Zehn Jahre DSGVO:
Bilanz und Ausblick für italienische KMU

Zehn Jahre DSGVO: die Zeitleiste, die den europäischen Datenschutz verändert hat

Am 24. Mai 2016 trat die Verordnung (EU) 2016/679 — die Datenschutz-Grundverordnung (DSGVO) — in Kraft. Ab diesem Tag hatten Bürger, Unternehmen und öffentliche Verwaltungen zwei Jahre Zeit, sich auf die neue europäische Datenschutzordnung vorzubereiten, die ab dem 25. Mai 2018 unmittelbar anwendbar wurde. Eine Frist, an die sich viele noch erinnern — vor allem an die Welle der «Aktualisiere deine Einstellungen»-E-Mails in den letzten Monaten dieser zweijährigen Übergangszeit.

In Italien wurde das Datenschutzgesetz (Gesetzesdekret 196/2003) durch das Gesetzesdekret 101/2018 an die DSGVO angepasst, das die Verordnung in das nationale Recht überführte und einen Garante für den Schutz personenbezogener Daten mit gestärkten Befugnissen beibehielt. In den zehn Jahren nach der Veröffentlichung der Verordnung haben mehrere Meilensteine die europäische Datenlandschaft neu gezeichnet: das Schrems-II-Urteil des Europäischen Gerichtshofs (16. Juli 2020), das den Privacy Shield für ungültig erklärte; die neuen Standardvertragsklauseln im Jahr 2021; das EU-US Data Privacy Framework im Jahr 2023; und schließlich 2024 der AI Act und die Stellungnahme 28/2024 des EDPB zu KI-Modellen.

Es ist eine Geschichte der ständigen Entwicklung. Genau deshalb lässt sie sich nicht ablegen: Zehn Jahre nach Inkrafttreten ist die DSGVO kein abgeschlossenes Kapitel, sondern ein Betriebssystem im permanenten Update.

Die Bußgelder, die die DSGVO-Rechtsprechung geprägt haben

Die kumulative Zahl ist beeindruckend: Laut dem GDPR Enforcement Tracker — der von CMS Legal gepflegten unabhängigen Datenbank — überstiegen die in ganz Europa verhängten Bußgelder bis Mai 2026 die Marke von 6 Milliarden Euro — verteilt auf fast 2.900 Verfahren. Das ist das Preisschild für zehn Jahre Verarbeitungstätigkeiten, die das Gesetz als rechtswidrig — oder zumindest unzureichend geschützt — einstuft.

Die größten Fälle sind jedem Compliance-Profi vertraut:

• 1Meta Platforms Ireland — 1,2 Milliarden € (Mai 2023). Das höchste Bußgeld in der Geschichte der DSGVO, verhängt von der irischen Datenschutzbehörde (DPC) wegen unrechtmäßiger Übermittlungen personenbezogener Daten in die USA auf Grundlage von Standardvertragsklauseln nach der Ungültigerklärung des Privacy Shield durch Schrems II. Es ist der Preis der europäischen Abhängigkeit von US-Big-Tech.
• 2TikTok — 530 Millionen € (Mai 2025). Übermittlung von Daten europäischer Nutzer nach China ohne angemessene Garantien. Der Fall hat die Frage nicht-gleichwertiger Drittländer neu auf den Tisch gebracht und Vorstände vor eine neue Frage gestellt: Wo speichern unsere SaaS-Anbieter unsere Daten wirklich?
• 3Meta / Instagram — 405 Millionen € (September 2022). Für die Verarbeitung von Daten Minderjähriger. Ein Bußgeld mit kultureller Wirkung jenseits der finanziellen Größenordnung: Das Produktdesign digitaler Dienste für Minderjährige begann, «Privacy by Default» als Projektgröße zu behandeln — nicht als Slogan.
• 4TIM SpA — 27,8 Millionen € (Januar 2020). Das höchste Bußgeld in Italien, vom Garante gegen einen großen Telekommunikationsanbieter wegen «zahlreicher unrechtmäßiger Verarbeitungen» im Zusammenhang mit aggressiver Telefonwerbung verhängt: Kontakte ohne Einwilligung, kontaminierte Listen, von Dritten ohne Rückverfolgbarkeit aggregierte Leads. Ein Lehrbuchfall, der die gesamte italienische B2C-Branche aufrüttelte.

Zur Einordnung der italienischen Zahlen: Laut Enforcement Tracker hatte der italienische Garante bis Mai 2026 Bußgelder in Höhe von über 311 Millionen Euro verhängt, verteilt auf 538 Verfahren — damit liegt Italien in der EU auf Platz vier nach Höhe und auf Platz zwei nach Anzahl der Bußgelder, hinter Spanien. Zahlen, die zur Vorsicht mahnen sollten, nicht zur Sorglosigkeit.

Datenschutz als «Lästigkeit»: eine noch unreife Kultur

Trotzdem gibt es eine unangenehme Wahrheit, die jeder kennt, der tagtäglich mit italienischen KMU arbeitet: Auch zehn Jahre später wird die DSGVO in vielen Unternehmen noch immer als bürokratische Last empfunden. Eine Pflichtaufgabe, die man dem externen Berater überlässt, der sich auch um die Arbeitssicherheit kümmert — demjenigen, der die Feuerlöscher installiert, den ergonomischen Bürostuhl überprüft und «wenn er schon da ist, auch den Datenschutz erledigt».

Das Drehbuch ist bekannt: branchenübergreifend identische Standardformulare (vom Reparaturbetrieb bis zur Zahnarztpraxis), Datenschutzhinweise, die von einem Kunden zum nächsten kopiert werden, Verzeichnisse von Verarbeitungstätigkeiten, die einmal ausgefüllt und nie wieder aktualisiert werden, Auftragsverarbeiter-Bestellungen, die niemand gelesen hat. Wer sie unterschreiben lässt, weiß nicht, was darin steht; wer sie unterschreibt, legt sie ungelesen ab. Wenn ein Mitarbeiter oder ein Kunde nachfragt, lautet die Antwort eine Variante desselben Satzes: «Entschuldigen Sie, das ist dieses Datenschutz-Gedöns — aber Sie posten dann ja Ihr Foto trotzdem auf Facebook».

Es ist eine schizophrene Haltung — sich um die Unterschrift auf dem Standardformular zu sorgen und die Daten zu ignorieren, die in sozialen Netzwerken, kostenlosen SaaS-Tools und privaten Arbeits-Chats verstreut sind — und sie hat eine klare Ursache: In zehn Jahren haben die meisten italienischen KMU nicht in eine Kultur des Datenschutzes investiert. Sie haben (wenig) in formale Erfüllung investiert, oft ausgelagert an nicht spezialisierte Dritte. Das Ergebnis ist eine Schein-Compliance, die das erste ernsthafte Audit oder der erste echte Vorfall in Stunden zerlegt.

Die gute Nachricht: Unternehmen, die die DSGVO als Anlass zur Neuordnung ihrer Prozesse genutzt haben — und nicht als Pflichtübung — sind heute im Vorteil. Sie nutzen das Verzeichnis von Verarbeitungstätigkeiten als Betriebsmittel, sie wissen, wo die Daten liegen, sie haben mit Cloud- und SaaS-Anbietern strukturierte Auftragsverarbeitungsverträge, sie bewältigen Datenschutzverletzungen mit eingespielten Prozessen. Und wenn NIS2, ISO 27001 oder der AI Act anklopfen, haben sie bereits die Landkarte.

Datenschutzreife in KMU: wo wir 2026 stehen

Die offiziellen Zahlen zeigen eine langsame, aber stetige Reifung. In seinem Jahresbericht 2024 an das Parlament hat der italienische Garante für den Schutz personenbezogener Daten über 4.000 Beschwerden bearbeitet, 835 Maßnahmen erlassen (davon 468 korrigierende oder sanktionierende), 130 Inspektionen durchgeführt und Bußgelder von rund 24 Millionen Euro verhängt. Ein erheblicher Anteil entfällt auf aggressive Telefonwerbung (allein 2024 mehr als 6 Millionen Euro) und auf schlecht bewältigte Datenschutzverletzungen.

Auf KMU-Seite stimmt das Bild mit dem überein, was der Cyber Index PMI 2026 für die Cybersicherheit zeigt: Nur 16 % der italienischen KMU verfügen über ein angemessenes Sicherheitsniveau, und die Quote sinkt drastisch bei Kleinstunternehmen unter zehn Beschäftigten. Datenschutz und Sicherheit sind zwei Seiten derselben Medaille: Unternehmen, die in beiden Bereichen reif sind, bleiben eine qualifizierte Minderheit.

Die wiederkehrenden Schwachstellen, die in den Inspektionen des Garante und in Branchen-Audits auftauchen, sind immer dieselben: unvollständige oder nicht aktualisierte Verzeichnisse von Verarbeitungstätigkeiten, generische Datenschutzhinweise, fehlende Datenschutz-Folgenabschätzungen (DSFA) bei Hochrisiko-Verarbeitungen (Videoüberwachung, Biometrie, Kundenprofilierung), fehlende oder Boilerplate-Auftragsverarbeitungsverträge, Mitarbeiterschulungen, die auf eine jährliche E-Mail reduziert sind.

DSGVO, NIS2 und ISO 27001: drei konvergierende Säulen

Die eigentliche Neuerung des nächsten Jahrzehnts wird keine neue zusätzliche Verordnung sein, sondern die Konvergenz der Rahmenwerke, die heute in den Köpfen vieler Entscheider noch getrennt wirken. DSGVO, NIS2 und ISO/IEC 27001:2022 treffen sich an einem operativen Punkt: Informationssicherheit als kontinuierlicher Prozess.

• Artikel 32 DSGVO. Verlangt technische und organisatorische Maßnahmen «angemessen zum Risiko». Eine bewusst weite Formulierung, die dem Verantwortlichen die Pflicht überlässt, die Maßnahmen zu wählen — und ebenso die Pflicht, sie zu dokumentieren.
• Artikel 21 der NIS2-Richtlinie (Gesetzesdekret 138/2024). Verlangt verhältnismäßige Maßnahmen des Cyberrisikomanagements mit einer ausdrücklichen Liste von Domänen (Incident Handling, Kontinuität, Lieferkette, Schulung, Kryptografie). Siehe auch unsere Analyse zum CSIRT-Outsourcing.
• ISO/IEC 27001:2022 — Maßnahme A.5.34. «Datenschutz und Schutz personenbezogener Daten» ist eine der 93 operativen Maßnahmen der Version 2022 der Norm. Wer nach ISO 27001 zertifiziert ist — AtWorkStudio ist es, ergänzt um die Cloud-Normen 27017 und 27018 — integriert Datenschutz und Sicherheit in das Managementsystem, nicht in ein paralleles Projekt.

Der strategische Wert, die drei Rahmenwerke als ein einziges Programm zu behandeln, ist enorm: die gleiche Risikobewertung speist DSGVO, NIS2 und ISO 27001; dasselbe Incident-Response-Verfahren deckt Datenschutzverletzungen (DSGVO) und erhebliche Vorfälle (NIS2) ab; dieselbe Lieferanten-Governance bedient Art. 28 DSGVO (AVV) und Art. 21 NIS2 (Lieferkette). Drei Pflichten, eine Maschine.

Die Herausforderungen des nächsten Jahrzehnts: AI Act, LLMs, Deepfakes

Die DSGVO von 2016 wurde in einer Welt vor LLMs, vor Deepfakes, vor generativer KI verfasst. Die von ihr fixierten Prinzipien — Minimierung, Zweckbindung, Rechtsgrundlage, Rechenschaftspflicht — haben standgehalten, aber die Verarbeitungstechnologien haben sich radikal verändert. Die Herausforderungen des zweiten Jahrzehnts sind mindestens fünf.

• 1Training von KI-Modellen mit personenbezogenen Daten. Mit der Stellungnahme 28/2024 hat der EDPB klargestellt, dass das Training eines KI-Modells mit personenbezogenen Daten eine spezifische Rechtsgrundlage erfordert (berechtigtes Interesse oder Einwilligung) und dass die Ausgabe noch identifizierbare personenbezogene Daten enthalten kann — selbst wenn der Datensatz anonymisiert wurde. Für KMU bedeutet das: Jedes neue KI-Tool (intern oder SaaS) muss mit derselben Sorgfalt bewertet werden wie eine klassische DSFA.
• 2Scraping öffentlicher Daten für Lead Generation und Marketing. Der italienische Garante hat 2026 bereits ein italienisches Unternehmen für die Erhebung personenbezogener Daten aus sozialen Medien zur Lead-Generierung sanktioniert. «Öffentlich» bedeutet nicht «frei verwendbar»: der ursprüngliche Zweck zählt — und zwar entscheidend.
• 3Deepfakes und synthetische biometrische Daten. Geklonte Stimme einer Führungskraft, synthetisches Video einer Vorstandsvorsitzenden, realistische Überweisungsbestätigungen am Telefon: Synthetische biometrische Daten fallen in den DSGVO-Geltungsbereich und in den des AI Act — als Hochrisiko-Kategorie.
• 4Persönliche Haftung von Vorständen und Führungskräften. Artikel 23 des italienischen Gesetzesdekrets 138/2024 (NIS2) hat in Italien die persönliche Haftung der Verwaltungsorgane für Verstöße gegen die Pflichten des Cyberrisikomanagements eingeführt. Ein Urteil des Rechnungshofs Bozen von 2026 hat denselben Grundsatz auf Datenschutzbußgelder im öffentlichen Gesundheitswesen angewendet. Es ist ein Paradigmenwechsel.
• 5Datensouveränität und europäische Cloud. Nach Schrems II und dem EU-US Data Privacy Framework steht die Frage nach dem «Wo» der Daten wieder im Mittelpunkt. Unsere Position ist klar: Cloud in europäischen Rechenzentren, Verschlüsselung in Transit und at Rest, privilegierte Zugriffskontrollen, regelmäßige Audits.

Was KMU heute tun sollten: Checkliste in 5 Punkten

Für alle, die aus der Logik des «Standardformulars» aussteigen und es ernsthaft angehen wollen, hier eine operative Checkliste für 2026.

• 1Verzeichnis von Verarbeitungstätigkeiten aktualisieren. Nicht als formale Pflicht, sondern als operative Karte: jedes neue SaaS-Tool, jeder neue Lieferant, jede neue Marketing-Aktivität gehört binnen 30 Tagen ins Verzeichnis. Ohne Karte keine Governance.
• 2DSFA bei Hochrisiko-Verarbeitungen durchführen. Videoüberwachung, Biometrie, Profilierung, automatisierte Entscheidungen, Daten Minderjähriger, generative KI im Kundenkontakt: All das verlangt eine DSFA — schriftlich, archiviert, aktualisiert.
• 3Lieferantenverträge prüfen (AVV, Art. 28). Insbesondere Cloud-, SaaS- und Managed-Service-Anbieter benötigen gezielte AVVs, die Sicherheitsmaßnahmen, Unterauftragsverarbeiter und Datenstandort festlegen. Für NIS2-Pflichtige hängt das auch an der Erfassung der relevanten Lieferanten auf der ACN-Plattform.
• 4Mitarbeiter ernsthaft schulen. Kein PDF, das einmal jährlich unterschrieben wird, sondern regelmäßige Sessions mit echten Fällen: Phishing-Drills, Incident-Response-Simulationen, Übungen zur Bearbeitung von Betroffenenrechten (Auskunft, Löschung, Übertragbarkeit). Ungeschulte Mitarbeiter sind die häufigste Ursache von Datenschutzverletzungen.
• 5Incident Response für DSGVO und NIS2 integrieren. Eine Datenschutzverletzung kann gleichzeitig dem Garante (binnen 72 Stunden) und dem CSIRT Italia (Vorab-Meldung binnen 24 Stunden, formell binnen 72 Stunden) zu melden sein. Ein einziges internes Verfahren kann beide Kanäle bedienen — vorausgesetzt, es wird getestet, nicht nur geschrieben.

Wie AtWorkStudio Datenschutz-by-Design unterstützt

AtWorkStudio erbringt keine allgemeine DSGVO-Beratung und ist kein Datenschutzbüro. Unser Beitrag ist technisch-operativ: Wir verarbeiten Kundendaten als Auftragsverarbeiter (Art. 28 DSGVO) und stellen eine Infrastruktur bereit, die die Datenschutzangriffsfläche bereits durch Design reduziert. Für Kunden, die uns als qualifizierten Lieferanten wählen, reduziert die Tatsache, mit den Zertifikaten ISO/IEC 27001, 27017, 27018 und ISO 9001, mit der ACN-Qualifizierung QC1 für Cloud-SaaS-Dienste und mit einem veröffentlichten, vertraglich verbindlichen Dokument zu technischen und organisatorischen Maßnahmen zu arbeiten, die Compliance-Reibung auf Kundenseite deutlich.

Wir arbeiten seit dem Jahr 2000 in Piacenza. Wir sind ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für Cloud-SaaS-Dienste, Mitglieder von Clusit (italienischer Verband für Informationssicherheit) und Confindustria Piacenza im RICT-Cluster zugeordnet. Für uns ist die DSGVO ein Betriebssystem, das seit zehn Jahren läuft — und das wir jeden Tag am Laufen halten werden.