Datenschutz ist kein Projekt. Er ist ein Dauerzustand – und die Lage hat sich verschärft.

Acht Jahre nach Inkrafttreten der Datenschutz-Grundverordnung gibt es zwei Arten von Unternehmen: jene, die DSGVO-Compliance als gelöstes Thema abgehakt haben – und jene, die verstanden haben, dass der rechtliche Boden unter ihren Datenflüssen ständig in Bewegung ist. Die erste Gruppe wird teuer lernen, zur zweiten zu gehören.

Die Zahlen sprechen eine deutliche Sprache. Allein gegen Meta wurden 1,2 Milliarden Euro verhängt, gegen Amazon 746 Millionen, gegen LinkedIn 310 Millionen – und das sind nur die Spitze. In Österreich ist die Datenschutzbehörde seit Jahren aktiv, und auch mittelständische Unternehmen stehen längst im Fokus. Wer glaubt, mit einer vor fünf Jahren erstellten Datenschutzerklärung und einem Auftragsverarbeitungsverzeichnis aus dem Webbaukasten abgesichert zu sein, unterschätzt die Dynamik dieses Rechtsgebiets grob.

Der Strafrahmen ist nur die halbe Wahrheit.

Bekannt sind die Eckdaten: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Weniger bekannt – und oft geschäftsgefährdender – sind die indirekten Folgen eines Datenschutzvorfalls:

• Reputationsschaden bei Kunden, Lieferanten und Geschäftspartnern, der sich in keiner Bilanz kompensieren lässt.
• Auditausfälle und Zertifizierungsverluste – ISO 27001, TISAX, branchenspezifische Standards setzen heute ausnahmslos einen funktionierenden DSGVO-Rahmen voraus.
• Vertragsverluste bei Ausschreibungen, weil öffentliche Auftraggeber und Konzerne DSGVO-Nachweise als K.-o.-Kriterium abfragen.
• Zivilrechtliche Schadenersatzansprüche einzelner Betroffener, die sich schnell zu Sammelverfahren auswachsen können.

Der transatlantische Datentransfer: wieder ein Wackelpfeiler.

Mit dem am 10. Juli 2023 verabschiedeten EU-U.S. Data Privacy Framework hat die EU-Kommission den Transfer personenbezogener Daten in die USA erneut für zulässig erklärt IAPP – allerdings nur für Unternehmen, die sich aktiv zertifizieren lassen. Über 2.800 US-Organisationen halten derzeit eine aktive DPF-Zertifizierung Recording Law, darunter die meisten großen Cloud- und SaaS-Anbieter.

Und doch ist die rechtliche Ruhe trügerisch. Im September 2025 hat das EU-Gericht eine erste Klage gegen den DPF abgewiesen Hunton, die Berufung liegt seit Oktober 2025 beim Europäischen Gerichtshof Btlj. Die Organisation NOYB rund um Max Schrems – bereits zweimal erfolgreich gegen Vorgängerabkommen – hat weitere Angriffe angekündigt. Hinzu kommt eine strukturelle Schwachstelle: Der DPF basiert in seinem Kern auf einer US-Executive Order, die jeder künftige US-Präsident ohne Kongressbeschluss widerrufen kann Recording Law. Ein „Schrems III“ ist damit nicht eine Frage des Ob, sondern des Wann.

Für Unternehmen bedeutet das: Wer sich heute blind auf den DPF verlässt, ohne Exit-Szenarien vorbereitet zu haben, geht dieselbe Wette ein, an der Tausende Unternehmen 2020 beim Fall des Privacy Shields gescheitert sind.

Die neue Dimension: KI-Tools und generative Anwendungen.

Was 2018 Facebook Pixel und Google Analytics waren, sind heute ChatGPT, Microsoft 365 Copilot, GitHub Copilot, Claude, Gemini und Hunderte weitere KI-Dienste. Mitarbeiter nutzen sie längst – oft inoffiziell, oft mit Geschäftsgeheimnissen, oft mit personenbezogenen Daten. Jeder dieser Uploads ist ein potenzieller Drittlandtransfer, eine potenzielle Auftragsverarbeitung, ein potenzieller Regelverstoß.

Parallel entstehen neue Rechtsgebiete, die mit der DSGVO ineinandergreifen müssen: NIS2 verpflichtet Unternehmen zu technisch-organisatorischen Sicherheitsmaßnahmen, die KI-Verordnung (AI Act) regelt den Einsatz algorithmischer Systeme, der Data Act öffnet Datenräume, die CER-Richtlinie adressiert physische Resilienz. Wer DSGVO isoliert betrachtet, hat das eigentliche Bild nicht mehr verstanden.

Was wir für Sie tun.

Wir gehen pragmatisch vor – keine 200-seitigen Gutachten, die in der Schublade verschwinden, sondern umsetzbare Resultate:

• Datenschutz-Assessment Ihres Ist-Zustands, inklusive Gap-Analyse zu DSGVO, NIS2 und branchenspezifischen Anforderungen.
• Inventur aller Datenflüsse – insbesondere in Richtung USA und anderer Drittländer, einschließlich KI-Dienste und Schatten-IT.
• Aufbau oder Aktualisierung von Verarbeitungsverzeichnis, TOMs, Auftragsverarbeitungsverträgen, Datenschutzerklärung, Löschkonzept.
• Risikobewertung und Exit-Strategien für kritische US-Dienste – für den Tag, an dem der DPF fällt.
• Begleitung bei Datenschutzvorfällen und Kommunikation mit Aufsichtsbehörden.
• Integration in Ihr ISMS und vorhandene Zertifizierungen, damit Datenschutz nicht parallel, sondern eingebettet läuft.

Warum jetzt?

Weil die Zeit gegen Sie arbeitet. Jeder Monat ohne aktualisiertes Datenschutzmanagement erhöht das Risiko – durch neue Tools, die eingeführt werden, neue Mitarbeiter, die unkontrolliert Daten verarbeiten, neue Urteile, die bestehende Praxis plötzlich angreifbar machen. Und weil eine Aufsichtsbehörde im Ernstfall nicht fragt, ob Sie es noch geplant hatten – sondern ob es umgesetzt ist.

Wissen Sie, wohin Ihre Daten heute tatsächlich fließen?

Die ehrliche Antwort fällt den meisten Unternehmen schwerer, als sie zugeben möchten. Lassen Sie uns das gemeinsam aufdecken – bevor es eine Behörde tut.

→ Jetzt unverbindlichen Beratungstermin vereinbaren