Am 28. Januar 2026 ist Europäischer Datenschutztag. Ein fester Termin in unserem Kalender, den wir bei ecoprotec seit Jahren nutzen, um Datenschutz praxisnah einzuordnen. In diesem Jahr haben wir unsere Projektleiterin und externe Datenschutz­beauftragte Lota Spedt zum aktuellen Stand beim Datenschutz in Deutschland und Europa interviewt.

Sven Kröger hat mit unserer externen Datenschutzbeauftragten Lota Spedt (LL.M.) gesprochen. Im Interview geht es weniger um neue Paragrafen, Gesetze oder Verordnungen. Wir wollen einen ganz pragmatischen Blick auf die Herausforderungen im Datenschutz geben, mit der unsere Projektleiterinnen und Projektleiter in ihrem (Arbeits-)Alltag konfrontiert sind.

Spätestens im Laufe des vergangenen Jahres ist Künstliche Intelligenz endgültig in der alltäglichen Arbeitswelt angekommen. Während einige Unternehmen den Einsatz von KI-Systemen strategisch steuern und organisatorisch wie technisch „fest im Griff“ haben, gehen andere deutlich informeller damit um – und wiederum andere überlassen das Thema faktisch sich selbst. Letzteres führt in der Praxis häufig zur sogenannten Schatten-KI. Darunter ist der Einsatz von KI-Anwendungen zu verstehen, der ohne Kenntnis oder Freigabe der Geschäftsführung oder der IT-Abteilung erfolgt. Mitarbeitende greifen hierbei eigenständig auf externe KI-Dienste zurück, etwa zur Texterstellung, Bildgenerierung oder Datenanalyse. Was kurzfristig Effizienzgewinne verspricht, entzieht sich jedoch regelmäßig der unternehmensinternen Kontrolle. Die Folge ist ein kaum überschaubarer Wildwuchs an Tools, Schnittstellen und Datenflüssen und damit ein reales Risiko, das weniger mit dystopischen KI-Szenarien zu tun hat als vielmehr mit klassischer Governance- und Compliance-Problematik.

Schatten-KI ist dabei keineswegs ein Argument gegen den Einsatz von KI an sich. Vielmehr bedarf es einer sorgfältigen Prüfung sowie einer klaren unternehmensinternen Regulierung. Dazu zählen insbesondere geeignete Überwachungs- und Kontrollmechanismen, die Etablierung verbindlicher Richtlinien zur Nutzung von KI-Systemen (KI-Governance) sowie die Vermittlung entsprechender KI-Kompetenzen an die Mitarbeitenden. Hinzu treten erhebliche datenschutzrechtliche Anforderungen, da der Einsatz von KI faktisch kaum ohne die Verarbeitung personenbezogener Daten auskommt. Transparenzpflichten gegenüber den Betroffenen, datenschutzfreundliche Voreinstellungen, die konsequente Anwendung der Grundprinzipien der DSGVO sowie Fragen der Datenübermittlung in Drittstaaten sind hierbei zwingend zu adressieren. Eine frühzeitige Einbindung zuständiger Stellen – etwa von Datenschutzbeauftragten oder AI-Officern – kann dabei helfen, Verstöße nicht erst im Nachhinein festzustellen, sondern von vornherein zu vermeiden.

Mindestens ebenso relevant, und in der Praxis erstaunlich fehleranfällig, bleiben die Betroffenenrechte. Ob eine Auskunftsanfrage nach Art. 15 DSGVO oder der Widerspruch gegen den Erhalt eines Newsletters – an sich alltägliche Vorgänge, die dennoch regelmäßig scheitern. So etwa im Fall eines Betroffenen, der der Zusendung von E-Mail-Werbung widersprochen hatte. Der Widerspruch wurde augenscheinlich umgesetzt, bis einige Monate später erneut ein Newsletter im Postfach landete. Der Betroffene wandte sich daraufhin an die Aufsichtsbehörde und reichte Beschwerde ein. Plötzlich standen Fragen im Raum, die zuvor offenbar niemand gestellt hatte: Warum wurde dem Widerspruch nicht dauerhaft entsprochen? An welcher Stelle versagte der interne Prozess? Und weshalb fiel dies erst auf, als die Aufsicht eine Stellungnahme verlangte?

Ein weiteres, nicht minder ergiebiges Praxisfeld stellen Websites dar, insbesondere die allseits bekannten Cookie-Consent-Banner. Trotz inzwischen vergleichsweise klarer gesetzlicher Vorgaben und umfangreichen Orientierungshilfen der Aufsichtsbehörden begegnet man in der Praxis nach wie vor auf nahezu jeder zweiten Seite (gefühlt eher neun von zehn) fehlerhaft konfigurierten Einwilligungsmechanismen. Dabei reicht das Spektrum von technisch unzulässigen Voreinstellungen über farblich suggestive Gestaltungen bis hin zu kaum transparenten oder gar irreführenden Informationen, die unter dem wohlklingenden Versprechen eines verbesserten „Surferlebnisses“ firmieren.

Hinzu treten häufig unzureichende oder bewusst überladene Datenschutzerklärungen, in denen entweder wesentliche Angaben fehlen oder vorsorglich „alles einmal aufgenommen“ wurde, um vermeintlich auf der sicheren Seite zu sein. Auch hier gilt: Eine frühzeitige Einbindung der zuständigen Instanzen, etwa der Datenschutzbeauftragten, ist essenziell. Denn sobald eine Website oder entsprechende Inhalte online sind, lassen sich Mängel zwar nachträglich beheben, stellen bis dahin jedoch ein nicht unerhebliches Risiko mit unmittelbarer Außenwirkung dar.

Ob beim Einsatz neuer Technologien wie KI-Systemen, bei der Wahrung von Betroffenenrechten oder bei der Gestaltung von Websites – die rechtlichen Anforderungen sind seit Jahren bekannt und vielfach konkretisiert.

Gleichwohl zeigt die Praxis, dass es weniger an fehlenden Regelungen als an deren konsequenter Umsetzung mangelt. Datenschutz scheitert nicht ausschließlich an der Komplexität des Rechts, sondern häufig an organisatorischen Versäumnissen, unklaren Zuständigkeiten oder dem Irrglauben, man könne „später noch nachbessern“.

Genau darin liegt jedoch das Risiko: Denn Aufsichtsbehörden reagieren nicht auf gute Absichten, sondern auf tatsächliche Verstöße.