DSGVO 2026: Die 10 Fehler, die Unternehmen immer noch machen

Die DSGVO trat im Mai 2018 in Kraft. Acht Jahre später verhängen Datenschutzbehörden weiterhin bedeutende Bußgelder für dieselben Verstoßkategorien. Das Gesetz ist nicht komplexer geworden — die Vollstreckung ist erfahrener geworden.

Hier sind die zehn Fehler, die am häufigsten in Sanktionsentscheidungen, regulatorischen Leitlinien und Prüfungsfeststellungen auftreten.

Fehler 1: Die Datenschutzerklärung als Compliance-Programm behandeln

Die Datenschutzerklärung ist eine Offenlegungspflicht. Sie ist kein Compliance-System. Organisationen, die ihre Erklärung 2018 aktualisiert und die DSGVO als erledigt betrachtet haben, haben ein Offenlegungsdokument — und nichts darunter.

Ein funktionsfähiges DSGVO-Programm erfordert: dokumentierte Rechtsgrundlage für jede Verarbeitungstätigkeit, operative Prozesse für Betroffenenrechte, eine Reaktionsfähigkeit bei Datenpannen, tatsächlich durchgesetzte Aufbewahrungsfristen und aktuelle Auftragsverarbeitungsverträge.

Fehler 2: Einwilligung verlangen, wenn sie nicht notwendig ist

Einwilligung ist oft die am schwierigsten korrekt zu pflegende Rechtsgrundlage. Wenn Sie Daten verarbeiten, weil es zur Vertragserfüllung notwendig ist, verwenden Sie Vertragsnotwendigkeit. Wenn Sie einen legitimen Geschäftszweck haben, verwenden Sie berechtigte Interessen mit einem dokumentierten Interessenabwägungstest.

Fehler 3: Auftragsverarbeiter vergessen

Jedes Mal, wenn Sie Daten mit einem externen Dienstleister teilen, der sie in Ihrem Namen verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag. Am häufigsten vergessen: IT-Support-Unternehmen, HR-Plattformen, BI-Tools und Dokumentenspeicherdienste.

Fehler 4: Vage oder gebündelte Einwilligung für Marketing

Einwilligung für elektronisches Direktmarketing muss spezifisch für den Zweck und den Kanal sein. Eine angekreuzte Checkbox, die sagt „Ich stimme zu, Mitteilungen von unseren Partnern zu erhalten”, stellt keine gültige Einwilligung dar. Auch keine vorangekreuzte Box.

Fehler 5: Nicht fristgerecht auf Betroffenenanfragen antworten

Die Einmonatsfrist läuft ab dem Empfangsdatum, nicht ab dem Zeitpunkt, an dem jemand sie betrachtet. Aufsichtsbehörden verfolgen die Bearbeitung von Auskunftsanfragen sorgfältig.

Fehler 6: Daten länger als notwendig aufbewahren

Die meisten Organisationen haben nie eine automatisierte Aufbewahrungsrichtlinie implementiert. Daten akkumulieren sich unbegrenzt in E-Mail-Systemen, gemeinsamen Laufwerken und Datenbanken.

Fehler 7: Das Interessenabwägungstest-Dokument fehlt

Wenn Sie berechtigte Interessen als Rechtsgrundlage geltend machen, benötigen Sie eine dokumentierte Abwägung. Ohne zeitgenössische Dokumentation haben Sie effektiv eine Rechtsgrundlage beansprucht, die Sie nicht nachweisen können.

Fehler 8: Kein Verzeichnis der Datenpannen

Artikel 33(5) DSGVO verlangt die Dokumentation aller Datenpannen, einschließlich derjenigen, die den Meldeschwellenwert nicht erreichen.

Fehler 9: Nicht dokumentierte Mitarbeiterschulung

Eine Schulung, die einmal 2019 stattgefunden hat, ohne Aufzeichnungen über die Teilnehmer, ist kein Compliance-Asset — es ist eine Haftung.

Fehler 10: Grenzüberschreitende Übermittlungspflichten ignorieren

Jedes Mal, wenn personenbezogene Daten von EU-Bürgern den EWR verlassen, erfordert die Übermittlung einen Rechtsmechanismus. Viele Organisationen haben Standardvertragsklauseln implementiert, aber nie die nach Schrems II erforderliche Datenschutz-Folgenabschätzung für die Übermittlung durchgeführt.

Der gemeinsame Nenner aller dieser Fehler ist derselbe: Compliance wurde als Dokumentationsübung behandelt, nicht als operatives Programm. Organisationen, die Regulierungsprüfungen bestehen, sind nicht die mit den besten Richtlinien — es sind diejenigen, deren tägliche Betriebsabläufe den Beweis erbringen, dass die Richtlinien real sind.