Die Datenschutz-Grundverordnung sollte Innovationen ermöglichen und den Schutz von Daten garantieren. Heute sehen viele Unternehmen in ihr jedoch eher ein Hindernis als einen Fortschritt. Eine neue Bitkom-Studie belegt: Die Kritik am bürokratischen Aufwand wächst – und der Ruf nach Reformen wird lauter.
Unmut in der Wirtschaft: 97 Prozent der Unternehmen fühlen sich belastet
Seit ihrem Inkrafttreten im Mai 2018 sorgt die DSGVO für mehr Rechtssicherheit, aber auch für erhebliche bürokratische Belastungen. Wie eine im Herbst 2024 veröffentlichte repräsentative Umfrage des Digitalverbands Bitkom zeigt, bewerten 97 Prozent der befragten Unternehmen die Datenschutzvorgaben als zu aufwändig. Knapp zwei Drittel (63 Prozent) sagen sogar, dass der Datenschutz maßgeblich die Digitalisierung im eigenen Haus behindert.
Für die Erhebung befragte Bitkom über 500 Geschäftsführerinnen, Geschäftsführer und Datenschutzverantwortliche verschiedener Branchen und Größenordnungen. Sie kritisieren unter anderem die Intransparenz der Anforderungen, eine ausufernde Dokumentationspflicht sowie gravierende Unsicherheiten bei der praktischen Umsetzung. Vor allem kleinere und mittlere Unternehmen (KMU) fühlen sich benachteiligt: Ihnen fehlt es oft an Ressourcen, um die komplexen Vorgaben umzusetzen oder rechtssicher auszulegen.
Zwischen Anspruch und Wirklichkeit: Wo die DSGVO an ihre Grenzen stößt
Ursprünglich konzipiert, um personenbezogene Daten EU-weit zu schützen und eine einheitliche Rechtsgrundlage zu schaffen, führt die DSGVO in der Praxis häufig zu Frustration. Eine zentrale Kritik: Die Regelungen sind nicht differenziert genug, insbesondere im Hinblick auf Unternehmensgröße, Branche oder Risikopotenzial der Datenverarbeitung.
Ein Beispiel: Die Pflicht zur umfassenden Datenschutz-Folgenabschätzung gilt unabhängig davon, ob ein Start-up mit zehn Beschäftigten oder ein DAX-Konzern dieselbe Art der Datenverarbeitung durchführt. Auch das sogenannte Verzeichnis von Verarbeitungstätigkeiten, das laut Art. 30 DSGVO zu führen ist, stellt viele kleine Organisationen vor unproportionalen Aufwand.
Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder betont gegenüber der Presse: „Gerade bei KMU entsteht der Eindruck, dass die DSGVO nicht dem Grundsatz der Verhältnismäßigkeit folgt. Der bürokratische Aufwand steht in keinem günstigen Verhältnis zum Datenschutzgewinn.“
Digitalisierung unter Druck: DSGVO als Innovationsbremse
Ein alarmierender Befund der Bitkom-Befragung: 58 Prozent der Unternehmen haben aufgrund der DSGVO bereits Digitalprojekte verschoben oder ganz aufgegeben. Besonders betroffen sind datengetriebene Vorhaben wie KI-Anwendungen, datenbasierte Kundenanalysen oder IoT-Projekte.
Laut einer Studie von KPMG (2025) geben 41 Prozent der Unternehmen an, dass unklare Anforderungen der DSGVO die Einführung von KI-Technologien in ihrer Organisation hemmen. Vor dem Hintergrund ambitionierter EU-Digitalisierungsziele (Digital Decade 2030) widerspricht diese Entwicklung dem politischen Willen.
Insbesondere der Grundsatz der Zweckbindung und die Pflicht zur Datenminimierung lassen sich aus Sicht der Unternehmen nur schwer mit modernen datengetriebenen Geschäftsmodellen vereinbaren. So entsteht ein strukturelles Spannungsfeld zwischen Datenschutz und Innovation.
Wo die DSGVO konkret vereinfacht werden sollte
Bitkom hat auf Basis der Umfrageergebnisse konkrete Vorschläge vorgelegt, um die DSGVO praktikabler zu gestalten:
- Mehr Rechtssicherheit durch verbindliche und leicht verständliche Auslegungshilfen der Datenschutzaufsichtsbehörden auf EU-Ebene
- Einführung von Schwellenwerten oder Ausnahmeregeln für KMU bei bestimmten Dokumentations- und Nachweispflichten
- Bessere Abstimmung mit Innovationsregelungen wie der KI-Verordnung, um Widersprüche bei Datenverarbeitung und Transparenzpflichten zu vermeiden
Bislang liegen solche Regelungserleichterungen nur als Diskussionsgrundlagen vor. Im Mai 2024 hatte jedoch EU-Kommissionsvizepräsidentin Věra Jourová signalisiert, dass eine gezielte Überprüfung der DSGVO realistisch sei – unter Wahrung des hohen Schutzniveaus.
Auch der wissenschaftliche Dienst des Bundestags stimmt in einem Gutachten (2023) der Forderung nach Proportionalität zu und weist darauf hin, dass andere EU-Verordnungen wie die Digital Services Act (DSA) bereits differenzierende Regeln für KMU enthalten.
Praxisbeispiele: DSGVO-konformer Datenschutz ohne Innovationsstau?
Trotz aller Herausforderungen zeigen einige Unternehmen vorbildliche Ansätze im Umgang mit der DSGVO – ohne ihre Innovationskraft zu verlieren. Die Deutsche Bahn etwa setzt bei der Entwicklung neuer Apps konsequent auf sogenannte „Privacy by Design“-Prinzipien. So werden bereits in der Konzeptphase Maßnahmen zur Datenminimierung und Anonymisierung integriert. Das senkt den Implementierungsaufwand und erhöht gleichzeitig die Konformität.
Ein weiteres Beispiel: Das Berliner Start-up HelloBetter im Bereich E-Mental Health entwickelte gemeinsam mit einer Rechtsanwaltskanzlei ein Datenschutz-Framework, das technische Produktentwicklung und Compliance frühzeitig verzahnt. Ergebnis: Schnellere Markteinführung, weniger Rückfragen von Fördermittelgebern und Datenschutzbehörden.
Drei Handlungsempfehlungen für Unternehmen
Unabhängig davon, ob und wann eine Reform der DSGVO kommt, können Unternehmen bereits heute Maßnahmen ergreifen:
- Pragmatisch dokumentieren: Statt vollständige Dokumentationswälzer zu erzeugen, genügt es häufig, strukturierte Zusammenfassungen mit Verweisen auf relevante Systeme oder Prozesse zu führen – in Abstimmung mit dem Datenschutzbeauftragten.
- Technisch denken: Datenschutz durch Technikgestaltung („Privacy by Design“) reduziert im Idealfall die Notwendigkeit aufwendiger Nachweispflichten.
- Fachspezifisch qualifizieren: IT- und Compliance-Teams sollten regelmäßig in branchenspezifischen Datenschutzfragen geschult werden, um praxisnahe Lösungen umzusetzen statt generischer Regeln zu folgen.
Fazit: Datenschutz modernisieren statt abschaffen
Fünf Jahre nach ihrem Inkrafttreten ist die DSGVO weder gescheitert noch unantastbar. Der Datenschutz wird auch in Zukunft ein zentrales Element digitaler Verantwortung bleiben. Doch der aktuelle Stand zeigt deutlich: Ohne gezielte Reformen droht eine wachsende Distanz zwischen Regulierung und Realität.
Die EU sollte diese Rückmeldungen ernst nehmen – gerade für die Wettbewerbsfähigkeit des digitalen Binnenmarkts. Unternehmen wiederum sollten die Chance nutzen, sich durch smarte Datenschutzstrategien von innen heraus zu modernisieren.
Wie sehen Ihre Erfahrungen mit der DSGVO in der Praxis aus? Teilen Sie Ihre Perspektive und Lösungsansätze mit unserer Community – die Debatte ist eröffnet.
