Auch beinahe fünf Jahre nach ihrem Inkrafttreten, ist die DSGVO für viele Unternehmen nach wie vor eine Herausforderung – und sie war nur der Startpunkt einer groß angelegten Datenstrategie der EU. Was kommt da noch auf uns zu? Und wo stehen wir eigentlich aktuell? Ein (rechtlicher) Überblick zum europäischen Datenschutztag am 28. Januar.
Behindert die DSGVO Unternehmen in ihrer Arbeit oder ist vielleicht sogar das Gegenteil der Fall? Fast fünf Jahre nach Inkrafttreten der DSGVO läuft diese Debatte noch immer.
(Bild: vegefox.com - stock.adobe.com)
Ein Hemmer für Innovation, Forschung und Wachstum – mit diesem Vorwurf sieht sich die DSGVO häufig konfrontiert. Rein objektiv betrachtet müsste man aber grundsätzlich festhalten: Das Gegenteil ist der Fall. Denn die DSGVO ermöglicht es Unternehmen ja gerade erst, Daten auf einer soliden Rechtsgrundlage zu nutzen und zu verarbeiten.
Dennoch ist die Kritik nicht unberechtigt. Die Ursache liegt aber vielmehr an rein praktischen Umständen. Denn Tatsache ist: Abgesehen von der DSGVO, macht es das komplexe Gebilde um Bundesdatenschutzgesetz, verschiedenen Landesdatenschutzgesetzen und noch weiter geplanten europäischen Verordnungen alles andere als leicht, den Überblick zu behalten.
Es ist also kein Wunder, dass in der Praxis branchenübergreifend oft große Fragezeichen im Raum stehen, wenn es darum geht, was überhaupt erlaubt ist und was nicht. Damit einher geht verständlicherweise auch schnell die Angst vor unangenehmen Bußgeldern. Während Unternehmen seit 2018 deshalb auch nach wie vor mit der (oftmals kostspieligen) Anpassung ihrer Geschäftsprozesse und IT-Systeme an die Anforderungen der DSGVO beschäftigt sind, steht die EU in Sachen Regulatorik bereits vor den nächsten großen Schritten. Doch was ist konkret geplant?
Die DSGVO war erst der Anfang
Das übergreifende Ziel der EU ist die Schaffung eines Datenbinnenmarktes. Konkret geht es dabei darum, einen internationalen Standard zu schaffen, der einerseits die Nutzung großer Datenmengen für Forschung und Entwicklung ermöglicht, andererseits aber den Schutz der Persönlichkeitsrechte in ein angemessenes Verhältnis bringt.
Die DSGVO war dabei erst der Anfang. Aktuell stehen mit dem Data Governance Act und dem Data Act zwei weitere Großprojekte auf der Agenda, die beide in erster Linie die Datennutzung von Unternehmen genauer regeln sollen. Der Data Governance Act (DGA) ist bereits in Kraft und muss ab dem 24. September 2023 in den Mitgliedsstaaten angewendet werden. Er hat insbesondere das Ziel, die Verfügbarkeit von Daten zu fördern. Dazu soll ein vertrauenswürdiges Umfeld zur Datennutzung geschaffen werden, beispielsweise im Rahmen der Entwicklung innovativer Dienste und Produkte. Ein konkretes Beispiel dafür ist z. B. das Training moderner KI-Modelle mit großen Datenmengen.
Wo die geltenden Datenschutzregeln bisher häufig noch Hürden in den Weg legen, soll der DGA künftig mehr Rechtssicherheit schaffen. Die Verordnung sieht Mechanismen vor, um geschützte Daten des öffentlichen Sektors vereinfacht weiterzuverwenden, das Vertrauen in die Datenvermittlungsdienste zu erhöhen und den Datenaltruismus in der gesamten EU zu fördern. Der Data Act – für den es aktuell nur einen Vorschlag gibt – ergänzt den Data Governance Act und klärt, wer unter welchen Bedingungen einen Mehrwert aus Daten schaffen kann. Er wird unter anderem Regelungen zur Schaffung von sogenannten „Data Spaces“ enthalten, in denen Unternehmen und Forschungseinrichtungen ihre Daten sicher und rechtmäßig nutzen können.
Sektorspezifische Datenräume
Neben diesen übergreifenden Entwicklungen fokussiert sich die EU in den kommenden Monaten insbesondere auch auf die Regelung bestimmter Sektoren, die ganz besonders mit der Nutzung personenbezogener Daten konfrontiert sind. Obwohl die Digitalisierung zwar grundsätzlich einen größer werdenden Datenbedarf verursacht, trifft der Konflikt aus Datenschutz und Datennutzung einige Branchen besonders. Ein naheliegendes Beispiel dafür ist der gesamte Gesundheitssektor. Denn gerade hier erfordert die Entwicklung von digitalen Lösungen oftmals die nicht unumstrittene Verarbeitung sensibler Patientendaten.
Der sogenannte European Health Data Space (EHDS) soll genau dort ansetzen und eine Lösung für beide Seiten bieten. Es handelt sich dabei um einen EU-weiten Datenraum, der speziell für den Austausch von Gesundheitsdaten entwickelt wurde. Gesundheitsdaten sollen auf diesem Wege sicher und dennoch mit Mehrwert innerhalb der EU ausgetauscht werden können. Neue Therapien und Behandlungsmethoden sollen so schneller und leichter entwickelt werden können – die Patientinnen und Patienten bleiben indes geschützt.
eBook zum Thema
Souveräne Cloud
eBook Souveräne Cloud
(Bildquelle: CloudComputing-Insider)
Der Wunsch nach einer souveränen Cloud ist mehr als greifbar. Mehrere Konzepte und Initiativen sind bereits in der Umsetzung, jedoch stellt sich dabei die Frage, welche Rolle die Herkunft der Technologien wirklich spielt.
Wie man Souveränität im Cloud Computing erreichen will.
Viele Ansätze zur Umsetzung einer souveränen Cloud.
Aber was heißt das alles konkret für Unternehmen und Forschungseinrichtungen? Zunächst einmal: gar nichts. Denn bis die Pläne der EU wirklich in die Tat umgesetzt werden, dauert es noch eine Weile. Das Gesetzgebungsverfahren für den EHDS beispielsweise wird nicht vor 2024 abgeschlossen sein. Frühestens. Abgesehen davon, sollte die Stimmung aber eher optimistisch sein. Denn die Vorhaben sollen eben nicht weitere Hürden schaffen, sondern die bisherige Rechtsunsicherheit in Sachen Datenschutz abbauen. Die bisherigen Entwürfe lassen Grund zur Hoffnung, dass wir diesem Ziel auch tatsächlich näherkommen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
* Der Autor Nikolai Schmidt ist Rechtsanwalt bei PXR, einer Berliner Full-Service-Kanzlei für Start-ups in der Technologiebranche. Schmidt ist spezialisiert auf IT- und Datenschutzrecht und fokussiert sich in seiner Beratung insbesondere auf Unternehmen aus den Bereichen Health- und Deep-Tech.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/fc/3d/fc3df9a46d0a822e0a75f2bb03024e9b/0129214791v1.jpeg "Der „iPhone-Moment“ bezeichnet ein transformatives Ereignis oder einen technologischen Fortschritt, der bisherige Strukturen verändert und einen neuen Standard setzt. (Bild: © allvision - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/27/c327359e2dcce01f43e43cc38a924f51/0129406763v1.jpeg "Seit 60 Jahren verbindet Datev genossenschaftliche Zusammenarbeit mit technologischem Fortschritt: vom Rechenzentrum über vernetzte Systeme bis hin zu Cloud-Lösungen und KI. (Bild: Datev eG)")
:quality(80)/p7i.vogel.de/wcms/7e/34/7e3419790c7d54a946d0c993cb610bc2/0128589159v2.jpeg "SAP-Landschaften werden häufig angegriffen, weil die Systeme geschäftskritische Daten bündeln und technische sowie organisatorische Schwächen attraktive Angriffspunkte bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/99/ce/99ce6a0a1af21a454354d1439e2ec365/0129108089v1.jpeg "Die DSAG-Personaltage 2026 beleuchten zentrale HR-Trends wie H4S4-Migration, KI-Einsatz und hybride SAP-Architekturen. Eine aktuelle Umfrage zeigt den Status-quo in Unternehmen und deren drängendste Herausforderungen. (Bild: DSAG)")
:quality(80)/p7i.vogel.de/wcms/17/40/1740df3260ea9ff0e7e9c8ad4b2b3011/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dd/bb/ddbbd22e120b1dd223e380f8bbe8dd99/0128849628v2.jpeg "Was sind die wichtigsten Entwicklungen für die Compliance in Unternehmen im Jahr 2026? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a9/81/a9815e03d02e35aeb430aa22c3673bb9/0129119584v1.jpeg "Tritt das KI-Modell erst einmal in Aktion, steigen die Compute-Ausgaben und können dauerhaft die Cloud-Budgets von Unternehmen belasten. (Bild: © DAYA-DAKSH - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/48/04484878d8f4d12fa2f58d6e2aefefd2/0129309204v1.jpeg "Die Public Cloud von Infomaniak wird ausschließlich in Schweizer Rechenzentren betrieben, die vollständig von Infomaniak konzipiert, betrieben und gewartet werden. (Bild: Infomaniak)")
:quality(80)/p7i.vogel.de/wcms/ba/f2/baf2bd1814e2831c86bf6ef4aec7296b/0129333921v1.jpeg "Ein Klick genügt: Reprompt kapert Copilot-Sitzungen über URL-Parameter. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/37/70373698dc5cc798aad173c44512b007/0129118596v1.jpeg "Trotz wachsender Rechenzentrumskapazitäten ist Europa digital abhängig: Der Großteil sensibler Daten liegt in außereuropäischen Clouds – ein Risiko für Souveränität und Resilienz. (Bild: © Damian Sobczyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/dc/c5dc5a70b3b30c72d140b96c300743b7/0129090945v1.jpeg "Nur wenige Unternehmen schaffen den Sprung vom GenAI-Pilotprojekt zum produktiven Einsatz. Entscheidend ist nicht das Modell, sondern eine orchestrierte Architektur. (Bild: © Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/e0/8de00bb0c72231bc51fe6baa095aaf82/0128995925v1.jpeg "Von der Ressourcenzuteilung bis zur Finanzverwaltung gestalten KI-Agenten die Zukunft der Unternehmensplanung und optimieren die Zusammenarbeit zwischen Mensch und Maschine. (Bild: © Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/a4/06a42876449bba06fb5efa3ecb9e189a/0129144465v1.jpeg "Sage Copilot liefert Hinweise und Warnungen direkt in den Arbeitsabläufen der Anwender. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/46/c0/46c073903e7aa583549dcc3cb355af13/0124991875v1.jpeg "Europäische Cloud-Anbieter nutzen ihre strengen Datenschutzstandards als Verkaufsargument gegen US-Hyperscaler. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d8/d1d80e4b046fc26390602348bd4105dc/0128575534v1.jpeg "Der EU Data Act bietet der europäischen Industrie die Möglichkeit, Daten souverän und sicher zu teilen, was eine Neupositionierung im internationalen Wettbewerb ermöglicht. (Bild: © Tida - stock.adobe.com)")