10 Jahre DS-GVO: 

Zehn Jahre nach Inkrafttreten der Datenschutz-Grundverordnung ist Datenschutz in deutschen Unternehmen fest verankert. Gleichzeitig zeigen aktuelle Bitkom-Zahlen: Aufwand, Rechtsunsicherheit und neue Anforderungen durch Künstliche Intelligenz nehmen deutlich zu. Für Unternehmen wird Datenschutz damit mehr denn je zur strategischen Kompetenzfrage.

Die europäische Datenschutz-Grundverordnung, kurz DS-GVO, ist am 24. Mai 2016 in Kraft getreten. Zehn Jahre später zeigt sich: Datenschutz ist aus dem Unternehmensalltag nicht mehr wegzudenken. Laut Bitkom haben 71 Prozent der Unternehmen die Vorgaben inzwischen vollständig oder größtenteils umgesetzt. Vor der Anwendbarkeit der DS-GVO lag dieser Wert Anfang 2018 noch bei lediglich 7 Prozent.

Gleichzeitig ist die DS-GVO für viele Unternehmen mit spürbar mehr Aufwand verbunden. 81 Prozent der Unternehmen geben an, dass die Datenschutzvorgaben ihre Geschäftsprozesse komplizierter machen. 84 Prozent berichten, dass der Aufwand für Datenschutz seit Einführung der DS-GVO gestiegen ist. 2025 bewerten sogar 97 Prozent der Unternehmen den Datenschutzaufwand als hoch, davon 44 Prozent als sehr hoch.

„Datenschutz ist keine lästige Pflicht, er ist eine zentrale Säule der digitalen Welt.“

Dr. Ralf Wintergerst, Bitkom-Präsident

DS-GVO wird zur Daueraufgabe für Unternehmen

Die Zahlen zeigen deutlich: Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. 86 Prozent der Unternehmen sagen, dass die Umsetzung der DS-GVO nie vollständig abgeschlossen ist, weil kontinuierlich auf technische und rechtliche Entwicklungen reagiert werden muss.

Besonders herausfordernd bleibt die Rechtsunsicherheit. 82 Prozent der Unternehmen nennen 2025 die Unsicherheit über die genauen Datenschutzvorgaben als eine der größten Herausforderungen. Zum Vergleich: 2017 lag dieser Wert noch bei 35 Prozent.

Künstliche Intelligenz stellt Datenschutz vor neue Herausforderungen

Eine der größten Bewährungsproben für den Datenschutz ist der Einsatz Künstlicher Intelligenz. Zwar sehen 59 Prozent der Unternehmen den europäischen Datenschutz im internationalen Vergleich grundsätzlich als Vorteil für die KI-Entwicklung in Deutschland und Europa. In der Praxis erleben viele Unternehmen jedoch erhebliche Hürden.

69 Prozent der Unternehmen sagen 2025, dass Datenschutzvorgaben es erschweren, KI-Modelle mit ausreichend Daten zu trainieren. 2023 waren es noch 42 Prozent. Zudem sind 63 Prozent überzeugt, dass Datenschutzanforderungen Unternehmen, die KI entwickeln, aus der EU vertreiben.

Auch beim Aufbau von Datenpools zeigen sich die Auswirkungen: 59 Prozent der Unternehmen berichten, dass entsprechende Projekte aufgrund von Datenschutzvorgaben gescheitert sind oder gar nicht erst begonnen wurden. 2020 lag dieser Wert noch bei 41 Prozent.

Was bedeutet das für Datenschutz, Compliance und Weiterbildung?

Für Unternehmen ergibt sich daraus ein klarer Handlungsauftrag: Datenschutz muss stärker mit digitaler Innovation, Datenstrategie und KI-Governance zusammengedacht werden. Wer personenbezogene Daten verarbeitet, KI-Systeme einsetzt oder datengetriebene Geschäftsmodelle entwickelt, braucht aktuelles Know-how zu rechtlichen Vorgaben, technischen Schutzmaßnahmen und praktischer Umsetzung.

Gerade Datenschutzbeauftragte, Compliance-Verantwortliche, IT-Führungskräfte und Projektverantwortliche stehen vor der Aufgabe, Datenschutz nicht nur formal umzusetzen, sondern risikoorientiert, effizient und innovationsfähig zu gestalten.

Fachkräftemangel im Datenschutz verschärft die Lage

Neben Rechtsunsicherheit und wachsender Komplexität wird auch qualifiziertes Personal zum Engpass. 38 Prozent der Unternehmen beklagen 2025 einen Mangel an Fachkräften für den Datenschutz. Das ist der höchste Wert der bisherigen Zeitreihe. 2022 lag der Anteil noch bei 24 Prozent.

Für Unternehmen bedeutet das: Datenschutzkompetenz sollte gezielt aufgebaut und regelmäßig aktualisiert werden. Schulungen, Zertifikatslehrgänge und praxisnahe Weiterbildungen helfen dabei, regulatorische Anforderungen sicher umzusetzen und Datenschutz als Bestandteil moderner Unternehmensführung zu verankern.

Internationale Datentransfers bleiben eine offene Baustelle

Auch internationale Datentransfers bleiben für Unternehmen ein zentrales Thema. 61 Prozent der Unternehmen übermitteln 2025 personenbezogene Daten in die USA. Damit sind die USA weiterhin das wichtigste Drittland für Datentransfers außerhalb der EU. Zugleich wünschen sich 71 Prozent der Unternehmen tragfähige politische Lösungen für den internationalen Datentransfer.

Einordnung: Datenschutz braucht Praxisnähe und Risikoorientierung

Die Ergebnisse machen deutlich: Die DS-GVO hat Datenschutz in Unternehmen gestärkt. Zugleich braucht es praxistaugliche Lösungen, die Rechtssicherheit schaffen und Innovation ermöglichen. Besonders im Kontext von Künstlicher Intelligenz kommt es darauf an, Datenschutz risikoorientiert weiterzuentwickeln und Unternehmen bei der Umsetzung zu entlasten, ohne den Schutz personenbezogener Daten zu schwächen.

Für die betriebliche Praxis heißt das: Unternehmen sollten Datenschutzprozesse überprüfen, Zuständigkeiten klären, Mitarbeitende regelmäßig qualifizieren und neue technologische Entwicklungen frühzeitig in ihre Datenschutz- und Compliance-Strategien integrieren.