Dies ist eine Leseprobe des monatlichen Datenschutz-Newsletters  ·  Zur Website  ·  Kostenlos abonnieren

Datenschutz Kroes
Newsflash  ·  Monatlicher Newsletter
Ausgabe
April 2026  ·  #12
Themen EuGH-Urteil zu Bußgeldern  ·  Verarbeitungsverzeichnis in 5 Schritten  ·  NIS2-Update
AK

Guten Tag,

der April bringt Bewegung: Ein wegweisendes EuGH-Urteil verändert, wie Datenschutzbehörden künftig mit Verstößen umgehen — und was das für Ihr Unternehmen bedeutet, lesen Sie gleich. Dazu: Warum Ihr Verarbeitungsverzeichnis wahrscheinlich Lücken hat, wie Sie das in fünf Schritten beheben, und welche drei Datenschutz-Irrtümer ich immer wieder höre.

Alexander Kroes  ·  Externer Datenschutzbeauftragter  ·  Kufstein, Tirol

In dieser Ausgabe

01   Titelthema

EuGH-Urteil  ·  C-741/21  ·  März 2026

EuGH: Datenschutzbehörden müssen Bußgelder verhängen — kein Ermessen mehr

Der Europäische Gerichtshof hat klargestellt: Stellt eine Datenschutzbehörde einen DSGVO-Verstoß fest, ist sie grundsätzlich verpflichtet, ein Bußgeld zu verhängen. Eine bloße Verwarnung oder Empfehlung genügt nur noch in begründeten Ausnahmefällen — und diese Ausnahme muss die Behörde aktiv begründen.

„Wer bisher auf die Kulanz der Behörde gehofft hat, sollte seine Datenschutzmaßnahmen jetzt überprüfen. Die Schonzeit ist vorbei."

Für österreichische und deutsche KMU heißt das konkret: Die Zeiten, in denen ein Behördenbrief mit einer freundlichen Empfehlung endete, sind vorbei. Fehlende Verarbeitungsverzeichnisse, lückenhafte Datenschutzerklärungen oder fehlende Auftragsverarbeitungsverträge sind die häufigsten Beanstandungen — und genau dort setzt die Behörde nun mit erhöhtem Nachdruck an.

Was das für Sie bedeutet

  • Prüfen Sie, ob Ihr Verarbeitungsverzeichnis vollständig und aktuell ist.
  • Stellen Sie sicher, dass AVV mit allen relevanten Dienstleistern geschlossen sind.
  • Überprüfen Sie Ihre Website-Datenschutzerklärung — besonders Cookie-Banner.
  • Dokumentieren Sie Ihre Datenschutzmaßnahmen nachweisbar (Rechenschaftspflicht).
02   Aktuelles
Achtung

Mitarbeiterliste per E-Mail? Das ist ein Verstoß.

Interne Verteilerlisten, die unverschlüsselt weitergeleitet werden, verstoßen regelmäßig gegen Art. 32 DSGVO. Eine einfache Ende-zu-Ende-Verschlüsselung schafft Abhilfe.

Recht

Videoüberwachung: neue Grenzen durch BAG-Urteil

Kameraüberwachung im Lager ist auch ohne Betriebsrat unter strengen Bedingungen zulässig — aber nur mit dokumentiertem Verdacht und verhältnismäßiger Dauer.

Praxis

Cookie-Banner: Ablehnen muss so einfach sein wie Zustimmen

Viele Banner sind immer noch nicht konform. Entscheidend: Der "Ablehnen"-Button darf nicht versteckt oder kleiner gestaltet sein als "Zustimmen".

Frist

NIS2: Erste Überprüfungen in DE ab Q3 2026

Behörden haben angekündigt, ab Sommer aktiv zu prüfen. Betroffene Unternehmen sollten ihre Meldewege und Sicherheitsmaßnahmen jetzt dokumentieren.

03   Praxis-Tipp des Monats

Schritt für Schritt

Verarbeitungsverzeichnis in 5 Schritten DSGVO-fit machen

Das Verarbeitungsverzeichnis ist die Grundlage jeder DSGVO-Prüfung — und bei vielen KMU der erste Schwachpunkt. So machen Sie es sauber:

  • 01

    Vollständigkeit prüfen: Erfassen Sie alle Verarbeitungstätigkeiten — auch kleine wie die Visitenkartensammlung, den Bewerberpool oder das Newsletter-Tool.

  • 02

    Rechtsgrundlage benennen: Für jede Tätigkeit muss eine Rechtsgrundlage nach Art. 6 DSGVO dokumentiert sein. "Berechtigtes Interesse" reicht nur mit Interessenabwägung.

  • 03

    Löschfristen festlegen: Wann werden welche Daten gelöscht? Orientieren Sie sich an gesetzlichen Aufbewahrungsfristen und dokumentieren Sie die Entscheidung.

  • 04

    Auftragsverarbeiter eintragen: Cloud-Dienste, Buchhaltungssoftware, E-Mail-Anbieter — all das muss ins Verzeichnis, inklusive geschlossenem AVV.

  • 05

    Aktuell halten: Das Verzeichnis ist kein Einmal-Dokument. Bei jeder neuen Software oder Datennutzung sofort ergänzen und jährlich vollständig überprüfen.

04   Zahlen & Fakten

DSGVO-Bußgelder 2025

Ein Jahr in Zahlen

Die europäischen Datenschutzbehörden haben 2025 erneut Rekordsummen verhängt. Ein Blick auf die Daten zeigt: Es trifft nicht nur Konzerne.

4,3 Mrd.
Euro Bußgelder gesamt in der EU 2025
31 %
der betroffenen Unternehmen sind KMU
68 %
der Bußgelder wegen fehlender Rechtsgrundlage
05   Aus der Praxis

Die drei häufigsten Datenschutz-Irrtümer im KMU-Alltag

Irrtum 1 „Wir sind zu klein, um für die Datenschutzbehörde interessant zu sein."

Falsch. Größe schützt nicht. Behörden reagieren auf Beschwerden — und die kommen häufiger von Mitarbeitenden oder Kunden als durch aktive Kontrollen. Ein einziges unzufriedenes ehemaliges Teammitglied reicht aus, um eine Prüfung auszulösen.

Irrtum 2 „Wir haben eine Datenschutzerklärung auf der Website, das reicht."

Eine Datenschutzerklärung ist nur ein kleiner Teil der DSGVO-Compliance. Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen, Schulungen, AVV mit Dienstleistern — all das gehört dazu. Die Erklärung auf der Website ist das Schaufenster, aber nicht das ganze Haus.

Irrtum 3 „Datenschutz kostet nur Zeit und bringt uns nichts."

Gutes Datenschutzmanagement ist ein Wettbewerbsvorteil — besonders im B2B-Bereich. Immer mehr Auftraggeber verlangen Nachweise über Datenschutz-Compliance als Voraussetzung für die Zusammenarbeit. Und: Kunden vertrauen Unternehmen mehr, die transparent mit ihren Daten umgehen.

"

Datenschutz ist kein Hindernis für Ihr Geschäft. Er ist der Beweis, dass Sie Ihr Geschäft ernst nehmen.

Alexander Kroes  ·  Externer Datenschutzbeauftragter

Newsflash – Jetzt anmelden  ·  Für Inhaber, Geschäftsführungen und Verantwortliche

Datenschutz-Praxis-Wissen,
direkt in Ihr Postfach.

Monatlich: aktuelle News im Datenschutzrecht, praxisnahe Tipps für Ihr Unternehmen und Hinweise auf neue Bußgeldentscheidungen. Kompakt und garantiert ohne Juristendeutsch.

Jetzt kostenlos abonnieren

Kein Spam  ·  Jederzeit abmeldbar  ·  Kostenlos