DSGVO nach 10 Jahren: 81% der Firmen sehen massive Bürde

Zehn Jahre nach Einführung der DSGVO kämpfen deutsche Firmen noch immer mit der Umsetzung – und die Anforderungen werden komplexer.

Nordrhein-Westfälische Datenschutzberater haben am heutigen Montag eine dringende Warnung an die deutsche Wirtschaft ausgesprochen: Unternehmen müssen ihre Auftragsverarbeitungsverträge (AV-Verträge) dringend prüfen und anpassen. Die Mahnung fällt mit dem zehnten Jahrestag der Datenschutz-Grundverordnung zusammen, die am 24. Mai 2016 in Kraft trat.

Die korrekte Gestaltung von AV-Verträgen ist für die Haftung entscheidend, doch viele Geschäftsführer übersehen hierbei folgenschwere Details. Dieses kostenlose E-Book bietet fertige Vorlagen und Checklisten, mit denen Sie Ihre Auftragsdatenverarbeitung ohne teuren Rechtsbeistand rechtssicher organisieren. Gratis E-Book mit Vorlagen zum sofortigen Einsatz

Bürokratie als Dauerbelastung

Eine umfassende Langzeitstudie des Digitalverbands Bitkom vom 22. Mai 2026 zeichnet ein paradoxes Bild: Während die Umsetzungsquote der DSGVO-Anforderungen von mageren sieben Prozent im Jahr 2018 auf stattliche 71 Prozent im Jahr 2024 gestiegen ist, empfinden Unternehmen die Regeln zunehmend als Belastung. 81 Prozent der befragten 603 Firmen bewerteten die Vorschriften 2025 als erhebliche Bürde – ein drastischer Anstieg gegenüber 2016, als nur 25 Prozent diese Einschätzung teilten.

Der Aufwand für die Einhaltung der Vorschriften wird von 97 Prozent der Unternehmen als hoch eingestuft, 44 Prozent bezeichnen ihn sogar als sehr hoch. Verschärft wird die Situation durch einen akuten Fachkräftemangel: 38 Prozent der Firmen können offene Stellen für Datenschutzbeauftragte nicht besetzen. Die größte Herausforderung ist jedoch die Rechtsunsicherheit, die 82 Prozent der Befragten nennen. Die finanziellen Folgen sind enorm: Bis März 2026 summierten sich die verhängten DSGVO-Bußgelder auf rund 6,11 Milliarden Euro.

Die rechtlichen Anforderungen werden zudem immer komplexer. Verschlüsselungspflichten für die Nachrichtenübermittlung ergeben sich aus einem Flickenteppich deutscher Gesetze – vom Bundesdatenschutzgesetz (BDSG) über das Sozialgesetzbuch (SGB) bis hin zu Steuer- und Passvorschriften. Besonders die praktische Umsetzung der Ende-zu-Ende-Verschlüsselung in der Kommunikation mit Privatpersonen stellt viele Unternehmen vor große Hürden.

Künstliche Intelligenz als neuer Brennpunkt

Mit der Verschärfung der EU-Regulierung für neue Technologien rückt das Zusammenspiel von Datenschutz und Künstlicher Intelligenz in den Fokus. Die EU-Kommission veröffentlichte am 22. Mai 2026 neue Leitlinien für Hochrisiko-KI-Systeme in acht kritischen Bereichen – darunter Biometrie, kritische Infrastruktur, Bildung und Beschäftigung. Besonders brisant: KI-Systeme in der Personalauswahl gelten wegen ihres Diskriminierungspotenzials als risikoreich.

Die Bitkom-Studie zeigt, dass 69 Prozent der Unternehmen die DSGVO mittlerweile als Hindernis für das Training von KI-Systemen sehen – 2023 waren es noch 42 Prozent. 63 Prozent der befragten Firmen glauben, dass KI-getriebene Unternehmen aus der EU verdrängt werden. Einige Behörden reagieren bereits: Die Bremer Verwaltung, die seit Juli 2025 den Textassistenten LLMoin nutzt, hat im Mai 2026 eine Dienstvereinbarung zum Schutz vor Diskriminierung durch KI geschlossen – auch wenn sie KI bei Einstellungsentscheidungen derzeit noch nicht einsetzt.

Der Umgang mit biometrischen Daten bleibt europaweit heikel. Während Frankreich im Mai 2026 mit Tests von Gesichtserkennung an Schulen begann, stehen diese Pilotprojekte unter strenger Beobachtung der französischen Datenschutzbehörde CNIL und des Europäischen Datenschutzausschusses (EDSA). Vorausgegangen waren mehrere regulatorische Eingriffe: das erste DSGVO-Bußgeld für Gesichtserkennung an einer schwedischen Schule (2019), ein gestoppter Pilotversuch in Marseille (2020) und eine Verwarnung in Großbritannien (2024), die zur Abschaltung eines ähnlichen Systems in Essex führte.

Gerichte ziehen rote Linien

Aktuelle Urteile schaffen Klarheit bei umstrittenen Datenschutzfragen. Das Amtsgericht Nürnberg bestätigte am 9. Juli 2025 rechtskräftig: Die DSGVO enthält kein absolutes Kopplungsverbot von Vertrag und Einwilligung. Die Zustimmung bleibt freiwillig, solange der Verbraucher keinem unangemessenen Druck ausgesetzt ist – die Verfügbarkeit zahlreicher Mobilfunkanbieter sprach im konkreten Fall dagegen.

Das Gericht präzisierte auch die Hürden für Schadensersatz nach Artikel 82 DSGVO: Für immaterielle Schäden muss der Kläger eine konkrete und individuelle Beeinträchtigung nachweisen – bloßes Unwohlsein reicht nicht. Zudem kann die Übermittlung von „Positivdaten" an Auskunfteien durch ein „berechtigtes Interesse" an Betrugsprävention gerechtfertigt werden.

Im Arbeitsrecht entschied das Hessische Landesarbeitsgericht am 5. Dezember 2024: Betriebsräte haben kein erzwingbares Mitbestimmungsrecht zur Durchsetzung gesetzlicher Datenschutzregeln, da diese bundesrechtlich geregelt sind. Ihr Recht auf Mitbestimmung bei IT-Systemen, die objektiv zur Leistungs- und Verhaltenskontrolle geeignet sind, bleibt jedoch unberührt. Diese Abgrenzung ist besonders relevant, da Deutschland ein eigenständiges Beschäftigtendatenschutzgesetz vorbereitet – ein Entwurf wird bis Ende Juni 2026 erwartet.

Unklare Verantwortlichkeiten bei Dienstleistern führen oft zu Verstößen, die Unternehmen im Durchschnitt 50.000 Euro kosten können. Dieser Experten-Report klärt über Ihre Haftungsrisiken auf und zeigt Ihnen, wie Sie die Anforderungen der DSGVO sicher umsetzen. Kostenlosen Report zur Auftragsverarbeitung anfordern

Digitale Souveränität und Sicherheitslücken

Der Drang nach digitaler Souveränität treibt massive Investitionen in europäische Cloud-Infrastruktur an. Auf der GITEX AI Europe in Berlin Mitte 2026 stand die Notwendigkeit lokaler Datenkontrolle im Mittelpunkt. Die EU-Kommission prognostiziert, dass 91 Prozent der Cloud-Migration bis 2028 abgeschlossen sein wird. Ein aktuelles Beispiel: Die Bundesregierung vergab am 22. Mai 2026 einen 250-Millionen-Euro-Auftrag für den Aufbau einer souveränen KI-Cloud. IONOS-CPO Nauerz betonte, dass wahre Souveränität weniger vom Server-Standort als vom Hauptsitz des Anbieters abhängt – ein entscheidender Faktor für regulierte Branchen unter NIS2 und DORA.

Die Dringlichkeit solcher Investitionen unterstreicht ein schwerer Cyberangriff im April 2026, bei dem 100.000 Patientendaten kompromittiert wurden. Die Registrierungsfrist für die NIS2-Richtlinie am 6. März 2026 offenbarte zudem eine erhebliche Compliance-Lücke: Nur 11.000 von 29.500 berechtigten Unternehmen hatten sich registriert. Verstöße können mit bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes geahndet werden.

International verschärfen sich die Rechtskonflikte um Verschlüsselung und Datenzugriff. Texas verklagte Meta am 22. Mai 2026 mit der Behauptung, das Unternehmen täusche Nutzer über die Sicherheit von WhatsApp – interne Systeme erlaubten angeblich Mitarbeiterzugriff auf Kommunikation. Meta wies die Vorwürfe zurück. Gleichzeitig setzen Technologieanbieter auf stärkere Authentifizierung: Microsoft kündigte am 21. Mai 2026 an, SMS-basierte Logins schrittweise durch sicherere Alternativen zu ersetzen.

Ausblick: Was auf Unternehmen zukommt

Die regulatorische Landschaft verändert sich rasant. Ab dem 2. August 2026 schreibt der EU AI Act die klare Kennzeichnung KI-generierter Inhalte vor. Unternehmen bereiten sich zudem auf iOS 27 vor, das voraussichtlich auf Apples WWDC am 8. Juni 2026 vorgestellt wird – mit Fokus auf erweiterte KI-Integration. Bereits am 24. Mai 2026 veröffentlichte Apple iOS 26.4.1 mit automatisch aktiviertem Diebstahlschutz, der sensible Einstellungen per Biometrie sichert.

Für deutsche Arbeitgeber bleibt der kommende Entwurf des Beschäftigtendatenschutzgesetzes der zentrale Termin. Das Gesetz soll langjährige Unklarheiten bei der Überwachung von Mitarbeitern und der Nutzung ihrer Daten in automatisierten Systemen beseitigen. Die aktuellen Warnungen der Datenschutzberater machen eines deutlich: Compliance ist kein einmaliges Projekt mehr, sondern ein kontinuierlicher Prozess – von der Vertragsprüfung über die Infrastruktursicherung bis zur Anpassung an das rasante Tempo technologischer Innovation.

de | wirtschaft | 69417867 |