Deutsche Unternehmen sehen sich weiterhin mit erheblichem Druck durch die Umsetzung datenschutzrechtlicher Anforderungen konfrontiert. Das zeigt eine am 09.09.2025 veröffentlichte Bitkom-Umfrage. Hiernach empfinden nahezu alle Betriebe den Aufwand für Datenschutz als hoch und die Tendenz verschärfe sich weiter. Insbesondere kleinere und mittelständische Unternehmen würden zunehmend an ihre Grenzen geraten. Der Ruf nach einer Entlastung durch vereinfachte Vorgaben und eine einheitlichere Aufsicht werden lauter. Dabei gibt es auch Mittel und Wege Unternehmen durch die richtige Beratung zu entlasten, ohne eine Gesetzesänderung abwarten zu müssen.
Weiterlesen: Umfrage: Datenschutz bleibt für Unternehmen HerausforderungBitkom-Umfrage zum Datenschutz
Der Digitalverband Bitkom hat in der Vergangenheit bereits verschiedene Datenschutzumfragen durchgeführt. So veröffentlichte Bitkom 2022 eine Umfrage laut der zu diesem Zeitpunkt fast dreiviertel der Befragten die Datenschutzgrundverordnung (DSGVO) noch nicht vollständig umgesetzt haben. Zum fünfjährigen Jubiläum der DSGVO gab der Verband dann bekannt, dass laut einer Umfrage Unternehmen das europäische Datenschutzgesetz mit der Note 3,9 als lediglich ausreichend bewerten würden. Zuletzt folgte im Mai 2025 eine Umfrage laut der 70 % der befragten Unternehmen Datenschutz als Innovationshindernis bewerten würden.
Wie in vielen seiner anderen Studien hat Bitkom Research im Auftrag des Bitkom Verbandes in der nun veröffentlichten repräsentativen Umfrage lediglich Unternehmen mit mindestens 20 Beschäftigten in Deutschland befragt. Insgesamt fand eine telefonische Befragung von 603 Unternehmen aus allen Branchen zwischen der 30. Und der 35. Kalenderwoche 2025 statt. Die konkreten Fragestellungen waren zum einen „Wenn Sie ganz allgemein an den Aufwand für den Datenschutz in Ihrem Unternehmen denken, wie würden Sie den Aufwand beschreiben?“ und zum anderen „Wie hat sich der Aufwand für den Datenschutz in Ihrem Unternehmen im vergangenen Jahr verändert?“.
Hoher Datenschutzaufwand quer durch alle Unternehmensgrößen
Laut der Befragung würden 97 % angeben, mit „hohen Aufwand bei der Umsetzung des Datenschutzes“ konfrontiert zu sein. Auffällig ist, dass fast die Hälfte der Betriebe den Aufwand als „sehr hoch“ einstufen würden. Kleinere Unternehmen mit 20 bis 99 Beschäftigten seien überproportional betroffen, während Großunternehmen trotz höherer erforderlicher Ressourcen tendenziell besser mit den Anforderungen umgehen könnten. So würden nur 42 % der Unternehmen mit 100 bis 499 Beschäftigten und nur 38 % der Unternehmen mit mindestens 500 Beschäftigten den Aufwand als sehr hoch angeben, während es bei kleineren Unternehmen 45 % seien.
Wachsende Belastung statt Entlastung
Zudem habe sich die Situation seit dem letzten Jahr für zwei Drittel der Befragten verschlechtert. Beispielsweise seien es vor einem Jahr nur 94 % der Befragten gewesen, die Datenschutz als hohen Aufwand sahen. Bemerkenswert ist auch, dass kein einziges Unternehmen eine Entlastung verspürt habe. Im Gegenteil würden etwa zwei Drittel von steigendem Aufwand berichten. Für ein Fünftel habe sich der Aufwand sogar stark erhöht.
Kritik an Zersplitterung, Komplexität und fehlender Praxisnähe
Bitkom-Präsident Ralf Wintergerst bringt in einer Pressemitteilung die Sorgen der Unternehmen wie folgt auf den Punkt: Zu viele Aufsichtsbehörden und unterschiedliche Auslegungen würden zu einer zu hohen Komplexität beim Datenschutz führen. Hinzu komme eine mangelnde Anpassung der Regelungen an neue technologische Entwicklungen wie Künstliche Intelligenz.
Seine Forderung lautet daher, Dokumentationspflichten zusammen mit Berichtspflichten reduzieren. Zudem müssten Standardvorlagen zur Verfügung gestellt und die Verfahren rund um Betroffenenrechte klarer und einheitlicher gestaltet werden. Dazu gehöre auch Rechtsklarheit bezüglich des Zusammenspiels von DSGVO und weiteren neueren europäischen Digitalgesetzen. In diesem Zusammenhang hat der Europäische Datenschutzausschuss erst kürzlich Leitlinien für das Verhältnis von DSGVO und Digital Services Act (DSA) veröffentlicht.
Mit seinen Forderungen möchte Wintergerst eine Stärkung des Datenschutzes erreichen. Man müsse sich auf reale Gefahren statt auf theoretische Risiken fokussieren. Einseitige Regulierung führe dazu, dass gesellschaftliche und wirtschaftliche Mehrwerte durch Datennutzung verloren gingen.
Geplante europäische Gesetzesanpassung
Die zur Zeit von der EU-Kommission geplanten DSGVO-Vereinfachungen insbesondere zur Verzeichnispflicht würden laut des Bitkom Präsidenten nicht genügen. Zwar sollen hierdurch bestimmte Dokumentationspflichten reduziert werden, doch die geplanten Änderungen würden nicht ausreichen. Insbesondere sei eine Orientierung der Dokumentationspflicht an der Unternehmensgröße nicht zielführend. Vielmehr seien solche Pflichten stärker am Risiko der Datenverarbeitung auszurichten.
Was bedeutet das für Unternehmen
Sollte es zur Verabschiedung von Vereinfachungen kommen, könnte dies insbesondere für kleine und mittlere Unternehmen zunächst den Eindruck einer Entlastung erwecken.
Jedoch ist genau hier große Vorsicht geboten: Unternehmen sollten sorgfältig prüfen, ob sie tatsächlich von möglichen Privilegierungen aufgrund der Unternehmensgröße profitieren. Und auch dann greift die Entlastung nicht pauschal, sondern ist an weitere Bedingungen geknüpft. So bleibt die Dokumentation auch für kleinere Betriebe erforderlich, wenn sie hoch sensible personenbezogene Daten verarbeiten oder ihre Tätigkeiten ein hohes Risiko für die Rechte der Betroffenen bergen. Diese Einstufung ist an komplexe rechtliche Prüfungen im Einzelfall geknüpft.
Dies bedeutet, dass Unternehmen künftig stärker auf eine Risikoanalyse ihrer Verarbeitungsvorgänge angewiesen sein könnten. Während beispielsweise die Versendung einfacher Newsletter in der Regel kein hohes Risiko darstellt, führt die Verarbeitung von Gesundheitsdaten regelmäßig zu einer Einstufung in die höhere Risikoklasse. Da es sich hierbei jedoch nicht um feste Kriterien, sondern um offene rechtliche Begriffe handelt, ist die Auslegung im Einzelfall entscheidend. Gerade deshalb empfiehlt es sich, frühzeitig externe Datenschutzbeauftragte hinzuzuziehen, um das eigene Risikoniveau belastbar zu ermitteln. Nur so können Unternehmen sicherstellen, dass sie weder unnötig hohe Aufwände betreiben unbewusst in ein rechtliches Risiko laufen.
Die angedachten Gesetzesanpassungen bringen daher eine gewisse Ambivalenz mit sich. Auf der einen Seite könnten sie den Aufwand für viele Betriebe spürbar verringern, auf der anderen Seite bergen sie das Risiko von Fehlinterpretationen und einer neuen Unsicherheit, wenn keine Experten zur Analyse herangezogen werden. Anstelle einer klaren Entlastung könnte dies sogar dazu führen, dass Unternehmen noch mehr Unsicherheiten haben und sich im Zweifel eher absichern müssen.
Entlastung ohne Gesetzesänderung
Im Übrigen kann eine spürbare Entlastung bereits jetzt durch eine fachkundige Datenschutzberatung erreicht werden. Externe Datenschutzbeauftragte sind in der Lage, die komplexen Vorgaben praxisnah zu interpretieren und auf die individuellen Gegebenheiten des Unternehmens herunterzubrechen. Dadurch lassen sich ggf. nicht nötige Dokumentationen vermeiden und Ressourcen gezielt dort einsetzen, wo tatsächlich Risiken bestehen. Gerade kleine und mittlere Unternehmen profitieren von standardisierten Vorlagen, etablierten Prüfprozessen und der Erfahrung aus anderen Mandaten, wodurch teure Fehlinterpretationen vermieden werden können. Zudem sorgt eine externe Perspektive dafür, dass interne Abläufe nicht durch übertriebene Vorsicht blockiert werden, sondern im Rahmen des rechtlich Zulässigen effizient ausgestaltet werden können.
Fazit
Die Zahlen der Bitkom-Umfrage verdeutlichen, dass Datenschutz für Unternehmen eine Belastung bleibt. Die Kritik richtet sich insbesondere gegen ausufernde datenschutzrechtliche Komplexität und Bürokratie. Unternehmen brauchen klare, praxisnahe und risikoorientierte Regeln, die Innovation nicht behindern, sondern begleiten. Tatsächlich können aber bereits jetzt von Externen Datenschutzbeauftragten ausgearbeitet Konzepte Datenschutzvorgaben einfach, schnell und kosteneffizient in individuellen Unternehmensstrukturen umsetzen. Wir behalten die Gesetzeslage für Sie im Blick und informieren Sie sofort, falls sich relevante Änderungen für Ihr Unternehmen ergeben.
