Warum Datenbestände nicht nur Wert, sondern auch Risiko darstellen – und was das für Geschäftsführer bedeutet
Daten sind das neue Öl, heißt es. Das Bild stimmt – in beide Richtungen. Öl ist wertvoll. Aber wer Öl ohne Sicherheitsvorkehrungen lagert, zahlt eine andere Art von Preis: für Undichtigkeiten, Havarien, Umweltschäden. Für Fahrlässigkeit.
Bei Daten ist die Logik inzwischen dieselbe. Unternehmen, die Kundendaten, Mitarbeiterdaten und Nutzungsinformationen anhäufen, ohne sich mit der Frage zu beschäftigen, was sie damit dürfen – und was nicht – haben keine Datenstrategie. Sie haben ein offenes Haftungsrisiko.
Dieser Artikel richtet sich nicht an Datenschutzbeauftragte. Er richtet sich an Geschäftsführer, die verstehen wollen, was ihnen persönlich droht – und was sie heute tun müssen, damit sie in drei Jahren nicht zu den Fallbeispielen gehören.
Die regulatorische Zangenbewegung
Drei Regelwerke greifen aktuell ineinander und erzeugen gemeinsam einen Druck, den viele Unternehmen noch unterschätzen.
DSGVO gilt seit 2018 – aber die Durchsetzungsintensität wächst jährlich. Kumulierte EU-Bußgelder seit 2018 liegen laut GDPR Enforcement Tracker mittlerweile im Bereich mehrerer Milliarden Euro. Allein 2024 wurden EU-weit über eine Milliarde Euro verhängt. Täglich werden in der EU durchschnittlich 363 Datenpannen gemeldet.
NIS2 – als EU-Richtlinie seit 2023 in Kraft, in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz (in Kraft Dezember 2025, ändert unter anderem das BSI-Gesetz/BSIG) – erweitert den Kreis der betroffenen Unternehmen von rund 4.500 auf schätzungsweise 29.500. Was die DSGVO bei Datenschutz tut, tut NIS2 bei Cybersicherheit: §38 BSIG adressiert persönliche Pflichten für die Geschäftsleitung direkt und ohne Delegationsmöglichkeit.
KI-Gesetz der EU (seit August 2024 in Kraft) greift ab August 2026 vollständig. Wer KI für Personalentscheidungen, Kreditvergabe oder andere Hochrisikoanwendungen einsetzt, braucht dokumentierte Daten-Governance – nach Art. 10, das klare Anforderungen über DSGVO-Pflichten hinaus stellt.
DSGVO: die Durchsetzungsrealität
Die größten Bußgelder kommen aus Irland – weil dort die meisten Tech-Konzerne ihren europäischen Hauptsitz haben. Das verzerrt die öffentliche Wahrnehmung. Der Eindruck: DSGVO betrifft vor allem Meta und Google. Das ist falsch.
Die großen Fälle sind trotzdem relevant als Orientierung, was Aufsichtsbehörden heute durchsetzen:
- Meta: 1,2 Milliarden Euro (2023) für illegale Datenübermittlung in die USA
- TikTok: 530 Millionen Euro (2025) für Datentransfer nach China, der laut eigenem Unternehmen nicht stattfinden sollte – bis man zugab, dass er doch stattfand
- LinkedIn: 310 Millionen Euro (2024) für Behavioral Advertising ohne rechtskonforme Einwilligung – auf Basis einer Beschwerde, die 2018 eingereicht worden war
- Meta: 251 Millionen Euro (2024) für eine Datenpanne aus dem Jahr 2018, die 3 Millionen EU-Nutzer betraf – verhängt sechs Jahre später
Für deutsche Unternehmen gilt: Deutschland gehört EU-weit zu den aktivsten Durchsetzungsländern. 2024 wurden hierzulande 87 Bußgelder verhängt, Gesamtwert rund 55 Millionen Euro. Der Rekord: Vodafone wurde im Juni 2025 vom Bundesbeauftragten für den Datenschutz zu 45 Millionen Euro verurteilt – 15 Millionen davon explizit, weil Auftragsverarbeitungsverträge mit Partneragenturen nicht ausreichend geprüft und überwacht wurden.
Dieser Punkt ist nicht trivial: Ein Vertragsmangel mit einem externen Dienstleister hat direkt zu 15 Millionen Euro Bußgeld geführt.
NIS2: Cybersicherheit wird Chefsache – rechtlich
Die NIS2-Richtlinie setzt einen europäischen Mindeststandard; die Mitgliedsstaaten setzen sie in nationales Recht um. In Deutschland trat das NIS-2-Umsetzungsgesetz im Dezember 2025 in Kraft. Es ändert unter anderem das BSI-Gesetz (BSIG) und fügt §38 ein – eine Norm, die ausdrücklich auf persönliche Managerhaftung zielt.
§38 BSIG verpflichtet Mitglieder des Leitungsorgans, die vorgeschriebenen Risikomanagementmaßnahmen aktiv zu genehmigen und deren Umsetzung aktiv zu überwachen. Passives Dulden reicht nicht. Für die Praxis sind drei Aspekte dieser Haftungsnorm besonders relevant:
Bereits leichte Fahrlässigkeit reicht. §38 Abs. 2 BSIG erstreckt die Haftung auf leicht fahrlässiges Handeln. Wer die Anforderungen nicht kennt, ist damit nicht geschützt – Unkenntnis der einschlägigen Pflichten kann selbst als Sorgfaltspflichtverletzung gewertet werden.
Vertragliche Haftungsfreistellungen greifen nicht. §38 Abs. 2 BSIG erklärt gesellschaftsvertragliche und vertragliche Haftungsfreistellungen ausdrücklich für unwirksam. Die Pflicht lässt sich nicht wegbedingen.
Die Business Judgment Rule schützt hier nicht. Sie gilt für unternehmerische Ermessensentscheidungen – nicht für die Nichterfüllung gesetzlich normierter Sicherheitspflichten. Bei den Anforderungen nach §38 BSIG gibt es keinen Ermessensspielraum, der als Schutzargument taugt.
Wer ist betroffen? Rund 29.500 Unternehmen in 18 Sektoren – darunter nicht nur klassische kritische Infrastruktur wie Energie und Wasser, sondern auch verarbeitendes Gewerbe (Maschinenbau, Automobil, Elektronik), Lebensmittel, Chemie, digitale Dienste und Forschung. Grundregel: mittelgroßes Unternehmen (mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz) in einem der Sektoren.
Die Bußgelder für besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wer sich nicht fristgerecht beim BSI registriert hat, riskiert bereits 500.000 Euro.
KI-Gesetz: die nächste Anforderungswelle
Ab August 2026 gelten die vollständigen Anforderungen des EU-KI-Gesetzes für Hochrisiko-Anwendungen. Für Unternehmen ist die entscheidende Frage nicht: „Bauen wir KI-Produkte?” – sondern: „Nutzen wir KI für Entscheidungen, die Personen betreffen?”
Nach Anhang III des KI-Gesetzes sind das Hochrisikoanwendungen: KI zur Personalentscheidung (Bewerber-Screening, Performance-Bewertung, Entlassungsprozesse), KI zur Kreditwürdigkeitsprüfung, biometrische Kategorisierung und weitere.
Das KI-Gesetz unterscheidet dabei zwei Rollen. Anbieter (Provider) entwickeln KI-Systeme und bringen sie in Verkehr – sie tragen die umfangreichsten Pflichten. Betreiber (Deployer) setzen KI-Systeme ein, ohne sie selbst zu entwickeln. Die meisten mittelständischen Unternehmen sind Betreiber. Auch als Betreiber bestehen eigene Pflichten: Überwachung des Systems im Betrieb, Information der betroffenen Personen, Meldepflichten bei Vorfällen – und bei Hochrisikoanwendungen die Anforderungen nach Art. 26.
Art. 10 stellt explizite Anforderungen an Daten-Governance für Trainings-, Validierungs- und Testdaten: dokumentierte Datenmanagementpraktiken, Repräsentativität der Datensätze, aktive Bias-Erkennung und -Korrektur. Wer KI-Systeme für Personalentscheidungen betreibt, ohne diese Anforderungen umzusetzen, trägt das Haftungsrisiko – auch wenn das System zugekauft ist.
Das Zusammenspiel mit der DSGVO macht es komplexer: Automatisierte Logs von Hochrisiko-KI-Systemen können personenbezogene Daten enthalten – dann gelten DSGVO-Auskunfts- und Löschpflichten zusätzlich. In manchen Fällen ist zusätzlich eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO erforderlich.
KI schafft kein grundlegend neues Datenproblem. Sie skaliert bestehende – schneller, automatisierter und schwerer reversibel: Schlechte Daten erzeugen schlechte Modelle. Daten aus unzulässigen Quellen erzeugen rechtlich angreifbare Entscheidungen. Fehlende Dokumentation macht Entscheidungen im Nachhinein nicht nachvollziehbar. Wer heute keine Daten-Governance hat, wird durch KI-Einsatz keine gewinnen – sondern die vorhandenen Lücken vergrößern.
False Compliance: Warum gute Absichten nicht reichen
Man könnte das Problem False Compliance nennen: formal alle Checkboxen erfüllt – DSB bestellt, Datenschutzrichtlinie verabschiedet, Cookie-Banner implementiert – aber keine operativen Prozesse, die diese Anforderungen im Tagesgeschäft durchsetzen. Das Ergebnis: rechtlich verantwortlich, operativ nicht vorbereitet.
Der Unterschied zwischen einer Richtlinie und einem funktionierenden Prozess zeigt sich in drei Bereichen:
Löschung: Gibt es technische oder organisatorische Prozesse, die Daten zu definierten Zeitpunkten nachweisbar löschen – oder liegt das im Ermessen einzelner Mitarbeiter, die andere Prioritäten haben?
Zugriffsprüfung: Werden Zugriffsberechtigungen regelmäßig überprüft? Wissen Sie heute, wer auf welche Daten zugreifen kann – und ob diese Berechtigungen noch aktuell sind?
Dienstleisterkontrolle: Sind alle Auftragsverarbeitungsverträge vollständig und aktuell? Werden externe Dienstleister auf die Einhaltung ihrer Pflichten geprüft? Das Vodafone-Beispiel zeigt, wie teuer eine Nein-Antwort werden kann.
Haftungsrisiken entstehen nicht dort, wo keine Richtlinien existieren. Sie entstehen dort, wo Richtlinien und gelebte Praxis auseinanderfallen.
Schatten-IT und Schatten-Daten
Das strukturell schwierigste Problem ist Schatten-IT. Ein konkretes Beispiel: Eine Entwicklerin klont die Produktionsdatenbank für lokale Tests. Die Kopie enthält personenbezogene Kundendaten. Der Test läuft drei Monate, dann liegt die Datei vergessen auf einem Notebook – synchronisiert in die persönliche Dropbox. Kein Eintrag im VVT, kein Löschtermin, kein Auftragsverarbeitungsvertrag mit dem Cloud-Dienst.
Varianten davon existieren in den meisten Unternehmen:
- S3-Buckets aus alten Proof-of-Concept-Projekten mit echten Produktionsdaten
- Excel-Exporte mit Kundenkontakten in persönlichen Cloud-Ordnern
- Mailarchive ehemaliger Mitarbeiter, die seit Jahren nicht gelöscht wurden
- Analysedaten im persönlichen Google Drive von Vertriebsmitarbeitern
Der entscheidende Unterschied: Shadow IT bezeichnet nicht autorisierte Tools und Systeme. Shadow Data bezeichnet die unkontrollierten Kopien, die dadurch entstehen – und die eigentliche Gefahr. Ein Unternehmen kann seine genehmigten Systeme vollständig im Griff haben und trotzdem keine Kontrolle über seine Daten haben. Weil Daten sich kopieren lassen. Sie sind keine Systeme – sie sind Informationen, die überall sein können.
Präziser formuliert: Unternehmen verlieren selten die Kontrolle über Systeme. Sie verlieren die Kontrolle über Kopien.
Warum Unternehmen trotz Wissen scheitern
Die meisten Führungskräfte wissen, dass DSGVO, NIS2 und KI-Gesetz Anforderungen an ihr Unternehmen stellen. Das Problem ist nicht Unwissen. Es ist etwas Strukturelleres.
Verantwortungsdiffusion: Datenschutz liegt zwischen IT, Legal und Fachbereichen. Alle sind irgendwie zuständig – niemand fühlt sich wirklich verantwortlich. Ohne explizit benannte, mit Ressourcen ausgestattete Funktion fällt das Thema in Lücken.
Zielkonflikt: Daten zu behalten ist aus Business-Sicht oft rational – wer weiß schon, wann man die Analyse von 2022 nochmal braucht. Compliance sagt: löschen. Diesen Konflikt können operative Teams nicht auflösen. Er muss auf Geschäftsführungsebene entschieden werden.
Fehlende Messbarkeit: Woran sieht man, ob das Datenschutzniveau gut ist? Es gibt keinen KPI für „saubere Datenlage”, keine Ampel, die auf Rot springt, wenn das Löschkonzept veraltet ist. Was nicht gemessen wird, wird nicht verbessert.
Tagesgeschäfts-Override: Compliance-Aufgaben ohne Deadline werden verdrängt. Ein AVV mit einem neuen Dienstleister liegt wochenlang auf Halde. Das VVT-Update wartet auf ruhigere Zeiten. Die gibt es nicht.
Diese vier Faktoren zusammen erklären, warum Unternehmen mit vorhandenem Wissen und ernstem Willen trotzdem systematisch Compliance-Lücken produzieren.
Ein Denkmodell für Datenrisiko
Statt über Compliance abstrakt nachzudenken, hilft ein einfaches mentales Modell. Das Risiko, das von einem Datenbestand ausgeht, steigt mit vier Faktoren:
Datenmenge – wie viel liegt vor, in wie vielen Kopien und Systemen
Sensitivität – wie kritisch sind die Daten (HR, Finanzen, Gesundheit, Zugangsdaten schlagen besonders an)
Zugriff – wie viele Personen und Systeme haben Zugang, kontrolliert oder unkontrolliert
Unkontrolliertheit – Shadow IT, Alt-Systeme, fehlende Logs, unbekannte Kopien
Wer alle vier Faktoren im Blick hat, kann Prioritäten setzen. Nicht jeder Datenbestand ist gleich kritisch. Aber ein Datenbestand, der groß, sensibel, breit zugänglich und schlecht dokumentiert ist, ist ein konzentriertes Haftungsrisiko – unabhängig davon, ob das Unternehmen formal eine Datenschutzrichtlinie hat.
Persönliche Haftung: was konkret droht
Der häufigste Irrtum: Bußgelder treffen das Unternehmen, nicht mich persönlich.
Das stimmt für DSGVO-Bußgelder formal – die werden gegen die juristische Person verhängt. Aber das ist nicht das Ende der Haftungskette.
§43 GmbHG verpflichtet Geschäftsführer zu einem ordentlichen, sorgfältigen Geschäftsgang. Dazu gehört, sich über geltendes Recht zu informieren, eine rechtskonforme Organisation einzurichten und deren Einhaltung zu kontrollieren. Wenn ein DSGVO-Bußgeld oder Schadensersatz bezahlt werden muss, weil der Geschäftsführer diese Pflichten verletzt hat – kein DSB bestellt, kein VVT gepflegt, kein AVV abgeschlossen, keine Sicherheitsmaßnahmen –, kann die GmbH beim Geschäftsführer Regress nehmen. Das gilt besonders im Insolvenzfall, wenn ein Insolvenzverwalter systematisch nach Regressansprüchen sucht.
Direkthaftung ist rechtlich umstrittener. Das OLG Dresden urteilte 2021 (Az. 4 U 1158/21), dass ein GmbH-Geschäftsführer auch direkt als Verantwortlicher im Sinne der DSGVO haften kann – in dem Fall gemeinsam mit der GmbH zu 5.000 Euro Schadensersatz. Das Urteil ist in der Fachliteratur nicht unumstritten und höchstrichterlich nicht bestätigt. Aber es hat Signalwirkung.
NIS2 ist klarer: §38 BSIG ist ausdrücklich auf persönliche Managerhaftung ausgelegt. Kein Umweg über §43 GmbHG, kein juristischer Streit über die DSGVO-Interpretation. Das ist explizites Gesetz.
D&O-Versicherung: prüfen Sie konkret, was gedeckt ist. Klassische D&O-Policen haben häufig Ausschlüsse für immaterielle Schäden – DSGVO-Schadensersatzklagen nach Art. 82 sind oft immaterielle Ansprüche (Persönlichkeitsrechtsverletzung, Kontrollverlust über Daten). Für Schäden aus Datenpannen und Cyberangriffen ist regelmäßig eine separate Cyber-Police erforderlich. Wer nur eine D&O-Police hat und darauf vertraut, dass der Datenschutzbereich damit abgedeckt ist, sollte das konkret nachprüfen.
Was Datenhaltung wirklich kostet
Der IBM Cost of a Data Breach Report 2024 beziffert die durchschnittlichen Kosten eines Datenschutzvorfalls weltweit auf 4,88 Millionen US-Dollar – ein Anstieg von zehn Prozent gegenüber dem Vorjahr und der größte Jahressprung seit der Pandemie. Deutschland gehört dauerhaft zu den fünf teuersten Ländern weltweit.
Die Kostentreiber sind nicht die Bußgelder. Es sind Betriebsunterbrechung, Kundenverlust, Post-Breach-Reaktion (Help Desk, Kreditüberwachung für Betroffene, externe Kommunikation) und Reputationsschaden. Ein Bußgeld kann teuer sein – der Gesamtschaden eines Vorfalls übersteigt es fast immer.
35 Prozent aller Datenpannen 2024 involvierten Daten in nicht-verwalteten Quellen – vergessene Buckets aus alten Projekten, geklonte Produktionsdaten in Entwicklungsumgebungen, Alt-Systeme, die nie migriert wurden. Vorfälle mit solchen nicht-verwalteten Quellen dauerten durchschnittlich 291 Tage bis zur Eindämmung – 16 Prozent länger als der Durchschnitt, 26 Prozent länger bei der Erkennung.
Mehr gespeicherte Daten bedeuten mehr Angriffsfläche. Mehr Angriffsfläche bedeutet höhere Kosten, wenn es schiefläuft – unabhängig davon, ob am Ende ein Bußgeld verhängt wird oder nicht.
Wann Daten ein Asset sind – und wann nur Risiko:
| Datenzustand | Einordnung |
|---|---|
| Klarer Zweck, aktive Nutzung, Zugriffskontrolle | Nutzen überwiegt |
| Ehemals klarer Zweck, heute keine aktive Nutzung mehr | Risiko wächst, Nutzen sinkt |
| Keine Nutzung, keine Kontrolle, keine Dokumentation | Reines Risiko |
| Shadow IT, unkontrollierte Kopien, unbekannte Systeme | Kritisches Risiko |
Daten ohne Kontrolle sind kein Asset. Sie sind eine ungeklärte Verbindlichkeit.
Was fehlende Datenkontrolle technisch bedeutet
Aus technischer Perspektive ist der Kontrollverlust über Daten keine abstrakte Aussage. Er manifestiert sich in konkreten, behebbaren Lücken:
Kein Data Mapping: Es existiert keine vollständige Inventarisierung, welche Daten wo in welchen Systemen liegen. Ohne Data Mapping ist kein VVT vollständig, keine Löschstrategie wirksam, keine Datenschutzfolgenabschätzung möglich.
Keine Datenklassifizierung: Systeme unterscheiden nicht zwischen personenbezogenen und unkritischen Daten. Zugriffskontrollen können nicht sinnvoll nach Sensitivität differenzieren, wenn unklar ist, was wo liegt.
Keine Lifecycle-Automatisierung: Aufbewahrungsfristen und Löschpflichten existieren im Dokument, aber nicht als technisch durchgesetzte Retention Policies. Was nicht automatisiert ist, hängt an manuellen Prozessen, die im Tagesgeschäft nicht ausgeführt werden.
Fehlende Audit-Trails: Wer hat wann auf welche Daten zugegriffen, exportiert, gelöscht? Ohne Logs fehlt im Ernstfall die Grundlage für Breach-Analysen und den Nachweis gegenüber Aufsichtsbehörden.
Keine Prod/Test/Dev-Trennung: Entwicklungs- und Testumgebungen enthalten echte Produktionsdaten. Das erzeugt unkontrollierte Datenkopien außerhalb der produktiven Zugriffs- und Löschprozesse.
Diese Lücken haben eines gemeinsam: Sie sind behebbar. Aber sie erfordern eine Entscheidung auf Führungsebene – Ressourcen, Priorisierung und die Bereitschaft, kurzfristige Geschwindigkeit gegen langfristige Kontrollierbarkeit abzuwägen.
Wer strukturiert aufstellen will: ISO 27001 liefert ein vollständiges Rahmenwerk für Informationssicherheits-Managementsysteme. Privacy by Design nach Art. 25 DSGVO verlangt darüber hinaus, Datenschutz bereits in der Systemarchitektur zu berücksichtigen – nicht als nachträgliche Compliance-Maßnahme.
Dokumentationsfähigkeit als Verteidigungslinie
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt nicht nur, rechtskonform zu handeln. Sie verlangt, nachweisen zu können, dass rechtskonform gehandelt wurde. Das ist ein fundamentaler Unterschied – und in der Praxis oft der entscheidende.
Wer im Streitfall keine Nachweise hat, steht schlecht da – unabhängig davon, ob die tatsächliche Verarbeitung korrekt war. „Wir machen das schon richtig” ist keine Verteidigung. „Hier ist die Dokumentation” ist eine.
Was konkret dokumentiert werden muss:
- VVT mit aktuellen Einträgen für jede Verarbeitungstätigkeit
- Rechtsgrundlage für jede Verarbeitung (Art. 6 DSGVO)
- Technische und organisatorische Maßnahmen (TOMs nach Art. 32)
- Datenschutzfolgenabschätzungen, wo nach Art. 35 erforderlich
- Durchgeführte Löschungen und eingehaltene Fristen
- Auftragsverarbeitungsverträge mit Prüfnachweisen
- Einwilligungen und deren Widerruf
Dokumentation ist kein Selbstzweck. Sie ist das Werkzeug, mit dem sich rechtskonforme Praxis im Nachhinein nachweisen lässt.
Die Strategie heißt Datenminimierung
Art. 5 Abs. 1 lit. c DSGVO verlangt Datensparsamkeit: nur erheben, was für den Verarbeitungszweck tatsächlich notwendig ist. Kein „wir heben das mal auf, man weiß ja nie.” Art. 5 Abs. 1 lit. e verlangt Speicherbegrenzung: sobald der Zweck wegfällt, muss gelöscht werden.
Das klingt simpel. In der Praxis scheitert es an fehlenden Prozessen.
Aufbewahrungsfristen definieren, wann was gelöscht werden muss – nicht, wann es gelöscht werden darf. Buchungsbelege müssen acht Jahre aufbewahrt werden (§147 AO). Danach müssen sie weg. Bewerberdaten abgelehnter Kandidaten: sechs Monate nach dem AGG. Videoüberwachungsaufnahmen: in der Regel 72 Stunden bis 14 Tage. Wenn niemand dafür verantwortlich ist, dass diese Fristen eingehalten werden, werden sie nicht eingehalten.
Ein Löschkonzept ist zwar nicht als eigenständiges Dokument in der DSGVO benannt, aber durch die Rechenschaftspflicht nach Art. 5 Abs. 2 erzwungen: Der Verantwortliche muss nachweisen können, dass gespeichert wird, was gespeichert werden darf – und gelöscht wird, was gelöscht werden muss. Ohne Konzept kein Nachweis.
Reifegrade der Daten-Compliance
Ein Reifegradmodell hilft einzuschätzen, wo ein Unternehmen steht – und was der nächste sinnvolle Schritt ist:
| Reifegrad | Charakteristik | Risikoprofil |
|---|---|---|
| 1 – Unkontrolliert | Daten überall, keine Übersicht, kein VVT, keine definierten Prozesse | Sehr hoch |
| 2 – Dokumentiert | VVT vorhanden, Richtlinien verabschiedet, DSB bestellt – aber keine operative Durchsetzung | Hoch (False Compliance) |
| 3 – Gesteuert | Prozesse für Zugriff, Löschung und AVV laufen, Audits finden statt | Mittel |
| 4 – Automatisiert | Retention Policies technisch enforced, Zugriffskontrollen automatisiert, Audit-Trails vorhanden | Niedrig |
| 5 – Optimiert | Aktive Datenstrategie, kontinuierliches Risikomanagement, Privacy by Design als Architekturprinzip | Minimal |
Die meisten mittelständischen Unternehmen befinden sich zwischen Stufe 1 und 2. Der Sprung von Stufe 2 auf Stufe 3 ist der kritische: Er erfordert keine weiteren Richtlinien, sondern funktionierende Prozesse.
Was Geschäftsführer jetzt tun müssen
Die regulatorischen Anforderungen lassen sich auf fünf Handlungsfelder komprimieren:
Zugriffskontrollen (Role-Based Access Control, Least-Privilege-Prinzip) sind technische Maßnahme und rechtliche Anforderung zugleich: Art. 25 und Art. 32 DSGVO verlangen, dass nur Mitarbeiter auf personenbezogene Daten zugreifen, die es für ihre Aufgabe benötigen. Zugriffsrechte müssen dokumentiert, regelmäßig überprüft und bei Personalwechsel sofort angepasst werden. Nachanalysen nach Vorfällen zeigen regelmäßig: ehemalige Mitarbeiter hatten noch aktive Zugänge.
Governance bedeutet in der Praxis: klare Verantwortlichkeiten für Datenschutz und IT-Sicherheit, definierte Eskalationswege bei Datenpannen, Freigabeprozesse für neue Verarbeitungen, regelmäßige Audit-Termine. Ohne diese Strukturen entstehen genau die Lücken, die in Bußgeldbescheiden auftauchen.
Einordnung: Was das für Entscheidungen bedeutet
Daten haben eine Doppelnatur. Als Asset können sie wertschöpfend sein. Als Haftungsrisiko können sie existenzgefährdend sein. Welche Seite überwiegt, hängt davon ab, wie ein Unternehmen mit ihnen umgeht.
Die verbreitete Haltung – „wir speichern alles, man weiß ja nie, wann man es braucht” – ist inzwischen die teuerste Strategie. Sie vergrößert die Angriffsfläche, verlängert die Eindämmungszeit bei Vorfällen, erschwert Compliance-Nachweise und erzeugt ein diffuses, schwer quantifizierbares Haftungsrisiko.
Die Alternative ist keine Datenverweigerung. Es ist eine bewusste Entscheidung: Welche Daten brauchen wir wirklich? Wie lange? Unter welchen Bedingungen? Wer hat Zugriff? Wann löschen wir?
Unternehmen, die diese Fragen beantworten können, haben keine Datenstrategie – sie haben Datensouveränität.
Die größte Fehleinschätzung ist nicht, Daten zu unterschätzen. Sondern zu glauben, dass sie nur ein Asset sind.
Daten sind kein IT-Thema mehr. Sie sind eine Haftungsposition in der Bilanz – nur ohne klare Zahl.