Datenschutz-Grundverordnung: EU-Behörden rügen massive Umsetzungsmängel

Die EU-Datenschutz-Grundverordnung (DSGVO) zeigt nach acht Jahren tiefe Risse in der Praxis. Eine europaweite Untersuchung offenbart, dass viele Unternehmen das „Recht auf Löschung“ systematisch missachten – und leitet eine neue, härtere Ära der Überwachung ein.

Löschpflicht bleibt oft Theorie

Die Bilanz der europäischen Datenschutzbehörden ist vernichtend. In einer koordinierten Aktion prüften 32 nationale Aufsichtsbehörden ein Jahr lang die Umsetzung des „Rechts auf Vergessenwerden“. Das Ergebnis, das der Europäische Datenschutzausschuss (EDPB) Ende Februar 2026 veröffentlichte, zeigt gravierende systemische Mängel. Viele Organisationen haben keine funktionierenden internen Prozesse für Löschanträge, informieren Betroffene unzureichend über ihre Rechte und setzen auf untaugliche Anonymisierungsmethoden anstelle echter Datenvernichtung.

Angesichts der verschärften Kontrollen durch die Aufsichtsbehörden riskieren Unternehmen ohne klare Dokumentation empfindliche Bußgelder. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Excel-Vorlage für Ihr Verarbeitungsverzeichnis herunterladen

Diese Defizite kommen zu einem Zeitpunkt, an dem die Gesamtstrafen seit Inkrafttreten der DSGVO 2018 die Marke von 7,1 Milliarden Euro überschritten haben. Die Aufseher richten ihren Fokus nun verstärkt auf die technische Umsetzung und hinterfragen reine „Privacy-Theater“-Politiken, die nur auf dem Papier bestehen.

Kluft zwischen Versprechen und technischer Realität

Der Untersuchungsbericht legt einen fundamentalen Widerspruch offen: Was in Datenschutzerklärungen versprochen wird, entspricht selten der technischen Realität in den Systemen der Unternehmen. Besonders problematisch sind die Festlegung angemessener Aufbewahrungsfristen und die Löschung aus Back-up-Systemen. Oft fehlen klare interne Abläufe zur Bearbeitung von Anträgen vollständig.

Die häufigste Ursache für hohe Geldbußen ist jedoch nach wie vor eine „unzureichende Rechtsgrundlage für die Verarbeitung“. Diese Verfehlung soll für satte 90 Prozent der hohen Strafen verantwortlich sein. Die Behörden setzen zunehmend automatisierte Tools ein, um zu prüfen, ob die dokumentierten Richtlinien auch in den Backend-Systemen technisch umgesetzt sind.

Neue Ära: „Technische Wahrheit“ wird Pflicht

Die Untersuchung markiert eine Zeitenwende in der Durchsetzung. Die Ära, in der gut formulierte Datenschutzerklärungen als ausreichend galten, ist vorbei. Die Aufsichtsbehörden fordern nun die „technische Wahrheit“: Die tatsächlichen Datenflüsse und Verarbeitungsvorgänge müssen exakt mit den gemachten Versprechen übereinstimmen.

Diese Fokussierung ist Kern der EDPB-Strategie für 2026-2027. Ziel ist eine harmonisierte Durchsetzung und einfachere Compliance, besonders für kleine und mittlere Unternehmen (KMU). Die nächste koordinierte Aktion wird bereits vorbereitet und soll die Transparenzpflichten in den Blick nehmen. Die finanziellen Risiken für Unternehmen steigen: Allein für US-Firmen beliefen sich die durchschnittlichen Kosten einer Datenpanne 2025 auf rund 9,4 Millionen Euro.

EU-Regulierung im Umbruch

Der Druck für eine bessere DSGVO-Umsetzung wächst, während in Brüssel über eine umfassende Digitalreform debattiert wird. Der EDPB und der Europäische Datenschutzbeauftragte (EDPS) äußerten sich kritisch zum Vorschlag der Kommission für eine „Digital Omnibus“-Verordnung, die verschiedene Datengesetze vereinfachen soll.

Die korrekte Einhaltung gesetzlicher Fristen ist ein zentraler Baustein einer funktionierenden Data Governance und schützt vor unnötigen Risiken. Eine kostenlose A-Z-Liste zeigt Ihnen auf einen Blick, welche Dokumente Sie aktuell rechtssicher vernichten dürfen und was im Archiv bleiben muss. Kostenloses E-Book zu Aufbewahrungsfristen sichern

Die Behörden unterstützen zwar das Ziel, bürokratische Hürden abzubauen, warnen aber eindringlich vor einer Aufweichung grundlegender Datenschutzrechte. Besonders umstritten ist ein geplanter, engerer Begriff von „personenbezogenen Daten“, der etablierter Rechtsprechung widersprechen würde. Die Regulierer betonen das Prinzip der Datensparsamkeit und lehnen Lockerungen für den Austausch nicht pseudonymisierter Daten selbst in Notfällen ab.

Was auf Unternehmen zukommt

Die Zukunft verspricht noch schärfere Kontrollen. Die aufgedeckten Mängel werden Schwerpunkt nationaler Audits werden. Unternehmen müssen ihre internen Prozesse, technischen Löschverfahren und Privacy Notices dringend überprüfen.

Das Arbeitsprogramm des EDPB sieht neue Leitlinien zu komplexen Themen wie Anonymisierung, Kinderdaten und „Zustimmung oder Bezahl“-Modellen vor. Die volle Anwendbarkeit des KI-Gesetzes ab dem 2. August 2026 schafft zudem eine „gestapelte Haftung“: Ein einziger Verstoß kann gleichzeitig nach DSGVO und KI-Verordnung geahndet werden. Die Botschaft an die Wirtschaft ist klar: Investitionen in robuste, überprüfbare Data Governance sind keine option mehr, sondern überlebenswichtig.

boerse | 68625285 |