Die Einschätzung der Cyber Academy
Im Jahr 2026 bleibt die DSGVO die EU-Verordnung, die personenbezogene Daten regelt (Regulation (EU) 2016/679, in Kraft seit Mai 2018). Was sich seit 2018 geändert hat: der Rahmen für internationale Datenübermittlungen (Schrems II, neue SCC, EU-US Data Privacy Framework), die Durchsetzungsintensität (CNIL, DPC, AEPD als die aktiven Aufsichtsbehörden), das Zusammenspiel mit dem AI Act bei der automatisierten Verarbeitung sowie Klarstellungen des EuGH zu Einwilligung, berechtigtem Interesse und Recht auf Vergessenwerden.
TL;DR
- 1Die DSGVO selbst wurde nicht geändert. Bewegt haben sich die Rechtsprechung, die EDPB-Leitlinien, die SCC und der Rahmen für internationale Datenübermittlungen.
- 2Schrems II hat 2020 den Privacy Shield für ungültig erklärt. Das EU-US Data Privacy Framework (DPF) hat ihn im Juli 2023 ersetzt; Übermittlungen an DPF-zertifizierte US-Importeure benötigen keine zusätzlichen Maßnahmen mehr.
- 3Die SCC von 2021 haben die Versionen von 2010 ersetzt. Jede Übermittlung außerhalb des EWR ohne Angemessenheitsbeschluss erfordert ein dokumentiertes Transfer Impact Assessment.
- 4Die Durchsetzung durch EDPB und nationale Behörden erreicht eine Rekordintensität. Wichtige Fälle 2023-2025: Meta (1,2 Milliarden Euro, Übermittlungen), LinkedIn (310 Millionen Euro, verhaltensbasierte Werbung), Clearview AI (mehrere Behörden).
- 5Zusammenspiel mit dem AI Act: Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, müssen beide einhalten. DPIA + Konformitätsbewertung nach AI Act zusammen.
Warum der Text stillstand und die Praxis sich bewegte
Die DSGVO wurde nicht neu geschrieben. Die Artikelnummern, die Sie 2018 gelernt haben, sind die Artikelnummern, die Sie 2026 anwenden. Was sich geändert hat, liegt eine Ebene tiefer: die Rechtsprechung, die den Text auslegt, die EDPB-Leitlinien, die ihn operationalisieren, die Standardvertragsklauseln, die Ihre Übermittlungen absichern, und die Angemessenheitsmechanik, die regelt, wo Daten rechtmäßig landen dürfen. Ein 2018 aufgebautes und seither nie angefasstes Datenschutzprogramm ist auf dem Papier nicht falsch. Es ist in der Praxis veraltet, und veraltet ist genau das, was die Durchsetzung heute findet.
Diese Seite richtet sich an die Person, die die Verordnung bereits versteht und wissen muss, was aufzufrischen ist. Sie setzt voraus, dass Sie personenbezogene Daten, einen Verantwortlichen und eine Rechtsgrundlage definieren können. Sie konzentriert sich auf die vier beweglichen Teile, die 2026 tatsächlich Feststellungen erzeugen: internationale Übermittlungen, das Transfer Impact Assessment, die Überschneidung mit dem AI Act und die Frage, ob Sie überhaupt verpflichtet sind, einen Data Protection Officer zu benennen.
Internationale Übermittlungen: der Entscheidungsbaum, nicht die Schlagzeile
Die meisten Teams kennen die Schlagzeilen. Schrems II hat 2020 den Privacy Shield für ungültig erklärt. Das EU-US Data Privacy Framework hat ihn 2023 ersetzt. Die SCC von 2021 haben die Versionen von 2010 ersetzt. Die Schlagzeilen sind wahr und für sich genommen fast nutzlos, denn die eigentliche Arbeit besteht darin, eine bestimmte Übermittlung einem bestimmten Instrument zuzuordnen und dann zu entscheiden, ob darüber hinaus ein Transfer Impact Assessment erforderlich ist. Das ist ein Entscheidungsbaum, und Sie durchlaufen ihn je Datenfluss, nicht einmalig für das gesamte Unternehmen.
Beginnen Sie beim Ziel. Wenn der Importeur in einem Land mit einem aktuellen EU-Angemessenheitsbeschluss sitzt, übermitteln Sie auf Grundlage des Angemessenheitsbeschlusses und benötigen für diesen Fluss weder SCC noch ein TIA. Liegt das Ziel in den Vereinigten Staaten und ist der Importeur für die betreffenden Datenkategorien selbst nach dem Data Privacy Framework zertifiziert, stützt sich dieser Fluss auf das DPF als eigene Angemessenheitsgrundlage: keine SCC, keine zusätzlichen Maßnahmen. In dem Moment, in dem Sie über beides hinausgehen, befinden Sie sich bei den Garantien nach Article 46, was in der Praxis die SCC von 2021 bedeutet, und die SCC bringen eine TIA-Pflicht mit sich, die Schrems II zur Pflicht gemacht hat.
| Übermittlungsszenario | Erforderliches Instrument | TIA erforderlich? |
|---|---|---|
| EWR in ein Land mit aktuellem Angemessenheitsbeschluss | Angemessenheitsbeschluss (kein zusätzlicher Vertrag) | Nein |
| EWR an einen US-Importeur, der nach dem DPF selbstzertifiziert ist, für erfasste Daten | DPF-Zertifizierung (wirkt als Angemessenheit) | Nein |
| EWR an einen US-Importeur, der NICHT dem DPF unterliegt | SCC von 2021 | Ja |
| EWR in ein nicht angemessenes Drittland (allgemeiner Fall) | SCC von 2021 | Ja |
| Konzerninterne Übermittlungen über viele Einheiten und Länder hinweg | Binding Corporate Rules (oder SCC) | Ja (je Ziel zu bewerten) |
| Weiterübermittlung durch Ihren Auftragsverarbeiter an dessen eigenen Unterauftragsverarbeiter im Ausland | Durchgereichte SCC in der Auftragsverarbeiterkette | Ja (die Kette erbt die Pflicht) |
Das Transfer Impact Assessment im Betrieb
Ein TIA ist das Dokument, das eine Frage beantwortet: Untergräbt das Recht und die Praxis des Zielstaats den Schutz, den Ihre SCC auf dem Papier versprechen? Es ist kein Kontrollkästchen. Es ist ein kleines Stück rechtlich-technischer Analyse, das Sie je Übermittlung (oder je Gruppe materiell identischer Übermittlungen) erstellen und für den Tag aufbewahren, an dem eine Aufsichtsbehörde danach fragt.
In der Praxis leistet ein belastbares TIA vier Dinge. Es beschreibt die Übermittlung konkret: wer exportiert, wer importiert, welche Daten, welches Volumen, welcher Zweck. Es bewertet das rechtliche Regime des Ziellandes, mit besonderem Augenmerk auf staatliche Zugriffsbefugnisse und darauf, ob eine betroffene Person über einen wirksamen Rechtsbehelf verfügt. Es identifiziert zusätzliche Maßnahmen, wo das rechtliche Regime schwach ist, und die Maßnahme, die tatsächlich etwas bewirkt, ist eine von Ihnen kontrollierte Verschlüsselung, bei der der Importeur die Schlüssel nie hält. Und es hält eine begründete Schlussfolgerung fest: durchführen, mit Maßnahmen durchführen oder nicht übermitteln.
- Bilden Sie den Fluss präzise ab, einschließlich aller Weiterübermittlungen, die Ihr Auftragsverarbeiter an Unterauftragsverarbeiter vornimmt. Die Flüsse, die Sie vergessen, sind die, die bei einer Datenpanne ans Licht kommen.
- Bewerten Sie das Recht des Ziellandes anhand der EDPB-Kriterien, nicht anhand Ihres Bauchgefühls über das Land.
- Wenden Sie zusätzliche Maßnahmen an, wo nötig, und behandeln Sie eine starke, schlüsselverwaltete Verschlüsselung als technische Standardmaßnahme statt allein auf vertragliche Zusagen zu setzen.
- Dokumentieren und datieren Sie die Schlussfolgerung und legen Sie dann einen Überprüfungsauslöser fest, damit sie nicht stillschweigend abläuft.
Wo die DSGVO auf den AI Act trifft
Der AI Act ersetzt die DSGVO nicht und lockert sie nicht. Wo ein KI-System personenbezogene Daten verarbeitet, gelten beide in vollem Umfang und Sie erfüllen beide. Die Überschneidung lässt sich am klarsten anhand des Artefakts erkennen, das jedes Regime erwartet. Die DSGVO verlangt ein Data Protection Impact Assessment, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Personen darstellt. Der AI Act verlangt für Hochrisiko-KI eine Konformitätsbewertung, technische Dokumentation und (für einige Systeme) eine Grundrechte-Folgenabschätzung. Das sind unterschiedliche Dokumente, die unterschiedliche Fragen beantworten, und ein Hochrisiko-KI-System, das personenbezogene Daten berührt, benötigt beide, in sich stimmig zueinander.
Die Reibungspunkte sind vertraute DSGVO-Probleme in neuem Gewand. Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung löste bereits die Pflichten nach Article 22 aus; der AI Act legt Transparenz- und Aufsichtspflichten obendrauf. Trainingsdaten werfen Fragen zur Rechtsgrundlage und zur Zweckbindung auf, die nicht verschwinden, weil das Ergebnis ein Modell ist. Profiling und Inferenz waren immer im Anwendungsbereich. Die praktische Regel für 2026: Betreiben Sie keinen KI-Governance-Arbeitsstrang, der Ihren DPO ignoriert, und betreiben Sie kein Datenschutzprogramm, das so tut, als wäre das Modelltraining das Problem von jemand anderem. Die beiden Bewertungen sollten aufeinander verweisen.
Privacy Engineers, die diese Regime in Build-Entscheidungen überbrücken müssen, sind genau die Zielgruppe für die CDPSE-Zertifizierung, die sich um Governance, Architektur und Datenlebenszyklus statt allein um Gesetzestext gliedert. Um Datenschutz als Managementsystem zu operationalisieren, das sauber neben einem ISMS steht, behandelt der ISO 27701 Foundation-Kurs das PIMS-Modell, und der ISO 27701 Lead Implementer-Kurs führt Sie durch dessen Aufbau und Betrieb.
Durchsetzung ist ein Signal, nicht nur ein Risiko
Lesen Sie aktuelle Durchsetzungsmaßnahmen als Landkarte dafür, wohin die Behörden schauen, denn sie sagen Ihnen, wo Ihre eigene Exposition wahrscheinlich liegt. Das Muster von 2023 bis 2025 ist konsistent. Internationale Übermittlungen brachten die höchsten Einzelstrafen hervor, wobei die Meta-Entscheidung (1,2 Milliarden Euro) sich um EU-US-Datenflüsse drehte. Verhaltensbasierte Werbung und die Rechtsgrundlage für Ad-Targeting führten zur LinkedIn-Entscheidung (310 Millionen Euro). Gescrapte biometrische Daten lösten wiederholte Maßnahmen gegen Clearview AI bei mehreren Behörden aus. Die aktiven Behörden sind die, die Sie erwarten würden: die CNIL in Frankreich, die DPC in Irland für die großen Plattformen, die AEPD in Spanien.
Die operative Erkenntnis lautet, die Durchsetzung nicht länger als die Schlagzeile eines anderen zu behandeln. Wenn Übermittlungen, Ad-Tech-Einwilligung und biometrische oder KI-nahe Verarbeitung dort liegen, wo die Bußgelder fallen, sind das die drei Akten, nach denen eine Aufsichtsbehörde Sie statistisch am wahrscheinlichsten fragt. Ein Programm, das ein aktuelles TIA, einen belastbaren Einwilligungsnachweis und eine DPIA für seine risikoreichste Verarbeitung vorlegen kann, ist ein Programm, das die tatsächlich gestellten Fragen übersteht.
Benötigen Sie wirklich einen DPO?
Die DPO-Frage wird am häufigsten reflexartig statt anhand des Textes beantwortet. Article 37 macht einen DPO in drei Situationen verpflichtend: Sie sind eine Behörde oder öffentliche Stelle; Ihre Kerntätigkeiten bestehen in einer umfangreichen regelmäßigen und systematischen Überwachung betroffener Personen; oder Ihre Kerntätigkeiten bestehen in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen. Trifft keine davon zu, erzwingt die DSGVO die Benennung nicht, auch wenn einige nationale Gesetze eigene Auslöser hinzufügen und ein freiwilliger DPO oft die kluge Wahl ist.
Der Begriff, der die meisten realen Fälle entscheidet, ist "Kerntätigkeiten". Ein Krankenhaus überwacht Gesundheitsdaten als seine Kerntätigkeit und benötigt daher einen DPO. Ein Hersteller, der eine Gehaltsabrechnung betreibt, verarbeitet personenbezogene Daten, aber das ist eine unterstützende Funktion, keine Kerntätigkeit, sodass die Gehaltsabrechnung allein die Pflicht nicht auslöst. Die Fehler häufen sich an den Rändern: jemanden zu benennen, dem die von Article 38 geforderte Unabhängigkeit und Berichtslinie fehlt, einen DPO zu benennen, der einen Interessenkonflikt hat, weil er auch die Verarbeitung verantwortet, die er beaufsichtigen soll, oder auf dem Papier zu benennen und der Rolle dabei keine Autorität zu geben. Ein DPO, der den Vorstand nicht erreichen und nicht nein sagen kann, ist eine Feststellung, die nur darauf wartet, geschrieben zu werden.
Wenn die Rolle von Ihnen zu besetzen oder zu beaufsichtigen ist, kommt es auf die Tiefe an. Der GDPR Foundation-Kurs ist der richtige Ausgangspunkt für das Team rund um die Rolle, und der GDPR Certified Data Protection Officer-Kurs ist für die Person gemacht, die den Titel trägt, und behandelt die Unabhängigkeit, die Aufgaben und die Rechenschaftspflicht, die die Verordnung tatsächlich verlangt.
Was Sie vor Ihrem nächsten Audit auffrischen sollten
Bringen Sie die beweglichen Teile auf den aktuellen Stand, und der Rest des Programms regelt sich weitgehend von selbst. Vergewissern Sie sich, dass jede Übermittlung auf den SCC von 2021 beruht, nicht auf dem zurückgezogenen Satz von 2010, denn Altklauseln sind eine sofortige Feststellung. Prüfen Sie, dass jede nicht angemessene Übermittlung ein datiertes TIA hat, das aus Ihrem RoPA verlinkt ist. Überprüfen Sie, dass jeder US-Anbieter, auf den Sie sich verlassen, derzeit für die Daten, die Sie senden, DPF-zertifiziert ist, und dass Sie eine SCC-Rückfalloption haben, falls nicht. Stellen Sie sicher, dass Ihre risikoreichste Verarbeitung eine DPIA hat und dass alles KI-Getriebene die AI-Act-Artefakte daneben liegen hat. Testen Sie schließlich die DPO-Frage erneut anhand Ihrer tatsächlichen Kerntätigkeiten statt anhand der Antwort, die Sie 2018 gegeben haben.
Frequently asked questions
01Benötige ich seit der Annahme des EU-US DPF weiterhin SCC?
Für Übermittlungen an US-Importeure, die sich selbst nach dem EU-US Data Privacy Framework zertifiziert haben, nein: Der Angemessenheitsbeschluss vom Juli 2023 deckt diese Übermittlungen ab. Prüfen Sie die Zertifizierung des Importeurs auf der DPF-Liste des Department of Commerce.
Für Übermittlungen an Importeure in den USA, die nicht dem DPF unterliegen, oder Übermittlungen in jedes andere Drittland ohne Angemessenheitsbeschluss sind die SCC von 2021 (oder ein anderes Übermittlungsinstrument) plus ein Transfer Impact Assessment erforderlich.
02Was ist ein Transfer Impact Assessment und wann benötige ich eines?
Ein TIA ist die seit Schrems II erforderliche dokumentierte Analyse für jede Übermittlung personenbezogener Daten außerhalb des EWR ohne Angemessenheitsbeschluss. Es bewertet, ob das Recht des Zielstaats ein Schutzniveau bietet, das dem innerhalb der EU garantierten Schutzniveau der Sache nach gleichwertig ist, und identifiziert gegebenenfalls zusätzliche Maßnahmen.
Sie benötigen ein TIA für jede solche Übermittlung, bezogen auf den jeweiligen Übermittlungsfluss. Die EDPB Recommendations 01/2020 liefern die Methodik. Die meisten Organisationen, die nicht-europäische SaaS-Anbieter nutzen, unterschätzen den Aufwand für das TIA und verlassen sich auf die Vorlage des Anbieters, die für sich genommen rechtlich nicht ausreichend ist.
03Wie wirkt der AI Act mit der DSGVO zusammen?
Der AI Act ist eine zusätzliche Ebene über der DSGVO, kein Ersatz. Wo Hochrisiko-KI-Systeme personenbezogene Daten verarbeiten, gelten beide Verordnungen: die DSGVO für die Rechtsgrundlage, die Betroffenenrechte, die DPIA, den Rahmen für internationale Übermittlungen; der AI Act für die Konformitätsbewertung, das Risikomanagement, die technische Dokumentation, die menschliche Aufsicht.
In der Praxis integrieren Organisationen die DPIA und die Konformitätsbewertung nach AI Act nach Möglichkeit in ein einziges Dokument, um doppelte Arbeit und widersprüchliche Risikobehandlungen zu vermeiden.
04Welche Durchsetzungstrends sollte ich beobachten?
Drei Trends seit 2022: (1) eine stärkere Zusammenarbeit der Aufsichtsbehörden (One-Stop-Shop-Entscheidungen, gemeinsame Untersuchungen), wobei die DPC in Irland weiterhin bei grenzüberschreitenden Fällen gegen US-Tech führend ist, die verbindlichen Beschlüsse des EDPB ihren Spielraum jedoch enger fassen; (2) hohe Bußgelder bei verhaltensbasierter Werbung und Dark Patterns (Meta, LinkedIn, Amazon, Google); (3) Durchsetzung bei Cookies und Tracking-Technologien nach der ePrivacy-Richtlinie (CNIL besonders aktiv).
Der Trend dürfte sich fortsetzen: mehr grenzüberschreitende verbindliche Beschlüsse, eine strengere Prüfung des berechtigten Interesses als Grundlage für verhaltensbasierte Verarbeitung und eine wachsende Aufmerksamkeit für KI-bezogene Verarbeitung nach Article 22 der DSGVO (automatisierte Entscheidungsfindung).
05Benötigt meine Organisation einen DPO?
Die Articles 37 bis 39 der DSGVO verlangen einen DPO, wenn: (a) der Verantwortliche oder Auftragsverarbeiter eine Behörde oder öffentliche Stelle ist; (b) die Kerntätigkeiten eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erfordern; (c) die Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen bestehen.
Über die gesetzliche Anforderung hinaus benennen viele Organisationen der Privatwirtschaft aus Gründen des Risikomanagements freiwillig einen DPO. DPOs auf Konzernebene sind zulässig und in multinationalen Unternehmen üblich; sie müssen für betroffene Personen und für die Aufsichtsbehörde erreichbar bleiben.




