Zuletzt aktualisiert am 10. April 2026

Die DSGVO ist als europäischer Standard für Datenschutz nun seit dem 25. Mai 2018 in Kraft. Vor allem in der Durchsetzung der DSGVO durch deutsche Behörden gibt es aber noch einiges zu bemängeln.

Erfahren Sie hier, welche fünf Mängel es im deutschen Datenschutz nach fünf Jahren DSGVO immer noch gibt.

1.     Umgang mit Beschwerden auf Grundlage der DSGVO

Auch wenn man bei dem Stichwort „untätige Datenschutzbehörden“ gerne an Irland denkt, ist Deutschland in diesem Bereich auch kein Musterbeispiel. Das Tracking auf Websites und in Apps haben die Behörden bei weitem noch nicht im Griff.

Verfolgt man diesen Missstand weiter zurück, erkennt man aber auch schnell, dass es in Deutschland meist schon daran mangelt, eingereichte Beschwerden überhaupt zu bearbeiten. In Nordrhein-Westfahlen fällt dies besonders auf: Von den Beschwerden, die die Datenschutzorganisation noyb (none of your business) von dem Österreicher Max Schrems in den letzten Jahren eingereicht hat, ist von den 29 Stück in NRW tatsächlich nur eine abgeschlossen worden. Teilweise gab es nicht einmal eine Antwort der Behörden. Beschwerdegegenstand sind oft große Websites.

Die Behörden geben selbst zu, dass sie nur stichprobenartig vorgehen können. Grund seien vor allem mangelnde Kapazitäten. Datenschützer, die mehrere Beschwerden bei einer Behörde einreichen erhalten dabei nicht selten den Hinweis darauf, dass eine Grenze erreicht sei und weitere Beschwerden desselben Beschwerdestellers nicht mehr bearbeitet werden würden. Ob es sich dabei um „Kleinigkeiten“ oder um große Verstöße handelt, wird von der zuständigen Behörde dann auch nicht mehr beachtet.

2.     Bußgelder nach DSGVO

Sieht man sich die tatsächlich verfolgten Beschwerden an, wird auch schnell klar, dass die Bußgelder verhältnismäßig niedrig ausfallen.

Die Datenschutzorganisation noyb (none of your business) bemängelt hierbei zudem, dass die Gründe der Entscheidung nicht erkennbar seien. Im Gegensatz zu vielen anderen Mitgliedsstaaten würden deutsche Datenschutzbehörden ihre Entscheidungen nämlich nicht veröffentlichen. So können verhängte Busgelder auch keine abschreckende oder generalpräventive Wirkung entfalten.

3.     Immer noch viele Verstöße beim Tracking

In den fünf Jahren DSGVO waren vor allem Medienportale ein großes Problem, da sie an vielen Stellen davon leben, verhaltensbasierte Werbung zu nutzen.

Auch wenn es hier durch die intensive Betreuung durch die deutschen Datenschutzbehörden schon einige Fortschritte gibt, sind immer noch viele Missstände beim Tracking zu verzeichnen. Analysetracking, irreführende Cookie-Banner und Datenübertragungen in unsichere Drittländer findet man immer noch zu häufig.

Im Hinblick auf eingeholte Einwilligungen besteht hier aber auch noch einiges an Rechtsunsicherheit, die zuletzt durch das TTDSG etwas entschärft wurde.

4.     Keine Standardisierung und Automatisierung bei der Durchsetzung der DSGVO

Eine große Frage ist, wie die Datenschutzbehörden nun ihren Weg aus der Überlastung heraus finden. Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen sieht hierbei keinen Spielraum beim Thema Bußgelder, da die Rechtslage nicht präzise genug sei.  „Aber man könnte schon stärker von sich aus nach Standard-Trackingverstößen suchen, aber dies gehe eben nur im Rahmen freier Arbeitskapazitäten.“

Bundesländer wie Baden-Württemberg setzen dabei schon auf eigene Prüfwerkzeuge, um automatisiert viele Verstöße schnell und standardisiert zu bearbeiten. Ein solches Vorgehen kann die Durchsetzung beschleunigen, beseitigt aber nicht das Problem, dass der Einsatz von unerlaubtem Analysetracking nur ein paar Klicks erfordert, während die Behörden zur Durchsetzung der Entfernung über seitenweise Schriftsätze und Stellungnahmen meist Jahre brauchen.

Klare Vorgaben und Vorlagen, wie ein Verfahren möglichst schnell und effektiv abgewickelt werden kann, fehlen den Behörden hier immer noch.

5.     Beratung statt Bestrafung

Die meisten Bundesländer sind zudem bemüht, die Beschwerden mit den Unternehmen zunächst im Guten zu lösen. Es finden Beratungsgespräche und Vorträge statt und es wird Infomaterial ausgegeben, statt Strafen zu verhängen.

Die Datenschutzorganisation noyb (none of your business) kritisiert hierbei, dass Unternehmen lernen würden, dass sie immer eine zweite Chance bekämen. Abschreckungseffekte würde man hier vergeblich suchen.

Dieses Vorgehen geht zum Teil soweit, dass einzelnen Bundesländern vorgeworfen wird, dass sie über die Handhabung des Datenschutzes die Qualität als Wirtschaftsstandort steigern wollen würden.

Fazit

Auch nach fünf Jahren DSGVO gibt es in Deutschland noch eine ansehnliche Liste an Mängeln bei der Um- und Durchsetzung. Die Etablierung eines standardisierten Datenschutzes bleibt damit ein laufender Prozess.

Max Schrems zog als persönliches Resümee der letzten fünf Jahre, dass das Gesetz funktioniere, die Anwendung aber nicht.

Entwicklungen seit 2023: Was hat sich verbessert?

Seit der Bestandsaufnahme der ersten fünf Jahre DSGVO hat sich einiges getan. Die deutschen Datenschutzaufsichtsbehörden haben ihre Zusammenarbeit verstärkt und setzen zunehmend auf koordinierte Prüfverfahren. Die Datenschutzkonferenz (DSK) hat verbindlichere Beschlüsse gefasst und ihre Leitlinien konkretisiert. Auch die personelle Ausstattung einzelner Behörden wurde verbessert, wenngleich sie nach wie vor als unzureichend kritisiert wird.

Im Bereich der Bußgelder ist eine deutliche Steigerung zu verzeichnen. Der Berliner Datenschutzbeauftragte verhängte 2023 ein Bußgeld von 14,5 Millionen Euro gegen ein Immobilienunternehmen. Der Hamburgische Datenschutzbeauftragte belegte ein Unternehmen mit einem Bußgeld von 35,3 Millionen Euro. Diese Fälle zeigen, dass die Behörden zunehmend bereit sind, empfindliche Strafen zu verhängen.

Strukturelle Probleme: Datenschutz-Föderalismus in Deutschland

Ein grundsätzliches Problem des deutschen Datenschutzes liegt im föderalen System. Mit 17 unabhängigen Datenschutzaufsichtsbehörden (16 Landesbehörden plus der Bundesbeauftragte) gibt es erhebliche Unterschiede in der Auslegung und Durchsetzung der DSGVO. Was in einem Bundesland als zulässig gilt, kann in einem anderen beanstandet werden. Diese Inkonsistenz schafft erhebliche Rechtsunsicherheit für Unternehmen, die bundesweit tätig sind.

Die DSK versucht zwar, eine einheitliche Linie zu finden, ihre Beschlüsse sind jedoch rechtlich nicht bindend. Einzelne Landesbehörden weichen regelmäßig von den Empfehlungen ab oder setzen eigene Schwerpunkte. Eine Reform der Aufsichtsstruktur wird seit Jahren diskutiert, scheitert aber am politischen Widerstand der Bundesländer.

Verbandsklagerecht und kollektiver Rechtsschutz

Eine wichtige Entwicklung im deutschen Datenschutz ist die Stärkung des kollektiven Rechtsschutzes. Der EuGH hat in der Rechtssache C-319/20 (Meta Platforms) entschieden, dass Verbraucherschutzverbände auch ohne konkreten Auftrag eines Betroffenen gegen Datenschutzverstöße klagen können. In Deutschland können Verbraucherzentralen und qualifizierte Einrichtungen nach dem Unterlassungsklagengesetz gegen datenschutzwidrige Praktiken vorgehen.

Dieser kollektive Rechtsschutz ergänzt die behördliche Durchsetzung und kann Defizite der Aufsichtsbehörden teilweise kompensieren. Verbraucherzentralen haben bereits erfolgreich gegen Cookie-Banner-Designs und intransparente Datenschutzerklärungen großer Unternehmen geklagt. Für Unternehmen bedeutet dies ein zusätzliches Durchsetzungsrisiko, das bei der Compliance-Planung berücksichtigt werden muss.

Künstliche Intelligenz: Neue Herausforderung für den Datenschutz

Eine der größten aktuellen Herausforderungen für den deutschen Datenschutz ist der Umgang mit Künstlicher Intelligenz (KI). Die DSGVO wurde vor dem Durchbruch moderner KI-Systeme wie ChatGPT verfasst und enthält keine spezifischen Regelungen für KI. Die Aufsichtsbehörden stehen vor der Aufgabe, bestehende Datenschutzgrundsätze auf KI-Systeme anzuwenden, die Daten in einer Weise verarbeiten, die bei der Gesetzgebung nicht absehbar war.

Der Hamburgische Datenschutzbeauftragte hat als einer der ersten eine Prüfung von ChatGPT eingeleitet. Die zentrale Frage ist, ob die Verarbeitung personenbezogener Daten zum Training von KI-Modellen mit der DSGVO vereinbar ist. Die italienische Datenschutzbehörde hat ChatGPT zeitweise gesperrt, was die Brisanz des Themas unterstreicht. Für Unternehmen, die KI-Systeme einsetzen, ist eine sorgfältige datenschutzrechtliche Prüfung nötig. Ein erfahrener Datenschutzberater kann hier wertvolle Orientierung geben.

Was Unternehmen jetzt tun sollten

Trotz der bestehenden Mängel im deutschen Datenschutzsystem sollten Unternehmen ihre eigene Compliance nicht vernachlässigen. Die Durchsetzung wird sukzessive strenger und die Risiken durch Schadensersatzklagen nehmen zu. Folgende Maßnahmen empfehlen wir:

• Führen Sie eine vollständige Bestandsaufnahme Ihrer Datenverarbeitungen durch und aktualisieren Sie Ihr Verarbeitungsverzeichnis
• Überprüfen Sie Ihre Cookie-Banner und Tracking-Einstellungen auf Konformität mit den aktuellen Anforderungen
• Schulen Sie Ihre Mitarbeiter regelmäßig zu Datenschutzthemen
• Implementieren Sie ein strukturiertes Prozessmanagement für Betroffenenanfragen und Datenpannen
• Dokumentieren Sie alle Datenschutzmaßnahmen im Rahmen der Rechenschaftspflicht

Internationaler Vergleich: Wie setzt die EU die DSGVO durch?

Im internationalen Vergleich zeigt sich, dass die Durchsetzung der DSGVO in den verschiedenen EU-Mitgliedstaaten sehr unterschiedlich ausfällt. Irland, das als Lead-Supervisory-Authority für viele große Tech-Unternehmen zuständig ist, stand lange in der Kritik, Verfahren zu verschleppen und zu niedrige Bußgelder zu verhängen. Seit 2022 hat die irische Datenschutzbehörde (DPC) jedoch mehrere Rekordbußgelder verhängt, darunter 1,2 Milliarden Euro gegen Meta und 405 Millionen Euro gegen Instagram.

Frankreich hat mit der CNIL eine besonders aktive Aufsichtsbehörde, die regelmäßig hohe Bußgelder verhängt und ihre Entscheidungen veröffentlicht. Die CNIL hat auch innovative Ansätze wie die Sandbox-Initiative für KI und Datenschutz entwickelt. Im Vergleich dazu erscheint die deutsche Aufsichtslandschaft mit ihren 17 unabhängigen Behörden als fragmentiert und weniger schlagkräftig.

Für Unternehmen in Deutschland bedeutet die aktuelle Situation, dass sie sich nicht auf eine laxe Durchsetzung verlassen dürfen. Die Tendenz geht klar in Richtung strengerer Kontrollen und höherer Bußgelder. Unternehmen, die heute in eine solide Datenschutz-Compliance investieren, schützen sich nicht nur vor Bußgeldern, sondern stärken auch das Vertrauen ihrer Kunden und Geschäftspartner. Ein professionelles Datenschutzkonzept ist die beste Grundlage dafür.

Die Europäische Kommission hat in ihrem Bericht zur Anwendung der DSGVO im Jahr 2024 die Defizite in der Durchsetzung ausdrücklich angesprochen. Insbesondere wurde die mangelnde Zusammenarbeit zwischen den nationalen Aufsichtsbehörden im Kohärenzverfahren kritisiert. Das „One-Stop-Shop“-Prinzip, das Unternehmen mit Niederlassungen in mehreren EU-Staaten die Zusammenarbeit mit nur einer Aufsichtsbehörde ermöglichen soll, funktioniert in der Praxis oft nicht reibungslos. Streitigkeiten zwischen den Behörden verzögern Verfahren teilweise um Jahre und schwächen die Durchsetzungswirkung der DSGVO insgesamt.

Trotz aller Mängel hat die DSGVO den Datenschutz in Europa und weltweit nachhaltig verändert. Sie hat ein Bewusstsein für den Wert personenbezogener Daten geschaffen, das weit über juristische Fachkreise hinausreicht. Unternehmen, die Datenschutz als Chance und nicht als Bürde begreifen, können sich im Wettbewerb positiv differenzieren und das Vertrauen ihrer Kunden nachhaltig stärken.