Fast acht Jahre sind seit Inkrafttreten der DSGVO (25. Mai 2018) vergangen. Was klappt gut und wo ist noch Luft nach oben? Die aktuelle Bitkom-Studie „Datenschutz in der deutschen Wirtschaft“ vom Februar 2026 liefert ein ernüchterndes Ergebnis. Zu aufwändig und zu kompliziert – das sind die Hauptkritikpunkte. Die Bußgeldfälle aus dem Jahr 2025 bestätigen, dass noch nicht alles rund läuft in Sachen Datenschutz. Doch woran liegt das tatsächlich?
Der Mythos des aufwändigen Prozesses
Im Rahmen der Bitkom-Studie wurden in Deutschland im Sommer 2025 insgesamt 603 Unternehmen branchenübergreifend repräsentativ gewichtet befragt. Voraussetzung war, dass das Unternehmen mindestens 20 Beschäftigte hat.
97 Prozent der befragten Unternehmen bewerten den Aufwand für den Datenschutz 2025 als sehr hoch oder eher hoch. Bei 69 Prozent ist er im vergangenen Jahr sogar nochmals gestiegen. Kein einziges Unternehmen meldet einen Rückgang. Das ist keine Überraschung, denn dies ist von Beginn an ein zentraler Kritikpunkt. Dabei ist Datenschutz gar nicht aufwändig, wenn man pragmatisch daran geht und vernünftige Prozesse einführt.
Für 86 Prozent ist Datenschutz keine abgeschlossene Aufgabe. Super, das haben sie richtig erkannt, denn Datenschutz ist keine abgeschlossene Aufgabe. Die Prozesse und Dokumentationen müssen regelmäßig überprüft und angepasst werden, da führt kein Weg dran vorbei. Erschreckend ist hingegen, dass 82 Prozent unsicher sind, wie die DSGVO konkret auszulegen ist. Die meisten Normen enthalten sogar konkrete Checklisten, sodass für jedermann klar sein sollte, wie etwas zu tun ist. Man muss sich nur mit dem Gesetz beschäftigen.
Beklagt wird in der Bitkom-Studie ebenfalls, dass die DSGVO vor dem Hintergrund fortschreitender Digitalisierung und dem zunehmenden Einsatz von KI nicht praxistauglich sei. Wenn man sich allerdings die Bußgelder aus dem vergangenen Jahr anschaut, wird deutlich, dass es häufig bereits bei den grundlegenden Themen hapert.
Das klappt im Datenschutz 2025 immer noch nicht
Ich erspare Ihnen an dieser Stelle die Aussage darüber, welches Bundesland wie viele Bußgelder verhängt hat. Zum einen ist das Quatsch, weil nicht alle Behörden ihre Zahlen melden. Zum anderen geht es mir nicht darum, Panik zu verbreiten. Ich möchte allerdings dafür sensibilisieren, dass Fehler beim Datenschutz Folgen haben können. Das ist vor allem ärgerlich, wenn sie vermeidbar gewesen wären.
Auftragsverarbeitung
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit verhängte im Juni 2025 ein Bußgeld in Höhe von insgesamt 45 Millionen Euro gegen Vodafone. 15 Millionen Euro entfielen dabei auf die Tatsache, dass das Unternehmen die Auftragsverarbeiter nicht regelmäßig und umfassend überwachte. Eine Verwarnung gab es zudem wegen mangelhafter technischer und organisatorischer Maßnahmen. 30 Millionen Euro Bußgeld kamen wegen Mängeln bei der Sicherheit von Authentifizierungsprozessen hinzu.
Cookie-Banner
Auch andere Baustellen sind bereits seit vielen Jahren bekannt. Das Verwaltungsgericht Hannover entschied im März 2025, dass ein prominentes Verlagshaus seinen Cookie-Banner ändern muss, weil Zustimmung und Ablehnung nicht gleichwertig gestaltet waren und Nutzer damit keine echte Wahlfreiheit hatten. Das ist kein Einzelfall, denn übergroße „Akzeptieren“-Buttons und versteckte Ablehnoptionen sind noch immer weit verbreitet. Dieses Vorgehen wird auch als „Nudging“ bezeichnet – durch Manipulation sollen Nutzer zu einer bestimmten Handlung bewegt werden. Mit schwierigen Vorgaben der DSGVO hat das also eher nichts zu tun.
Betroffenenrechte
Ebenfalls ein Klassiker ist der Verstoß gegen Betroffenenrechte. Der Hamburgische Datenschutzbeauftragte verhängte 492.000 Euro gegen ein Finanzunternehmen, das auf Auskunftsersuchen nicht reagiert hatte, nachdem es Kreditanträge trotz guter Bonität abgelehnt hatte. Auch hier stellt sich die Frage, ob die Komplexität der DSGVO schuld ist oder ob Unternehmensentscheidungen ursächlich sind.
Datenschutzverstöße: Jedes vierte Unternehmen ist betroffen
Ein Viertel der von Bitkom befragten Unternehmen berichtete von Datenschutzverstößen im vergangenen Jahr. Diese waren häufig mit erheblichen Folgen verbunden. Dazu gehörten organisatorischer Aufwand, Bußgelder, Verlust von Kunden, Schadenersatz-Zahlungen und Reputationsschäden. Besonders der Verlust von Kunden und Reputationsschäden machen deutlich, dass Datenschutz mittlerweile als wichtiges Thema in der Bevölkerung angekommen ist. Sich nur über den Aufwand zu beklagen, reicht also nicht – Handeln ist gefragt. Zum Glück gibt es Profis, die dabei helfen können.
Und jetzt?
Wie ist der Datenschutz in Ihrem Unternehmen organisiert? Viele Unternehmen, die ich besuche, haben gar keinen vernünftigen Datenschutzprozess, weil sie genau wie die befragten Unternehmen denken, dass Datenschutz sehr aufwändig und dadurch teuer sei. Sie hoffen, dass schon nichts passieren wird und machen erst mal gar nichts.
Das ist ein unnötiges Risiko, denn mit klaren Zuständigkeiten, sauberen Abläufen und einer pragmatischen Umsetzung lässt sich Datenschutz effizient und rechtssicher organisieren.
Gerne schaue ich mir bei Ihnen an, wo Sie stehen und wie viel Aufwand es tatsächlich ist. Ein Erstbesuch ist immer unverbindlich und kostenlos.
Mehr zu Grundlagen und Praxis finden Sie in meinen Seminaren.