Datenschutz-Rebellion: 72% der Unternehmen halten DSGVO für überzogen

Die Bürokratie-Lawine rollt ungebremst: Fast drei Viertel aller deutschen Unternehmen empfinden die aktuellen Datenschutzregeln als überzogen. Das zeigt eine neue Studie des Digitalverbands Bitkom, die am 22. Mai veröffentlicht wurde. Die Stimmung in der deutschen Wirtschaft kippt – und das hat weitreichende Folgen für die digitale Zukunft des Standorts.

Acht Jahre DSGVO – eine bittere Bilanz

Die Datenschutz-Grundverordnung (DSGVO) feiert 2026 ihren achten Geburtstag. Und die Zahlen sprechen eine deutliche Sprache: 71 Prozent der Unternehmen haben die Vorgaben mittlerweile umgesetzt – ein gewaltiger Sprung gegenüber 2018, als gerade einmal 7 Prozent der Firmen diese Hürde genommen hatten. Doch der Preis dafür ist hoch.

Die Erstellung des rechtlich geforderten Verarbeitungsverzeichnisses gehört für viele Betriebe zu den zeitintensivsten Dokumentationspflichten der DSGVO. Mit dieser kostenlosen Excel-Vorlage und der zugehörigen Anleitung erfüllen Sie die Anforderungen von Art. 30 rechtssicher und effizient. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Die Bitkom-Umfrage unter 603 Unternehmen zeigt ein düsteres Bild: 81 Prozent der Betriebe klagen über kompliziertere interne Abläufe durch die DSGVO. Zum Vergleich: 2016 waren es erst 25 Prozent. Der bürokratische Aufwand? 97 Prozent der Firmen bewerten ihn als hoch, 44 Prozent sogar als „sehr hoch".

Kein Wunder also, dass die Unzufriedenheit wächst. Waren es 2020 noch 40 Prozent der Unternehmen, die die Datenschutzregeln für übertrieben hielten, sind es heute 72 Prozent. Hauptgrund: die anhaltende Rechtsunsicherheit. 82 Prozent der Betriebe nennen die fehlende rechtliche Klarheit als größte Hürde – ein massiver Anstieg gegenüber 35 Prozent im Jahr 2017.

Bitkom-Präsident Wintergerst fordert deshalb eine grundlegende Reform der DSGVO. „Die Bürokratie muss dringend abgebaut werden", so seine Botschaft an die Politik.

Wenn Datenschutz zur Innovationsbremse wird

Besonders dramatisch wirkt sich die Regulierung auf die Entwicklung Künstlicher Intelligenz aus. Die Studie zeigt: 69 Prozent der Unternehmen sehen die aktuellen Datenschutzgesetze als erhebliches Hindernis für das Training von KI-Modellen – 2023 waren es erst 42 Prozent.

Noch alarmierender: 63 Prozent der Firmen befürchten, dass die DSGVO KI-Unternehmen sogar aus der EU vertreiben könnte. Die Probleme beginnen bei den Grundlagen: 59 Prozent der Betriebe berichten, dass Projekte zum Aufbau gemeinsamer Datenspeicher an den regulatorischen Hürden gescheitert sind.

Die Zahlen decken sich mit einer Eurostat-Erhebung von 2025, die Datenschutzbedenken und unklare rechtliche Folgen als Hauptgründe nannte, warum mittlere und große Unternehmen beim KI-Einsatz zögern. Dabei steigt die Nutzung: 36 Prozent der deutschen Firmen setzen inzwischen auf KI – ein deutlicher Sprung von 20 Prozent im Vorjahr.

Doch die nächste Hürde wartet bereits. Der EU AI Act tritt am 2. August 2026 in Kraft, und 93 Prozent der betroffenen Unternehmen erwarten eine hohe Belastung durch die Umsetzung. Die Strafen sind happig: Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes drohen bei Verstößen.

Angesichts der neuen EU-KI-Verordnung und drohender Millionenstrafen stehen viele Unternehmen nun vor der Herausforderung, komplexe neue Compliance-Regeln schnellstmöglich zu integrieren. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Fristen, Risikoklassen und Pflichten des AI Acts. EU AI Act in 5 Schritten verstehen – jetzt kostenlosen Report sichern

Die Kostenexplosion bei Verstößen

Die finanziellen Risiken wachsen. Bis März 2026 summierten sich die DSGVO-Strafen europaweit auf 6,11 Milliarden Euro. Auch die Gerichte verschärfen den Ton: Im Januar 2025 sprach der Bundesgerichtshof (BGH) einem Verbraucher 500 Euro Schadensersatz zu, nachdem ein Telekommunikationsanbieter unrechtmäßig Daten an die SCHUFA gemeldet hatte – mit der Folge einer Kreditabsage.

Doch die Justiz setzt auch Grenzen. Das Amtsgericht Nürnberg entschied im Juli 2025: Die Übermittlung von „Positivdaten" – also Informationen über bestehende Verträge ohne negative Zahlungshistorie – an eine Auskunftei ist grundsätzlich vom berechtigten Interesse an Betrugsprävention gedeckt. Für einen Schadensersatzanspruch nach Artikel 82 DSGVO muss der Kläger einen konkreten, individuellen Verlust nachweisen. Bloßes „Unbehagen" reicht nicht.

NIS2: Nur jeder Dritte hat die Frist eingehalten

Die Regulierungswelle trifft die Unternehmen hart. Von rund 29.500 Firmen, die bis zum 6. März 2026 unter der NIS2-Richtlinie registrierungspflichtig waren, haben nur 11.000 die Frist eingehalten. Das ist alarmierend – zumal die Bedrohungslage sich verschärft.

Ein aktueller Sophos-Bericht zur Identitätssicherheit zeigt: 71 Prozent der Unternehmen weltweit erlebten im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall. In Deutschland waren 62 Prozent der Firmen betroffen, die durchschnittlichen Wiederherstellungskosten lagen bei 1,64 Millionen Dollar.

Neue Hürden für 2027 – und ein Knopf für Verbraucher

Der Ausblick macht wenig Hoffnung auf Entlastung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte im April 2026 die aktualisierten C5:2026-Kriterien. Sie umfassen 168 Anforderungen an Cloud-Dienstleister in 17 Themenbereichen – inklusive Post-Quanten-Kryptografie, Container-Management und vertraulichem Computing. Pflicht werden sie ab dem 1. Juni 2027.

Für den Handel kommt eine neue Regel schon früher: Ab dem 19. Juni 2026 müssen Unternehmen nach § 356a BGB einen zweistufigen „Widerrufs-Button" auf ihren Webseiten anbieten – für alle online geschlossenen Fernabsatzverträge. Der Knopf muss leicht erreichbar sein und darf nicht hinter einem Login versteckt werden.

Lichtblicke in der Nische

Trotz des Drucks gibt es Erfolgsgeschichten. In der Automobilbranche hat sich der TISAX-Standard als Marktzugangsvoraussetzung etabliert. 2025 waren über 9.500 aktive TISAX-Labels registriert – ein jährliches Wachstum von 18 Prozent. Die meisten Unternehmen (65 Prozent) halten ein Assessment Level 2 (AL2)-Label, dessen Umsetzung zwischen 8.000 und 15.000 Euro kostet.

Doch die grundsätzliche Stimmung bleibt angespannt. 71 Prozent der Unternehmen fordern neue politische Rahmenbedingungen für internationale Datentransfers – insbesondere, weil 61 Prozent der deutschen Firmen weiterhin Daten an US-Anbieter übermitteln. Ohne eine Reform, die Sicherheit und betriebliche Flexibilität in Einklang bringt, droht die digitale Transformation der deutschen Wirtschaft weiter ausgebremst zu werden.

de | wirtschaft | 69421800 |