DSGVO-Compliance: 81% der Firmen sehen Geschäftsprozesse behindert

Eine neue Studie des Digitalverbands Bitkom zeigt: Die administrative Last durch die Datenschutz-Grundverordnung (DSGVO) hat für deutsche Firmen ein kritisches Niveau erreicht. Fast alle befragten Unternehmen bewerten den Aufwand für die Einhaltung der Regeln als hoch, ein erheblicher Teil sogar als sehr hoch. Dabei feiert die Verordnung in diesem Jahr ihr zehnjähriges Bestehen – und hinterlässt eine Spur aus Milliardenstrafen und wachsender Frustration.

Zehn Jahre, die an den Nerven zehrten

Der Weg zur vollständigen DSGVO-Compliance war für die deutsche Wirtschaft ein Marathon. 2018 hatten erst sieben Prozent der Unternehmen die Anforderungen weitgehend umgesetzt. 2024 waren es immerhin 71 Prozent – und 2026 bleibt das Thema Chefsache. Doch der Preis ist hoch: 81 Prozent der Organisationen geben an, dass ihre Geschäftsprozesse durch die Datenschutzauflagen komplizierter geworden sind. Vor heute zehn Jahren waren es nur 25 Prozent.

Der immense administrative Aufwand der DSGVO belastet viele Betriebe, doch mit der richtigen Strategie lassen sich die gesetzlichen Pflichten effizient abhaken. Dieser kostenlose PDF-Ratgeber bietet Ihnen eine praktische Checkliste für die rechtssichere Umsetzung in nur fünf Schritten. In 5 Schritten DSGVO-konform: Jetzt kostenlosen Leitfaden sichern

Besonders brisant: Der Vorwurf des „Gold-Plating“ – also des nationalen Übererfüllens europäischer Vorgaben – gewinnt an Fahrt. In einer Umfrage unter 603 Unternehmen sind 72 Prozent der Meinung, dass die deutschen Datenschutzstandards übertrieben sind. 2020 waren es noch 40 Prozent. Bitkom-Präsident Wintergerst fordert daher eine grundlegende Reform hin zu einem risikoorientierten Ansatz. Die Misere wird durch den Fachkräftemangel verschärft: 38 Prozent der Firmen nennen ihn als größtes Hindernis für die Einhaltung der Regeln.

KI-Entwicklung: Datenschutz als Innovationsbremse

Der Konflikt zwischen Datenschutz und Künstlicher Intelligenz spitzt sich zu. 69 Prozent der Unternehmen sind überzeugt, dass die aktuellen Regeln das Training von KI-Modellen erheblich behindern – ein Anstieg von 42 Prozent vor drei Jahren. Die Folge: 63 Prozent der Organisationen fürchten, dass strenge DSGVO-Auslegungen KI-Unternehmen aus der EU vertreiben.

Marktforschung von Eurostat aus dem Jahr 2025 zeigt: Nur wenige Firmen halten KI für nutzlos. Die wahren Hürden sind fehlendes technisches Know-how, Datenschutzbedenken und rechtliche Unsicherheiten. Die Kosten der KI-Implementierung nennen dagegen weniger als sechs Prozent als Hindernis – Regulierung und Wissenslücken wiegen schwerer als finanzielle Engpässe.

Auch die technische Natur der DSGVO gerät unter Druck. Artikel 32, der technische und organisatorische Maßnahmen vorschreibt, geht von menschlichem, vorhersagbarem Verhalten aus. Moderne KI-Systeme sprengen diesen Rahmen. Aktuelle Daten zeigen: 63 Prozent der Organisationen können Zweckbindungen für KI-Agenten nicht durchsetzen, 55 Prozent fehlt die technische Fähigkeit, diese Systeme bei Fehlfunktionen zu isolieren.

Neben der DSGVO stellt der EU AI Act Unternehmen vor neue Herausforderungen bei der Risikodokumentation und Kennzeichnung von KI-Systemen. Ein kostenloser Umsetzungsleitfaden bietet Ihnen jetzt den notwendigen Überblick über alle Fristen und Pflichten der neuen KI-Verordnung. EU AI Act in 5 Schritten verstehen – Gratis E-Book herunterladen

Milliardenstrafen und erste Urteile

Die finanziellen Risiken bei Verstößen haben historische Dimensionen erreicht. Bis März 2026 summierten sich die DSGVO-Strafen EU-weit auf rund 6,11 Milliarden Euro. Doch nicht nur die Aufsichtsbehörden greifen durch – auch die Zivilgerichte definieren die Grenzen der Haftung. Im Januar 2025 sprach der Bundesgerichtshof (BGH) einem Verbraucher 500 Euro Schadenersatz zu, nachdem ein Telekommunikationsanbieter falsche Daten an eine Auskunftei gemeldet hatte und ein Kreditantrag abgelehnt wurde.

Allerdings verhindern jüngere Urteile eine Klageflut. Das Landgericht Nürnberg stellte im Juli 2025 klar: Ein „bloßes Unbehagen“ oder ein allgemeines Unwohlsein bei der Datenverarbeitung berechtigt nicht zu Schadenersatz nach Artikel 82 DSGVO. Auch die Übermittlung von „Positivdaten“ an Auskunfteien kann durch das berechtigte Interesse des Unternehmens an Betrugsprävention gerechtfertigt sein – sofern kein Monopol oder fehlende Alternativen für den Verbraucher bestehen. Die Gerichte verlangen zunehmend den Nachweis eines konkreten, individuellen Schadens.

Die nächste Regulierungswelle rollt schon an

Während Unternehmen noch mit der DSGVO kämpfen, stehen neue Vorschriften vor der Tür. Die Registrierungszahlen für die NIS2-Richtlinie zur Cybersicherheit sind alarmierend: Anfang März 2026 hatten sich erst 11.000 von rund 29.500 betroffenen Unternehmen in Deutschland registriert. Dabei gelten strenge Meldefristen: Sicherheitsvorfälle müssen unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, DSGVO-bezogene Datenpannen innerhalb von 72 Stunden.

Der regulatorische Fahrplan für 2026 und 2027 ist dicht:

• 19. Juni 2026: Unternehmen müssen einen digitalen „Kündigungsbutton“ für Online-Verträge einführen.
• 2. August 2026: Das EU-KI-Gesetz schreibt eine Kennzeichnungspflicht für KI-generierte Inhalte vor.
• 1. Juni 2027: Die neuen BSI C5:2026-Cloud-Standards werden verbindlich – mit 168 Anforderungen in 17 Kategorien, inklusive Post-Quanten-Kryptografie und vertraulichem Computing.

Die Kosten der digitalen Souveränität

Die Lage offenbart einen wachsenden Widerspruch: Einerseits hat die EU das Ziel der digitalen Souveränität ausgerufen, andererseits kämpfen ihre Unternehmen mit der operativen Realität. Die hohe Umsetzungsquote der DSGVO zeigt, dass Datenschutz in der Unternehmenskultur angekommen ist. Doch die eskalierende Komplexität und das Scheitern von fast 60 Prozent der Datenpool-Projekte deuten darauf hin, dass der aktuelle Rahmen die datengetriebene Wirtschaft eher behindert als schützt.

Die schiere Menge an Gesetzen – die EU-Kommission verabschiedete 2025 allein 1.456 Rechtsakte – hat einen Zustand der „permanenten Compliance“ geschaffen. 86 Prozent der Unternehmen haben das Gefühl, dass ihre Umsetzungsarbeit nie wirklich abgeschlossen ist. Während sich die digitale Wirtschaft in Richtung autonomer KI-Agenten und quantenresistenter Infrastruktur bewegt, werden die traditionellen Instrumente des Datenschutzes auf eine harte Probe gestellt. Die Forderung der Industrie nach einem „Digitalen Omnibus-Gesetz“, das diese Vorschriften bündelt, zeigt: Die nächste Phase der europäischen Digitalpolitik muss sich ebenso sehr auf Vereinfachung konzentrieren wie auf Schutz.

Ausblick: Was auf die Unternehmen zukommt

Die zweite Jahreshälfte 2026 wird von der praktischen Umsetzung des EU-KI-Gesetzes geprägt sein. Unternehmen müssen bis Anfang August ihre KI-Inhalte kennzeichnen. Gleichzeitig deuten die niedrigen NIS2-Registrierungszahlen darauf hin, dass die Behörden den Druck im Sommer erhöhen werden.

Auf technischer Seite haben die neuen BSI C5:2026-Standards vom April 2026 eine einjährige Vorbereitungszeit eröffnet. Bis Juni 2027 müssen Cloud-Anbieter und ihre Kunden auf Container-Management und vertrauliches Computing umstellen – das wird zur neuen Baseline für sichere digitale Abläufe im deutschen Markt.

de | wirtschaft | 69422408 |