[datensicherheit.de, 09.02.2026] Mit Blick auf den diesjährigen „Safer Internet Day“ (SID) am 10. Februar 2026 fordert die „Plattform Privatheit“ Datenschutzverbesserungen für Kinder und gibt konkrete Anregungen. In dieser vom Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) geförderten Initiative untersuchen Experten „interdisziplinär, kritisch und unabhängig Fragestellungen zu Privatheit und Datenschutz in der digitalen Welt“. Die „Plattform Privatheit“ wird vom Fraunhofer-Institut für System- und Innovationsforschung (ISI) und dem Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel koordiniert.

Kinder bei Nutzung von „Social Media“ und anderen digitalen Diensten besser schützen

Egal, ob z.B. „Instagram“ oder „Snapchat“ – Soziale Netzwerke sammeln personenbezogene Daten. Somit sind Kinder bei der Datenverarbeitung offensichtlich besonders gefährdet. Unter dem Begriff „Kind“ versteht das Unionsrecht nach Art. 1 der UN-Kinderrechtskonvention jede Person, welche das 18. Lebensjahr noch nicht erreicht hat.

• Fokussiert eher auf die unmittelbaren Effekte und Belohnungen digitaler Dienste, verstehen Minderjährige die langfristigen Nachteile der Dienstenutzung oft noch nicht.

Forscher der „Plattform Privatheit“ nehmen den SID 2026 zum Anlass, zu erklären, warum gerade Minderjährige im Zeitalter von Chatbots und Künstlicher Intelligenz (KI) besonders gefährdet sind – und präsentieren zudem Lösungsvorschläge, damit Kinder und Jugendliche im Internet, bei der Nutzung von „Social Media“ und anderen digitalen Diensten besser geschützt werden.

Sprachverarbeitende Systeme könnten Kinder zur bedenklichen Preisgabe von Informationen verleiten

Minderjährige unterschätzten oft, wie viele Daten bei der Nutzung von „Social Media“ und anderen digitalen Diensten unbemerkt über sie gesammelt würden. Aber auch die freiwillige Übermittlung privater Daten stelle ein Risiko dar:

• Insbesondere sprachverarbeitende Systeme wie „ChatGPT“ verleiteten Kinder dazu, im Gespräch mit dem Dienst zahlreiche Informationen von sich preiszugeben.

„Je jünger die Kinder sind, umso eher bringen menschenähnliche Systeme sie dazu, ihnen zu vertrauen und ihnen infolgedessen im Gespräch äußerst private Details zu offenbaren“, kommentiert Prof. Dr. Nicole Krämer, Direktorin des „Research Center Trustworthy Data Science and Security“ an der Universität Duisburg-Essen über die Ergebnisse ihrer sozialpsychologischen Studien.

Kinder müssen erst noch Bewusstsein für Privatsphäre entwickeln

Wissen über Handlungsfolgen bilde sich bei Minderjährigen erst nach und nach heraus. Ihnen sei daher oft nicht klar, „dass aus den Daten, die sie preisgeben oder die durch die Beobachtung ihres Verhaltens entstehen, neue Daten über sie generiert werden, die ihr Bild von sich selbst und der Welt prägen, ihre sozialen Beziehungen beeinflussen und sogar Vorhersagen über ihr Verhalten ermöglichen“.

• Hinzu komme, dass Minderjährige von ihren Eltern zunehmend stark überwacht würden. „Mehr und mehr werden Tracker, Smartwatches oder Videoüberwachung für Klein- und Schulkinder genutzt – und im Ausland auch bereits Anwendungen, die mittels KI fast die gesamte Kommunikation von Jugendlichen kontrollieren.“ Gerade für die prägende Phase der Kindheit sei es aber wichtig, ein Bewusstsein für die eigene Privatsphäre und den Schutz vor permanenter Überwachung zu entwickeln.

Minderjährige würden in der Regel ihre Rechte als „betroffene Person“, wie es im Datenschutzrecht heißt, noch nicht kennen. „Und selbst wenn sie ihnen bekannt wären, wären sie meist nicht in der Lage, sie wahrzunehmen.“ Aus diesen Gründen hätten diese einen besonderen Bedarf an Schutz und Fürsorge bei der Verarbeitung ihrer Daten und im Digitalen Raum.

DSGVO sollte vollumfänglich berücksichtigen: Kinder eben noch keine Erwachsenen

Die besondere Schutz- und Fürsorgepflicht des Gesetzgebers berücksichtige auch die Datenschutz-Grundverordnung (DSGVO) – allerdings nicht in allen notwendigen Aspekten. Sie stelle zwar in Erwägungsgrund 38 Satz 1 fest, dass Kinder „bei ihren personenbezogenen Daten besonderen Schutz (verdienen), da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind“.

• Sie berücksichtige die besondere Schutzbedürftigkeit von Kindern jedoch nur in sechs Regelungen. In allen anderen Regelungen behandele die DSGVO Kinder wie Erwachsene und biete Kindern nur punktuell Schutz.

Es sei jedoch ein Gesamtkonzept erforderlich, welches den verantwortlichen Datenverarbeitern klare Regelungen an die Hand gebe, in welchen Situationen Kinderrechte mit welchen Rechtsfolgen berücksichtigt werden müssten. „Eine Verbesserung des Datenschutzes für Kinder ist zentral, um Kinder in einer digitalen Gesellschaft vor ungerechtfertigter und permanenter Überwachung zu schützen. Das Recht von Kindern auf Privatheit ist die Grundlage dafür, dass sie als zukünftige Bürgerinnen und Bürger frei und selbstbestimmt an Demokratie teilhaben“, betont Prof. Dr. Jessica Heesen, Medienethikerin an der Universität Tübingen.

Anregungen zum DSGVO-Upgrade im Interesse der Kinder

Ein Konzept zum effektiven Schutz von Minderjährigen müsse alle wesentlichen Situationen erfassen, in denen diese besonderen Risiken ausgesetzt sind und in denen ihre Möglichkeiten, Risiken zu erkennen, zu bewerten und sich gegen sie zu schützen, eingeschränkt sind.

Dabei seien auch die in der Praxis beschränkten Möglichkeiten ihrer Erziehungsberechtigten, sie zu schützen, zu berücksichtigen. „Für diese Situationen sind spezifische datenschutzrechtliche Regelungen erforderlich!“

Konkrete Vorschläge zur Ergänzung der DSGVO:

• Die „Plattform Privatheit“ schließt sich den Vorschlägen zur Verbesserung der DSGVO an, die die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erarbeitet hat.
• Nach diesen solle die DSGVO die Verarbeitung personenbezogener Daten eines Kindes für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen untersagen, einen Widerspruch gegen die Datenverarbeitung erleichtern, wenn der Verantwortliche Daten eines Kindes verarbeitet und die Einwilligung eines Kindes in die Verarbeitung seiner Daten für automatisierte Entscheidungen ausschließen.
• Die Verantwortlichen sollten bei der Gestaltung ihrer Verarbeitungssysteme einen besonderen Schutz der Rechte von Kindern vorsehen, ihre Systeme insbesondere für Kinder datenschutzfreundlich voreinstellen und in ihrer Datenschutzfolgenabschätzung in besonderer Weise die Risiken für Kindern berücksichtigen. Zu ergänzen seien diese Regelungen um konkrete Altersbegrenzungen vor allem für „Social Media“- und Spiele-Angebote sowie konkrete Vorgaben für funktionierende Altersverifikationssysteme.

Verbesserter Kinderdatenschutz stärkt sogar Marktposition europäischer KMU

Die vorgeschlagenen Schutzregelungen erforderten nur geringen Aufwand, würden aber den Datenschutz von Kindern deutlich verbessern. Diese Verbesserung sei mit den Vorgaben zum Online-Schutz Minderjähriger in Art. 28 „Digital Services Act“ und dem geplanten „Digital Fairness Act“ zu verbinden.

• Sie wären ein wichtiger Beitrag für das Aufwachsen von Kindern zu mündigen Bürgern und für den Schutz der Demokratie.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit und Sprecher der „Plattform Privatheit“, Prof. Dr. Alexander Roßnagel, fordert hierzu: „Die Europäische Kommission muss ihre Vorschläge zur Reform der DSGVO um die gebotenen Schutzregelungen zum Datenschutz für Kinder ergänzen!“ Diese seien mindesten ebenso notwendig wie Erleichterungen für Kleinere und Mittlere Unternehmen (KMU) – zumal sie die Wettbewerbsfähigkeit von KMU in Europa eher stärkten als schwächten, weil die fehlenden Schutzregelungen für Kinder bisher vor allem Vorteile für US-amerikanische und chinesische Tech-Konzerne böten.

Weitere Informationen zum Thema:

Plattform Privatheit
Wer wir sind und was wir tun

Fraunhofer ISI Fraunhofer-Institut für System- und Innovationsforschung ISI
gemeinsam | Zukunft | gestalten / Unsere Forschung – Das Fraunhofer ISI forscht als unabhängiger Vordenker für Gesellschaft, Politik und Wirtschaft

UNIVERSITÄT KASSEL, Forschung
Wissenschaftliches Zentrum für Informationstechnik-Gestaltung (ITeG)

UA RUHR, Research Center Trustworthy Data Science and Security
Psychology & Social Sciences / Prof. Nicole Krämer

EBERHARD KARLS UNIVERSITÄT TÜBINGEN, Internationales Zentrum für Ethik in den Wissenschaften (IZEW)
Prof. Dr. Jessica Heesen / Vorstand IZEW, Leitung der Forschungsgruppe Medienethik, Technikphilosophie & KI

DSK DATENSCHUTZKONFERENZ, 20.11.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. November 2025: Verbesserung des Datenschutzes von Kindern in der Datenschutz-Grundverordnung

datenschutz.hessen.de
Der HBDI: Prof. Dr. Alexander Roßnagel

Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit
Safer Internet Day 10.02.2026

datensicherheit.de, 07.02.2026
Safer Internet Day 2026: Gut 50.000 Jugendliche werden Umgang mit KI-Begleitern am 10. Februar 2026 diskutieren / Der diesjährige „Safer Internet Day“ stößt offenbar in ganz Deutschland auf große Resonanz: Mehr als 1.000 Schulen, Vereine, Bibliotheken, Unternehmen und Initiativen möchten sich mit eigenen Aktionen und Veranstaltungen engagieren

datensicherheit.de, 07.02.2026
Safer Internet Day 2026: Digitale Achtsamkeit und Skepsis angesichts der KI-Dominanz geboten / Das diesjährige Thema „Intelligente Technologie, sichere Entscheidungen – Erkundung der sicheren und verantwortungsvollen Nutzung von KI” unterstreicht die dringende Notwendigkeit neuer digitaler Kompetenzen bei Menschen jeden Alters

datensicherheit.de, 29.01.2026
Am Safer Internet Day 2026 DsiN-Talk zu Medienkompetenzen in der Schule / Deutschland sicher im Netz e.V. (DsiN) lädt zu einer Hybridveranstaltung am 10. Februar 2026 ein

datensicherheit.de, 22.06.2020
Digitale Transformation: Deutschlands Schüler bleiben zurück / Neue Studie stellt Zukunftsfähigkeit des deutschen Bildungssystems in Frage – Schüler weitgehend „digital inkompetent“ und Lehrpläne sowie Infrastruktur „mangelhaft“

datensicherheit.de, 30.07.2019
Data-Kids: Medienpädagogisches Angebot für Grundschulen überarbeitet / Bildungsangebot der Berliner Beauftragten für Datenschutz und Informationsfreiheit

datensicherheit.de, 01.07.2019
Digitalcourage: Datenschutz-Lexikon für Schüler als Neuauflage / „#Kids #digital #genial – Schütze dich und deine Daten“ stark nachgefragt

[datensicherheit.de, 08.02.2026] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte Experten zu einem offenen Austausch am 5. Februar 2026 zum Zusammenspiel von Datenschutz-Grundverordnung (DSGVO) und „Data Act“ eingeladen. Demnach erhielten 13 Vertreter von Unternehmen, Verbänden und der Zivilgesellschaft eine Plattform, um gemeinsam fundiert über bestehende Unklarheiten und Herausforderungen bei der „Data Act“-Umsetzung im Zusammenhang mit der DSGVO zu sprechen.

Die BfDI sieht noch grundlegende offene Fragen im Kontext der Rechtsklarheit

Insbesondere hätten die Teilnehmer anhand konkreter Fallkonstellationen diskutiert, „wann ein Personenbezug vorliegt und zu welchem Grad der Hersteller des vom ,Data Act’ geregelten IoT-Gerätes datenschutzrechtlich Verantwortlicher ist“.

• Zudem habe es einen Austausch zur Frage der Rechtsgrundlage bei der Verarbeitung personenbezogener Daten gegeben.

Es habe sich gezeigt, dass derzeit noch grundlegende Fragen offen seien, „deren Beantwortung für eine Rechtsklarheit notwendig sind“.

Die BfDI soll für Datenschutzfragen rund um den „Data Act“ zuständig sein

Die BfDI werde diese Diskussionsergebnisse nutzen, um aufkommende Fragen in Zusammenarbeit mit der Bundesnetzagentur zu behandeln.

• Weiterhin werde die BfDI sich in den einschlägigen Gremien dafür einsetzen, noch bestehende Unsicherheiten aufzulösen.

Die Bundesregierung habe vorgesehen, dass die BfDI für Datenschutzfragen rund um den „Data Act“ zuständig sein solle – das Gesetzgebungsverfahren laufe noch. Aufgrund der „positiven Resonanz“ soll das Format „Denkwerkstatt der BfDI“ fortgeführt werden.

Weitere Informationen zum Thema:

BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Unsere Mission: Datenschutz, Datenschutzaufsicht und Informationsfreiheit als Wegbereiter einer grundrechtssensiblen digitalen Transformation

datensicherheit.de, 15.09.2025
Data Act: Geltung verschafft Nutzern von IoT-Systemen mehr Rechte / Nutzer sollen gemäß „Data Act“ fortan leichter zwischen genutzten Diensten wechseln können, welche mit Produkten im Kontext des „Internet of Things“ (IoT) zusammenhängen

datensicherheit.de, 14.09.2025
Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen / Nach 20 Monaten Übergangsfrist fehlt es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden zum „Data Act“ der EU

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 30.01.2026] Der alljährliche „Europäische Datenschutztag“, jeweils am 28. Januar begangen, dient als eine bewusste fortwährende Initiative, um für Datenschutz und Privatsphäre zu sensibilisieren – konkret wird an diesem Tag an die Unterzeichnung des „Übereinkommens zum Schutz des Menschen bei der Verarbeitung von personenbezogenen Daten“ durch den Europarat am 28. Januar 1981 erinnert. Wie Anonymisierung und Pseudonymisierung richtig umgesetzt dabei helfen könnten, Daten zu nutzen und gleichzeitig den Datenschutz zu wahren, war in diesem Zusammenhang auch Thema einer Veranstaltung am „Europäischen Datenschutztag 2026“, welche die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) zum Abschluss ihres Vorsitzes der DATENSCHUTZKONFERENZ (DSK) organisiert hatte: Meike Kamp, die BlnBDI, kritisierte dabei vehement die Vorschläge der EU-Kommission zur Reform der Datenschutz-Grundverordnung (DSGVO).

© Annette Koroll

BlnBDI Meike Kamp plädiert: Wir sollten den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) erhalten!

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg neuer DSK-Vorsitzender

Auf der Veranstaltung am 28. Januar 2026 wurde ein Zwischenstand der geplanten Anwendungshinweise der DSK zur Anonymisierung und Pseudonymisierung vorgestellt und mit Fachleuten aus Wissenschaft, Wirtschaft und Aufsicht diskutiert.

• Zahlreiche Forschungsprojekte erhielten zudem Gelegenheit zur Präsentation ihrer praktischen Ansätze zur Anonymisierung personenbezogener Daten, etwa im Gesundheitswesen, im Mobilitätsbereich und bei Web-Statistiken.

Der jährlich wechselnde DSK-Vorsitz koordiniert die Zusammenarbeit und vertritt die DSK nach außen. Für das Jahr 2025 war Meike Kamp die DSK-Vorsitzende. Nun erfolgte für 2026 die Übergabe der Verantwortung an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Prof. Dr. Tobias Keber.

Geplante Änderungen der Definition personenbezogener Daten berühren Kernbereich des Datenschutzes

Kamp kritisierte die Vorschläge der EU-Kommission zur DSGVO-Reform: Die geplanten Änderungen an der Definition personenbezogener Daten berührten den Kernbereich des Datenschutzes und gingen weit über die Rechtsprechung des Europäischen Gerichtshofs (EuGH) hinaus, so in ihrem Grußwort zu Beginn der Veranstaltung.

• „Die von der EU-Kommission vorgeschlagenen Änderungen haben erhebliche Auswirkungen auf den Anwendungsbereich der Datenschutz-Grundverordnung. Ich halte dies nicht für den richtigen Weg. Die EU-Kommission rüttelt mit der Änderung der Definition personenbezogener Daten an den Grundpfeilern des Datenschutzes!“ Es sei beispielsweise zu befürchten, dass dadurch viele Datenverarbeitungen im Kontext der Online-Werbung künftig nicht mehr unter das Datenschutzrecht fallen könnten.

Kamp spricht sich stattdessen für eine Stärkung von Verfahren der Pseudonymisierung und auch Anonymisierung aus: „Wir sollten den Anwendungsbereich der Datenschutz-Grundverordnung erhalten. Für Datenverarbeitungen mit guter Pseudonymisierung und geringen Auswirkungen für Betroffene sollte es gewisse Erleichterungen für Verantwortliche geben. Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen!“

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

WIKIPEDIA
Europäischer Datenschutztag

datensicherheit.de, 30.01.2026
Bitkom sieht Pseudonymisierung als Schlüssel, um Datenschutz und datengetriebene Anwendungen zusammenzubringen / Datenschutz gilt als das Innovationshemmnis Nummer 1 in der deutschen Wirtschaft – laut Susanne Dehmel müsste das nicht so sein

datensicherheit.de, 24.11.2025
DATENSCHUTZKONFERENZ: 10 Vorschläge zur DSGVO-Verbesserung im Kinderinteresse / Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat den diesjährigen „Internationalen Tag der Kinderrechte“ zum Anlass genommen, Reformvorschläge zur Verbesserung des Datenschutzes von Kindern vorzulegen

datensicherheit.de, 02.02.2025
Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant / Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern fasste Beschluss auf 1. Zwischenkonferenz am 29. Januar 2025 in Berlin

datensicherheit.de, 20.01.2025
Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen / Berliner Beauftragte für Datenschutz und Informationsfreiheit begrüßt Beschluss

datensicherheit.de 30.06.2020
Anonymisierung: Konsultationsverfahren erfolgreich / Der BfDI, Prof. Ulrich Kelber, dankt für rege Teilnahme

[datensicherheit.de, 12.01.2026] Laut einer Meldung der Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH vom 12. Januar 2026 soll im Januar 2026 eine Datenpanne bei der DATEV eG – im „LODAS“-System – dazu geführt haben, dass hochsensible Lohn- und Gehaltsdaten zeitweise bei falschen Empfängern gelandet sind. „Nach einem Bericht von ,heise online’ vom 11. Januar 2026 wurden Probeabrechnungen wegen eines Zuordnungsfehlers nicht an die rechtmäßigen Auftraggeber zurückgesendet, sondern fremden Mandanten angezeigt.“ Eine öffentlich bestätigte Zahl der betroffenen Kanzleien, Unternehmen oder Arbeitnehmer liege bislang noch nicht vor. Betroffene des DATEV-Vorfalls sollten indes prüfen lassen, „ob ein ersatzfähiger immaterieller Schaden vorliegt, ob Informationspflichten nach Art. 34 DSGVO erfüllt wurden und ob sich konkrete Ansprüche ergeben“. Eine kostenlose Ersteinschätzung bietet Dr. Stoll & Sauer mittels „DSGVO-Online-Check“ an.

„DATEV LODAS“ – eine besonders kritische Datenschutzverletzung

Die Kanzlei Dr. Stoll & Sauer bewertet diesen Vorfall als „besonders kritische Datenschutzverletzung“ – „weil Lohnabrechnungen regelmäßig Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten enthalten“ – und sieht „Ansatzpunkte für Ansprüche nach der DSGVO“.

Auslöser soll laut laut „heise online“eine technische Störung beim Rückfluss von in DATEV-Rechenzentren erzeugten Probeabrechnungen am 8. Januar 2026 gewesen sein, welche anschließend durch eine Übergangslösung behoben werden sollte – mit gravierender Nebenwirkung: „Dokumente wurden falschen Kunden zugeordnet!“

Zusammenfassung der Faktenlage durch die Kanzlei Dr. Stoll & Sauer:

• Betroffenes System
  „DATEV LODAS“ (Lohn- und Gehaltsabrechnung), insbesondere Probeabrechnungen zur untermonatlichen Qualitätskontrolle.
• Zeitraum
  Störung ab Donnerstag, dem 8. Januar 2026; Workaround / Übergangslösung am Folgetag; nach DATEV-Angaben Behebung bis zum späten Freitag-Nachmittag, dem 9. Januar 2026.
• Art der Daten
  Lohn- und Gehaltsdokumente u.a. Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten enthaltend.
• Information der Behörde
  Nach DATEV-Angaben wurde die zuständige Datenschutzaufsicht (BayLDA) informiert; betroffene Anwender seien unterrichtet worden.
• Zahl der Betroffenen
  Weder DATEV noch die bisherigen Medienberichte bezifferten öffentlich, wie viele Kanzleien / Unternehmen oder wie viele Arbeitnehmer tatsächlich betroffen sind; das Online-Magazin „Golem“ berichtet, DATEV ermittle den Kreis der betroffenen Kunden.
• Praktische Tücke
  „Wer eine „Fremd-Abrechnung“ erhalten hat, erkennt den Fehler sofort – aber das Unternehmen, dessen Daten unbefugt offengelegt wurden, erfährt davon nicht zwingend automatisch.“

DATEV-Datenpanne datenschutzrechtlich heikel

Lohn- und Gehaltsdaten betreffen offenkundig die Privatsphäre und die wirtschaftliche Situation der Arbeitnehmer unmittelbar. Deshalb sei die Schwelle zu einer „meldepflichtigen Datenschutzverletzung“ regelmäßig schnell erreicht.

Wichtige Pflichten (allgemeine Einordnung):

• Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden
  Wenn ein Risiko für Rechte und Freiheiten besteht (Art. 33 DSGVO).
• Information betroffener Personen
  Wenn ein hohes Risiko besteht (Art. 34 DSGVO).

Aus Sicht von Dr. Stoll & Sauer entlastet der Hinweis „keine Hinweise auf Missbrauch“ nicht automatisch: Maßgeblich sei bereits die unbefugte Offenlegung und das daraus folgende Risiko.

Was von der DATEV-Datenpanne Betroffene jetzt tun könnten

• Arbeitgeber / Personalabteilung schriftlich um Auskunft bitten, ob eigene Daten betroffen waren (und welche Datenkategorien).
• Mitteilung und Zeitpunkt der Kenntnis dokumentieren.
• Prüfung, ob eine Benachrichtigung erfolgt ist und welche Maßnahmen zum Schutz ergriffen wurden.
• Ansprüche auf DSGVO-Schadensersatz prüfen lassen, insbesondere bei nachvollziehbarer Belastung durch die Offenlegung von Gehaltsinformationen.

Probeabrechnungen dienten dazu, Änderungen an Abrechnungsparametern vor der finalen Lohnabrechnung zu kontrollieren. Sie seien deshalb häufig inhaltlich nahezu „vollwertig“ aufgebaut – und enthielten genau die Daten, „die später auch in der endgültigen Abrechnung stehen“.

EuGH und BGH stärken Schadensersatz nach DSGVO

Bei Datenpannen – wie jetzt aktuell bei der DATEV – könnten Betroffene unter Umständen immateriellen Schadensersatz nach Art. 82 DSGVO verlangen. Der EuGH habe im Urteil „Österreichische Post“ (C-300/21, Urteil vom 04.05.2023) klargestellt: „Ein DSGVO-Verstoß allein genügt nicht, aber es gibt keine Bagatellgrenze – auch ein nicht erheblicher immaterieller Schaden kann ersatzfähig sein.“

• Für Datenleck-Fälle besonders wichtig sei zudem das EuGH-Urteil C-340/21 (Urteil vom 14.12.2023, „Natsionalna agentsia za prihodite“): Danach könne bereits die begründete Befürchtung eines Missbrauchs entwendeter Daten einen immateriellen Schaden darstellen; entscheidend bleibe die nachvollziehbare Darlegung im Einzelfall.

Der Bundesgerichtshof habe im „Scraping“-Komplex zu „facebook“ ebenfalls Leitlinien gesetzt: Schon der bloße (auch kurzzeitige) Verlust der Kontrolle über personenbezogene Daten könne einen immateriellen Schaden begründen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Starke Vertretung, klare Lösungen – Ihr Recht ist unser Ziel / kostenlose Ersteinschätzung

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Kostenlose Erstberatung direkt online abrufen

YouTube, heie & c’t, 12.01.2026
DATEV-Panne: Warum plötzlich fremde Gehaltsdaten auftauchten

heise online, Stefan Krempl, 11.01.2026
Datenpanne bei der Datev: Wenn die Lohnabrechnung beim Falschen landet / Ein mangelhafter Reparaturversuch im Lodas-System hat zur Fehlzustellung sensibler Mandantendaten bei der Datev geführt und Kunden in Erklärungsnot gebracht.

DATEV
Störung bei Probeabrechnung?

Golem, Günter Born, 10.01.2026
Lohnabrechnungen falsch verschickt: DSGVO-Vorfall bei der Datev / Nach einer technischen Störung bei der Datev-Lohnabrechnung sind Kundendaten in falsche Hände gelangt. Auslöser war ausgerechnet ein Problemlösungsversuch.

WIKIPEDIA
DATEV

[datensicherheit.de, 30.12.2025] Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt zu einer Veranstaltung anlässlich des „Europäischen Datenschutz‑Tages 2026“ ein. Im Mittelpunkt dieses Abends steht demnach der kürzlich von der Europäischen Kommission vorgestellte „Digital‑Omnibus“, mit dem zahlreiche europäische Rechtsakte im Digitalbereich aktualisiert und angepasst werden sollen.

Notwendige Harmonisierung bzw. Vereinfachung oder Bedrohung des Datenschutzes

Der besondere EADI-Fokus soll dabei auf den vorgesehenen Änderungen der Datenschutz‑Grundverordnung (DSGVO) liegen: „Handelt es sich um eine notwendige Harmonisierung und Vereinfachung oder kommt der Datenschutz dabei ,unter die Räder, wie Kritikerinnen und Kritiker meinen?“

Folgende Experten haben laut EADI ihre Teilnahme bereits zugesagt:

• Renate Nikolay, Europäische Kommission (DG CONNECT)
• Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit

Angefragt sind außerdem

• Axel Voss (MEP, Europäische Volkspartei) und
• Max Schrems (NOYB – Europäisches Zentrum für digitale Rechte).

Die Moderation übernimmt Prof. Dr. Dennis-Kenji Kipker, Mitglied des EAID‑Vorstands.

„Europas digitaler Omnibus: Wohin steuert der Datenschutz?“

Mittwoch, 28. Januar 2026 um 19.00 Uhr
– Präsenzveranstaltung –
Europäische Akademie Berlin (EADI)
Bismarckallee 46/48 in 14193 Berlin (Grunewald)
Präsenzveranstaltung – Teilnahme kostenlos, Anmeldung erforderlich per E-Mail an anmeldung-26-01-28@eaid-berlin.de

Im Anschluss an den offiziellen Teil lädt die EADI zu einem informellen „Get Together“ ein – als Gelegenheit, die Themen dieses Abends in persönlicher Atmosphäre weiter zu vertiefen.

Weitere Informationen zum Thema:

EADI
Europäische Akademie für Informationsfreiheit und Datenschutz e.V.

Die Bundesregierung, 06.05.2025
FAQ zum Europäischen Datenschutztag Bewusstsein für Datenschutz schärfen

datensicherheit.de, 12.12.2025
Digitaler Omnibus im Kontext Künstlicher Intelligenz gefährdet Verbraucherrechte / Verbraucherzentrale Bundesverband fordert, die Registrierungspflicht für „Hochrisiko-KI“ beizubehalten

datensicherheit.de, 20.11.2025
Bitkom publiziert Positionspapier zum „Digitalen Omnibus“ der EU / Laut Bitkom ist das vorliegende „Digitale Omnibus“-Paket nicht ausreichend, um Europas Regulierungsdschungel zu lichten – Europa müsse aber digital wettbewerbsfähig und souverän werden

datensicherheit.de, 20.11.2025
Digitaler Omnibus: eco setzt auf mehr Klarheit bei Europas Digitalregeln / Laut dem eco-Vorstandsvorsitzenden,Oliver Süme, braucht Europa ein digitalpolitisches Gesamtbild – klar, konsistent und anwendbar

[datensicherheit.de, 21.12.2025] Laut einer Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) vom 18. Dezember 2025 übermittelt „TikTok“ vorerst weiterhin Daten unter anderem nach China. „Zuvor hatte die irische Datenschutzbehörde diese Übermittlung als rechtswidrig beschieden.“ Eine gerichtliche Klärung dazu stehe aus – aber in jedem Fall müsse „TikTok“ seine Nutzer über diese Datenübermittlung jetzt benachrichtigen. Gemäß der Datenschutz-Grundverordnung (DSGVO) ist die irische Datenschutzbehörde (Data Protection Commission / DPC) aufgrund der dortigen europäischen Hauptniederlassung des „TikTok“-Betreibers die federführende Aufsichtsbehörde in Europa. Die DPC stimmt sich mit den anderen europäischen Datenschutzbehörden eng ab. Innerhalb Deutschlands koordiniert die BlnBDI die Zusammenarbeit mit der irischen DPC, da der „TikTok“-Betreiber seine deutsche Niederlassung in Berlin hat.

© Annette Koroll

Meike Kamp: In Europa gelten klare Regeln, die den Menschen die Kontrolle über ihre Daten geben sollen!

„TikTok“-Nutzer müssen über das laufende Aufsichtsverfahren Kenntnis erlangen

Die DPC hatte im April 2025 ein Bußgeld von 530 Millionen Euro gegen den Betreiber, die TikTok Technology Ltd., aufgrund der rechtswidrigen Übermittlung von Daten in die Volksrepublik China verhängt.

• „Zudem hatte die DPC die rechtswidrigen Übermittlungen nach China untersagt. Am 13. November 2025 hat der Irish High Court in einer Eilentscheidung beschlossen, dass die DPC ihre erlassenen Maßnahmen gegen ,TikTok’ vorläufig nicht durchsetzen darf.“

„TikTok“ müsse bis zu einer Entscheidung über die Zulässigkeit der Übermittlungen an China keine Änderungen an der Verarbeitung vornehmen. Der gewährte zeitliche Aufschub sei indes an eine besondere Transparenzauflage geknüpft: „TikTok“ müsse alle Nutzer über das laufende Aufsichtsverfahren informieren.

Bedeutung der Benachrichtigung der „TikTok“-Nutzer in der EU

Alle europäischen Nutzer müssten eine Benachrichtigung darüber erhalten, wie „TikTok“ mit ihren personenbezogenen Daten umgeht, aus der hervorgeht:

• „TikTok“ übermittelt weiterhin personenbezogene Daten europäischer Nutzer an Länder außerhalb der EU, darunter China.
• Die DPC hat zuvor – in Kooperation mit den europäischen Datenschutzbehörden – entschieden, dass diese Übermittlung gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.
• Das irische Gericht hat die verhängten Maßnahmen vorübergehend ausgesetzt, aber die Entscheidung der Aufsichtsbehörden bleibt bestehen und die Zulässigkeit der Übermittlungen nach China wird noch gerichtlich geprüft.

Die BlnBDI, Meike Kamp, kommentiert: „Es ist zu begrüßen, dass das irische Gericht ,TikTok’ verpflichtet, die Nutzer besser zu informieren. ,TikTok’ sammelt und verwendet viele personenbezogene Daten, wie z.B. Klickverhalten, Standortdaten, Kontaktinformationen und manchmal auch Finanzdaten.“ Vor allem junge Menschen seien sich dieser Datenerfassung oft nicht ausreichend bewusst.

BlnBDI warnt vor gravierendem Missbrauchsrisiko und Gefährdung der „TikTok“-Nutzer

Kamp stellt klar: „In Europa gelten klare Regeln, die den Menschen die Kontrolle über ihre Daten geben sollen und die sicherstellen, dass staatliche Stellen nicht uneingeschränkt Einblick in das Privatleben der Bürger:innen haben. Außerhalb der EU, beispielsweise in China, gelten diese Regeln nicht immer in gleicher Weise.“

• Die Offenlegung gegenüber Stellen in Staaten wie China, die keinerlei angemessene Datenschutzmaßnahmen vorweisen könnten, stellr ein besonders gravierendes Missbrauchsrisiko und eine Gefahr für die Nutzer von „TikTok“ dar.

Für Apps und Soziale Medien sollten „TikTok“-Nutzer laut Kamp Folgendes beachten:

• Lesen Sie die Mitteilung und die Datenschutzerklärung des Dienstes sorgfältig durch!
• Überprüfen Sie die Datenschutzeinstellungen: Welchen Zugriff hat die App auf Ihre Kamera, Ihr Mikrofon, Ihre Kontakte oder Ihren Standort?
• Entscheiden Sie, ob Sie den Dienst unter diesen Umständen weiterhin nutzen möchten! Wenn nicht, können Sie die App (vorübergehend) löschen oder Ihr Konto deaktivieren. Berücksichtigen Sie dabei etwaige Prüfungen oder Entscheidungen der Datenschutzaufsichtsbehörden in Bezug auf diesen Dienst!
• Seien Sie zurückhaltend mit dem, was Sie über Apps teilen: Geben Sie keine sensiblen Informationen weiter!

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Aufgaben

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

An Coimisiún um Chosaint Sonraí Data Protection Commissioner, 02.10.2025
Inquiry into TikTok Technology Limited – April 2025

THE HIGH COURT COMMERCIAL, 13.11.2025
Record No.: 2025/248 MCA / IN THE MATTER OF SECTION 142 AND SECTION 150 OF THE DATA PROTECTION ACT 2018 …

datensicherheit.de, 11.06.2024
Malware-Gefahr auf TikTok: Abwehr der Konten-Übernahme / Auf „TikTok“ kursierenden Malware wird über Privatnachrichten verbreitet

datensicherheit.de, 22.03.2024
TikTok im Spannungsfeld zwischen Datenschutz und Geopolitik / Grundsätzliche Unterschiede in der Darstellung und Nutzung der TikTok-App in China einerseits und den USA andererseits

datensicherheit.de, 15.03.2024
TikTok: Drohendes Verbot in den USA / TikTok-Fall als Balanceakt zwischen Nationaler Sicherheit und Aufrechterhaltung der globalen Internetwirtschaft

datensicherheit.de, 05.04.2023
Dienstgeräte: TikTok-Verbot auch in Australien / Datenerhebungen bei TikTok deutlich umfangreicher als bei anderen Social-Media-Plattformen

datensicherheit.de, 24.02.2023
EU-Kommision: Mitarbeiter haben TikTok-Verbot / Jüngste TikTok-Verbot Teil der Frage, wie viel chinesischer Einfluss auf die nationale Infrastruktur und das tägliche Leben als akzeptabel angesehen wird

[datensicherheit.de, 04.12.2025] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. befürworten weite Teile der deutschen Wirtschaft eine Reform der europäischen Datenschutz-Grundverordnung (DSGVO): „79 Prozent der Unternehmen fordern von der deutschen Politik, dass sie eine DSGVO-Reform auf europäischer Ebene vorantreibt, 71 Prozent sind der Meinung, die DSGVO müsse gelockert werden.“ Die EU-Kommission habe mit dem „digitalen Omnibus“ zuletzt Reformen der inzwischen seit sieben Jahren angewendeten europäischen Datenschutz-Regeln vorgeschlagen.

Foto: Bitkom e.V.

Susanne Dehmel: Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen!

77 Prozent sehen Datenschutz als Hemmnis für die Digitalisierung in Deutschland

Zugleich wachse die Belastung der Unternehmen durch den Datenschutz weiter: Bei rund zwei Dritteln (69%) habe der Aufwand im vergangenen Jahr weiter zugenommen, inzwischen bezeichneten ihn 97 Prozent als „sehr hoch“ oder „eher hoch“. Dies sind demnach Ergebnisse einer Befragung von 603 Unternehmen ab 20 Beschäftigten im Bitkom-Auftrag.

• 72 Prozent beklagten, dass man es mit dem Datenschutz in Deutschland übertreibe – vor einem Jahr seien es noch 64 Prozent gewesen – und sogar 77 Prozent sagten, der Datenschutz hemme die Digitalisierung in Deutschland (2024: 70%).

„Diese Bewertung der Unternehmen sollten wir ernst nehmen und einen sowohl effektiven als auch praxistauglichen Datenschutz für die digitale Gesellschaft ermöglichen. Mit dem ,digitalen Omnibus’ hat die EU-Kommission wichtige Schritte angestoßen, um Alltagsprobleme im Umgang mit dem Datenschutz zu verringern. Doch die strukturellen Hürden bleiben“, kommentiert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Datenschutz wird als belastende Dauerbaustelle empfunden

Dehmel führt weiter aus: „In vielen Branchen herrscht Rechtsunsicherheit, etwa bei Einwilligungen, die nicht nur dokumentiert, sondern auch rechtssicher formuliert und geprüft werden müssen. Die Vielzahl komplexer Datenschutzvorschriften schafft aufwändige und teils bürokratische Prozesse in Unternehmen. Hier braucht es dringend Klarheit und Entlastung!“

• Für die Unternehmen seien die größten Herausforderungen bei der Umsetzung von Datenschutzvorgaben, dass dieser Prozess nie abgeschlossen sei (86%) sowie die Unsicherheit zu genauen Vorgaben der DSGVO (82%). Dazu kämen immer wiederkehrende Prüfungen beim Ausrollen neuer „Tools“ (77%).

Dahinter folgten mit etwas Abstand aus Sicht der Unternehmen allgemein zu hohe Anforderungen (69%), die uneinheitliche Auslegung innerhalb der EU (54%), mangelnde Beratung durch Aufsichtsbehörden (54%), sich widersprechende rechtliche Vorgaben (53%) und eine uneinheitliche Auslegung innerhalb Deutschlands (37%). „Die Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen“, warnt Dehmel.

DSGVO beschert Unternehmen auch interne Herausforderungen

Aber auch innerhalb der Unternehmen gebe es Herausforderungen, vor allem die notwendige Zeit für erforderliche IT- und Systemumstellungen (50%) und den Aufwand, Beschäftigten die komplexen Anforderungen verständlich zu machen (46%). Dazu kämen ein Mangel an qualifizierten Beschäftigten für die Datenschutz-Umsetzung (38%), fehlende finanzielle Mittel (31%) und die unzureichende Einbindung der Datenschutzbeauftragten (25%). Am Ende rangiere mit nur zwölf Prozent die fehlende Unterstützung im Unternehmen für Datenschutz.

• An diesen Stellen wünschten sich die Unternehmen auch Nachbesserungen der DSGVO: Jeweils rund drei Viertel möchten, dass die Dokumentationspflicht von Verarbeitungstätigkeiten reduziert (76%) und das Verbot mit Erlaubnisvorbehalt abgeschafft (73%) würden. Je sechs von zehn Unternehmen plädierten für eine vereinfachte Nutzung pseudonymisierter Daten (63%), eine verpflichtende praxisnähere Beratung durch die Aufsichtsbehörden (62%), mehr Rechtssicherheit bei der Interessenabwägung (61%) und weniger Informationspflichten (60%).

Für 54 Prozent sollte mehr Datenverarbeitung ohne Einwilligung ermöglicht, für 53 Prozent der Prüfaufwand für Datenschutzfolgeabschätzungen verringert werden. Ein Drittel (33%) möchte die Pflicht zur Benennung eines Datenschutzbeauftragten abschaffen. „Es geht den Unternehmen darum, die DSGVO nach sieben Jahren praxistauglich zu machen“, erläutert Dehmel und fordert: „Datenschutz muss verständlich und anwendbar sein!“

Kein Unternehmen frei von Problemen aufgrund des Datenschutzes

Die Wünsche spiegelten wider, wo aktuell der größte Aufwand bei der Umsetzung des Datenschutzes in den Unternehmen entstehe. Bei 73 Prozent seien dies die Dokumentationspflicht von Verarbeitungstätigkeiten sowie die technische Implementierung (69%).

• Dahinter folgen fast gleichauf die Klärung rechtlicher Anforderungen (57%), die Abstimmung mit externen Dienstleistern (54%) sowie die Erfüllung von Informationspflichten (53%).

43 Prozent würden die Sicherstellung der Betroffenenrechte, je 36 Prozent die Schulung der Beschäftigten und die Bewertung von Datenschutzverstößen, 33 Prozent den Aufbau interner Datenschutzkompetenzen und 25 Prozent die Benennung eines Datenschutzbeauftragten nennen. Kein Unternehmen gebe an, frei von Problemen aufgrund des Datenschutzes zu sein.

Unternehmen überziehen beim Datenschutz eher – aus Angst, gegen die DSGVO zu verstoßen

Aber nicht nur bei den Datenschutzregeln werde Reformbedarf gesehen – es gebe auch Kritik an den Aufsichtsbehörden: Rund zwei Drittel (69%) der Unternehmen beklagten, dass die deutschen Datenschutzbehörden die DSGVO zu streng anwendeten.

• Eine Folge: „Die Unternehmen überziehen beim Datenschutz aus Angst, gegen die DSGVO zu verstoßen (62%).“ Die Unternehmen plädierten mit knapper Mehrheit dafür, die Datenschutzaufsicht auf Bundesebene zu zentralisieren. 53 Prozent befürworteten den Vorschlag, 42 Prozent seien dagegen.

„Die Diskussion über eine Reform der Datenschutzaufsicht in Deutschland ist wichtig. Angesichts der Vielzahl von Herausforderungen, vor denen die Unternehmen stehen, müssen wir die Ressourcen der Behörden bestmöglich einsetzen und insbesondere für eine gute Beratung sowie für eine einheitliche Auslegung und Durchsetzung sorgen“, unterstreicht Dehmel.

Ein Viertel der befragten Unternehmen hatte Datenschutzverstöße

Datenschutzverstöße hätten in den Unternehmen zumeist Konsequenzen. Ein Viertel der Unternehmen räume sie für die vergangenen zwölf Monate ein: Bei 19 Prozent habe es einen Verstoß gegeben – bei sechs Prozent sogar mehrere. 59 Prozent hätten keine Datenschutzverstöße gehabt, 16 Prozent wollten oder könnten keine Angaben machen. 57 Prozent der Unternehmen, bei denen es zu Datenschutzverstößen kam, hätten diese an die Aufsicht gemeldet, 29 Prozent hätten keine Meldungen gemacht und 14 Prozent wollten oder könnten dazu keine Angabe machen.

• Rund jedes zweite Unternehmen mit Datenschutzverstößen nenne diese „sehr schwerwiegend“ (16%) oder „eher schwerwiegend“ (32%). Bei 23 Prozent seien sie eher „nicht schwerwiegend“, bei 19 Prozent „überhaupt nicht schwerwiegend“ gewesen – und jedes Zehnte (10%) könne oder wolle dazu keine Angaben machen.

Fragt man nach den Folgen des größten Datenschutzverstoßes der vergangenen zwölf Monate, dann würden 93 Prozent den organisatorischen Aufwand nennen. Mit deutlichem Abstand folge dahinter ein Bußgeld (51%). 18 Prozent hätten Kunden verloren, sieben Prozent Schadenersatz zahlen und ebenfalls sieben Prozent Reputationsschäden verzeichnen müssen. Bei gerade einmal fünf Prozent habe es gar keine Folgen gegeben. Dehmel: „Verstöße gegen den Datenschutz sind nicht folgenlos, sondern haben Konsequenzen!“

Datenschutz als KI-Hindernis empfunden

Mit Blick auf Künstliche Intelligenz (KI) werde die Rolle des Datenschutzes von den Unternehmen zunehmend kritisch gesehen. Sieben von zehn Unternehmen (71%) forderten, den Datenschutz an das KI-Zeitalter anzupassen. Denn für mehr als zwei Drittel (69%) der Unternehmen erschwere der Datenschutz das Training von KI-Modellen. Vor einem Jahr habe dieser Anteil erst bei 50 Prozent gelegen.

• Zudem meinten 63 Prozent, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibe (2024: 52%). 57 Prozent sagten, dass der Datenschutz generell dafür sorge, dass die Anwendung von KI in der EU eingeschränkt werde (2024: 57%) und in 54 Prozent der Unternehmen behindere der Datenschutz den Einsatz von KI (2024: 52%).

Umgekehrt meinten aber auch 58 Prozent, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schaffe (2024: 53%). „Künstliche Intelligenz ist die entscheidende Zukunftstechnologie und KI braucht Daten. Die Regelungen zum Datenschutz sollten auch mit Blick auf Deutschlands Position in der künftigen KI-Welt überprüft werden“, gibt Dehmel zu bedenken.

Breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben

An Politik und Verwaltung hätten die Unternehmen einige Wünsche: Eine breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben, ebenso viele eine Reduzierung des bürokratischen Aufwands bei Datenschutzvorfällen. Dahinter folgten das Vorantreiben einer DSGVO-Reform auf europäischer Ebene (79%), eine bessere Abstimmung von Datenschutz und anderen Regulierungen wie Gesetzen und Verordnungen (69%) sowie eine bessere Hilfestellung durch Datenschutzbehörden (62%).

• 53 Prozent wollten differenziertere Datenschutzanforderungen nach Unternehmensgrößen – aktuell sagten 62 Prozent der Unternehmen, für kleinere Unternehmen sei der Datenschutz oft kaum umsetzbar.

Grundlage obiger Angaben ist laut dem Digitalverband eine von Bitkom Research im Auftrag durchgeführte Umfrage bei 603 Unternehmen ab 20 Beschäftigten in Deutschland. Die Befragung habe im Zeitraum der Kalenderwochen 30 bis KW 35 2025 stattgefunden und sei repräsentativ.

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Susanne Dehmel: Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

bitkom, Susanne Dehmel, 03.12.2025
Mitglied der Bitkom-Geschäftsleitung

bitkom, dataverse
Sicherheit & Datenschutz / Datenschutz – Unternehmen zu DS-GVO, Herausforderungen, Umsetzung & Co.

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 19.05.2025
DSGVO: Verlässlicher Datenschutz schafft Vertrauen und stärkt die Wirtschaft / Stellungnahme vom Verbraucherzentrale Bundesverband zum Vorschlag der EU-Kommission zu DSGVO-Ausnahmen für KMU

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

[datensicherheit.de, 24.11.2025] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat den diesjährigen „Internationalen Tag der Kinderrechte“ am 20. November 2025 zum Anlass genommen, zehn Reformvorschläge zur Verbesserung des Datenschutzes von Kindern zu unterbreiten. Kinder seien besonders schutzbedürftig – auch im Digitalen Raum. Vielen Kindern, aber auch Erziehungsberechtigten, sei eben nicht bewusst, dass aus ihren Angaben und ihrem Verhalten neue Daten entstünden, welche ihr Selbstbild, ihre sozialen Beziehungen und ihr Weltverständnis entscheidend prägen könnten.

© Annette Koroll

Meike Kamp: Mit zehn Vorschlägen will die DSK den Datenschutz junger Menschen gezielt stärken

Datenverarbeitung im Fokus, bei der besondere Schutzbedürftigkeit der Kinder noch nicht ausreichend beachtet wird

Die Datenschutz-Grundverordnung (DSGVO) trage der besonderen Schutz- und Fürsorgepflicht gegenüber Kindern bereits in vielen Punkten Rechnung – aber nicht in allen.

• Deshalb hat die DSK nun zehn Vorschläge erarbeitet, um die DSGVO gezielt um Regelungen zum Schutz von Kindern zu ergänzen.

Es gehe vor allem um Datenverarbeitungen, in denen die besondere Schutzbedürftigkeit von Kindern in der Praxis nicht immer ausreichend beachtet werde.

Die DSK schlägt folgende 10 konkreten Änderungen der DSGVO vor:

1. Vereinbarkeit eines neuen Verarbeitungszwecks
   Wenn die Daten eines Kindes für einen neuen Zweck verwendet werden sollen, soll bei der Prüfung der Schutz von Kinderrechten ebenso stark gewichtet werden wie bei der Ersterhebung der Daten.
2. Keine Einwilligung in Profiling und Werbezwecke
   Werbung auf der Grundlage von Persönlichkeits- oder Nutzerprofilen von Kindern sollte – wie schon im ,Digital Services Act’ und in der ,Verordnung über die Transparenz und das Targeting politischer Werbung’ – generell verboten sein.
3. Keine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO
   Kinder sollen, anders als Erwachsene, grundsätzlich keine besonders schützenswerten Daten wie Angaben zu ihrer Gesundheit, Religion oder politischen Meinung freigeben können.
4. Datenverarbeitung für Präventions- und Beratungsdienste sowie ärztliche Untersuchungen und Heileingriffe
   Kinder sollen Beratungs- und Gesundheitsangebote ab einem bestimmten Alter vertraulich nutzen können, ohne dass ihre Eltern automatisch informiert werden.
5. Widerspruch zur Verarbeitung von Kindesdaten
   Beim Widerspruchsrecht soll der Verantwortliche im Sinne der Betroffenen berücksichtigen, dass Daten aus der Kindheit stammen.
6. Keine Einwilligung in automatisierte Entscheidungen
   Kinder sollen nicht Verfahren unterworfen werden, bei denen Entscheidungen vollständig automatisiert getroffen werden.
7. Datenschutzgerechte Systemgestaltung
   Gerade Soziale Netzwerke und andere datengetriebene Plattformen sollen den Schutz von Kindern bereits bei der technischen Gestaltung sicherstellen.
8. Datenschutzfreundliche Voreinstellung
   Voreinstellungen zum Datenschutz, etwa in Sozialen Netzwerken, sollen auch für Kinder verständlich sein und sie konsequent vor Risiken schützen.
9. Meldung von Datenschutzverletzungen
   Bei der Frage, ob eine Datenpanne der Aufsichtsbehörde zu melden ist, sollen auch die Risiken für Kinder berücksichtigt werden.
10. Datenschutzfolgenabschätzung
    Bei Datenschutzfolgenabschätzung sollen die besonderen Risiken und Schutzbedürfnisse von Kindern angemessen berücksichtigt werden.

DSK-Vorschläge sollen bestehenden Schutzrahmen der DSGVO sinnvoll ergänzen

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) und für 2025 die DSK-Vorsitzende, kommentiert:

• „Mit zehn Vorschlägen will die DSK den Datenschutz junger Menschen gezielt stärken, etwa durch Verbote von personalisierter Werbung oder kindgerechte Voreinstellungen in Sozialen Netzwerken.“

Diese Regelungen würden den bestehenden Schutzrahmen der DSGVO sinnvoll ergänzen und endlich systematisch auf die besonderen Bedürfnisse von Kindern ausrichten.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

DSK DATENSCHUTZKONFERENZ
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. November 2025 / Verbesserung des Datenschutzes von Kindern in der Datenschutz-Grundverordnung

datensicherheit.de, 09.07.2025
Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich / Zwar ist das Bewusstsein für Risiken beim Posten von Kinderfotos gewachsen – doch sollten sich Eltern stets vorbildhaft um die eigene Privatsphäre und die ihrer Kinder bemühen

datensicherheit.de, 27.05.2025
Medienkompetenz und digitales Know-how für Kinder werden immer wichtiger / 2024 nutzten bereits über 50 Prozent der sechs- bis siebenjährigen Kinder ein Smartphone – bei den zehn- bis elfjährigen sogar 90 Prozent

datensicherheit.de, 30.07.2020
eco-Beschwerdestelle: Surfguide für Kinder und Jugendliche veröffentlicht / Plädoyer und Informationen für eine verantwortungsvolle Internetnutzung

[datensicherheit.de, 22.11.2025] Am 18. November 2025 fand in Berlin „Gipfel zur Europäischen Digitalen Souveränität“ statt, auf dem Politik und Wirtschaft erklärten, sich von US-Anbietern abwenden zu wollen. Jörn Bittner, „Senior Consultant“ von Consultix, erörtert, wieso dieser Schritt „richtig und wichtig“ ist und wie die Abkehr von den US-Riesen gelingen kann. Er führt aus, dass diese Frage für alle Unternehmen und Kommunen Relevanz besitzt und dass z.B. für Anwendungen wie „Teams“ u.a. durchaus validen Ersatz auf EU-Ebene gibt.

Abbildung: Consultix GmbH (erstellt mit „Canva AI“)

Jörn Bittner unterstreicht: Ob Videocall oder „Cloud“-Speicher – für alle US-Tools gibt es inzwischen europäische Alternativen

Consultix-Experte für digitale Kommunikation sieht die aktuelle Entwicklung positiv

Schleswig-Holstein tue es, der Internationale Strafgerichtshof ebenfalls: Microsoft-Produkte abschaffen. Dieser US-Konzern gelte als das Softwarehaus, von dem die größte Abhängigkeit im Büro- und Verwaltungsbereich ausgehe: Ob „Teams“, „Word“, „Excel“ oder „Outlook“ – nahezu jedes Unternehmen nutze mindestens eine dieser Anwendungen.

• Doch nachdem in den letzten Jahren immer mehr Kommunen und Länder zugestimmt hätten, die Abhängigkeit vom US-amerikanischen „Riesen“ nicht überzubewerten und DSGVO-Bedenken über Bord zu werfen, ruderten jetzt viele zurück. Am 18. November 2025 kamen Politik und Entscheider auf dem „Gipfel zur Europäischen Digitalen Souveränität“ jedenfalls zu demselben Schluss.

„Gut so!“, kommentiert Bittner. Als Experte für digitale Kommunikation sieht er diese Entwicklung positiv: „Experten aus Deutschland und Europa sind sich einig: Die Abhängigkeit von US-,Tools’ zu reduzieren, ist die einzig richtige Richtung. Die DSGVO-Konformität ist über US-Konzerne, die Datenströme immer über das EU-Ausland lenken können, nicht gegeben. Genauso wenig wie Sicherheit in Bezug auf politische Manöver.“

Digitale Politik: EuGH-Beschluss zu „Privacy Shield“ entfaltet Wirkung

Im Juli 2020 hatte der Europäische Gerichtshof (EuGH) die EU-US-Datenschutzvereinbarung „Privacy Shield“ für ungültig erklärt. Damit untersagt der EuGH die Übermittlung personenbezogener Daten europäischer Bürger in Länder wie etwa die USA, da sie nicht den Datenschutzstandard der DSGVO garantierten.

• Gleichzeitig verpflichte ein US-amerikanisches Gesetz seine Unternehmen dazu, Sicherheitsbehörden bei Bedarf Daten ausländischer Nutzer preiszugeben. Zu diesen Daten gehörten auch aufgezeichnete Gespräche und Videokonferenzen. Dementsprechend treffe diese Verordnung den größten Teil aller Unternehmen. „Wer Gewinnspiele abhält, Werbung schaltet, Newsletter versendet, Dokumente bereitstellt oder digitale Kommunikation ermöglicht, unterliegt der DSGVO“, betont indes Bittner.

„Tech-Giganten“ aus Übersee hätten immer wieder beteuert, dass die Daten ihrer europäischen Kunden auf europäischen Servern abgelegt würden. Auf Basis dieser „EU-Boundary“ habe beispielsweise das Land Niedersachsen erst im vergangenen Jahr, 2024, die Nutzung von „Microsoft Teams“ beschlossen. Eine ständige Kontrolle der rechtmäßigen Datennutzung sei jedoch schwierig bis unmöglich.

Selbst Digitalmarktführer müssen umdenken

Die Einhaltung der DSGVO durch internationale Konzerne habe vielen Unternehmen und Kommunen bisher noch möglich erschienen, doch eine von der US-Politik diktierte Handlungsweise mit Restriktionen und Bestrafungen zwinge nun selbst Digitalmarktführer in die Knie und mache sie zum „Spielball“.

• „Keine Branche kann mehr von Planungssicherheit sprechen. Das gilt auch für den Tech-Bereich“, resümiert Bittner.

Er legt dringend nahe: „Unternehmensführung und Datenverwaltung müssen sich jetzt mit der Sicherheit ihrer Daten und mit ihrem Kommunikationssystem auseinandersetzen. Sonst könnte es teuer und aufwändig werden.“

Schwieriges Problem der Digitalen Souveränität findet durchaus einfache Lösungen

Antwort auf die steigende Nachfrage nach geschütztem und DSGVO-konformem Online-Austausch bieten laut Bittner Open-Source-Lösungen wie z.B. „Jitsi Meet“ oder „Matrix Messenger Element“, welche Videokonferenzen verschlüsselten.

• „Nextcloud“ gewähre sicheren Austausch von Dokumenten. Anbieter solcher „Tools“ gingen zudem auf individuelle Anforderungen von Verwaltungen und Firmen ein und stellten persönliche Berater zur Seite, um die Implementierung zu begleiten.

Betrieben auf eigenen Servern in Deutschland, garantierten sie sichere digitale Meetings per Web-Browser oder Client auf allen Endgeräten – „mit Lizenzverträgen von lokalen Dienstleistern sogar günstiger“.

Weitere Informationen zum Thema:

tagesschau, 18.11.2025
Digital-Gipfel in Berlin berät über Maßnahmen zur europäischen Souveränität

consultix
Moin, wir sind Consultix. Wir sind Digital Strategen. Wir sind Macher. Wir sind für Dich da.

Linkedin
Jörn Bittner

datensicherheit.de, 19.11.2025
Digitale Souveränität: Bitkom und Numeum fordern Europas Ablösung von einseitiger Abhängigkeit / Der deutsche und der französische Digitalverband – Bitkom & Numeum – nahmen den „SUMMIT ON EUROPEAN DIGITAL SOVEREIGNTY“ vom 18. November 2025 zum Anlass für ihre gemeinsame Forderung

datensicherheit.de, 22.10.2025
AWS-Störungen mahnen zur Wahrung der Digitalen Souveränität / Aktuelle Serviceprobleme bei AWS und daraus resultierende weltweite Ausfälle führen uns wieder deutlich vor Augen, wie verletzlich digitale Wertschöpfungsketten derzeit sind

datensicherheit.de, 21.08.2025
IT-Sicherheit „Made in EU“: Deutsche Unternehmen streben digitale Souveränität an / Laut neuer ESET-Studie beabsichtigen drei Viertel der wechselbereiten Unternehmen künftig europäische IT-Sicherheitslösungen einzusetzen

datensicherheit.de, 16.08.2025
Mehr digitale Souveränität und Resilienz – Cybersicherheit neu gedacht / Die Cybersicherheitslandschaft in Europa verändert sich deutlich: Unternehmen stehen vor einer von zunehmenden Bedrohungen, KI-Durchdringung und wachsendem Bewusstsein für Digitale Souveränität geprägten Zeitenwende

[datensicherheit.de, 01.10.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz Ende September 2025 gezogen und meldet in diesem Zusammenhang, dass er gegen ein Unternehmen aus der Finanzwirtschaft ein Bußgeld in Höhe von 492.00 Euro wegen Verstößen gegen die Rechte betroffener Kunden bei automatisierten Entscheidungen in Einzelfällen verhängt hat.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs: Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!

HmbBfDI monierte, dass das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllte

Trotz guter Bonität seien die Kreditkartenanträge mehrerer Kunden mittels automatisierter Entscheidungen abgelehnt worden – „dabei handelt es sich um Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden“.

• Als daraufhin die betroffenen Kunden eine Begründung für die abgelehnten Anträge verlangt hätten, habe das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllt.

Automatisierte Entscheidungen, welche auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden, sind offensichtlich mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Somit ist ein Einsatz solcher Verfahren nach den Vorschriften der Datenschutzgrundverordnung (DSGVO) demnach nur unter engen Voraussetzungen erlaubt.

Unternehmen hat HmbBfDI-Bußgeldbescheid akzeptiert

Neben diesen höheren Anforderungen an die Rechtmäßigkeit hätten die Verantwortlichen zusätzliche Informationspflichten, während betroffenen Personen weitergehende Auskunftsrechte zustünden.

• Stellten etwa betroffene Personen bei den Verantwortlichen einen Auskunftsantrag, so seien Verantwortliche verpflichtet, Antragstellern aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidung zu erteilen.

Sowohl im Verwaltungs- als auch im Bußgeldverfahren habe das betroffene Unternehmen erhebliche Anstrengungen unternommen, um seinen Prozess zur Erfüllung von Rechten der betroffenen Personen bei einer automatisierten Entscheidungsfindung zu verbessern und umfassend mit dem HmbBfDI zusammengearbeitet. Dieser Umstand sei bei der Bußgeldzumessung erheblich mildernd berücksichtigt worden – das Unternehmen habe den Bußgeldbescheid akzeptiert.

Auch gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden Bußgeld-Forderungen des HmbBfDI

Das oben genannte Bußgeld eingerechnet, habe der HmbBfDI im Jahr 2025 bisher Bußgelder von rund 775.000 Euro wegen Verstößen gegen die DSGVO verhängt. „Insgesamt 15 Ordnungswidrigkeitenverfahren wurden bis September 2025 rechtskräftig abgeschlossen. Ahndungsschwerpunkte waren rechtswidrige Werbemaßnahmen sowie individuelle Verstöße von Mitarbeitenden.“

• In drei Fällen hätten Unternehmen Kunden Werbung per E-Mail zugesandt, ohne dass die Empfänger darin eingewilligt hätten. Gegen diese Unternehmen seien Bußgelder im unteren fünfstelligen Bereich festgesetzt worden.

Gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden seien insgesamt sechs Bußgelder verhängt worden, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hätten. „Ein Beschäftigter eines Krankenhauses musste ein Bußgeld entrichten, weil er die Patientenakte eines Kollegen eingesehen hatte, obwohl er nicht an der Behandlung beteiligt war.“

HmbBfDI unterstreicht Rolle der Auskunfts- und Informationsansprüche

Zudem habe der HmbBfDI gegen ein Handelsunternehmen ein Bußgeld in Höhe von 195.000 Euro verhängt. Dieses Unternehmen habe Dienstleister mit dem Versand postalischer Werbung beauftragt – die nach Erhalt des Werbeschreibens von den Empfängern geltend gemachten Betroffenenrechte habe es in mehreren Fällen und über einen längeren Zeitraum nicht fristgerecht erfüllt.

• Der HmbBfDI, Thomas Fuchs, kommentiert: „Wenn Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend reagieren, ist eine spürbare Sanktion geboten!“

Dies gelte insbesondere bei für die Betroffenen undurchsichtigen Strukturen, wie z.B. Adresshandel oder komplexe Entscheidungsalgorithmen – und immer mehr auch für den Einsatz Künstlicher Intelligenz (KI). „Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!“, stellt Fuchs abschließend klar.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern / USA in beiden Analysen auf Platz 1, Deutschland folgt bei Attacken auf Rang 2

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 08.06.2023
Bußgelder: Europäischer Datenschutzausschuss hat endgültige Leitlinien angenommen / Die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa soll nun nach einheitlichen Maßstäben erfolgen

datensicherheit.de, 31.05.2023
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag / Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung