Zehn Jahre nach Inkrafttreten der Datenschutz-Grundverordnung legt der Digitalverband Bitkom eine umfassende Bilanz vor, und die ist zwiespältig. Datenschutz ist in deutschen Unternehmen angekommen, kostet aber so viel Zeit und Geld wie nie. Besonders deutlich wird das Spannungsfeld beim Thema Künstliche Intelligenz: Fast sieben von zehn Unternehmen sehen die DSGVO inzwischen als Hindernis beim Training eigener KI-Modelle. Für den Mittelstand wird die Lage zur strategischen Frage, nicht zur rein juristischen.
Was die Zahlen aus 603 Unternehmen sagen
Bitkom befragt seit 2016 jährlich Unternehmen ab 20 Beschäftigten in Deutschland zum Stand der Datenschutz-Umsetzung. Für den aktuellen Studienbericht „Datenschutz in der deutschen Wirtschaft 2026″ wurden 603 Firmen interviewt; die Ergebnisse hat der Verband am 22. Mai 2026 unter dem DOI 10.64022/2026-datenschutz veröffentlicht (Quelle: bitkom.org). Der Anteil der Befragten, die ihre Geschäftsprozesse durch die DSGVO als verkompliziert empfinden, ist von 25 Prozent im Jahr 2016 auf 81 Prozent im Jahr 2025 gestiegen. 97 Prozent bewerten den Aufwand als hoch oder sehr hoch. Gleichzeitig sagen 71 Prozent, sie hätten die DSGVO inzwischen weitgehend umgesetzt, gegenüber nur 7 Prozent im Jahr 2018. Compliance ist also angekommen, kostet aber konstant Köpfe: 38 Prozent finden keine geeigneten Datenschutzbeauftragten oder spezialisierten Juristen mehr.
KI-Training trifft auf Datenschutz-Bürokratie
Die zentrale neue Zahl der Studie betrifft KI. 69 Prozent der Unternehmen sehen die DSGVO als Hindernis beim Training eigener KI-Modelle mit ausreichend Daten. 2023 lag dieser Wert noch bei 42 Prozent (Quelle: retail-news.de). Die Verdopplung der Skepsis in nur zwei Jahren spiegelt einen Realitätsschock wider: Viele Mittelständler haben in dieser Zeit versucht, eigene Datenbestände für KI nutzbar zu machen, und sind an Zweckbindung, Auskunftsrechten, Löschpflichten und der Diskussion um die richtige Rechtsgrundlage hängen geblieben. 63 Prozent der Befragten fürchten zusätzlich, dass KI-Entwickler Europa deshalb dauerhaft verlassen werden. Und 70 Prozent der Unternehmen haben laut Bitkom bereits Innovationsprojekte wegen Datenschutzvorgaben gestoppt; ein Jahr zuvor waren es noch 61 Prozent.
Politik bewegt sich, aber langsam
Die EU-Kommission hat im Mai 2025 das Omnibus-IV-Paket auf den Weg gebracht, das nach eigenen Angaben 400 Millionen Euro an Verwaltungskosten einsparen soll. Bitkom hält das für unzureichend und fordert eine grundlegende Überarbeitung der Verordnung; 79 Prozent der befragten Unternehmen unterstützen das (Quelle: drweb.de). Auf Bundesebene plant die Regierung Merz, Paragraph 38 BDSG abzuschaffen, der Datenschutzbeauftragte ab 20 Mitarbeitern vorschreibt. Juristen warnen allerdings: Wer diese Pflicht streicht, verlagert die Verantwortung nicht weg, sondern direkt auf die Geschäftsführung. Für KMU bedeutet das, dass eine formale Entlastung schnell zur faktischen Mehrbelastung wird, wenn intern niemand das Thema aufnimmt.
Welche Hebel im Mittelstand sofort wirken
Aus der Studie und den begleitenden Bitkom-Empfehlungen lassen sich vier konkrete Schritte ableiten, die kleine und mittlere Unternehmen jetzt anstoßen können:
- Dokumentation entrümpeln. Viele Verzeichnisse von Verarbeitungstätigkeiten sind über Jahre gewachsen. Eine Revision spart messbar Zeit, ohne die Compliance zu schwächen.
- Verbandsvorlagen nutzen. Bitkom, BVDW und IHKs stellen geprüfte Muster für AVV, TOM und Folgenabschätzung kostenlos bereit.
- Datenschutz-Management-Software prüfen. Für Firmen ab etwa 30 Mitarbeitern amortisiert sich ein DSMS oft innerhalb eines Jahres, weil es Wiederholungsaufwand reduziert.
- KI-Use-Cases sauber trennen. Training mit echten Personendaten erfordert andere Rechtsgrundlagen als reine Anwendung vortrainierter Modelle. Wer das vorab klärt, vermeidet die häufigsten Projektabbrüche.
Was das für KMU bedeutet
Die wichtigste Erkenntnis aus der Studie ist nicht eine einzelne Zahl, sondern das Muster dahinter: KI-Projekte scheitern in Deutschland selten an Modellen oder Tools, sondern an der konkreten Umsetzung zwischen DSGVO, internen Prozessen und schlechter Datenlage. Wer als Geschäftsführerin oder Geschäftsführer einer Firma mit 20 bis 250 Beschäftigten jetzt einen KI-Piloten startet, sollte sich nicht von Anbietern blenden lassen, die Standard-Software als Komplettlösung verkaufen. Die schwierige Arbeit liegt davor und daneben: passende Rechtsgrundlage, Datenfluss-Dokumentation, Auftragsverarbeitungsverträge, technische Trennung von Trainings- und Produktivdaten.
Vorlagen wie der Bitkom-Praxisleitfaden KI und Datenschutz decken die Grundlagen ab. Wer komplexere Use Cases plant, etwa Lead-Scoring im Vertrieb, automatisierte Angebotsentwürfe oder eine interne Wissensdatenbank auf Basis eigener Akten, kommt um eine fundierte Integration nicht herum. Generische SaaS-Tools scheitern in genau dieser Schicht regelmäßig, weil sie weder die Prozesse noch die Datenarchitektur des Unternehmens kennen. Im Mittelstand zahlt sich deshalb der frühe Schulterschluss mit einem Partner aus, der DSGVO-Erfahrung mit konkreter Umsetzungsarbeit verbindet, statt ein Pilotprojekt zu starten, das nach drei Monaten in der Dokumentation versandet.
Quellen
