Zehn Jahre nach Inkrafttreten der europäischen Datenschutz-Grundverordnung am 24. Mai 2016 ziehen deutsche Unternehmen eine ambivalente Bilanz. Laut dem Studienbericht „10 Jahre DS-GVO“ des Digitalverbands Bitkom, für den Bitkom Research seit 2016 jährlich Unternehmen ab 20 Beschäftigten befragt, ist der Datenschutz organisatorisch angekommen – verursacht aber stetig mehr Aufwand. Während Anfang 2018 erst 7 Prozent der Unternehmen die Vorgaben vollständig oder weitgehend umgesetzt hatten, waren es 2024 bereits 71 Prozent. Für die aktuelle Erhebung wurden 603 Unternehmen aus allen Branchen befragt.
Parallel zur Umsetzung wuchs dabei die Belastung. 2016 bezeichneten 25 Prozent der Unternehmen die DSGVO als Erschwernis für ihre Geschäftsprozesse, 2025 sind es 81 Prozent. 84 Prozent berichten 2024 von gestiegenem Aufwand seit Einführung der Verordnung. 97 Prozent bewerten den Aufwand 2025 als hoch, 44 Prozent davon als sehr hoch. Auch die Kritik an der deutschen Auslegung nimmt zu: 72 Prozent meinen 2025, Deutschland übertreibe es mit dem Datenschutz – 2020 waren es noch 40 Prozent.
Künstliche Intelligenz als neue Konfliktzone
Den Spagat zwischen Schutzanspruch und Wirtschaftspraxis zeigt sich besonders deutlich beim Thema KI. 59 Prozent der Unternehmen sehen den europäischen Datenschutz im internationalen Vergleich grundsätzlich als Vorteil für die KI-Entwicklung in Europa. In der Praxis erleben sie laut Bitkom jedoch das Gegenteil. 69 Prozent geben 2025 an, der Datenschutz erschwere das Training von KI-Modellen mit ausreichenden Datenmengen – 2023 lag dieser Wert noch bei 42 Prozent. 63 Prozent sind überzeugt, dass der Datenschutz KI-entwickelnde Unternehmen aus der EU vertreibt.
Auch beim Aufbau von Datenpools, die Grundlage vieler KI- und Analyseanwendungen sind, melden 59 Prozent gescheiterte oder nicht begonnene Projekte aufgrund von Datenschutzvorgaben. 2020 lag dieser Anteil bei 41 Prozent. Bitkom-Präsident Ralf Wintergerst kommentiert: „KI wird wegen unserer Datenschutzpraxis nicht in Europa entwickelt, die Modelle werden aber trotzdem hier eingesetzt.“ Für den Schutz europäischer Daten sei damit nichts gewonnen, für den Wirtschaftsstandort viel verloren. Wintergerst fordert eine konsequente Risikoorientierung der DSGVO und ein einheitliches Verständnis, dass Training und Betrieb von KI-Systemen auch in Europa möglich sein müssen. Den geplanten Digitalomnibus auf europäischer Ebene sieht er als Reformchance.
Internationale Transfers und Rechtsunsicherheit
Ungelöst bleibt der internationale Datentransfer. 61 Prozent der Unternehmen übermitteln 2025 personenbezogene Daten in die USA – mit Abstand das wichtigste Drittland außerhalb der EU. 71 Prozent wünschen sich von der Politik tragfähige Lösungen für den grenzüberschreitenden Datenverkehr. 2021 lag dieser Anteil noch bei 32 Prozent.
Auch die Rechtsunsicherheit hat sich zum Dauerproblem entwickelt. 82 Prozent nennen 2025 die Unsicherheit über die genauen Datenschutzvorgaben als eine der größten Herausforderungen, 2017 waren es 35 Prozent. 86 Prozent betrachten die Umsetzung der DSGVO als nie abgeschlossene Aufgabe, weil kontinuierlich auf technische und rechtliche Entwicklungen reagiert werden müsse. Hinzu kommt ein wachsender Personalengpass: 38 Prozent beklagen 2025 einen Mangel an qualifiziertem Datenschutzpersonal – der höchste Wert der Zeitreihe und deutlich mehr als die 24 Prozent aus dem Jahr 2022.
Gemischt fällt das Urteil über die Aufsichtsbehörden aus. 86 Prozent der Unternehmen haben 2024 deren Hilfestellungen genutzt oder angefragt, nach 82 Prozent im Jahr 2022. Zufrieden mit diesen Hilfestellungen waren zuletzt jedoch nur 36 Prozent. Wintergerst betont, die Erwartungen an die DSGVO – einheitliche Wettbewerbsbedingungen, mehr Rechtssicherheit und weniger Bürokratie nach der Umstellungsphase – hätten sich nicht erfüllt.
Der vollständige Studienbericht „10 Jahre DS-GVO – Eine Zwischenbilanz des Datenschutzes in Unternehmen“ steht zum kostenlosen Download bereit unter: www.bitkom.org/Bitkom/Publikationen/10-Jahre-DS-GVO
