10 Jahre DS-GVO – Eine nüchterne Zwischenbilanz
27.05.2026
Zusammenfassung
10 Jahre DS-GVO: Die Langzeitstudie der Bitkom gibt auf Basis repräsentativer Unternehmensbefragungen der Jahre 2016 bis 2025 einen datengestützten Überblick über die Entwicklung des Datenschutzes in der deutschen Wirtschaft – von der Umsetzung regulatorischer Vorgaben bis hin zu Auswirkungen auf Innovation, internationale Datentransfers und Künstliche Intelligenz.
5 Minuten Lesezeit
Am 25. Mai 2026 feierte die Datenschutz-Grundverordnung ihren zehnten Geburtstag. Der Digitalverband Bitkom hat aus diesem Anlass eine bemerkenswerte Langzeitstudie veröffentlicht, die auf repräsentativen Unternehmensbefragungen der Jahre 2016 bis 2025 basiert. Die Ergebnisse zeichnen ein differenziertes Bild: Datenschutz ist in der deutschen Wirtschaft angekommen – aber keineswegs zur Routine geworden.
Von der Richtlinie zur Verordnung: Ein kurzer historischer Rückblick
Den Ausgangspunkt des modernen Datenschutzverständnisses setzt das BVerfG mit dem Volkszählungsurteil vom 15. Dezember 1983: Das Grundrecht auf informationelle Selbstbestimmung – hergeleitet aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG – begründet den verfassungsrechtlichen Anspruch jedes Einzelnen, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Auf diesem Fundament schuf die EU 1995 mit der Datenschutzrichtlinie (RL 95/46/EG) erstmals einen gemeinsamen Rechtsrahmen für den Schutz personenbezogener Daten im Binnenmarkt. 2012 legte die Europäische Kommission den Entwurf der DS-GVO vor; 2016 wurde sie verabschiedet und trat am 25. Mai 2018 in allen Mitgliedstaaten unmittelbar in Kraft. Mit dem Schrems-II-Urteil des EuGH folgte 2020 ein weiterer Einschnitt: Das EU-US Privacy Shield wurde für ungültig erklärt und internationale Datentransfers mussten grundlegend neu bewertet werden. Seit 2024 fügt sich der Datenschutz in einen immer breiteren europäischen Regulierungsrahmen ein – Data Services Act, Data Act und KI-Verordnung rücken Daten-, Plattform- und KI-Governance zunehmend in den Mittelpunkt.
Was die Zahlen sagen:
Umsetzung: angekommen, aber noch lange nicht abgeschlossen
71% der Unternehmen gaben 2024 an, die DS-GVO vollständig oder größtenteils umgesetzt zu haben – der höchste Wert seit Inkrafttreten der DS-GVO. Zum Vergleich: Im ersten Quartal 2018 lag dieser Wert noch bei gerade einmal 7%. Gleichwohl sehen 28% der Unternehmen die Vorgaben weiterhin nur teilweise oder noch nicht umgesetzt. DS-GVO-Compliance ist kein einmaliges Projekt, sondern eine Daueraufgabe.
Aufwand: stetig steigend
Besonders auffällig ist die Entwicklung beim wahrgenommenen Aufwand. 84% der Unternehmen berichten 2024, dass ihr Datenschutzaufwand seit Einführung der DS-GVO gestiegen ist – gegenüber 71% im Jahr 2020. 2025 bewerten sogar 97% den Datenschutzaufwand generell als hoch, davon 44% als „sehr hoch“. Ein Entlastungseffekt durch mehr Erfahrung und eingespielter Prozesse stellt sich damit nicht ein.
Komplexität: wachsende Wahrnehmung
81% der Unternehmen sagen 2025, die DS-GVO mache ihre Geschäftsprozesse komplizierter. 2016 – noch vor ihrer Anwendbarkeit – teilten nur 25% diese Einschätzung. Die Wahrnehmung zusätzlicher Komplexität hat sich über die Jahre also deutlich verfestigt.
Rechtsunsicherheit: strukturell und persistent
82% der Unternehmen nennen 2025 Unsicherheit bezüglich der genauen Datenschutzvorgaben als zentrale Herausforderung. 86% sind der Ansicht, dass die Umsetzung nie vollständig abgeschlossen sein kann, weil kontinuierlich auf technische und rechtliche Entwicklungen reagiert werden muss. Dies verdeutlicht: Datenschutz-Compliance ist kein statisches Ziel, sondern ein dynamischer, ressourcenintensiver Prozess.
Innovation und Künstliche Intelligenz: ein echtes Spannungsfeld
Die Studie beleuchtet auch das Verhältnis zwischen Datenschutz und datengetriebener Innovation – und hier wird das Bild besonders ambivalent.
59% der Unternehmen berichten 2025, dass der Aufbau von Datenpools an Datenschutzvorgaben gescheitert ist oder gar nicht erst in Angriff genommen wurde. Gleichzeitig sehen 59% den europäischen Datenschutz im internationalen Vergleich als potenziellen Vorteil für die KI-Entwicklung – ein Wert, der gegenüber 48% im Jahr 2023 deutlich gestiegen ist.
Diesem positiven Signal stehen jedoch handfeste Bedenken gegenüber: 69% sagen, Datenschutz erschwere das Training von KI-Modellen mit ausreichend Daten. 63% sind der Ansicht, europäischer Datenschutz vertreibe KI-entwickelnde Unternehmen aus der EU. Der Anspruch, mit hohen Datenschutzstandards ein Qualitätsmerkmal zu setzen, wird in der Praxis also noch nicht eingelöst.
Internationale Datentransfers: wirtschaftliche Realität, rechtliche Dauerbaustelle
Die USA bleiben das wichtigste Drittland für personenbezogene Datentransfers – 61% der Unternehmen übermitteln dort 2025 noch personenbezogene Daten. Die rechtlichen Grundlagen hierfür sind jedoch fragil geblieben: Das EU-US Data Privacy Framework wird bislang nur von 21% der Unternehmen genutzt, während Standardvertragsklauseln mit 80% das dominierende Instrument bleiben. Wenig überraschend daher: 71% der Unternehmen fordern von der Politik tragfähige Lösungen für internationale Datentransfers.
Reformbedarf: nicht weniger Datenschutz, sondern besserer
72% der Unternehmen sind 2025 der Meinung, dass „wir es mit dem Datenschutz in Deutschland übertreiben“ – der höchste Wert der Zeitreihe. Diese Aussage ist bewusst zu kontextualisieren: Sie richtet sich nicht gegen Datenschutz als Grundrecht, sondern gegen eine Anwendungspraxis, die nach Ansicht vieler Unternehmen zu stark auf formale Pflichten setzt, ohne dass dies stets einem proportionalen Schutzgewinn entspricht.
Folglich werden daraus konkrete Reformansätze abgeleitet, die auch aus juristischer Sicht nachvollziehbar sind:
- Konsequentere Risikoorientierung: Risikoarme Verarbeitungen sollten nicht denselben formalen Aufwand auslösen wie Hochrisiko-Verarbeitungen.
- Mehr Rechtssicherheit: Auslegungsunklarheiten – etwa beim Personenbezug von Daten oder bei der Nutzung berechtigter Interessen als Rechtsgrundlage für KI – müssen abgebaut werden.
- Bessere Rahmenbedingungen für Innovation: Rechtssichere Grundlagen für KI-Training und Datennutzung sind keine Schwächung des Datenschutzes, sondern seine Modernisierung.
- Stärkere Anerkennung technischer Schutzmaßnahmen: Anonymisierung und Pseudonymisierung sollten konsequenter als risikomindernde Faktoren berücksichtigt werden.
- Harmonisierte Aufsicht: Einheitlichere Behördenpraxis und praxisnahe Leitlinien können Unternehmen spürbar entlasten.
Fazit
Zehn Jahre DS-GVO sind ein guter Anlass für eine sachliche Bestandsaufnahme. Die Verordnung hat zweifellos dazu beigetragen, Datenschutz als festen Bestandteil unternehmerischer Verantwortung zu verankern. Zugleich zeigen die Daten aus der Langzeitstudie eindrücklich, dass hoher formaler Aufwand, anhaltende Rechtsunsicherheit und Innovationshemmnisse strukturelle Probleme sind – keine bloßen Kinderkrankheiten.
Die Debatte über eine Reform der DS-GVO wird zu Recht geführt. Entscheidend ist dabei, dass Datenschutz nicht als Hindernis, sondern als gestaltbarer Rahmen verstanden wird: stark dort, wo reale Risiken für Betroffene bestehen – und flexibel genug, um Europas digitale Zukunftsfähigkeit nicht zu gefährden.
