Rückblick: Dieser Beitrag stammt aus dem Juni 2018 und dokumentiert die ersten Wochen nach dem Wirksamwerden der DSGVO am 25. Mai 2018. Die damaligen Einschätzungen werden hier im Originalton wiedergegeben, mit einem kurzen Update zur heutigen Lage am Ende.

Was war am 25. Mai 2018 passiert?

Die Datenschutz-Grundverordnung (DSGVO) galt seit dem 25. Mai 2018 verbindlich in der gesamten EU. Die Übergangsfrist war vorbei: Unternehmen, Vereine, Arztpraxen, Onlineshops, auch kleine Webseiten-Betreiber mussten ab diesem Tag nachweisen können, wie sie personenbezogene Daten erheben, verarbeiten und schützen.

Was folgte, war ein digitales Erdbeben in der Wahrnehmung. Cookie-Banner schossen über Nacht aus dem Boden. Inboxen füllten sich mit Einwilligungs-E-Mails. Dutzende Blogs meldeten sich aus Unsicherheit ab, bevor überhaupt eine Abmahnung verschickt wurde.

Erste Beschwerde um 1:26 Uhr

Noch in der Nacht des 25. Mai traf bei der österreichischen Datenschutzbehörde die wohl erste DSGVO-Beschwerde überhaupt ein. Eingereicht wurde sie gegen Facebook, um 1:26 Uhr, durch den Datenschutzaktivisten Max Schrems und seine Organisation noyb. Weitere Beschwerden gegen Google, Instagram und WhatsApp folgten in denselben Stunden.

Für Unternehmen war das ein deutliches Signal: Die neuen Beschwerdewege wurden nicht erst Monate später genutzt, sondern von der ersten Stunde an.

Stärkt die DSGVO die Nutzerposition wirklich?

Die Einschätzung aus dem Juli 2018 war grundsätzlich positiv. Europaparlamentarier Jan Philipp Albrecht (damals federführend bei der DSGVO-Entstehung) sprach von einer “deutlich gestärkten Position” für Verbraucher und mehr Angriffsfläche für Verbraucherverbände gegen rechtswidrige Praktiken.

Andrea Jelinek, Vorsitzende der EU-Datenschutzbehörde, fasste es kurz: “Datenschutz goes Mainstream.” Der Satz traf den Zeitgeist. So viel Öffentlichkeit hatte das Thema Datenschutz in Europa bis dahin noch nicht bekommen.

Die Abmahnwelle, die ausblieb

Viele Unternehmen fürchteten im Vorfeld eine Klage- und Abmahnwelle. Die Realität war nüchterner. Der befürchtete Stichtags-GAU am 26. Mai trat nicht ein. Es gab einzelne, teils fragwürdige Abmahnversuche durch Anwälte mit zweifelhafter Legitimation. Eine systematische Abmahnwelle blieb im Sommer 2018 aus.

Allerdings: Rechtlich waren viele Webseiten nicht sauber aufgestellt. Cookie-Banner wurden hastig eingebaut, oft falsch konfiguriert. Datenschutzerklärungen wurden copy-paste übernommen, ohne Anpassung an das eigene Angebot. Das war keine Lösung, sondern ein neues Risiko.

Eine ausführliche Einordnung, was die DSGVO konkret für Unternehmen bedeutet, liefert unser Beitrag DSGVO-Auswirkungen auf den Datenschutz in Unternehmen.

Was war die DSGVO überhaupt nochmal?

Für alle, die die Entstehungsgeschichte nachlesen wollen: Was ist die DSGVO?

Die Kurzfassung: Die DSGVO ist eine EU-Verordnung, die seit Mai 2018 unmittelbar in allen Mitgliedstaaten gilt. Sie ersetzt und vereinheitlicht die bis dahin sehr unterschiedlichen nationalen Datenschutzgesetze. Kern ist das Recht auf informationelle Selbstbestimmung: Nutzer müssen wissen, wer ihre Daten verarbeitet, zu welchem Zweck und wie lange.

Weitere Grundlagen bei der Bundesdatenschutzbehörde (BfDI).

Wie steht es 2026 damit?

Datenschutz ist heute keine Sonderlage mehr. Er gehört zum IT-Betrieb wie Backups und Patch-Management. Die DSGVO hat dazu beigetragen, dass Themen wie Einwilligung, Datensparsamkeit und Auftragsverarbeitung in der Breite angekommen sind.

Für Unternehmen in Hamburg und DACH bedeutet das konkret: Datenschutz ist kein einmaliges Projekt, das man 2018 “abgehakt” hat. Datenschutzpflichten entstehen laufend, bei jedem neuen Tool, jedem neuen Anbieter, jeder Änderung in der IT-Infrastruktur.

Netzleiter begleitet B2B-Kunden aus Hamburg bei der DSGVO-konformen Gestaltung ihrer IT-Umgebung, von der Dokumentation der Verarbeitungstätigkeiten bis zur technischen Absicherung. Fragen zur Einordnung: 040 25 499 500 | support@netzleiter.com