt, aber die Entscheidung der Aufsichtsbehörden bleibt bestehen und die Zulässigkeit der Übermittlungen nach China wird noch gerichtlich geprüft.

Die BlnBDI, Meike Kamp, kommentiert: „Es ist zu begrüßen, dass das irische Gericht ,TikTok’ verpflichtet, die Nutzer besser zu informieren. ,TikTok’ sammelt und verwendet viele personenbezogene Daten, wie z.B. Klickverhalten, Standortdaten, Kontaktinformationen und manchmal auch Finanzdaten.“ Vor allem junge Menschen seien sich dieser Datenerfassung oft nicht ausreichend bewusst.

BlnBDI warnt vor gravierendem Missbrauchsrisiko und Gefährdung der „TikTok“-Nutzer

Kamp stellt klar: „In Europa gelten klare Regeln, die den Menschen die Kontrolle über ihre Daten geben sollen und die sicherstellen, dass staatliche Stellen nicht uneingeschränkt Einblick in das Privatleben der Bürger:innen haben. Außerhalb der EU, beispielsweise in China, gelten diese Regeln nicht immer in gleicher Weise.“

• Die Offenlegung gegenüber Stellen in Staaten wie China, die keinerlei angemessene Datenschutzmaßnahmen vorweisen könnten, stellr ein besonders gravierendes Missbrauchsrisiko und eine Gefahr für die Nutzer von „TikTok“ dar.

Für Apps und Soziale Medien sollten „TikTok“-Nutzer laut Kamp Folgendes beachten:

• Lesen Sie die Mitteilung und die Datenschutzerklärung des Dienstes sorgfältig durch!
• Überprüfen Sie die Datenschutzeinstellungen: Welchen Zugriff hat die App auf Ihre Kamera, Ihr Mikrofon, Ihre Kontakte oder Ihren Standort?
• Entscheiden Sie, ob Sie den Dienst unter diesen Umständen weiterhin nutzen möchten! Wenn nicht, können Sie die App (vorübergehend) löschen oder Ihr Konto deaktivieren. Berücksichtigen Sie dabei etwaige Prüfungen oder Entscheidungen der Datenschutzaufsichtsbehörden in Bezug auf diesen Dienst!
• Seien Sie zurückhaltend mit dem, was Sie über Apps teilen: Geben Sie keine sensiblen Informationen weiter!

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Aufgaben

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

An Coimisiún um Chosaint Sonraí Data Protection Commissioner, 02.10.2025
Inquiry into TikTok Technology Limited – April 2025

THE HIGH COURT COMMERCIAL, 13.11.2025
Record No.: 2025/248 MCA / IN THE MATTER OF SECTION 142 AND SECTION 150 OF THE DATA PROTECTION ACT 2018 …

datensicherheit.de, 11.06.2024
Malware-Gefahr auf TikTok: Abwehr der Konten-Übernahme / Auf „TikTok“ kursierenden Malware wird über Privatnachrichten verbreitet

datensicherheit.de, 22.03.2024
TikTok im Spannungsfeld zwischen Datenschutz und Geopolitik / Grundsätzliche Unterschiede in der Darstellung und Nutzung der TikTok-App in China einerseits und den USA andererseits

datensicherheit.de, 15.03.2024
TikTok: Drohendes Verbot in den USA / TikTok-Fall als Balanceakt zwischen Nationaler Sicherheit und Aufrechterhaltung der globalen Internetwirtschaft

datensicherheit.de, 05.04.2023
Dienstgeräte: TikTok-Verbot auch in Australien / Datenerhebungen bei TikTok deutlich umfangreicher als bei anderen Social-Media-Plattformen

datensicherheit.de, 24.02.2023
EU-Kommision: Mitarbeiter haben TikTok-Verbot / Jüngste TikTok-Verbot Teil der Frage, wie viel chinesischer Einfluss auf die nationale Infrastruktur und das tägliche Leben als akzeptabel angesehen wird

[datensicherheit.de, 04.12.2025] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. befürworten weite Teile der deutschen Wirtschaft eine Reform der europäischen Datenschutz-Grundverordnung (DSGVO): „79 Prozent der Unternehmen fordern von der deutschen Politik, dass sie eine DSGVO-Reform auf europäischer Ebene vorantreibt, 71 Prozent sind der Meinung, die DSGVO müsse gelockert werden.“ Die EU-Kommission habe mit dem „digitalen Omnibus“ zuletzt Reformen der inzwischen seit sieben Jahren angewendeten europäischen Datenschutz-Regeln vorgeschlagen.

Foto: Bitkom e.V.

Susanne Dehmel: Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen!

77 Prozent sehen Datenschutz als Hemmnis für die Digitalisierung in Deutschland

Zugleich wachse die Belastung der Unternehmen durch den Datenschutz weiter: Bei rund zwei Dritteln (69%) habe der Aufwand im vergangenen Jahr weiter zugenommen, inzwischen bezeichneten ihn 97 Prozent als „sehr hoch“ oder „eher hoch“. Dies sind demnach Ergebnisse einer Befragung von 603 Unternehmen ab 20 Beschäftigten im Bitkom-Auftrag.

• 72 Prozent beklagten, dass man es mit dem Datenschutz in Deutschland übertreibe – vor einem Jahr seien es noch 64 Prozent gewesen – und sogar 77 Prozent sagten, der Datenschutz hemme die Digitalisierung in Deutschland (2024: 70%).

„Diese Bewertung der Unternehmen sollten wir ernst nehmen und einen sowohl effektiven als auch praxistauglichen Datenschutz für die digitale Gesellschaft ermöglichen. Mit dem ,digitalen Omnibus’ hat die EU-Kommission wichtige Schritte angestoßen, um Alltagsprobleme im Umgang mit dem Datenschutz zu verringern. Doch die strukturellen Hürden bleiben“, kommentiert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Datenschutz wird als belastende Dauerbaustelle empfunden

Dehmel führt weiter aus: „In vielen Branchen herrscht Rechtsunsicherheit, etwa bei Einwilligungen, die nicht nur dokumentiert, sondern auch rechtssicher formuliert und geprüft werden müssen. Die Vielzahl komplexer Datenschutzvorschriften schafft aufwändige und teils bürokratische Prozesse in Unternehmen. Hier braucht es dringend Klarheit und Entlastung!“

• Für die Unternehmen seien die größten Herausforderungen bei der Umsetzung von Datenschutzvorgaben, dass dieser Prozess nie abgeschlossen sei (86%) sowie die Unsicherheit zu genauen Vorgaben der DSGVO (82%). Dazu kämen immer wiederkehrende Prüfungen beim Ausrollen neuer „Tools“ (77%).

Dahinter folgten mit etwas Abstand aus Sicht der Unternehmen allgemein zu hohe Anforderungen (69%), die uneinheitliche Auslegung innerhalb der EU (54%), mangelnde Beratung durch Aufsichtsbehörden (54%), sich widersprechende rechtliche Vorgaben (53%) und eine uneinheitliche Auslegung innerhalb Deutschlands (37%). „Die Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen“, warnt Dehmel.

DSGVO beschert Unternehmen auch interne Herausforderungen

Aber auch innerhalb der Unternehmen gebe es Herausforderungen, vor allem die notwendige Zeit für erforderliche IT- und Systemumstellungen (50%) und den Aufwand, Beschäftigten die komplexen Anforderungen verständlich zu machen (46%). Dazu kämen ein Mangel an qualifizierten Beschäftigten für die Datenschutz-Umsetzung (38%), fehlende finanzielle Mittel (31%) und die unzureichende Einbindung der Datenschutzbeauftragten (25%). Am Ende rangiere mit nur zwölf Prozent die fehlende Unterstützung im Unternehmen für Datenschutz.

• An diesen Stellen wünschten sich die Unternehmen auch Nachbesserungen der DSGVO: Jeweils rund drei Viertel möchten, dass die Dokumentationspflicht von Verarbeitungstätigkeiten reduziert (76%) und das Verbot mit Erlaubnisvorbehalt abgeschafft (73%) würden. Je sechs von zehn Unternehmen plädierten für eine vereinfachte Nutzung pseudonymisierter Daten (63%), eine verpflichtende praxisnähere Beratung durch die Aufsichtsbehörden (62%), mehr Rechtssicherheit bei der Interessenabwägung (61%) und weniger Informationspflichten (60%).

Für 54 Prozent sollte mehr Datenverarbeitung ohne Einwilligung ermöglicht, für 53 Prozent der Prüfaufwand für Datenschutzfolgeabschätzungen verringert werden. Ein Drittel (33%) möchte die Pflicht zur Benennung eines Datenschutzbeauftragten abschaffen. „Es geht den Unternehmen darum, die DSGVO nach sieben Jahren praxistauglich zu machen“, erläutert Dehmel und fordert: „Datenschutz muss verständlich und anwendbar sein!“

Kein Unternehmen frei von Problemen aufgrund des Datenschutzes

Die Wünsche spiegelten wider, wo aktuell der größte Aufwand bei der Umsetzung des Datenschutzes in den Unternehmen entstehe. Bei 73 Prozent seien dies die Dokumentationspflicht von Verarbeitungstätigkeiten sowie die technische Implementierung (69%).

• Dahinter folgen fast gleichauf die Klärung rechtlicher Anforderungen (57%), die Abstimmung mit externen Dienstleistern (54%) sowie die Erfüllung von Informationspflichten (53%).

43 Prozent würden die Sicherstellung der Betroffenenrechte, je 36 Prozent die Schulung der Beschäftigten und die Bewertung von Datenschutzverstößen, 33 Prozent den Aufbau interner Datenschutzkompetenzen und 25 Prozent die Benennung eines Datenschutzbeauftragten nennen. Kein Unternehmen gebe an, frei von Problemen aufgrund des Datenschutzes zu sein.

Unternehmen überziehen beim Datenschutz eher – aus Angst, gegen die DSGVO zu verstoßen

Aber nicht nur bei den Datenschutzregeln werde Reformbedarf gesehen – es gebe auch Kritik an den Aufsichtsbehörden: Rund zwei Drittel (69%) der Unternehmen beklagten, dass die deutschen Datenschutzbehörden die DSGVO zu streng anwendeten.

• Eine Folge: „Die Unternehmen überziehen beim Datenschutz aus Angst, gegen die DSGVO zu verstoßen (62%).“ Die Unternehmen plädierten mit knapper Mehrheit dafür, die Datenschutzaufsicht auf Bundesebene zu zentralisieren. 53 Prozent befürworteten den Vorschlag, 42 Prozent seien dagegen.

„Die Diskussion über eine Reform der Datenschutzaufsicht in Deutschland ist wichtig. Angesichts der Vielzahl von Herausforderungen, vor denen die Unternehmen stehen, müssen wir die Ressourcen der Behörden bestmöglich einsetzen und insbesondere für eine gute Beratung sowie für eine einheitliche Auslegung und Durchsetzung sorgen“, unterstreicht Dehmel.

Ein Viertel der befragten Unternehmen hatte Datenschutzverstöße

Datenschutzverstöße hätten in den Unternehmen zumeist Konsequenzen. Ein Viertel der Unternehmen räume sie für die vergangenen zwölf Monate ein: Bei 19 Prozent habe es einen Verstoß gegeben – bei sechs Prozent sogar mehrere. 59 Prozent hätten keine Datenschutzverstöße gehabt, 16 Prozent wollten oder könnten keine Angaben machen. 57 Prozent der Unternehmen, bei denen es zu Datenschutzverstößen kam, hätten diese an die Aufsicht gemeldet, 29 Prozent hätten keine Meldungen gemacht und 14 Prozent wollten oder könnten dazu keine Angabe machen.

• Rund jedes zweite Unternehmen mit Datenschutzverstößen nenne diese „sehr schwerwiegend“ (16%) oder „eher schwerwiegend“ (32%). Bei 23 Prozent seien sie eher „nicht schwerwiegend“, bei 19 Prozent „überhaupt nicht schwerwiegend“ gewesen – und jedes Zehnte (10%) könne oder wolle dazu keine Angaben machen.

Fragt man nach den Folgen des größten Datenschutzverstoßes der vergangenen zwölf Monate, dann würden 93 Prozent den organisatorischen Aufwand nennen. Mit deutlichem Abstand folge dahinter ein Bußgeld (51%). 18 Prozent hätten Kunden verloren, sieben Prozent Schadenersatz zahlen und ebenfalls sieben Prozent Reputationsschäden verzeichnen müssen. Bei gerade einmal fünf Prozent habe es gar keine Folgen gegeben. Dehmel: „Verstöße gegen den Datenschutz sind nicht folgenlos, sondern haben Konsequenzen!“

Datenschutz als KI-Hindernis empfunden

Mit Blick auf Künstliche Intelligenz (KI) werde die Rolle des Datenschutzes von den Unternehmen zunehmend kritisch gesehen. Sieben von zehn Unternehmen (71%) forderten, den Datenschutz an das KI-Zeitalter anzupassen. Denn für mehr als zwei Drittel (69%) der Unternehmen erschwere der Datenschutz das Training von KI-Modellen. Vor einem Jahr habe dieser Anteil erst bei 50 Prozent gelegen.

• Zudem meinten 63 Prozent, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibe (2024: 52%). 57 Prozent sagten, dass der Datenschutz generell dafür sorge, dass die Anwendung von KI in der EU eingeschränkt werde (2024: 57%) und in 54 Prozent der Unternehmen behindere der Datenschutz den Einsatz von KI (2024: 52%).

Umgekehrt meinten aber auch 58 Prozent, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schaffe (2024: 53%). „Künstliche Intelligenz ist die entscheidende Zukunftstechnologie und KI braucht Daten. Die Regelungen zum Datenschutz sollten auch mit Blick auf Deutschlands Position in der künftigen KI-Welt überprüft werden“, gibt Dehmel zu bedenken.

Breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben

An Politik und Verwaltung hätten die Unternehmen einige Wünsche: Eine breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben, ebenso viele eine Reduzierung des bürokratischen Aufwands bei Datenschutzvorfällen. Dahinter folgten das Vorantreiben einer DSGVO-Reform auf europäischer Ebene (79%), eine bessere Abstimmung von Datenschutz und anderen Regulierungen wie Gesetzen und Verordnungen (69%) sowie eine bessere Hilfestellung durch Datenschutzbehörden (62%).

• 53 Prozent wollten differenziertere Datenschutzanforderungen nach Unternehmensgrößen – aktuell sagten 62 Prozent der Unternehmen, für kleinere Unternehmen sei der Datenschutz oft kaum umsetzbar.

Grundlage obiger Angaben ist laut dem Digitalverband eine von Bitkom Research im Auftrag durchgeführte Umfrage bei 603 Unternehmen ab 20 Beschäftigten in Deutschland. Die Befragung habe im Zeitraum der Kalenderwochen 30 bis KW 35 2025 stattgefunden und sei repräsentativ.

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Susanne Dehmel: Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

bitkom, Susanne Dehmel, 03.12.2025
Mitglied der Bitkom-Geschäftsleitung

bitkom, dataverse
Sicherheit & Datenschutz / Datenschutz – Unternehmen zu DS-GVO, Herausforderungen, Umsetzung & Co.

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 19.05.2025
DSGVO: Verlässlicher Datenschutz schafft Vertrauen und stärkt die Wirtschaft / Stellungnahme vom Verbraucherzentrale Bundesverband zum Vorschlag der EU-Kommission zu DSGVO-Ausnahmen für KMU

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden