[datensicherheit.de, 04.12.2025] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. befürworten weite Teile der deutschen Wirtschaft eine Reform der europäischen Datenschutz-Grundverordnung (DSGVO): „79 Prozent der Unternehmen fordern von der deutschen Politik, dass sie eine DSGVO-Reform auf europäischer Ebene vorantreibt, 71 Prozent sind der Meinung, die DSGVO müsse gelockert werden.“ Die EU-Kommission habe mit dem „digitalen Omnibus“ zuletzt Reformen der inzwischen seit sieben Jahren angewendeten europäischen Datenschutz-Regeln vorgeschlagen.

Foto: Bitkom e.V.

Susanne Dehmel: Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen!

77 Prozent sehen Datenschutz als Hemmnis für die Digitalisierung in Deutschland

Zugleich wachse die Belastung der Unternehmen durch den Datenschutz weiter: Bei rund zwei Dritteln (69%) habe der Aufwand im vergangenen Jahr weiter zugenommen, inzwischen bezeichneten ihn 97 Prozent als „sehr hoch“ oder „eher hoch“. Dies sind demnach Ergebnisse einer Befragung von 603 Unternehmen ab 20 Beschäftigten im Bitkom-Auftrag.

• 72 Prozent beklagten, dass man es mit dem Datenschutz in Deutschland übertreibe – vor einem Jahr seien es noch 64 Prozent gewesen – und sogar 77 Prozent sagten, der Datenschutz hemme die Digitalisierung in Deutschland (2024: 70%).

„Diese Bewertung der Unternehmen sollten wir ernst nehmen und einen sowohl effektiven als auch praxistauglichen Datenschutz für die digitale Gesellschaft ermöglichen. Mit dem ,digitalen Omnibus’ hat die EU-Kommission wichtige Schritte angestoßen, um Alltagsprobleme im Umgang mit dem Datenschutz zu verringern. Doch die strukturellen Hürden bleiben“, kommentiert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Datenschutz wird als belastende Dauerbaustelle empfunden

Dehmel führt weiter aus: „In vielen Branchen herrscht Rechtsunsicherheit, etwa bei Einwilligungen, die nicht nur dokumentiert, sondern auch rechtssicher formuliert und geprüft werden müssen. Die Vielzahl komplexer Datenschutzvorschriften schafft aufwändige und teils bürokratische Prozesse in Unternehmen. Hier braucht es dringend Klarheit und Entlastung!“

• Für die Unternehmen seien die größten Herausforderungen bei der Umsetzung von Datenschutzvorgaben, dass dieser Prozess nie abgeschlossen sei (86%) sowie die Unsicherheit zu genauen Vorgaben der DSGVO (82%). Dazu kämen immer wiederkehrende Prüfungen beim Ausrollen neuer „Tools“ (77%).

Dahinter folgten mit etwas Abstand aus Sicht der Unternehmen allgemein zu hohe Anforderungen (69%), die uneinheitliche Auslegung innerhalb der EU (54%), mangelnde Beratung durch Aufsichtsbehörden (54%), sich widersprechende rechtliche Vorgaben (53%) und eine uneinheitliche Auslegung innerhalb Deutschlands (37%). „Die Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen“, warnt Dehmel.

DSGVO beschert Unternehmen auch interne Herausforderungen

Aber auch innerhalb der Unternehmen gebe es Herausforderungen, vor allem die notwendige Zeit für erforderliche IT- und Systemumstellungen (50%) und den Aufwand, Beschäftigten die komplexen Anforderungen verständlich zu machen (46%). Dazu kämen ein Mangel an qualifizierten Beschäftigten für die Datenschutz-Umsetzung (38%), fehlende finanzielle Mittel (31%) und die unzureichende Einbindung der Datenschutzbeauftragten (25%). Am Ende rangiere mit nur zwölf Prozent die fehlende Unterstützung im Unternehmen für Datenschutz.

• An diesen Stellen wünschten sich die Unternehmen auch Nachbesserungen der DSGVO: Jeweils rund drei Viertel möchten, dass die Dokumentationspflicht von Verarbeitungstätigkeiten reduziert (76%) und das Verbot mit Erlaubnisvorbehalt abgeschafft (73%) würden. Je sechs von zehn Unternehmen plädierten für eine vereinfachte Nutzung pseudonymisierter Daten (63%), eine verpflichtende praxisnähere Beratung durch die Aufsichtsbehörden (62%), mehr Rechtssicherheit bei der Interessenabwägung (61%) und weniger Informationspflichten (60%).

Für 54 Prozent sollte mehr Datenverarbeitung ohne Einwilligung ermöglicht, für 53 Prozent der Prüfaufwand für Datenschutzfolgeabschätzungen verringert werden. Ein Drittel (33%) möchte die Pflicht zur Benennung eines Datenschutzbeauftragten abschaffen. „Es geht den Unternehmen darum, die DSGVO nach sieben Jahren praxistauglich zu machen“, erläutert Dehmel und fordert: „Datenschutz muss verständlich und anwendbar sein!“

Kein Unternehmen frei von Problemen aufgrund des Datenschutzes

Die Wünsche spiegelten wider, wo aktuell der größte Aufwand bei der Umsetzung des Datenschutzes in den Unternehmen entstehe. Bei 73 Prozent seien dies die Dokumentationspflicht von Verarbeitungstätigkeiten sowie die technische Implementierung (69%).

• Dahinter folgen fast gleichauf die Klärung rechtlicher Anforderungen (57%), die Abstimmung mit externen Dienstleistern (54%) sowie die Erfüllung von Informationspflichten (53%).

43 Prozent würden die Sicherstellung der Betroffenenrechte, je 36 Prozent die Schulung der Beschäftigten und die Bewertung von Datenschutzverstößen, 33 Prozent den Aufbau interner Datenschutzkompetenzen und 25 Prozent die Benennung eines Datenschutzbeauftragten nennen. Kein Unternehmen gebe an, frei von Problemen aufgrund des Datenschutzes zu sein.

Unternehmen überziehen beim Datenschutz eher – aus Angst, gegen die DSGVO zu verstoßen

Aber nicht nur bei den Datenschutzregeln werde Reformbedarf gesehen – es gebe auch Kritik an den Aufsichtsbehörden: Rund zwei Drittel (69%) der Unternehmen beklagten, dass die deutschen Datenschutzbehörden die DSGVO zu streng anwendeten.

• Eine Folge: „Die Unternehmen überziehen beim Datenschutz aus Angst, gegen die DSGVO zu verstoßen (62%).“ Die Unternehmen plädierten mit knapper Mehrheit dafür, die Datenschutzaufsicht auf Bundesebene zu zentralisieren. 53 Prozent befürworteten den Vorschlag, 42 Prozent seien dagegen.

„Die Diskussion über eine Reform der Datenschutzaufsicht in Deutschland ist wichtig. Angesichts der Vielzahl von Herausforderungen, vor denen die Unternehmen stehen, müssen wir die Ressourcen der Behörden bestmöglich einsetzen und insbesondere für eine gute Beratung sowie für eine einheitliche Auslegung und Durchsetzung sorgen“, unterstreicht Dehmel.

Ein Viertel der befragten Unternehmen hatte Datenschutzverstöße

Datenschutzverstöße hätten in den Unternehmen zumeist Konsequenzen. Ein Viertel der Unternehmen räume sie für die vergangenen zwölf Monate ein: Bei 19 Prozent habe es einen Verstoß gegeben – bei sechs Prozent sogar mehrere. 59 Prozent hätten keine Datenschutzverstöße gehabt, 16 Prozent wollten oder könnten keine Angaben machen. 57 Prozent der Unternehmen, bei denen es zu Datenschutzverstößen kam, hätten diese an die Aufsicht gemeldet, 29 Prozent hätten keine Meldungen gemacht und 14 Prozent wollten oder könnten dazu keine Angabe machen.

• Rund jedes zweite Unternehmen mit Datenschutzverstößen nenne diese „sehr schwerwiegend“ (16%) oder „eher schwerwiegend“ (32%). Bei 23 Prozent seien sie eher „nicht schwerwiegend“, bei 19 Prozent „überhaupt nicht schwerwiegend“ gewesen – und jedes Zehnte (10%) könne oder wolle dazu keine Angaben machen.

Fragt man nach den Folgen des größten Datenschutzverstoßes der vergangenen zwölf Monate, dann würden 93 Prozent den organisatorischen Aufwand nennen. Mit deutlichem Abstand folge dahinter ein Bußgeld (51%). 18 Prozent hätten Kunden verloren, sieben Prozent Schadenersatz zahlen und ebenfalls sieben Prozent Reputationsschäden verzeichnen müssen. Bei gerade einmal fünf Prozent habe es gar keine Folgen gegeben. Dehmel: „Verstöße gegen den Datenschutz sind nicht folgenlos, sondern haben Konsequenzen!“

Datenschutz als KI-Hindernis empfunden

Mit Blick auf Künstliche Intelligenz (KI) werde die Rolle des Datenschutzes von den Unternehmen zunehmend kritisch gesehen. Sieben von zehn Unternehmen (71%) forderten, den Datenschutz an das KI-Zeitalter anzupassen. Denn für mehr als zwei Drittel (69%) der Unternehmen erschwere der Datenschutz das Training von KI-Modellen. Vor einem Jahr habe dieser Anteil erst bei 50 Prozent gelegen.

• Zudem meinten 63 Prozent, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibe (2024: 52%). 57 Prozent sagten, dass der Datenschutz generell dafür sorge, dass die Anwendung von KI in der EU eingeschränkt werde (2024: 57%) und in 54 Prozent der Unternehmen behindere der Datenschutz den Einsatz von KI (2024: 52%).

Umgekehrt meinten aber auch 58 Prozent, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schaffe (2024: 53%). „Künstliche Intelligenz ist die entscheidende Zukunftstechnologie und KI braucht Daten. Die Regelungen zum Datenschutz sollten auch mit Blick auf Deutschlands Position in der künftigen KI-Welt überprüft werden“, gibt Dehmel zu bedenken.

Breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben

An Politik und Verwaltung hätten die Unternehmen einige Wünsche: Eine breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben, ebenso viele eine Reduzierung des bürokratischen Aufwands bei Datenschutzvorfällen. Dahinter folgten das Vorantreiben einer DSGVO-Reform auf europäischer Ebene (79%), eine bessere Abstimmung von Datenschutz und anderen Regulierungen wie Gesetzen und Verordnungen (69%) sowie eine bessere Hilfestellung durch Datenschutzbehörden (62%).

• 53 Prozent wollten differenziertere Datenschutzanforderungen nach Unternehmensgrößen – aktuell sagten 62 Prozent der Unternehmen, für kleinere Unternehmen sei der Datenschutz oft kaum umsetzbar.

Grundlage obiger Angaben ist laut dem Digitalverband eine von Bitkom Research im Auftrag durchgeführte Umfrage bei 603 Unternehmen ab 20 Beschäftigten in Deutschland. Die Befragung habe im Zeitraum der Kalenderwochen 30 bis KW 35 2025 stattgefunden und sei repräsentativ.

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Susanne Dehmel: Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

bitkom, Susanne Dehmel, 03.12.2025
Mitglied der Bitkom-Geschäftsleitung

bitkom, dataverse
Sicherheit & Datenschutz / Datenschutz – Unternehmen zu DS-GVO, Herausforderungen, Umsetzung & Co.

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 19.05.2025
DSGVO: Verlässlicher Datenschutz schafft Vertrauen und stärkt die Wirtschaft / Stellungnahme vom Verbraucherzentrale Bundesverband zum Vorschlag der EU-Kommission zu DSGVO-Ausnahmen für KMU

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

[datensicherheit.de, 01.02.2017] Die Zeit drängt: Ab Mai 2018 gelten europaweit die EU-Datenschutzgrundverordnung und die europäische Richtlinie für den Datenschutz bei Polizei und Justiz. Der am 1. Februar 2017 beschlossene Gesetzesentwurf der Bundesregierung für ein Anpassungs- und Umsetzungsgesetz greift Verordnung und Richtlinie auf und soll das bisherige Bundesdatenschutzgesetz ablösen. Andrea Voßhoff, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), begrüßt nach eigenen Angaben das Vorhaben, das Gesetzgebungsverfahren noch in dieser Legislaturperiode abzuschließen.

Grundgerüst für das künftige deutsche Datenschutzrecht

Das neue Bundesdatenschutzgesetz ergänze die ab Mai 2018 unmittelbar geltende EU-Datenschutz-Grundverordnung und schaffe das „Grundgerüst für das künftige deutsche Datenschutzrecht“. Anpassungs- und Umsetzungsbedarf bestehe aber noch in zahlreichen bereichsspezifischen Gesetzen, beispielsweise für den Sozialdatenschutz im Sozialgesetzbuch.
Der nun vorliegende Entwurf sei auch auf Initiative der BfDI gegenüber Vorentwürfen bereits verbessert worden. Zwar werde der für den Datenschutz zentrale Grundsatz der Zweckbindung noch zu sehr beschränkt, allerdings dürften nichtöffentliche Stellen bereits erhobene Daten nun nicht mehr für andere Zwecke verarbeiten, wenn die Interessen der betroffenen Person überwiegen.
Auch bei der Verarbeitung besonders sensibler Daten zu Forschungszwecken werde nun stärker auf das Grundrecht der Betroffenen auf informationelle Selbstbestimmung geachtet.

Verfassungs- und europarechtswidrig: eingeschränkte Kontrollbefugnisse

Die vom Bundesverfassungsgericht eingeforderten Kontrollbefugnisse der BfDI im Bereich Polizei und Justiz und außerhalb des Geltungsbereichs des EU-Rechts seien deutlich beschränkt worden. Gerade für heimliche Datenerhebungen sei eine „unabhängige Kontrolle jedoch zwingend notwendig“.
Anstatt jedoch das Vertrauen der Bürger in die staatliche Datenerhebung in diesem Bereich zu verbessern, erhalte die BfDI hierzu keinerlei Durchsetzungsbefugnisse; möglich seien nur nicht-bindende Beanstandungen. Dies sei „europarechtswidrig und auch in der Sache falsch“. Laut der EU-Richtlinie sollten Datenschutzaufsichtsbehörden zumindest die Möglichkeit haben, die Rechtmäßigkeit bestimmter Verarbeitungsvorgänge gerichtlich überprüfen zu lassen.
Auch dürfte die BfDI den Deutschen Bundestag in Zukunft nicht mehr proaktiv über Kontrollen beim Bundesnachrichtendienst informieren – dies sei verfassungswidrig.
Diese Vorschläge gefährdeten das bisherige Datenschutzniveau in Deutschland, betont Voßhoff. Im parlamentarischen Verfahren werde die BfDI daher weiter mit Nachdruck für wirksame Sanktionsmöglichkeiten der Datenschutzaufsichtsbehörden eintreten.

Betroffenenrechte: problematische Einschnitte

Kritisch betrachtet werden müssten auch Einschränkungen der Rechte betroffener Bürgerinnen und Bürger, etwa beim Auskunftsrecht oder beim Widerspruchsrecht. Die Datenschutzgrundverordnung lasse solche Beschränkungen nur unter strengen Voraussetzungen zu. Einige der von der Bundesregierung vorgesehenen Beschränkungen gingen aber zu weit und seien „problematisch“, so Voßhoff.

Einheitliche Vertretung deutscher Aufsichtsbehörden in europäischen Aufsichtsgremien

Positiv bewertet die BfDI das geplante Verfahren für die effiziente und einheitliche Vertretung der deutschen Aufsichtsbehörden in europäischen Aufsichtsgremien. Dafür werde bei der BfDI eine Zentrale Anlaufstelle für die Datenschutzbehörden des Bundes und der Länder eingerichtet.
Auch werde die BfDI als Gemeinsamer Vertreter im Europäischen Datenschutzausschuss benannt. Als Stellvertreter stehe ihr dabei eine vom Bundesrat gewählte Leiterin oder ein Leiter einer Landesdatenschutzbehörde mit Befugnissen in bestimmten Angelegenheiten der Länder zur Seite.

Weitere Informationen zum Thema:

datensicherheit.de, 01.02.2017
Datenschutz-Anpassungs- und Umsetzungsgesetz im parlamentarischen Verfahren

[datensicherheit.de, 13.04.2016] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, unterstützt laut einer aktuellen Mitteilung ausdrücklich die am 13. April 2016 veröffentlichte Stellungnahme der Artikel-29-Gruppe, welche Nachbesserungsbedarf beim „EU-US Privacy Shield” festgestellt hat.

Bedenken und offene Fragen berücksichtigen

Sicherlich sei es erkennbar, dass „Privacy Shield“ Verbesserungen im Vergleich zur Vorgängerübereinkunft „Safe Harbor“ enthalte, gleichwohl sei die Kommission angesichts der in der Stellungnahme der Artikel-29-Gruppe aufgezeigten Bedenken und offenen Fragen in der Pflicht, in Verhandlungen mit den US-amerikanischen Partnern die erforderlichen Anpassungen in der Adäquanzentscheidung vorzunehmen, um ein erneutes Scheitern vor den europäischen Gerichten zu vermeiden, betont Voßhoff.

Ombudsperson mit hinreichenden Befugnissen gefordert

In ihrer Stellungnahme vom 13. April 2016 hat die Artikel-29-Gruppe herausgearbeitet, dass das vorgelegte „Privacy Shield“ derzeit noch kein Datenschutzniveau bereitstellt, welches – entsprechend den Vorgaben des Europäischen Gerichtshofs im Schrems-Urteil vom 6. Oktober 2015 – dem in Europa der Sache nach gleichwertig ist.
So habe die Gruppe unter anderem Zweifel, ob die Ombudsperson, deren Einrichtung als erheblicher Fortschritt gewertet werde, mit hinreichenden Befugnissen ausgestattet und in genügendem Maße unabhängig sei. Auch würden erhebliche Bedenken wegen des weitgehenden Fehlens von Begrenzungen der Datenspeicherungsdauer durch im „Privacy Shield“ zertifizierte Unternehmen erhoben, erläutert Voßhoff.

[datensicherheit.de, 23.02.2016] Nach einer Meldung des TeleTrusT – Bundesverband IT-Sicherheit e.V. hat das Bundesministerium des Innern den Referenten-Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März 2013 angesetzten Anhörung äußern die TeleTrusT-Fachgremien ihre grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.

Erster Schritt der Umsetzung

Mit der „KRITIS“-Verordnung werde §10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung würden relevante Anlagekategorien definiert und mit Schwellenwerten, korrespondierend mit dem jeweiligen Versorgungsgrad, versehen, erläutert TeleTrusT.

4 Anmerkungen zur „KRITIS“-Verordnung

Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt TeleTrusT nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an:

1. Die Zugrundelegung der „500.000er-Regel“ für die Schwellenwerte wird als kritisch betrachtet.
   Diese Regel basiere auf der Annahme, dass Ausfälle mit weniger betroffenen Haushalten technisch und organisatorisch aufgefangen werden könnten. Seien im konkreten Fall also 500.000 Haushalte betroffen, könne ein weiterer, ernster Vorfall nicht einmal teilweise abgefangen werden.
   TeleTrusT regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen.
2. Der Benennung absoluter Zahlen für Schwellenwerte lässt eine qualitative Berücksichtigung möglicher „Domino-Effekte“ außer acht.
   Wie ein europaweiter Stromausfall von 2006 gezeigt habe, könne durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigten, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen könnten.
   Daher regt TeleTrusT an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen.
3. Das für die Anlagenkategorie „Standortkopplung“ zugrundegelegte Datenvolumen auf Basis des wichtigsten, und – gemessen am Datendurchsatz – weltweit größten Internetknotenpunkts (DE-CIX), erscheint für die Betrachtung für ITK Unternehmen zu hoch.
   Da über den Internetknotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr prozessiert werde, sei das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel.
   TeleTrusT regt an, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren.
4. Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind.
   Derzeit brächten alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssten Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen sein.
   TeleTrusT regt an, klarzustellen, inwieweit die IP-basierten Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt werden.