{"id":23007,"date":"2026-05-27T10:41:15","date_gmt":"2026-05-27T08:41:15","guid":{"rendered":"https:\/\/www.iitr.de\/blog\/?p=23007"},"modified":"2026-05-27T10:42:17","modified_gmt":"2026-05-27T08:42:17","slug":"10-jahre-ds-gvo-eine-nuechterne-zwischenbilanz","status":"publish","type":"post","link":"https:\/\/www.iitr.de\/blog\/10-jahre-ds-gvo-eine-nuechterne-zwischenbilanz\/23007\/","title":{"rendered":"10 Jahre DS-GVO \u2013 Eine n\u00fcchterne Zwischenbilanz"},"content":{"rendered":"

Am 25. Mai 2026 feierte die Datenschutz-Grundverordnung ihren zehnten Geburtstag. Der Digitalverband Bitkom hat aus diesem Anlass eine bemerkenswerte Langzeitstudie<\/a> ver\u00f6ffentlicht, die auf repr\u00e4sentativen Unternehmensbefragungen der Jahre 2016 bis 2025 basiert. Die Ergebnisse zeichnen ein differenziertes Bild: Datenschutz ist in der deutschen Wirtschaft angekommen \u2013 aber keineswegs zur Routine geworden.<\/p>\n

Von der Richtlinie zur Verordnung: Ein kurzer historischer R\u00fcckblick<\/strong><\/h2>\n

\"\"<\/a><\/p>\n

Den Ausgangspunkt des modernen Datenschutzverst\u00e4ndnisses setzt das BVerfG mit dem Volksz\u00e4hlungsurteil vom 15. Dezember 1983: Das Grundrecht auf informationelle Selbstbestimmung \u2013 hergeleitet aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG \u2013 begr\u00fcndet den verfassungsrechtlichen Anspruch jedes Einzelnen, selbst \u00fcber die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Auf diesem Fundament schuf die EU 1995 mit der Datenschutzrichtlinie (RL 95\/46\/EG) erstmals einen gemeinsamen Rechtsrahmen f\u00fcr den Schutz personenbezogener Daten im Binnenmarkt. 2012 legte die Europ\u00e4ische Kommission den Entwurf der DS-GVO vor; 2016 wurde sie verabschiedet und trat am 25. Mai 2018 in allen Mitgliedstaaten unmittelbar in Kraft. Mit dem Schrems-II-Urteil des EuGH folgte 2020 ein weiterer Einschnitt: Das EU-US Privacy Shield wurde f\u00fcr ung\u00fcltig erkl\u00e4rt und internationale Datentransfers mussten grundlegend neu bewertet werden. Seit 2024 f\u00fcgt sich der Datenschutz in einen immer breiteren europ\u00e4ischen Regulierungsrahmen ein \u2013 Data Services Act, Data Act und KI-Verordnung r\u00fccken Daten-, Plattform- und KI-Governance zunehmend in den Mittelpunkt.<\/p>\n

Was die Zahlen sagen:<\/strong><\/h2>\n

Umsetzung:<\/strong> angekommen, aber noch lange nicht abgeschlossen<\/h3>\n

71% der Unternehmen gaben 2024 an, die DS-GVO vollst\u00e4ndig oder gr\u00f6\u00dftenteils umgesetzt zu haben \u2013 der h\u00f6chste Wert seit Inkrafttreten der DS-GVO. Zum Vergleich: Im ersten Quartal 2018 lag dieser Wert noch bei gerade einmal 7%. Gleichwohl sehen 28% der Unternehmen die Vorgaben weiterhin nur teilweise oder noch nicht umgesetzt. DS-GVO-Compliance ist kein einmaliges Projekt, sondern eine Daueraufgabe.<\/p>\n

Aufwand:<\/strong> stetig steigend<\/h3>\n

Besonders auff\u00e4llig ist die Entwicklung beim wahrgenommenen Aufwand. 84% der Unternehmen berichten 2024, dass ihr Datenschutzaufwand seit Einf\u00fchrung der DS-GVO gestiegen ist \u2013 gegen\u00fcber 71% im Jahr 2020. 2025 bewerten sogar 97% den Datenschutzaufwand generell als hoch, davon 44% als \u201esehr hoch“. Ein Entlastungseffekt durch mehr Erfahrung und eingespielter Prozesse stellt sich damit nicht ein.<\/p>\n

Komplexit\u00e4t:<\/strong> wachsende Wahrnehmung<\/h3>\n

81% der Unternehmen sagen 2025, die DS-GVO mache ihre Gesch\u00e4ftsprozesse komplizierter. 2016 \u2013 noch vor ihrer Anwendbarkeit \u2013 teilten nur 25% diese Einsch\u00e4tzung. Die Wahrnehmung zus\u00e4tzlicher Komplexit\u00e4t hat sich \u00fcber die Jahre also deutlich verfestigt.<\/p>\n

Rechtsunsicherheit:<\/strong> strukturell und persistent<\/h3>\n

82% der Unternehmen nennen 2025 Unsicherheit bez\u00fcglich der genauen Datenschutzvorgaben als zentrale Herausforderung. 86% sind der Ansicht, dass die Umsetzung nie vollst\u00e4ndig abgeschlossen sein kann, weil kontinuierlich auf technische und rechtliche Entwicklungen reagiert werden muss. Dies verdeutlicht: Datenschutz-Compliance ist kein statisches Ziel, sondern ein dynamischer, ressourcenintensiver Prozess.<\/p>\n

Innovation und K\u00fcnstliche Intelligenz: ein echtes Spannungsfeld<\/strong><\/h3>\n

Die Studie beleuchtet auch das Verh\u00e4ltnis zwischen Datenschutz und datengetriebener Innovation \u2013 und hier wird das Bild besonders ambivalent.<\/p>\n

59% der Unternehmen berichten 2025, dass der Aufbau von Datenpools an Datenschutzvorgaben gescheitert ist oder gar nicht erst in Angriff genommen wurde. Gleichzeitig sehen 59% den europ\u00e4ischen Datenschutz im internationalen Vergleich als potenziellen Vorteil f\u00fcr die KI-Entwicklung \u2013 ein Wert, der gegen\u00fcber 48% im Jahr 2023 deutlich gestiegen ist.<\/p>\n

Diesem positiven Signal stehen jedoch handfeste Bedenken gegen\u00fcber: 69% sagen, Datenschutz erschwere das Training von KI-Modellen mit ausreichend Daten. 63% sind der Ansicht, europ\u00e4ischer Datenschutz vertreibe KI-entwickelnde Unternehmen aus der EU. Der Anspruch, mit hohen Datenschutzstandards ein Qualit\u00e4tsmerkmal zu setzen, wird in der Praxis also noch nicht eingel\u00f6st.<\/p>\n

Internationale Datentransfers: wirtschaftliche Realit\u00e4t, rechtliche Dauerbaustelle<\/strong><\/h3>\n

Die USA bleiben das wichtigste Drittland f\u00fcr personenbezogene Datentransfers \u2013 61% der Unternehmen \u00fcbermitteln dort 2025 noch personenbezogene Daten. Die rechtlichen Grundlagen hierf\u00fcr sind jedoch fragil geblieben: Das EU-US Data Privacy Framework wird bislang nur von 21% der Unternehmen genutzt, w\u00e4hrend Standardvertragsklauseln mit 80% das dominierende Instrument bleiben. Wenig \u00fcberraschend daher: 71% der Unternehmen fordern von der Politik tragf\u00e4hige L\u00f6sungen f\u00fcr internationale Datentransfers.<\/p>\n

Reformbedarf: nicht weniger Datenschutz, sondern besserer<\/strong><\/h3>\n

72% der Unternehmen sind 2025 der Meinung, dass \u201ewir es mit dem Datenschutz in Deutschland \u00fcbertreiben“ \u2013 der h\u00f6chste Wert der Zeitreihe. Diese Aussage ist bewusst zu kontextualisieren: Sie richtet sich nicht gegen Datenschutz als Grundrecht, sondern gegen eine Anwendungspraxis, die nach Ansicht vieler Unternehmen zu stark auf formale Pflichten setzt, ohne dass dies stets einem proportionalen Schutzgewinn entspricht.<\/p>\n

Folglich werden daraus konkrete Reformans\u00e4tze abgeleitet, die auch aus juristischer Sicht nachvollziehbar sind:<\/p>\n