10 Jahre nach dem Start der Europäischen Datenschutz-Grundverordnung (DSGVO) ist der Datenschutz in den Unternehmen laut einer Langzeituntersuchung des Bitkom fest verankert. Den Ergebnissen zufolge werden jedoch Aufwand, Komplexität und Rechtsunsicherheit immer größer. Während Anfang 2018, kurz vor Anwendbarkeit der DSGVO, erst 7% der Unternehmen die Vorgaben vollständig oder größtenteils umgesetzt hatten, waren es 2024 bereits 71%. Im gleichen Zeitraum hat sich die Wahrnehmung der Datenschutzvorgaben als Belastung jedoch deutlich verstärkt: 2016 sagte ein Viertel der Unternehmen (25%), die DSGVO mache ihre Geschäftsprozesse komplizierter, 2025 sind es 81%. 84% der Unternehmen berichten 2024, dass ihr Aufwand für den Datenschutz seit Einführung der DSGVO gestiegen ist. 2025 bewerten 97% den Aufwand für Datenschutz als hoch, davon 44% als sehr hoch. Haben 2020 noch 40% der Unternehmen beklagt, dass Deutschland es mit dem Datenschutz übertreibt, sind es mit 72% im Jahr 2025 fast doppelt so viele.
Für die Langzeitanalyse befragt Bitkom Research im Auftrag des Bitkom seit 2016 jährlich Unternehmen ab 20 Beschäftigten in Deutschland. Zuletzt nahmen branchenübergreifend 603 Firmen teil. Die Befragung ist repräsentativ. Die Ergebnisse wurden im Studienbericht ’10 Jahre DSGVO‘ veröffentlicht.
„Datenschutz ist keine lästige Pflicht, er ist eine zentrale Säule der digitalen Welt“, sagt Bitkom-Präsident Dr. Ralf Wintergerst. „Die Erwartungen an die DSGVO wie einheitlichere Wettbewerbsbedingungen in Europa, mehr Rechtssicherheit und weniger bürokratischer Aufwand nach der Umstellungsphase haben sich allerdings nicht erfüllt. Mit der Neuausrichtung des Datenschutzes auf das KI-Zeitalter steht jetzt die nächste Herausforderung ins Haus.“ SAP-Verantwortliche wissen, dass sie handeln müssen – aber nicht, wie sie fundiert entscheiden. ‣ weiterlesen
SAP-Transformation mit Augenmaß: Sicherheit für die richtige Entscheidung
Datenschutz erschwert KI-Entwicklung
Sechs von zehn Unternehmen (59%) sehen den europäischen Datenschutz im internationalen Vergleich zwar grundsätzlich als Vorteil für die KI-Entwicklung in Deutschland und Europa. In der Praxis erleben sie jedoch das Gegenteil. Zwei Drittel (69%) sagen 2025, der Datenschutz erschwere es, KI-Modelle mit genügend Daten zu trainieren, 2023 waren es 42%. 63% sind überzeugt, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibt. Auch beim Aufbau von Datenpools, der Grundlage vieler KI- und Analyseanwendungen, berichten 59% der Unternehmen, dass entsprechende Projekte aufgrund von Datenschutzvorgaben gescheitert sind oder gar nicht erst in Angriff genommen wurden. 2020 lag dieser Wert bei 41%.
„Die Realität ist: KI wird wegen unserer Datenschutzpraxis nicht in Europa entwickelt, die Modelle werden aber trotzdem hier eingesetzt. Für den Schutz der Daten europäischer Bürgerinnen und Bürger ist damit nichts gewonnen, für den Wirtschaftsstandort Europa aber viel verloren“, so Wintergerst. Er fordert eine Reform, die den Datenschutz dort stärkt, wo echte Risiken für Menschen entstehen. Unternehmen sollten wiederum dort entlastet werden, wo formale Pflichten keinen zusätzlichen Schutz bringen. Konkret nennt Wintergerst eine konsequente Risikoorientierung der DSGVO sowie ein einheitliches Verständnis darüber, dass Training und Betrieb von KI-Systemen auch in Europa möglich sein müssen. „Der Digitalomnibus auf europäischer Ebene ist die Chance dafür – sie muss genutzt werden.“
Mehr als die Hälfte übermittelt personenbezogene Daten in die USA
Aus der Befragung geht zudem hervor, dass 61% der Unternehmen 2025 personenbezogene Daten in die USA übermittelten. Die Vereinigten Staaten sind damit das wichtigste Drittland für Datentransfers außerhalb der EU. 71% wünschen sich von der Politik tragfähige Lösungen für den internationalen Datentransfer (2021: 32%).
DSGVO-Umsetzung nie vollständig abgeschlossen?
Im Jahr 2025 nennen 82% der Unternehmen die Unsicherheit über genaue Datenschutzvorgaben als eine der größten Herausforderungen. 2017 waren es noch 35%. 86% der Unternehmen sagen 2025, dass die Umsetzung der DSGVO nie vollständig abgeschlossen ist, da kontinuierlich auf technische und rechtliche Entwicklungen reagiert werden muss.
