Sieben von zehn deutschen Unternehmen haben in den vergangenen zwölf Monaten Innovationsprojekte wegen Datenschutz-Vorgaben gestoppt. Eine repräsentative Bitkom-Umfrage unter 603 Unternehmen ab 20 Beschäftigten zeigt einen Sprung um neun Prozentpunkte gegenüber dem Vorjahr. Die Merz-Regierung gerät unter Zugzwang, das EU-Omnibus-IV-Paket reicht laut Wirtschaft nicht.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Die Bitkom DSGVO-Studie liefert harte Zahlen zur Innovationsbremse. 97 Prozent der Befragten empfinden den Datenschutz-Aufwand als hoch oder sehr hoch. 79 Prozent fordern eine grundlegende Überarbeitung der Verordnung. Bei kleinen und mittleren Unternehmen sind die Werte noch deutlicher.
Das Wichtigste in Kürze
- 70 Prozent der deutschen Unternehmen haben Innovationsprojekte wegen DSGVO gestoppt
- 97 Prozent bewerten den Datenschutz-Aufwand als hoch oder sehr hoch
- 79 Prozent fordern eine grundlegende Überarbeitung der Verordnung
- Repräsentative Befragung unter 603 Unternehmen ab 20 Beschäftigten
Wer besonders leidet
Die Studie zeigt eine klare Zweiteilung. Großunternehmen mit eigener Datenschutz-Abteilung und externen Beratern kommen mit dem Aufwand zurecht, wenn auch widerwillig.
Mittelständler ab 20 Beschäftigten geraten an die Grenzen.
Die wahren Kostentreiber sind nicht die Pflicht zur Bestellung eines Datenschutzbeauftragten (nur 25 Prozent nennen sie als Hauptproblem), sondern Dokumentationspflichten (73 Prozent), technische Umsetzung (69 Prozent) und ständige Rechtsunsicherheit (57 Prozent).
Im Vorjahresvergleich hat sich die Lage verschärft. 2024 hatten 61 Prozent angegeben, mindestens ein Innovationsprojekt wegen Datenschutz gestoppt zu haben. 2025 sind es 70 Prozent. Der Sprung um neun Prozentpunkte fällt mit der Einführung des EU AI Acts und der NIS-2-Richtlinie zusammen, deren Pflichten parallel zur DSGVO erfüllt werden müssen.
Was die Politik plant
Die EU-Kommission hat im Mai 2025 das Omnibus-IV-Paket auf den Weg gebracht. Es soll insbesondere bei der Rechenschaftspflicht nach Artikel 30 DSGVO entlasten und nach Kommissionsrechnung 400 Millionen Euro Verwaltungskosten pro Jahr in Unternehmen einsparen.
Bitkom-Präsident Ralf Wintergerst bezeichnet das Paket öffentlich als unzureichend. Notwendig wären umfassendere Entlastungen bei Dokumentations- und Berichtspflichten sowie eine stärkere Berücksichtigung technologischer Entwicklungen, insbesondere bei Künstlicher Intelligenz.
Die Bundesregierung Merz will national nachlegen. Geplant ist die Abschaffung von Paragraf 38 BDSG, der die Bestellung eines Datenschutzbeauftragten ab 20 Mitarbeitern vorschreibt. Die Politik will zur rein risikobasierten EU-Regelung zurückkehren.
Juristen warnen jedoch: Die DSGVO-Pflichten bleiben bestehen. Fällt der interne Experte weg, lastet die volle Verantwortung auf der Geschäftsführung. Das Risiko für Verstöße und hohe Bußgelder steigt.
Datenschutz ist nicht das Problem, die Umsetzungsverordnungen sind es. Wer 73 Prozent Dokumentationslast als Innovationsbremse markiert und gleichzeitig eine KI-Verordnung obendrauf packt, baut den Mittelstand kaputt, ohne ihn besser zu schützen.
— Markus Seyfferth, Chefredakteur Dr. Web
Was Mittelständler jetzt prüfen sollten
Drei Hebel bringen kurzfristig Entlastung. Zunächst lohnt die Überprüfung, welche Dokumentationspflichten wirklich auf das eigene Unternehmen zutreffen. Viele Verarbeitungsverzeichnisse sind über die Jahre aus Vorsicht aufgebläht worden. Eine risikobasierte Reduktion ist DSGVO-konform und spart Zeit.
Parallel hilft die Anbindung an Verbandsvorlagen: Bitkom, BVDW und Branchenverbände bieten Templates, die rechtlich geprüft sind und deutlich Aufwand sparen. Schließlich schlägt sich Automatisierung in Form von Datenschutz-Management-Software (DSMS) langfristig durch. Wer Compliance digital pflegt, hat bei Audits und Betroffenenanfragen schnellere Antworten.
Mehr Newshunger?
