Kategorie: Datenschutz

Die aktuelle Landesregierung will beim LfDI Baden-Württemberg 40 % der Stellen streichen. Parallel dazu: mehr KI im Sicherheitsbereich, biometrische Gesichtserkennung, ausgeweitete Polizeibefugnisse. Die Aufsicht wird kleiner, der regulatorische Druck größer. Der LfDI Tobias Keber selbst warnt: Wer die Aufsicht zentralisiert, nimmt lokalen Unternehmen, Startups und Vereinen den direkten Ansprechpartner vor Ort.

Was bedeutet das konkret für euch als Unternehmen?

⚠️ Weniger Beratung, mehr Prüfung. Wenn weniger Köpfe mehr Fälle bearbeiten, wird priorisiert – und zwar nach Risiko, nicht nach Sympathie. Wer auffällt, fällt schneller auf.

⚠️ Längere Reaktionszeiten der Behörde. Auch bei euren Meldungen nach Art. 33 DSGVO, bei Auskunftsersuchen, bei Konsultationen zur DSFA. Wer darauf wartet, dass die Aufsicht ihm sagt, was zu tun ist, wartet künftig länger.

⚠️ Eigenverantwortung schlägt Behördenhilfe. Verzeichnis von Verarbeitungstätigkeiten, TOMs, AVVs, Löschkonzepte, KI-Governance – das muss sitzen, bevor jemand fragt. Im Zweifel reicht ein gut aufgestelltes Datenschutzmanagement, um aus einer Prüfung eine Formalität zu machen.

Und genau hier wird es spannend: Während die staatliche Beratungskapazität schrumpft, steigen die Anforderungen an die interne. Wer keinen internen DSB hat oder dessen Belastung wächst, sollte jetzt prüfen, ob ein externer Datenschutzbeauftragter die bessere Antwort ist – mit IT-Tiefe, planbarer Pauschale und Haftungsentlastung für die Geschäftsführung.

Genau das ist unser Tagesgeschäft. Wir kombinieren DSGVO, ISO 27001 und IT-Compliance aus einer Hand – und prüfen Systeme nicht nur auf dem Papier, sondern direkt am System.

👉 Kostenloses Erstgespräch & Datenschutz-Assessment: Externer Datenschutzbeauftragter Karlsruhe | improve it GmbH

Die Europäische Föderation der Datenschutzbeauftragten fordert in ihrem Positionspapier fundamentale DSGVO-Änderungen – ein Blick in die Zukunft des Datenschutzes

Sieben Jahre nach Inkrafttreten der DSGVO meldet sich die Praxis zu Wort: Das im Juli 2025 veröffentlichte EFDPO-Positionspapier fasst die Erfahrungen von Datenschutzbeauftragten aus ganz Europa zusammen und zeigt auf, wo dringender Handlungsbedarf besteht. Als Stimme der Experten aus der täglichen Compliance-Praxis hat die Föderation erheblichen Einfluss auf die europäische Datenschutzpolitik – ihre Empfehlungen werden in Brüssel gehört.

Die 5 Kernforderungen – und was sie wirklich bedeuten

1. Hersteller in die Pflicht: „Privacy by Design“ wird zur Herstellerverpflichtung
Schluss mit der Ausrede „Das ist halt so programmiert“. Künftig sollen Software-Anbieter verpflichtet werden, datenschutzkonforme Produkte zu liefern – inklusive fertiger DPIA-Vorlagen und Verarbeitungsverzeichnissen. Aus unserer Beratungspraxis wissen wir: Das würde 70% der DSB-Arbeit bei Systemeinführungen wegfallen lassen.

2. Risikobasierter Ansatz: Schluss mit „One size fits all“
Ein Friseur mit 3 Mitarbeitern soll nicht dieselben Dokumentationspflichten haben wie ein Pharmakonzern. Die EFDPO fordert abgestufte Anforderungen je nach Risiko. Unsere Einschätzung: Längst überfällig und ein Segen für KMU, die heute oft überreguliert sind.

3. DSB-Rolle stärken: Mehr Kompetenzen, weniger Verwaltung
Der Datenschutzbeauftragte soll vom Dokumenten-Verwalter zum strategischen Berater werden – mit echten Entscheidungskompetenzen und klaren Verantwortlichkeiten. Das entspricht dem, was wir in der Praxis bereits heute empfehlen: DSB als zentraler Compliance-Manager.

4. EU-Harmonisierung: Einheitliche Standards statt Flickenteppich
Heute bedeutet „DSGVO-konform“ in Deutschland etwas anderes als in Frankreich oder Polen. Die EFDPO will verbindliche EU-Standards. Für international tätige Unternehmen wäre das eine enorme Erleichterung – endlich ein Regelwerk statt 27 verschiedener Auslegungen.

5. Innovation fördern: Klare Regeln für KI und Datennutzung
Anonymisierte Daten sollen eine eigene Rechtsgrundlage bekommen, Forschung und KI-Entwicklung vereinfacht werden. Das Ziel: Europa soll bei datengetriebenen Innovationen aufholen, ohne den Datenschutz zu opfern.

Was das konkret für Ihren Arbeitsalltag bedeutet

Datenschutzbeauftragte verbringen heute 60% ihrer Zeit mit Dokumentation und Administration. Mit den geplanten Reformen könnten Sie sich endlich auf das konzentrieren, wofür Sie ausgebildet sind: strategische Beratung und Risikoanalyse.

IT-Verantwortliche kennen das Problem: Jede neue Software bedeutet wochenlange DSGVO-Prüfungen. Künftig müssten Hersteller diese Arbeit bereits geleistet haben – Sie könnten sich auf die technische Implementierung fokussieren.

Geschäftsführung sieht vor allem die Kosten: Weniger externe Rechtsberatung, weniger interne Bürokratie, mehr Planbarkeit bei Compliance-Investitionen.

Synergien mit ISO-Normen nutzen

Die geplanten Reformen harmonieren perfekt mit bestehenden Management-Systemen:

• ISO 27001: Risikobasierte Ansätze verstärken sich gegenseitig
• ISO 9001: Prozessorientierung wird durch klare DSB-Rollen gestärkt
• ISO 22301: Datenschutz-Risikomanagement integriert sich nahtlos

Jetzt vorbereiten – später profitieren

Kurzfristig (0-6 Monate):

• Bestandsaufnahme Ihrer Datenschutz-Prozesse
• DSGVO-Konformitätsnachweise von Herstellern einfordern
• DSB-Rolle auf erweiterte Kompetenzen vorbereiten

Mittelfristig (6-18 Monate):

• Risikobewertung differenzieren
• Datenschutz in bestehende Management-Systeme integrieren
• Team für neue Anforderungen qualifizieren

Unser Fazit: Realistische Vision mit Hindernissen

Als Beratung, die täglich mit DSGVO-Herausforderungen konfrontiert ist, begrüßen wir die EFDPO-Vorschläge. Sie treffen den Kern der Probleme, die wir bei unseren Kunden erleben. Besonders positiv: Der Fokus auf Praktikabilität statt theoretische Perfektion.

Aber: Der Weg ist noch weit. Solche grundlegenden Reformen brauchen Jahre und müssen gegen viele Widerstände durchgesetzt werden. Trotzdem ist das Signal wichtig – die Richtung stimmt, und erste Weichenstellungen sind bereits erkennbar.

Unternehmen, die sich jetzt auf diese Entwicklungen einstellen, haben morgen einen klaren Vorsprung.

Wie gut ist Ihr Unternehmen vorbereitet?

Sie möchten wissen, wo Sie stehen und wie Sie sich optimal auf die Zukunft des Datenschutzes vorbereiten?

Die improve it GmbH unterstützt Sie als erfahrene Beratung für Datenschutz, Prozesse und ISO-Normen mit eigenem Auditor:

✅ DSGVO-Readiness-Check: Analyse Ihrer aktuellen Position
✅ Zukunftsstrategie: Vorbereitung auf kommende Änderungen
✅ Integrierte Beratung: Datenschutz, ISO-Normen und Prozesse aus einer Hand

Kontaktieren Sie uns für eine kostenlose Erstberatung und starten Sie zukunftssicher in die nächste Datenschutz-Ära.

improve it GmbH – Ihre Experten für vorausschauende Compliance-Strategien

Basis: EFDPO-Positionspapier „On the Reform of the General Data Protection Regulation (GDPR)„, Juli 2025

(Beitrag und Bild wurden mit Unterstützung von KI erstellt)

In der heutigen, schnelllebigen Arbeitswelt ist Microsoft 365 (M365) weitaus mehr als nur ein Office-Paket. Es ist eine vernetzte Plattform, die kontinuierlich weiterentwickelt wird. Für Betriebsräte und Datenschutzbeauftragte kann jede neue Funktion, jede Verschiebung einer Einstellung oder jeder Security-Patch direkte Folgen haben – sei es für Mitbestimmungsrechte, Betriebsvereinbarungen oder Datenschutzkonzepte. Daher lohnt es sich, die offiziellen Update-Kanäle von Microsoft genau im Blick zu behalten.

1. Woher Sie Ihre M365-Updates bekommen

Message Center

Im Microsoft 365 Admin Center gibt es das Message Center, das alle kommunizierten Änderungen in tabellarischer Form anzeigt. Standardmäßig finden Sie dort die neuesten Einträge ganz oben, und Sie können nach Service, Schlagwort (z. B. „Data privacy“, „Major update“) oder Status (z. B. „Unread“) filtern learn.microsoft.com.

• Major Updates: Kennzeichnung mit rotem Ausrufezeichen; werden mindestens 30 Tage im Voraus angekündigt, wenn eine Aktion nötig ist learn.microsoft.com.
• Data Privacy–Einträge: Speziell für DSGVO-relevante Themen, nur sichtbar für entsprechende Rollen im Tenant.
• Service-Health und Incident-Meldungen finden Sie in separaten Bereichen des Admin Centers.

E-Mail-Digest

Statt das Portal täglich zu prüfen, können Sie unter Preferences → Email festlegen, dass Ihnen eine tägliche oder wöchentliche Zusammenfassung aller Message Center-Beiträge per E-Mail zugeschickt wird. Diese wöchentliche Digest-Option ist empfehlenswert, um nichts zu verpassen und dennoch den Aufwand in Grenzen zu halten learn.microsoft.com.

Microsoft 365 Roadmap

Parallel zum Message Center pflegt Microsoft eine öffentliche Roadmap, auf der Features in Entwicklung, Rollout oder „General Availability“ gekennzeichnet sind. Über unseren Evergreen Newsletter können Sie individualisiert auf Ihren Bedarf alle Nachrichten in einem wöchentlichen, zweiwöchentlichen oder monatlichen Turnus bestellen. Dabei gehen wir auf konkrete Handlungsmaßnahmen und Empfehlungen für IT-Entscheider, Endanwender, Betriebsräte und Datenschutzbeauftragte ein. Individuell auf Ihren Bedarf abgestimmt.

2. Update-Zyklen im Überblick

Insider-Tipp: Kombinieren Sie wöchentlichen Digest und Roadmap-RSS – so erhalten Sie sowohl tenant-spezifische Meldungen als auch einen Ausblick auf kommende Funktionen, wenn Sie nicht auf ein individualisiertes Angebot zurückgreifen wollen.

3. Ihr Change Advisory Board (CAB): Prozess und Workflow

Ein robustes Change Advisory Board (CAB) sorgt dafür, dass alle Stakeholder – IT, Datenschutz und Betriebsrat – Updates gemeinsam bewerten und steuern. So gelingt‘s:

1. CAB einrichten
   • Wer? IT-Leitung, Admin-Team, Datenschutzbeauftragte, Betriebsrats-Vertreter
   • Wann? Mindestens monatlich – idealerweise zwei Wochen vor jedem Major-Release
2. CAB-Workflow im Detail
   • 4 Wochen vor Rollout
     • Message Center und Roadmap prüfen
     • Updates nach „Datenschutz“, „Mitbestimmung“, „IT“ kategorisieren
   • 3 Wochen vor Rollout
     • Datenschutz-Folgenabschätzung (DSFA) für kritische Änderungen starten
     • Betriebsrat informieren, Einwände sammeln
   • 2 Wochen vor Rollout
     • Go/No-Go-Entscheidung im CAB
     • Kommunikationsplan für Fachbereiche festlegen
   • 1 Woche vor Rollout
     • Tests im Sandbox-Tenant durchführen
     • Endanwender-Schulungen finalisieren
   • Rollout-Woche
     • Live-Monitoring: Performance & Security
     • First-Level-Support bereitstellen
3. Dokumentation & Transparenz
   • Change-Log: Kurze, verständliche Zusammenfassung für Betriebsrat & Datenschutz
   • Freigabe­protokoll: Entscheidung inkl. Begründung festhalten
   • Veröffentlichung: SharePoint-News oder Intranet
4. Technische Umsetzung
   • IT-Admin stellt Sandbox/Test-Tenant bereit
   • Rollback-Skripte (PowerShell) pflegen
   • Automatisierte Tests (z. B. Sensitivitätslabel in Teams) integrieren

4. Konkreter Mehrwert für Ihre Organisation

„Dank unseres CAB-Prozesses erkennen wir DSGVO-Risiken, bevor sie live gehen.“
– Datenschutzbeauftragter eines Mittelstandsunternehmens

• Rechtssicherheit: DSFA-gestützte Prüfung aller Änderungen
• Mitbestimmung: Transparente Beteiligung des Betriebsrats
• Effizienz: Klare Prozesse sparen Aufwand und Zeit
• Resilienz: Schnelle Rollbacks minimieren Ausfallrisiken

5. Unser Angebot an Sie

Evergreen-Newsletter abonnieren:
Erhalten Sie monatlich alle relevanten M365-Updates für Betriebsräte und Datenschutzbeauftragte – kompakt und verständlich.
👉 Zum Newsletter

Kostenloses Erstgespräch:
Lassen Sie uns gemeinsam Ihren CAB-Prozess aufsetzen und optimieren – unverbindlich und kostenfrei.
👉 Jetzt Erstgespräch buchen

6. So starten Sie heute

1. CAB-Termin ansetzen: Tragen Sie gleich einen festen Termin im Kalender ein.
2. Rollen klären: Benennen Sie Verantwortliche aus IT, Datenschutz & Betriebsrat.
3. Kommunikation starten: Informieren Sie Ihre Fachbereiche über den neuen Prozess.

Mit diesem Fahrplan behalten Sie alle M365-Updates im Blick, schützen Ihre Betriebsvereinbarungen und erfüllen DSGVO-Pflichten zuverlässig. Starten Sie jetzt und minimieren Sie Überraschungen!

(Der Beitrag wurde von KI strukturiert und das Teaserbild von KI generiert)