Zehn Jahre nach Inkrafttreten der DSGVO ist Datenschutz in deutschen Unternehmen deutlich stärker verankert. Eine Bitkom-Zeitreihe zeigt aber auch steigenden Aufwand, mehr Rechtsunsicherheit und wachsende Hürden für KI-Projekte. Viele Unternehmen sehen Datenschutz inzwischen als dauerhafte organisatorische Aufgabe.

Zehn Jahre nach Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) zieht Bitkom eine gemischte Bilanz. Die Zahlen zeigen deutlich: Datenschutz ist in deutschen Unternehmen angekommen. Während kurz vor der praktischen Anwendbarkeit 2018 erst sieben Prozent der Unternehmen die Vorgaben vollständig oder größtenteils umgesetzt hatten, lag dieser Wert 2024 bereits bei 71 Prozent. Damit hat die DSGVO erreicht, was vor ihrem Start eines ihrer zentralen Ziele war: Datenschutz ist nicht länger ein Randthema, sondern fester Bestandteil von Geschäftsprozessen, IT-Architekturen und Unternehmensführung.

Die Datenschutz-Grundverordnung trat am 24. Mai 2016 in Kraft. Seitdem hat sich der Umgang mit personenbezogenen Daten grundlegend verändert. Unternehmen müssen Datenflüsse nachvollziehen, Zuständigkeiten klären, Risiken bewerten und ihre technischen sowie organisatorischen Maßnahmen dokumentieren. Das verursacht Aufwand, schafft aber auch mehr Transparenz. Gerade in digitalisierten Geschäftsmodellen ist das ein wichtiger Punkt: Wer Daten verarbeitet, muss wissen, wo sie liegen, wer darauf zugreift und wie sie geschützt werden.

Anzeige

Datenschutz wird Teil der Unternehmenssteuerung

Bitkom-Präsident Dr. Ralf Wintergerst sagt: »Datenschutz ist keine lästige Pflicht, er ist eine zentrale Säule der digitalen Welt.« Genau darin liegt der Kern der DSGVO. Sie zwingt Unternehmen dazu, Datenschutz nicht nachträglich an Projekte anzuhängen, sondern ihn früh in Prozesse, Anwendungen und Infrastrukturen einzubauen. Für IT-Verantwortliche im Rechenzentrum betrifft das unter anderem Datenklassifizierung, Berechtigungskonzepte, Protokollierung, Löschkonzepte, Backup-Strategien und den Umgang mit Cloud- und SaaS-Diensten.

Gleichzeitig bleibt die Umsetzung anspruchsvoll. 86 Prozent der Unternehmen sagen 2025, dass die DSGVO nie vollständig abgeschlossen ist, weil laufend auf technische und rechtliche Entwicklungen reagiert werden muss. Diese Einschätzung ist nachvollziehbar. Datenschutz ist keine einmalige Projektaufgabe, sondern ein Betriebsmodell. Neue Anwendungen, veränderte Datenflüsse, KI-Systeme und internationale Dienstleister verändern ständig die Rahmenbedingungen. Die DSGVO bildet dafür einen verbindlichen Orientierungsrahmen.

Trotz aller Vorteile, die überwiegende Mehrheit der Unternehmen ergibt sich durch die DSGVO eine Verkomplizierung der Geschäftsprozesse. (Bitkom)

Der Aufwand steigt, aber der Schutzgedanke bleibt wichtig

Die Bitkom-Zahlen zeigen aber auch, wo die Praxis hakt. 81 Prozent der Unternehmen sagen 2025, dass die DSGVO Geschäftsprozesse komplizierter macht. 97 Prozent bewerten den Datenschutzaufwand als hoch, davon 44 Prozent als sehr hoch. Diese Kritik richtet sich weniger gegen Datenschutz als Ziel, sondern gegen Komplexität, unterschiedliche Auslegungen, Dokumentationspflichten und Rechtsunsicherheit. Hier besteht Reformbedarf, ohne den Schutzgedanken der DSGVO zu schwächen.

Besonders sichtbar wird dieser Zielkonflikt beim Einsatz künstlicher Intelligenz. 59 Prozent der Unternehmen sehen europäischen Datenschutz grundsätzlich als Vorteil für die KI-Entwicklung in Deutschland und Europa. Gleichzeitig sagen 69 Prozent, Datenschutz erschwere es, KI-Modelle mit genügend Daten zu trainieren. Auch Datenpools für KI- und Analyseanwendungen scheitern aus Sicht vieler Unternehmen an Datenschutzvorgaben oder werden gar nicht erst begonnen.

KI braucht Datenschutz als Vertrauensbasis

Gerade deshalb ist eine risikoorientierte Anwendung der DSGVO wichtig. Datenschutz muss dort stark sein, wo echte Risiken für Menschen entstehen. Wo formale Pflichten dagegen keinen zusätzlichen Schutz bringen, sollten Verfahren vereinfacht werden. Das würde die DSGVO nicht schwächen, sondern praxistauglicher machen. Für KI-Projekte bedeutet das: Datenqualität, Zweckbindung, Berechtigungen, Transparenz und Governance müssen sauber geregelt sein. Dann kann Datenschutz Vertrauen schaffen, statt Innovation grundsätzlich auszubremsen.

Auch internationale Datentransfers bleiben eine Baustelle. 61 Prozent der Unternehmen übermitteln 2025 personenbezogene Daten in die USA. Für Cloud-Strategien, Support-Strukturen, SaaS-Plattformen und Analyse-Services ist das ein zentraler Punkt. Verlässliche Regeln für Datentransfers würden Unternehmen entlasten und zugleich den Schutz personenbezogener Daten stärken.

Die DSGVO bleibt Grundlage digitaler Geschäftsprozesse

Zehn Jahre DSGVO zeigen damit ein differenziertes Bild. Die Verordnung hat Datenschutz professionalisiert, Verantwortlichkeiten geschärft und Datenverarbeitung transparenter gemacht. Sie verursacht Aufwand, aber dieser Aufwand ist nicht automatisch unnütz. In einer Wirtschaft, die immer stärker auf Daten, Automatisierung und KI setzt, ist Datenschutz ein Vertrauensfaktor. Die nächste Aufgabe besteht darin, die DSGVO konsequenter risikoorientiert, einheitlicher und verständlicher anzuwenden. Dann bleibt sie nicht nur Pflichtprogramm, sondern wird zur tragfähigen Grundlage für digitale Geschäftsprozesse.

Datenschutz muss im KI-Zeitalter operationalisierbar bleiben

Europäischer Datenschutz wird von Unternehmen zunehmend als möglicher Vorteil für die KI-Entwicklung gesehen, bleibt in der Praxis aber eine spürbare Hürde. Laut Bitkom steigt der Anteil der Unternehmen, die Datenschutz im internationalen Vergleich als Vorteil für KI in Deutschland und Europa bewerten, von 48 Prozent im Jahr 2023 auf 59 Prozent im Jahr 2025. Gleichzeitig sinkt der Anteil derjenigen, die ihn als Nachteil sehen, von 46 auf 36 Prozent. Das deutet darauf hin, dass Datenschutz stärker als Vertrauens- und Qualitätsmerkmal verstanden wird.

Gerade bei sensiblen Daten, in regulierten Branchen oder im B2B-Umfeld kann ein hoher Datenschutzstandard Akzeptanz schaffen und europäische KI-Angebote differenzieren. Auch bei der Rechtssicherheit verbessert sich die Wahrnehmung: 2025 sagen 58 Prozent der Unternehmen, Datenschutz schaffe Orientierung bei der Entwicklung von KI-Anwendungen. 2023 waren es 44 Prozent.

In der konkreten Umsetzung zeigt sich jedoch ein anderes Bild. 69 Prozent der Unternehmen geben 2025 an, Datenschutz erschwere es, KI-Modelle mit genügend Daten zu trainieren. 2023 lag dieser Wert noch bei 42 Prozent. Zudem sehen 63 Prozent die Gefahr, dass Datenschutz KI-Entwickler aus der EU vertreibt. 57 Prozent meinen, dass die Anwendung von KI in Europa dadurch eingeschränkt werde.

Damit entsteht ein klares Spannungsfeld. Wintergerst fordert, die DSGVO stärker risikoorientiert anzuwenden. Nicht jede interne Automatisierung hat dasselbe Schutzbedürfnis wie ein KI-System, das personenbezogene Daten bewertet oder Entscheidungen vorbereitet. Gerade diese Differenzierung wird wichtig. Unternehmen brauchen klare Regeln, aber auch praktikable Spielräume, um KI verantwortungsvoll einsetzen zu können. Laut Bitkom sollte Datenschutz deshalb nicht als Gegenspieler von KI verstanden werden, sondern als Voraussetzung für vertrauenswürdige KI-Anwendungen.