Die Datenschutzgrundverordnung (DSGVO) spielt seit ihrer Einführung im Jahr 2016 eine zentrale Rolle im Datenschutzmanagement deutscher Unternehmen. Zehn Jahre nach Inkrafttreten ist der Datenschutz fest in den Geschäftsprozessen verankert, doch die Herausforderungen und der Aufwand nehmen kontinuierlich zu. Während im Jahr 2018 nur 7 Prozent der Unternehmen die Vorgaben vollständig umsetzten, sind es 2024 bereits 71 Prozent, was auf eine deutliche Fortschreibung der Implementierung hinweist. Trotz dieser Fortschritte wächst die Wahrnehmung der DSGVO als Belastung erheblich: 2016 empfanden nur 25 Prozent der Unternehmen die Vorschriften als komplizierend, 2025 sind es 81 Prozent. Zudem berichten 84 Prozent, dass der Aufwand seit Einführung der DSGVO gestiegen ist, und 97 Prozent bewerten den Aufwand 2025 als hoch, wobei 44 Prozent ihn als sehr hoch einschätzen.

Am 24. Mai 2016 ist die Datenschutzgrundverordnung in Kraft getreten: Bitkom veröffentlicht Studienbericht.
71 Prozent der Unternehmen haben die DSGVO weitgehend umgesetzt – zugleich wurden Geschäftsprozesse für 81 Prozent komplizierter.
Künstliche Intelligenz stellt Datenschutz vor neue Herausforderungen.

Zehn Jahre nach dem Start der der europäischen Datenschutzgrundverordnung (DSGVO) ist der Datenschutz in den Unternehmen fest verankert. Zugleich werden Aufwand, Komplexität und Rechtsunsicherheit von Jahr zu Jahr größer. Während Anfang 2018, kurz vor Anwendbarkeit der DSGVO , erst 7 Prozent der Unternehmen die Vorgaben vollständig oder größtenteils umgesetzt hatten, sind es 2024 bereits 71 Prozent.

Im gleichen Zeitraum hat sich die Wahrnehmung der DSGVO als Belastung jedoch dramatisch verstärkt: 2016 sagte ein Viertel der Unternehmen (25 Prozent), die DSGVO mache ihre Geschäftsprozesse komplizierter, 2025 sind es 81 Prozent. 84 Prozent der Unternehmen berichten 2024, dass ihr Aufwand für den Datenschutz seit Einführung der DSGVO gestiegen ist. 2025 bewerten 97 Prozent den Aufwand für Datenschutz als hoch, davon 44 Prozent als sehr hoch. Haben 2020 noch 40 Prozent der Unternehmen beklagt, dass Deutschland es mit dem Datenschutz übertreibt, sind es mit 72 Prozent im Jahr 2025 fast doppelt so viele. Das sind Ergebnisse einer Langzeitbefragung, für die Bitkom Research im Auftrag des Digitalverbands Bitkom seit 2016 jährlich Unternehmen ab 20 Beschäftigten in Deutschland repräsentativ befragt, zuletzt 603 Unternehmen aus allen Branchen. Die Ergebnisse wurden im Studienbericht »10 Jahre DSGVO « veröffentlicht [1].

»Datenschutz ist keine lästige Pflicht, er ist eine zentrale Säule der digitalen Welt«, sagt Bitkom-Präsident Dr. Ralf Wintergerst. »Die Erwartungen an die DSGVO wie einheitlichere Wettbewerbsbedingungen in Europa, mehr Rechtssicherheit und weniger bürokratischer Aufwand nach der Umstellungsphase haben sich allerdings nicht erfüllt. Mit der Neuausrichtung des Datenschutzes auf das KI-Zeitalter steht jetzt die nächste Herausforderung ins Haus.«

Neue Bewährungsprobe: Künstliche Intelligenz

6 von 10 Unternehmen (59 Prozent) sehen den europäischen Datenschutz im internationalen Vergleich zwar grundsätzlich als Vorteil für die KI-Entwicklung in Deutschland und Europa, in der Praxis erleben sie jedoch das Gegenteil. Zwei Drittel (69 Prozent) sagen 2025, der Datenschutz erschwere es, KI-Modelle mit genügend Daten zu trainieren, 2023 waren es erst 42 Prozent. 63 Prozent sind überzeugt, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibt. Auch beim Aufbau von Datenpools, der Grundlage vieler KI- und Analyseanwendungen, berichten 59 Prozent der Unternehmen, dass entsprechende Projekte aufgrund von Datenschutzvorgaben gescheitert sind oder gar nicht erst in Angriff genommen wurden. Auch das sind deutlich mehr als noch 2020 mit 41 Prozent.

»Die Realität ist: KI wird wegen unserer Datenschutzpraxis nicht in Europa entwickelt, die Modelle werden aber trotzdem hier eingesetzt. Für den Schutz der Daten europäischer Bürgerinnen und Bürger ist damit nichts gewonnen, für den Wirtschaftsstandort Europa aber viel verloren«, so Wintergerst. »Wir brauchen eine Reform, die den Datenschutz dort stark macht, wo echte Risiken für Menschen entstehen, und Unternehmen dort entlastet, wo formale Pflichten keinen zusätzlichen Schutz bringen. Das heißt konkret: konsequente Risikoorientierung der DSGVO und ein einheitliches Verständnis, dass Training und Betrieb von KI-Systemen auch in Europa möglich sein müssen. Der Digitalomnibus auf europäischer Ebene ist die Chance dafür – sie muss genutzt werden.«

Weitere zentrale Ergebnisse der Zeitreihe

Internationale Datentransfers bleiben ungelöst:
61 Prozent der Unternehmen übermitteln 2025 personenbezogene Daten in die USA – mit Abstand das wichtigste Drittland für Datentransfers außerhalb der EU. 71 Prozent wünschen sich von der Politik tragfähige Lösungen für den internationalen Datentransfer (2021: 32 Prozent).
Rechtsunsicherheit als Dauerproblem:
82 Prozent der Unternehmen nennen 2025 die Unsicherheit über die genauen Datenschutzvorgaben als eine der größten Herausforderungen, 2017 waren es 35 Prozent.
Datenschutz als Daueraufgabe:
86 Prozent der Unternehmen sagen 2025, dass die Umsetzung der DSGVO nie vollständig abgeschlossen ist, weil kontinuierlich auf technische und rechtliche Entwicklungen reagiert werden muss.
Fachkräftemangel im Datenschutz:
38 Prozent der Unternehmen beklagen 2025 einen Mangel an qualifiziertem Personal für den Datenschutz, der höchste Wert der Zeitreihe. 2022 waren es erst 24 Prozent.
Aufsichtsbehörden mit gemischter Bilanz:
86 Prozent der Unternehmen haben 2024 Hilfestellungen der Aufsichtsbehörden genutzt oder angefragt (2022: 82 Prozent). Mit den Hilfestellungen zufrieden waren zuletzt nur 36 Prozent.

[1] Der vollständige Studienbericht »10 Jahre DSGVO – Eine Zwischenbilanz des Datenschutzes in Unternehmen« steht zum kostenlosen Download bereit unter: www.bitkom.org/Bitkom/Publikationen/10-Jahre-DS-GVO

2412 Artikel zu „DSGVO“

News | Business Process Management | Geschäftsprozesse | IT-Security | Künstliche Intelligenz | Strategien | Tipps

Die DSGVO im KI-Zeitalter: Wenn Maßnahmen nicht mehr zur Realität passen

20. Mai 2026

Executive Summary TOM-Dokumentationen (Art. 32 DSGVO) sind veraltet, weil sie zwischen 2018–2022 entstanden und nicht auf autonome KI‑Agenten, Prompt‑Injection‑Risiken oder dynamische Modelle ausgelegt sind. Art. 32 basiert auf einem Akteursmodell, das nicht mehr existiert: DSGVO setzt vorhersehbare, zweckgebundene menschliche oder systemische Akteure voraus – KI‑Agenten brechen diese Logik. Drei neue technische Anforderungen werden notwendig: Authentifizierung gegen den…