Zehn Jahre nach dem Inkrafttreten der europäischen Datenschutz-Grundverordnung fällt die Bilanz der deutschen Wirtschaft zwiespältig aus: Der Datenschutz ist in den Unternehmen angekommen, doch der bürokratische Preis dafür steigt von Jahr zu Jahr. Während Anfang 2018, kurz vor dem Wirksamwerden der DS-GVO, gerade einmal sieben Prozent der Unternehmen ihre Hausaufgaben weitgehend erledigt hatten, sind es inzwischen 71 Prozent. Im selben Maße ist allerdings auch der Frust gewachsen.
Das zeigt eine Langzeitstudie, die Bitkom Research im Auftrag des Digitalverbands Bitkom seit 2016 jährlich durchführt. Zuletzt befragten die Marktforscher 603 Unternehmen ab 20 Beschäftigten quer durch alle Branchen. Die Zahlen, die am Freitag in Berlin im Studienbericht „10 Jahre DS-GVO“ veröffentlicht wurden, zeichnen das Bild einer Regelung, die ihr Ziel zwar erreicht, aber zugleich neue Lasten produziert.
Besonders deutlich wird der Stimmungswandel beim Blick auf die Geschäftsprozesse. Sahen 2016 noch ein Viertel der Unternehmen die DS-GVO als Komplikation, sind es 2025 bereits 81 Prozent. 97 Prozent bewerten den Aufwand für Datenschutz inzwischen als hoch, fast die Hälfte davon sogar als sehr hoch. Und 72 Prozent finden, dass Deutschland es mit dem Datenschutz schlicht übertreibt – 2020 waren es noch 40 Prozent.
„Datenschutz ist keine lästige Pflicht, er ist eine zentrale Säule der digitalen Welt“, betont Bitkom-Präsident Ralf Wintergerst. Die ursprünglichen Versprechen der Verordnung – einheitliche Wettbewerbsbedingungen in Europa, mehr Rechtssicherheit und nach einer Übergangsphase weniger Bürokratie – hätten sich aus seiner Sicht jedoch nicht eingelöst. Nun stehe mit der Anpassung an das Zeitalter der Künstlichen Intelligenz bereits die nächste Bewährungsprobe an.
Genau hier liegt der wunde Punkt der aktuellen Debatte. Zwar betrachten 59 Prozent der Unternehmen den europäischen Datenschutz im internationalen Vergleich grundsätzlich als Vorteil für die KI-Entwicklung. In der Praxis erleben sie allerdings das Gegenteil: 69 Prozent klagen darüber, dass der Datenschutz das Training von KI-Modellen mit ausreichenden Datenmengen erschwere – 2023 waren es noch 42 Prozent. 63 Prozent sind überzeugt, dass die Regeln KI-Entwickler aus der EU vertreiben. Sechs von zehn Unternehmen berichten zudem, dass Datenpool-Projekte an Datenschutzvorgaben gescheitert sind oder gar nicht erst gestartet wurden.
„Die Realität ist: KI wird wegen unserer Datenschutzpraxis nicht in Europa entwickelt, die Modelle werden aber trotzdem hier eingesetzt“, warnt Wintergerst. Für den Schutz europäischer Bürgerinnen und Bürger sei damit nichts gewonnen, für den Wirtschaftsstandort hingegen viel verloren. Er fordert eine konsequente Risikoorientierung der DS-GVO und ein klares Bekenntnis dazu, dass Training und Betrieb von KI-Systemen auch in Europa möglich sein müssen. Der sogenannte Digitalomnibus auf EU-Ebene biete dafür die Chance.
Auch jenseits der KI bleiben offene Baustellen. 61 Prozent der Unternehmen übermitteln personenbezogene Daten in die USA, 71 Prozent wünschen sich von der Politik endlich tragfähige Lösungen für den internationalen Datentransfer – vor vier Jahren waren es nur 32 Prozent. 82 Prozent nennen die Unsicherheit über die genauen Vorgaben als eine der größten Herausforderungen, und 86 Prozent sagen, die Umsetzung der DS-GVO werde nie wirklich abgeschlossen sein. Hinzu kommt ein wachsender Personalmangel: 38 Prozent der Unternehmen finden nicht genug qualifizierte Datenschutzfachkräfte, der höchste Wert seit Beginn der Erhebung.
