Datenschutz-Chaos: 97% der Unternehmen leiden unter DSGVO-Aufwand

Aktuelle Forschungsergebnisse zeigen ein alarmierendes Bild: Gängige Tracking-Programme am Arbeitsplatz leiten sensible Mitarbeiterdaten heimlich an Werbenetzwerke weiter. Deutsche Unternehmen stehen vor der Herausforderung, diesen Missbrauch zu unterbinden – während gleichzeitig der bürokratische Aufwand für die DSGVO weiter steigt.

Die unbemerkte Weitergabe von Mitarbeiterdaten durch Software zeigt, wie komplex die Einhaltung der Datenschutzvorgaben in der Praxis ist. Dieser kostenlose Leitfaden führt Sie in 5 konkreten Schritten zur rechtssicheren Umsetzung der DSGVO und hilft Ihnen, teure Abmahnungen zu vermeiden. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Die heimliche Daten-Schleuder

Eine Untersuchung des Center for Law and the Economy an der Columbia Law School unter Leitung von Stephanie Nguyen förderte Erschreckendes zutage. Die Forscher analysierten neun weit verbreitete Tracking-Anwendungen – darunter Apploye, Hubstaff und When I Work. Das Ergebnis: Sämtliche getesteten Programme gaben Mitarbeiterdaten an Google, Facebook und Microsoft weiter.

Namen, E-Mail-Adressen, IP-Adressen, Aktivitätsprotokolle und Standortdaten – all das floss unbemerkt an die Tech-Giganten. Die Wissenschaftler warnen vor einer „Schattenwirtschaft des Mitarbeiterrufs", in der persönliche Leistungsdaten zur Handelsware werden. Besonders brisant: Drei der Anwendungen verfolgten Standorte selbst dann, wenn die Software gar nicht aktiv genutzt wurde.

Parallel dazu bestätigte die Northeastern University die Befunde. Ihre Analyse von neun weiteren Plattformen – darunter Deputy, Time Doctor 2 und Vericlock – ergab, dass Mitarbeiter- und Arbeitgeberdaten an über 145 verschiedene Domänen übermittelt wurden. Etwa ein Drittel der getesteten Anwendungen zeichnete Standortdaten im Hintergrund auf.

DSGVO: Zwischen Bürokratie und Innovation

Die Bitkom-Studie vom Mai 2026 zeichnet ein widersprüchliches Bild. Einerseits stieg die vollständige DSGVO-Umsetzung von mageren sieben Prozent im Jahr 2018 auf 71 Prozent im Jahr 2024. Andererseits empfinden heute 97 Prozent der Unternehmen den Aufwand als hoch, 44 Prozent sogar als sehr hoch.

Die Zahlen sprechen Bände: 2016 klagten nur 25 Prozent über erhöhte Komplexität durch Datenschutz – heute sind es 81 Prozent. „Die DSGVO war als Schutzschild gedacht, wird aber zunehmend als Innovationsbremse wahrgenommen", kommentiert ein Bitkom-Sprecher.

Ein Urteil des Bundesgerichtshofs vom Juli 2018 (Az. VI ZR 225/17) sorgt zusätzlich für Klarheit: Kundenzufriedenheitsumfragen per E-Mail gelten als Werbung. Ohne ausdrückliche Einwilligung sind sie tabu – die „berechtigten Interessen" der DSGVO greifen hier nicht.

Künstliche Intelligenz: Der große Konfliktherd

Die Integration von KI verschärft die Datenschutzproblematik dramatisch. Laut Bitkom glauben 69 Prozent der Unternehmen, dass aktuelle Regulierungen das Training von KI-Modellen behindern. Noch alarmierender: 63 Prozent berichten von gescheiterten KI-Projekten – Hauptgrund: DSGVO-Auflagen.

Die technischen Hürden sind gewaltig. Eine Analyse der technisch-organisatorischen Maßnahmen (TOM) zeigt, dass vieles veraltet ist – geschrieben zwischen 2018 und 2022, lange vor der KI-Ära. Die aktuellen Zahlen:

• 63 Prozent können Zweckbindungen für KI-Agenten nicht durchsetzen
• 60 Prozent fehlt die Technik, fehlgeleitete Agenten zu stoppen
• 55 Prozent können KI-Systeme nicht von anderen Datenumgebungen isolieren
• Nur 43 Prozent haben eine zentrale KI-Governance etabliert

Neue Technologien wie KI erfordern eine lückenlose Dokumentation aller Datenverarbeitungsprozesse, um Bußgelder von bis zu 2 % des Jahresumsatzes zu vermeiden. Nutzen Sie diese kostenlose Excel-Vorlage und Schritt-für-Schritt-Anleitung, um Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. DSGVO-Pflicht in wenigen Stunden erledigt: Jetzt kostenloses Muster-Verarbeitungsverzeichnis sichern

EU schreitet ein: Der „Digital Omnibus on AI"

Die europäischen Regulierer reagieren. Am 6. und 7. Mai 2026 einigten sich EU-Rat und Parlament auf den „Digital Omnibus on AI". Die Verordnung sieht gestaffelte Fristen vor:

• Dezember 2026: Verbot von „Nudifier"-Apps
• Dezember 2027: Hochrisiko-KI muss konform sein
• August 2028: Hochrisiko-KI in Maschinen muss die Auflagen erfüllen

Kleine und mittlere Unternehmen mit weniger als 250 Mitarbeitern erhalten Erleichterungen bei der Dokumentation. Generative KI-Modelle unterhalb der Rechenleistungsschwelle von 10^25 FLOPs sind von den strengsten Auflagen befreit.

Wenn Daten zur teuren Last werden

Die finanziellen Folgen von Datenschutzverstößen sind enorm. Im Mai 2026 wurden Details eines Vergleichs nach einem Ransomware-Angriff auf Krispy Kreme bekannt. Die „Play"-Gruppe erbeutete im November 2024 Daten von 161.676 Personen – inklusive Sozialversicherungsnummern und biometrischer Daten. Ein 1,6 Millionen Euro schwerer Fonds wurde eingerichtet. Betroffene können bis zu 3.500 Euro für nachgewiesene Schäden oder pauschal rund 75 Euro fordern. Die Frist endet am 22. Juni 2026.

Das Hessische Landesarbeitsgericht (LAG) stellte am 5. Dezember 2024 (Az. 5 TaBV 4/24) klar: Betriebsräte haben zwar ein Mitbestimmungsrecht bei der Einführung von IT-Systemen, die Leistung oder Verhalten überwachen – aber kein einklagbares Recht, die Durchsetzung von Datenschutzgesetzen zu erzwingen.

Seit Einführung der DSGVO wurden EU-weit rund sechs Milliarden Euro Bußgelder in 2.888 Fällen verhängt. Seit Dezember 2025 sorgt zudem der Digital Operational Resilience Act (DORA) für zusätzliche Meldepflichten. Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) verzeichnete seitdem über 600 schwerwiegende Vorfälle – neun von zehn Angriffen betreffen kompromittierte Identitäten.

Ausblick: Die nächste Welle kommt

Die Umsetzung des Digital Omnibus on AI wird die Compliance-Agenda der Unternehmen in den kommenden Jahren dominieren. Die Fristen 2026 und 2028 zwingen zu massiven Investitionen in technische und organisatorische Maßnahmen.

Die aktuellen Enthüllungen über Tracking-Apps könnten eine neue Welle von Durchsetzungsmaßnahmen auslösen – diesmal gegen Software-Anbieter, die Mitarbeiterdaten an Dritte weiterleiten.

Und die Debatte um den „Chef-Ersatz" durch KI bleibt aktuell: Während 22 Prozent der Beschäftigten laut Bitcom-Umfrage vom Mai 2026 Stellenstreichungen durch KI sehen, glauben 29 Prozent, dass ihre eigenen Vorgesetzten durch künstliche Intelligenz ersetzt werden könnten. Die nächste Phase der Arbeitsplatzüberwachung wird nicht nur die Belegschaft betreffen – sondern zunehmend auch die Führungsebene.

de | wirtschaft | 69425946 |