DSGVO nach zehn Jahren: 97% der Firmen sehen Bürokratie als hoch

Die Mehrheit der deutschen Unternehmen hat Datenschutz verinnerlicht – doch die Klage über überbordende Bürokratie erreicht neue Höchststände.

Eine aktuelle Langzeitstudie des Digitalverbands Bitkom zeigt ein ambivalentes Bild: Zehn Jahre nach Einführung der Datenschutz-Grundverordnung (DSGVO) haben 71 Prozent der Firmen feste Datenschutzstrukturen etabliert. Gleichzeitig empfinden 97 Prozent den Aufwand als hoch – ein Rekordwert. 2016 sahen lediglich 25 Prozent der Unternehmen die DSGVO als bürokratische Hürde. 2025 waren es bereits 81 Prozent.

Dokumentationspflicht als Haupttreiber

Anzeige: 97 Prozent der Unternehmen empfinden die DSGVO-Bürokratie als hoch – Tendenz steigend. Gleichzeitig drohen neue Konflikte mit Data Act und EU AI Act. Wer den Überblick behalten will, braucht klare Checklisten und automatisierte Tools. Jetzt kostenlosen Compliance-Report anfordern

Der administrative Aufwand hat sich massiv verschärft. 2024 berichteten 84 Prozent der befragten Firmen von steigendem Arbeitsaufwand. Ein Jahr später stufte fast jedes Unternehmen die Belastung als hoch ein – 44 Prozent sogar als „sehr hoch“. Hauptgrund ist die Dokumentationspflicht, die 73 Prozent der Betriebe nennen.

Besonders bemerkenswert: 86 Prozent der Unternehmen sehen die Umsetzung der Datenschutzanforderungen als never ending story – einen Zustand, der nie abgeschlossen ist. Auch die Kritik an der nationalen Umsetzung wächst. Waren es 2020 noch 40 Prozent der Firmen, die Deutschland eine Überinterpretation der DSGVO vorwarfen, stieg dieser Wert bis 2025 auf 72 Prozent.

Wenn Millionenstrafen schrumpfen

Die tatsächliche finanzielle Belastung durch Bußgelder zeigt kuriose Blüten. Der Elektronikhändler notebooksbilliger.de erlebte einen spektakulären Fall: Die niedersächsische Datenschutzbehörde verhängte 2020 eine Strafe von 10,4 Millionen Euro wegen angeblicher illegaler Videoüberwachung. Nach einem fünfjährigen Rechtsstreit landete die finale Strafe bei gerade einmal 900.000 Euro – weniger als zehn Prozent des ursprünglichen Betrags.

Ganz anders die Entwicklung auf internationaler Ebene: Der irische High Court wies am 28. Mai 2026 eine Klage von Meta gegen die Datenschutzkommission (DPC) ab. Damit ist der Weg frei für ein Bußgeld zwischen 360 und 430 Millionen Euro. Auslöser war eine Beschwerde aus dem Jahr 2018 wegen eingeschränktem Datenzugriff im „Hive“-System. Das Gericht stellte klar: Die DSGVO erlaubt systemweite Korrekturmaßnahmen, selbst wenn der Anlass eine Einzelbeschwerde war.

Neue Digitalgesetze im Konflikt mit der DSGVO

Industrieverbände wie der ZVEI fordern von der neuen EU-Kommission, die Widersprüche zwischen der DSGVO und neueren Digitalgesetzen zu beseitigen. Der Data Act etwa will Datenteilung fördern – die DSGVO verlangt dagegen oft die explizite Zustimmung jedes einzelnen Nutzers. Ein Paradebeispiel: die Wartung vernetzter Kaffeemaschinen, bei der Hersteller zwischen den Regulierungen zerrieben werden.

Parallel treten weitere Sicherheitsgesetze in Kraft. Das NIS-2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025, das KRITIS-Dachgesetz folgte im März 2026. Die Registrierungsfrist endet am 17. Juli 2026. Der Handlungsdruck ist enorm: Der Cybercrime-Bericht des BKA für 2025 beziffert den Schaden auf 202,4 Milliarden Euro – bei einem Anstieg von Ransomware-Angriffen um zehn Prozent gegenüber 2024.

Anzeige: Der EU AI Act droht mit Bußgeldern von bis zu 35 Millionen Euro – und die DSGVO-Dokumentationspflicht frisst Ressourcen. Unser Report zeigt, wie Sie mit automatisierten Überwachungstools beide Anforderungen gleichzeitig meistern. KI-Compliance-Leitfaden jetzt sichern

KI und Automatisierung als Ausweg

Um den wachsenden Anforderungen gerecht zu werden, setzen Unternehmen zunehmend auf automatisierte Überwachungstools. Ende Mai 2026 stellte der Sicherheitsanbieter SailPoint eine Schnittstelle zur Claude Enterprise Compliance API vor, die Anthropic Anfang des Monats auf den Markt brachte. Die Integration ermöglicht eine Echtzeit-Analyse von KI-Zugriffsmustern – ein entscheidender Vorteil angesichts des EU AI Act, der Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes vorsieht.

Die Gerichte präzisieren derweil die Haftungsgrenzen. Das Landgericht Nürnberg entschied am 9. Juli 2025: Die DSGVO verbietet nicht grundsätzlich die Kopplung von Verträgen an Datenteilung – solange Verbraucher eine Wahl zwischen Anbietern haben. Und: Bloßes Unbehagen über Datenverarbeitung begründet keinen Schadensersatzanspruch nach Artikel 82 der DSGVO.

de | wirtschaft | 69442608 |