Fast die Hälfte der deutschen Führungskräfte sieht Datenschutz als Standortvorteil, trotzdem gibt es noch massiven Handlungsbedarf. Das Problem? Datenschutz dümpelt in Firmen als IT-Thema oder Juristenkram vor sich hin, statt auf dem Chefschreibtisch zu landen.
Das Stimmungsbild 2026 der Stiftung Datenschutz zeigt: Fast die Hälfte der Unternehmensführer in Deutschland sieht Datenschutz als strategischen Standortfaktor – und trotzdem stuft ein gutes Drittel den eigenen Handlungsbedarf als hoch ein.
(Bild: Canva / KI-generiert)
Das Stimmungsbild 2026 der Stiftung Datenschutz zeigt: Fast die Hälfte der Unternehmensführer in Deutschland sieht Datenschutz als strategischen Standortfaktor – und trotzdem stuft ein gutes Drittel den eigenen Handlungsbedarf als hoch ein. Der Grund für diesen Widerspruch liegt nicht in fehlendem Wissen. Er liegt darin, dass Datenschutz in zu vielen Unternehmen noch immer falsch verortet ist, nämlich als IT-Aufgabe oder juristische Pflichtübung, nicht jedoch als Führungsaufgabe.
Thomas Vini Pires, Privacy & AI Solution Expert bei der EQS Group
(Bild: EQS Group)
Doch Datenschutz, der auf Fachabteilungsebene verbleibt, ist meist strukturell unterfinanziert, isoliert und ohne Durchsetzungskraft. Datenschutz entfaltet seinen Wert jedoch erst dann, wenn er Teil der Unternehmenssteuerung wird. Warum das so ist, macht Thomas Vini Pires, Privacy & AI Solution Expert bei der EQS Group, an fünf Punkten klar, die alle bei derselben Stelle ansetzen: der Führungsebene.
1. Ihr Datenschutzbeauftragter haftet nicht – Sie schon!
Bestellt ein Unternehmen einen Datenschutzbeauftragten, überträgt sich auch die Verantwortung. Diese Annahme ist ein verbreitetes Missverständnis, denn rechtlich stimmt das keineswegs. Artikel 38 der DSGVO schreibt den direkten Berichtsweg zur höchsten Managementebene vor – er überträgt aber keine Haftung. Der Datenschutzbeauftragte (DPO) berät, sensibilisiert, prüft und dokumentiert, haftet jedoch nicht. Wer haftet, ist die Unternehmensleitung.
Rechtlicher Rahmen:
OLG-Dresden-Urteil schafft Klarheit
Das OLG Dresden hat bereits 2021 klargestellt, dass Geschäftsführer als eigenständige Verantwortliche im Sinne der DSGVO gelten können. Mit dem NIS2-Umsetzungsgesetz, das seit Dezember 2025 ohne Übergangsfrist gilt, wurde die persönliche Managerhaftung für Cybersicherheit explizit und nicht delegierbar verankert. Beispiel: Das Bußgeld gegen Vodafone von 45 Millionen Euro im Jahr 2025 rahmte die BfDI ausdrücklich als Managementversäumnis – nicht als technischen Fehler.
Aus der Umfrage der Stiftung Datenschutz geht hervor, dass das fehlende Wissen der Mitarbeitenden als größte Herausforderung beim Thema Datenschutz gilt. Das beschreibt jedoch nicht die Ursache des Problems, sondern eine Folge vorheriger Versäumnisse, denn Schulungen allein schaffen kein Datenschutz-Wissen. Entscheidend sind klare Verantwortlichkeiten, definierte Prozesse und eine Geschäftsführung, die vorangeht statt delegiert. Wo Datenschutz in Fachabteilungen abgeschoben wird, fehlt oftmals die Struktur, die Wissen in die Praxis bringt. Die Folge: isolierte Lösungen, provisorische Workarounds und eine Compliance-Fassade ohne operative Wirkung. Wissenslücken schließen sich nicht durch mehr Trainings, sondern durch Governance-Strukturen, die nur die Führungsebene etablieren und tragen kann.
DSGVO (Datenschutz), NIS2 (Cybersecurity) und AI Act (KI-Systeme) betreffen dieselben Daten, dieselben Systeme, dieselben Prozesse. Trotzdem werden sie in vielen Unternehmen von unterschiedlichen Abteilungen in getrennten Projekten bearbeitet – mit eigenen Teams, eigenen Prozessen, eigenen Risikobewertungen und eigener Dokumentation. Das ist nicht nur ineffizient, es ist gefährlich. Ein einziger Sicherheitsvorfall mit einem KI-System, das personenbezogene Daten verarbeitet, kann parallele Meldepflichten unter allen drei Regelwerken auslösen: 72 Stunden für die DSGVO, 24 Stunden Frühwarnung ans BSI nach NIS2, dazu Incident-Meldungen nach dem AI Act. Wer das nicht integriert steuert, verliert im Ernstfall wertvolle Stunden.
Kein CISO, kein DPO und kein General Counsel hat allein die Budget-Autorität, um alle drei Regelwerke zu steuern. Das kann nur die Geschäftsleitung. Wer hier spart, spart am Ende womöglich an falscher Stelle: Die Summe aller drohenden Bußgelder liegt theoretisch bei bis zu 13 Prozent des globalen Jahresumsatzes.
4. Datenschutz ist ein messbarer Wettbewerbsfaktor
„Datenschutz ist ein Standortvorteil“, so nennen gut die Hälfte der von der Stiftung Datenschutz befragten Unternehmensführer den selbigen explizit als Grund für die Wahl EU-basierter Softwareanbieter. Fast die Hälfte der Entscheider bewertet europäischen Datenschutz als wichtigen Standortfaktor.
Das deckt sich mit der externen Datenlage. Die Cisco Data Privacy Benchmark Study 2025 belegt einen Return on Investment von 1,6 für Datenschutzinvestitionen, und 99 Prozent der dort befragten Unternehmen prüfen Datenschutz-Dokumentation und Sicherheits-Zertifizierungen bei der Lieferantenauswahl. Wer Datenschutz nicht nachweisen kann, scheidet aus Bieterverfahren aus, bevor das erste Gespräch stattfindet.
Der Widerspruch, den das Stimmungsbild aufzeigt – strategische Relevanz anerkannt, operativer Handlungsbedarf trotzdem hoch – löst sich nur auf einer Ebene: der Führungsebene.
Artikel 38 der DSGVO verlangt den direkten Berichtsweg zur höchsten Managementebene. In der Praxis wird das selten gelebt. Die EDPB-Coordinated Enforcement Action 2024 hat bei mehr als 17.000 Befragten europaweit sieben systemische Probleme identifiziert, darunter: Unzureichende Ressourcen und mangelnder Zugang zur Geschäftsleitung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Gleichzeitig expandiert das Aufgabenfeld des DPO erheblich. Laut IAPP-Governance-Report übernehmen 80 Prozent der Datenschutzbeauftragten Aufgaben jenseits des klassischen Datenschutzes, 68 Prozent sind bereits in KI-Governance involviert (zum Teil sogar federführend). Ab August 2026 gilt zudem die KI-Kompetenzpflicht nach dem AI Act – auch für die Geschäftsführung, den CISO und den DPO. Die Folge: Ein DPO ohne organisatorische Anbindung und Budget-Autorität kann weder beraten noch gestalten. Er kann nur verwalten. Ob er mehr als das leisten kann, entscheidet schlussendlich wieder mal die Geschäftsleitung.
:quality(80)/p7i.vogel.de/wcms/17/7d/177d30220ff049cef6886f93145fb9cf/0130502021v3.jpeg "IT-Berater müssen nicht nur strategische Entwicklungen ins Kalkül ziehen, sondern auch technologisch auf der Höhe sein. KI macht die Sache teils komplexer, teils einfacher. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/54/2f/542fa9acb82d3c328f073cc141aa056e/0130090354v1.jpeg "KI ist ein Gamechanger in der Software-Branche. Mit welchen Konsequenzen? (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/60/a1/60a166b3b7868d9b0d362ec359b8abb3/0130072512v2.jpeg "In Deutschland fehlen immer noch über 100.000 Fachkräfte in der IT, doch setzen nur wenige Unternehmen auf Maßnahmen, um mehr Frauen für IT-Jobs zu begeistern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/39/18395f3882e23a90a5df6aad288b8133/0129680689v2.jpeg "Die Aussicht auf kurzfristig wieder sinkende Speicherpreise ist nur eine Fata Morgana. Da sind sich alle unsere Ansprechpartner im IT-Channel einig. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7e/7f/7e7fcff915b9516be38674ce7c82f24d/0130965072v2.jpeg "Neuer Leiter für den Channel-Vertrieb: Seit 1. April 2026 ist Philipp Naujoks Leader Channel Sales bei Aagon. (Bild: Aagon GmbH, bearbeitet mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ac/ab/acab8ad5750e602b1fb17d1275bc36af/0130973355v2.jpeg "Sven Gösch wird neuer COO beim Nordhorner Distributor Eno. (Bild: Eno)")
:quality(80)/p7i.vogel.de/wcms/4e/d3/4ed318a14536ad7895020d5bda51cc51/0130858445v2.jpeg "Sophia Henter übernimmt die Leitung des Consulting-Bereichs bei Fsas Deutschland. (Bild: Fsas Technologies)")
:quality(80)/p7i.vogel.de/wcms/a6/9c/a69c97accaf8f4338ee53a895f4d7b6b/0130828335v1.jpeg "Moritz Mann ist der neue CEO bei Ontinue. (Bild: Ontinue, bearbeitet mit Canva)")
:quality(80)/p7i.vogel.de/wcms/6e/f6/6ef6f0e40dffea4e6948373353053e85/0131007368v1.jpeg "Künstliche Intelligenz kann vor allem bei rechtlichen Angelegenheiten wie eine Blackbox sein. Wie Verantwortliche mit der intransparenten Natur von KI-Ergebnissen umgehen sollten und welche Prüf- und Verifizierungspflichten bestehen, erläutern Rechtsexperten von KPMG Law.
(Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/1e/531e08dd8b0395e0f939e3eae1332d58/0130962689v2.jpeg "Das Stimmungsbild 2026 der Stiftung Datenschutz zeigt: Fast die Hälfte der Unternehmensführer in Deutschland sieht Datenschutz als strategischen Standortfaktor – und trotzdem stuft ein gutes Drittel den eigenen Handlungsbedarf als hoch ein. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/cf/c3cf4c08b32b6ee75e01e6da8cb85864/0130989373v1.jpeg "„Ein Tropfen auf dem heißen Stein“ ist die finanzielle Unterstützung, die der Staat Unternehmen für die Umsetzung des Cyber Resilience Act (CRA) zur Verfügung stellt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/52/3552d1bf71eae2352888698e0c2e726b/0131007474v1.jpeg "Motorola bringt die neue Moto-g-Familie auf den Markt. Die Smartphones zeichnen sich durch lange Akkulaufzeiten, neue Kamerasysteme und ein robustes Design aus. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/91/52/91523b1795000a299e350258a602a384/0131001253v1.jpeg "Der aktuelle Area-51 ist seit Januar mit AMD-Ryzen-9000-Prozessor erhältlich. Nun kommt als Spitzenmodell die Variante mit Ryzen 9 9950X3D2. (Bild: Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/d8/ae/d8ae61eb54953c73e28e16b23fcd4561/0130957311v2.jpeg "Der IT-Dienstleister ist als erstes Großunternehmen nach Öffnung der Mitgliedschaft dem KI Bundesverband beigetreten. Der Verband vertritt die Interessen von Unternehmen gegenüber Politik, Wirtschaft und Medien. (Bild: Bundesverband der Unternehmen der Künstlichen Intelligenz in Deutschland e.V. )")
:quality(80)/p7i.vogel.de/wcms/9b/7a/9b7aa8cf6220dc2dc499d053dfe811c4/0130941580v2.jpeg "Die KI bekommt Arme und Beine: Auch Machen statt nur Denken. (Bild: Rainer Jensen/Deutsche Messe AG)")
:quality(80)/p7i.vogel.de/wcms/95/84/9584f37960c45ae97b257aef006393ea/0130957487v2.jpeg "Bei der Oracle AI Tour stellte das Unternehmen seine Strategie für das KI-Zeitalter vor. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/82/73/827331d03700579ddf257823ff779281/0130774888v2.jpeg "Ein Wartungsarbeiter braucht keinen Zugang zum gesamten Netz. Moderne Zugriffskontrollen und Segmentierung sorgen für abgesicherte Zugriffe und kontrollierte Bewegungen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/e0/f9e0d31949817bf821e376906ca41327/0130888470v1.jpeg "Controlware und Sekoia.io bieten Unternehmen ein 24/7-SOC, ohne dass sie selbst in komplexe Infrastruktur, spezialisiertes Personal oder kontinuierliche Weiterentwicklung investieren müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/d4/1fd4adf83bba8d1b4c9622dcf99945cb/0130972023v1.jpeg "Der Deutsche IT-Security Kongress geht 2026 in die siebte Runde. (Bild: DITSK)")
:quality(80)/p7i.vogel.de/wcms/46/ba/46ba1db73d1dda26060868c1953d3a2f/0130518927v2.jpeg "Künstliche Intelligenz für bessere Krebsdiagnosen und Therapien (Bild: BURINKUL - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/91/eb9181205736edd8dbf0ce97003de026/0130669355v1.jpeg "Soft & Cloud: Lösungen für digitale Unabhängigkeit aus dem Remarketing (Bild: Soft & Cloud)")
:quality(80)/p7i.vogel.de/wcms/5c/fc/5cfc68dec5b6c081a02ff494c5860600/0130883220v3.jpeg "Bei afb arbeiten Menschen mit und ohne Behinderung in allen Bereichen gemeinsam am Ziel, möglichst vielen Geräten ein zweites Leben zu schenken. (Bild: Jannik Hammes)")
:quality(80)/p7i.vogel.de/wcms/da/e3/dae3462e1dcdda71a18768df96007777/0130845235v1.jpeg "Die Susecon 2026 fand in Prag statt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e9/bb/e9bbb548e4d405d29ac8627c477dc2e9/0130759963v1.jpeg "Auf der Hannover Messe, die vom 20. April bis zum 24. April 2026 stattfindet, stellt Schwarz Digits den European Sovereign Stack Standard, kurz ES³, vor und präsentiert exklusiv ein Exponat. (Bild: Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/18/c4/18c4199ad8f908b778ee17d9da27a43c/0130765450v2.jpeg "Tim Höttges, CEO Deutsche Telekom, forderte in seiner Keynote bei der Hannover Messe die Unternehmen auf, die Möglichkeiten von Künstlicher Intelligenz zu nutzen, auch um den Standort Deutschland zu stärken. (Bild: Deutsche Telekom)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/27/37/2737f8902c2221e4fcd30eb390df45f5/0129136870v2.jpeg "Der Datenschutz in Europa wird derzeit von einer Vielzahl von Faktoren beeinflusst. Dazu zählen rasante Entwicklungen im Bereich der Künstlichen Intelligenz, zunehmende Cyberbedrohungen sowie neue nationale und internationale gesetzliche Rahmenbedingungen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/5c/a05cfe3e617700d99328e49729937bc1/0125401080v1.jpeg "NIS2 und Dora sollen die Resilienz wichtiger IT-Systeme stärken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b3/40/b340df92e355bd532180cb8e5ed49a4c/0128551397v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")