Datenschutz hat zwei Gesichter, und das eine kennt man besser als das andere. Das eine ist laut. Es taucht in Pressemeldungen auf, in Bußgeldbescheiden, in Vorstandssitzungen, in denen plötzlich alle nervös werden. Es heißt Hinweis von der Aufsichtsbehörde, Klage einer Person, Datenleck, Reputationsschaden. Wer Datenschutz in den Medien sieht, sieht fast immer dieses Gesicht — und schließt daraus, dass Datenschutz selbst etwas Lautes sei.
Es ist umgekehrt. Was wir in den Schlagzeilen sehen, ist nicht der Datenschutz. Es ist sein Versagen.
Die allumfassende Größe
Datenschutz ist keine Schicht neben dem Unternehmen. Er ist eine Schicht durch das Unternehmen. In dreißig Jahren in dieser Disziplin habe ich gelernt, dass es kein Feld gibt, in dem er nicht zu spüren wäre — wenn man ihn ernst nimmt. Er steckt in der Produktentwicklung, lange bevor das Produkt live geht. Er steckt im Personalprozess, vom Bewerbungsgespräch bis zur Trennungsregelung. Er steckt in Verträgen, die niemand spannend findet, bis sie es plötzlich werden. Er steckt in IT-Architekturen, in M&A-Verhandlungen, in Marketing-Kampagnen, in der Frage, wie ein Mitarbeitergespräch dokumentiert wird.
Das ist die strukturierende Dimension. Sie ist mächtig, gerade weil sie überall ist. Und sie ist nicht populär unter denen, die schnell und vielleicht zu schnell handeln wollen, weil sie ein lästiges Wort sagt: warten. Warten, bis durchdacht ist. Warten, bis dokumentiert ist. Warten, bis die richtige Architektur steht.
Aber dieses warten ist nicht das Gegenteil von Geschwindigkeit. Es ist ihre Voraussetzung. Ein Unternehmen, das den Datenschutz früh mitdenkt, ist später nicht langsamer. Es ist sicherer. Und Sicherheit ist die Bedingung dafür, dass Schnelligkeit überhaupt eine Strategie sein kann, statt nur eine Hoffnung.
Die stille Funktion
Hier liegt das andere Gesicht. Wenn der Datenschutz richtig gemacht ist, hört man ihn nicht. Er ist da, er wirkt, er strukturiert — aber er macht keinen Lärm. Die Datenschutz-Folgenabschätzung wurde gemacht, bevor das Produkt live ging. Die Auftragsverarbeitungsverträge sind sauber. Die Mitarbeitenden wissen, was sie dürfen und was nicht. Die Aufsichtsbehörde hat keinen Grund, sich zu melden. Niemand klagt. Es kracht nicht.
Und genau das ist das Problem für die öffentliche Wahrnehmung. Was funktioniert, fällt nicht auf. Die guten Datenschutzbeauftragten verbringen ihre Tage damit, Krisen zu verhindern, die niemand jemals sehen wird. Sie werden für etwas bezahlt, das in der Bilanz nicht auftaucht: für das Ausbleiben des Schadens. Das ist eine schwierige Position, weil sie nie in einer Zahl messbar wird. Aber sie ist die wichtigste in jedem reifen Unternehmen.
Die Stille ist nicht Abwesenheit. Sie ist das Erkennungszeichen der Funktion. Wer Datenschutz hört, hat ein Problem. Wer ihn nicht hört, hat ihn verstanden.
Was die Aufmerksamkeit verzerrt
Es gibt einen seltsamen Effekt in der öffentlichen Diskussion über Datenschutz. Er wird gemessen an seinem Versagen, nicht an seiner Funktion. Wir lesen über das Unternehmen, das ein Bußgeld bekommen hat, nicht über die hundert, die keines bekommen haben. Wir hören vom Datenleck, nicht vom verhinderten Datenleck. Wir hören vom Compliance-Fall, nicht von den hundertfach durchdachten Strukturen, die ihn verhindert haben.
Das verzerrt die Wahrnehmung in beide Richtungen. Auf der einen Seite entsteht das Bild, Datenschutz sei vor allem ein Problem — eine Bremse, eine Belastung, ein lästiges Erfordernis. Auf der anderen Seite entsteht das Bild, gute Datenschutzarbeit bestehe darin, möglichst sichtbar zu sein, Reports zu schreiben, in Sitzungen zu warnen, sich bemerkbar zu machen. Beides verfehlt den Kern. Datenschutz ist kein Problem, sondern eine Voraussetzung. Und gute Datenschutzarbeit ist nicht sichtbar, sondern wirksam.
Die KI-Frage
An keiner Stelle ist diese Spannung gerade so deutlich wie bei der Künstlichen Intelligenz. Wir leben in einer Phase, in der das Laute überwiegt. Schatten-KI in Personalabteilungen, ChatGPT mit Kundendaten in Marketing-Räumen, generative Tools, die ohne Rechtsgrundlage und ohne Dokumentation eingesetzt werden, weil sie auf dem Bildschirm jedes Mitarbeitenden nur einen Klick entfernt sind. Jede dieser Praktiken erzeugt heute keinen Lärm — weil noch nichts passiert ist. Aber jede einzelne ist die Vorstufe zu einem Geräusch, das in zwei oder drei Jahren sehr laut werden wird.
Die Aufgabe für Unternehmen ist nicht, KI zu vermeiden. Sie ist auch nicht, KI um jeden Preis einzuführen. Die Aufgabe ist, KI so zu integrieren, dass sie still bleibt — dass sie das tut, was sie tun soll, ohne Krach zu machen. Das gelingt nur, wenn drei Dinge zusammenkommen: eine rechtssichere technische Architektur, klare Verantwortung im Unternehmen, und ein Verständnis von Datenschutz als Fundament, nicht als Bremsklotz.
Das ist nicht weniger Datenschutz, sondern mehr. Es ist Datenschutz im strukturierenden Sinn: allumfassend, durchdacht, und genau deshalb nicht laut.
Was bleibt
Über genau diese Frage werde ich Ende September auf der Bitkom Privacy Conference 2026 in Berlin sprechen — zusammen mit einem Partner aus der KI-Technologie, mit dem ich seit einiger Zeit darüber nachdenke, wie KI in Unternehmen integriert werden kann, ohne dass sie zu einem Risiko wird. Unser Workshop trägt einen Titel, der die Sache auf den Punkt bringt: Zu Recht. Zu Kunft. — KI rechts- und zukunftssicher enablen.
Was zu Recht geschieht, hat Zukunft. Was Zukunft hat, muss nicht laut sein.
Der Titel der Konferenz lautet 360°-Datenschutz, und das beschreibt, was es heute braucht. Nicht eine punktuelle Maßnahme. Nicht einen einzelnen Workshop. Sondern eine umfassende Haltung, die alle Richtungen einbezieht — und gerade deshalb in keiner Richtung Lärm macht.
Der Vorstand, der mich fragte, was sein Datenschutzbeauftragter den ganzen Tag mache, hat mir vor kurzem geschrieben. Er habe seinem Datenschutzbeauftragten zum ersten Mal dafür gedankt, dass nichts passiert sei. Ohne zu wissen, sagte er, dass das die höchste Auszeichnung ist, die ein Datenschützer bekommen kann.
Doch. Er wusste es schon. Sonst hätte er es nicht gesagt.