Zuletzt aktualisiert am 7. April 2026

Laut einer Bitkom-Umfrage bereitet die Umsetzung und Auslegung der DSGVO auch nach fünf Jahren seit Inkrafttreten vielen Unternehmen Schwierigkeiten. Wo diese auftreten und welche möglichen Hilfestellungen es gibt, erfahren Sie hier.

Bitkom-Umfrage zur DSGVO

Im Auftrag des Digitalverbands Bitkom fand eine repräsentative Umfrage statt, bei der 503 Unternehmen in Deutschland mit jeweils mindestens 20 Beschäftigten Fragen über die DSGVO und deren Umsetzung beantwortet haben. Die Umfrage stellte Bitkom am 27. September 2022 in Berlin vor.

Umsetzung und Aufwand

Die große Mehrheit er befragten Unternehmen hat zumindest damit begonnen, die Vorgaben der DSGVO umzusetzen. 22 Prozent der Befragten geben eine vollständige Umsetzung an. 40 Prozent sind der Ansicht, die Vorgaben „größtenteils“ umgesetzt zu haben, 33 Prozent „teilweise“.

93 Prozent der Befragten haben im Unternehmen die Investitionen im Bereich Datenschutz gesteigert. Dabei fällt es sehr unterschiedlich aus, ob dieser Mehraufwand als in Zukunft gleichbleibend oder als einmalig angesehen wird. Zumindest ist der Aufwand für kein Unternehmen gesunken.

Störfaktoren

Auch wurden die Unternehmen zu den Gründen für unvollständige Umsetzungen der DSGVO befragt. Dabei sehen die meisten Befragten diese Gründe in externen Störfaktoren. Vor allem wird die Rechtsunsicherheit bezüglich der Auslegung der DSGVO beklagt. Diese trete vor allem im Vergleich der einzelnen Bundesländer aber auch der Länder Europas hervor. Die meisten Unternehmen sehen in der Umsetzung der DSGVO wegen dieser Rechtsunsicherheit einen laufenden Prozess, der ständiger Anpassung bedarf. Dabei koste aus auch viel Zeit, die erforderlichen IT- und Systemumstellungen vorzunehmen.

DSGVO kann Digitalisierung bremsen

Kritisch wird die DSGVO von befragten Unternehmen vor allem hinsichtlich ihres Einflusses auf die Digitalisierung gesehen. Mehr als 60 Prozent sehen die Digitalisierung des Unternehmens durch die Vorgaben der DSGVO als gehemmt an. Zum Teil mussten Innovationsprojekte wegen datenschutzrechtlicher Bedenken innerhalb der Unternehmen abgebrochen werden. Einige sehen den Datenschutz in Deutschland sogar als übertrieben an. Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder betont zu diesem Punkt, dass der Datenschutz „nicht zum Selbstzweck“ werden dürfe und stimmt der Forderung nach einheitlicheren Auslegungen zu.

Hilfestellungen für Unternehmen

Als erste Anlaufstelle für Hilfestellungen sollen die Datenschutz-Aufsichtsbehörden der Länder funktionieren. Immerhin hat rund die Hälfte der befragten Unternehmen dies auch schon in Anspruch genommen. Die Qualität der Hilfestellungen scheint dabei aber stark zu variieren. Dies gilt es auszubauen. Vor allem sei laut der Auswertung der Umfrage durch Bitkom daran zu arbeiten, praxisnahe Empfehlungen ebenso wie konkrete Auskünfte bereit zu stellen. Außerdem wissen viele Unternehmen nicht, dass die Aufsichtsbehörden überhaupt beraten (20 Prozent) oder hatten schlicht keine Zeit, den Kontakt aufzunehmen (27 Prozent). Bei einigen Unternehmen haben die Aufsichtsbehörden sogar schon einen so schlechten Ruf, dass sie nicht mehr kontaktiert werden.

Um konkrete und praxisnahe Beratung zu datenschutzrechtlichen Themen im Unternehmen zu erhalten, eignet sich immer noch der Datenschutzbeauftragte sehr gut. Vor allem ein externer Datenschutzbeauftragter ist immer in den neusten Belange rund um die DSGVO geschult und kann das Unternehmen überblicken. So sind schnelle und einfache Lösungen mit minimalem Aufwand garantiert.

Sie suchen noch einen externen Datenschutzbeauftragten? Kontaktieren Sie uns gerne! Auch bei allen anderen Anliegen rund um Datenschutz und Datensicherheit steht Ihnen unser Team an Experten gerne zur Seite.

Typische Stolpersteine bei der DSGVO-Umsetzung

Neben den in der Bitkom-Umfrage genannten Faktoren gibt es zahlreiche weitere Stolpersteine, die Unternehmen bei der DSGVO-Umsetzung regelmäßig vor Herausforderungen stellen. Ein besonders häufiges Problem ist die fehlende oder unvollständige Dokumentation der Verarbeitungstätigkeiten. Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist für die meisten Unternehmen Pflicht, wird aber oft nur oberflächlich geführt oder ist veraltet.

Ein weiterer häufiger Fehler betrifft die Einwilligungserklärungen. Viele Unternehmen nutzen noch Formulierungen aus der Zeit vor der DSGVO, die den heutigen Anforderungen nicht mehr genügen. Eine wirksame Einwilligung muss freiwillig, informiert, unmissverständlich und für den konkreten Zweck erteilt werden. Pauschaleinwilligungen oder vorausgefüllte Checkboxen sind unzulässig.

Kosten- und Ressourcenplanung für den Datenschutz

Die DSGVO-Umsetzung erfordert nicht nur einmalige Investitionen, sondern verursacht laufende Kosten. Dazu gehören die regelmäßige Überprüfung und Aktualisierung der Datenschutzdokumentation, die Durchführung von Datenschutz-Schulungen für Mitarbeiter sowie die technische Wartung und Aktualisierung von IT-Systemen. Viele Unternehmen unterschätzen diese laufenden Kosten bei der Budgetplanung erheblich.

Insbesondere kleine und mittlere Unternehmen (KMU) stehen vor der Herausforderung, mit begrenzten Ressourcen die umfangreichen Anforderungen der DSGVO zu erfüllen. Eine Möglichkeit, dieses Problem zu lösen, besteht in der Bestellung eines externen Datenschutzbeauftragten. Dieser bringt das notwendige Fachwissen mit und kann flexibel eingesetzt werden, ohne dass das Unternehmen eine eigene Vollzeitstelle schaffen muss.

Branchenspezifische Herausforderungen

Die Schwierigkeiten bei der DSGVO-Umsetzung variieren je nach Branche erheblich. Im Gesundheitswesen müssen besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden, was erhöhte Schutzmaßnahmen erfordert. Im E-Commerce stellen die Anforderungen an Tracking, Cookies und Profilbildung besondere Herausforderungen dar. Im Finanzsektor kommen zusätzliche regulatorische Anforderungen hinzu, die mit der DSGVO in Einklang gebracht werden müssen.

Unabhängig von der Branche ist es wichtig, den Datenschutz nicht als isolierte Aufgabe zu betrachten, sondern in die Geschäftsprozesse zu integrieren. Der Grundsatz „Privacy by Design“ (Art. 25 DSGVO) verlangt, dass Datenschutzaspekte bereits bei der Planung neuer Produkte, Dienstleistungen oder Prozesse berücksichtigt werden. Unternehmen, die diesen Ansatz verfolgen, sparen langfristig Kosten und vermeiden nachträgliche Anpassungen.

Aktuelle Entwicklungen und Ausblick

Die datenschutzrechtliche Landschaft entwickelt sich stetig weiter. Neue Urteile des Europäischen Gerichtshofs (EuGH) und der nationalen Gerichte konkretisieren die Anforderungen der DSGVO laufend. Zudem werden auf europäischer Ebene weitere Regelwerke wie der Digital Services Act (DSA) und der Data Act verabschiedet, die zusätzliche Anforderungen an den Umgang mit Daten stellen.

Für Unternehmen bedeutet dies, dass die DSGVO-Umsetzung kein einmaliges Projekt ist, sondern ein kontinuierlicher Prozess. Regelmäßige Datenschutz-Schulungen für Mitarbeiter, die Beobachtung aktueller Rechtsprechung und die Anpassung interner Prozesse sind nötig, um dauerhaft datenschutzkonform zu agieren und Bußgelder zu vermeiden.

Der Datenschutzbeauftragte als Lösungsansatz

Ein wesentlicher Erfolgsfaktor für die DSGVO-Umsetzung ist die Bestellung eines kompetenten Datenschutzbeauftragten. Ab einer Unternehmensgröße von 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten nach § 38 BDSG verpflichtend. Aber auch kleinere Unternehmen profitieren erheblich von der Expertise eines Datenschutzbeauftragten.

Ein externer Datenschutzbeauftragter bietet gegenüber einem internen Datenschutzbeauftragten mehrere Vorteile. Er verfügt über branchenübergreifende Erfahrung, ist laufend auf dem aktuellen Stand der Rechtsprechung und bringt eine unvoreingenommene Perspektive ein. Zudem entfällt der besondere Kündigungsschutz, der bei internen Datenschutzbeauftragten besteht, was für Unternehmen mehr Flexibilität bedeutet.

Checkliste für die DSGVO-Compliance

Unternehmen sollten regelmäßig überprüfen, ob sie die grundsätzlichen Anforderungen der DSGVO erfüllen. Zu den wichtigsten Punkten gehören: ein vollständiges und aktuelles Verarbeitungsverzeichnis nach Art. 30 DSGVO, dokumentierte technisch-organisatorische Maßnahmen nach Art. 32 DSGVO, wirksame Einwilligungserklärungen und Datenschutzhinweise sowie geschlossene Auftragsverarbeitungsverträge mit allen Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten.

Außerdem müssen Unternehmen ein funktionierendes Verfahren zur Bearbeitung von Betroffenenanfragen etabliert haben, einschließlich Auskunfts-, Lösch- und Berichtigungsanfragen. Ein Datenschutz-Notfallplan für den Fall einer Datenschutzverletzung sollte ebenfalls vorhanden sein. Unternehmen, die diese Grundlagen geschaffen haben, sind gut aufgestellt, um auch zukünftige Anforderungen der sich weiterentwickelnden Datenschutzlandschaft zu bewältigen.

Praxisbeispiele erfolgreicher DSGVO-Umsetzung

Erfolgreiche DSGVO-Umsetzungen zeichnen sich durch einen systematischen Ansatz aus. Unternehmen, die den Datenschutz als Teil ihrer Unternehmenskultur verstehen und nicht als lästige Pflicht, erzielen in der Regel bessere Ergebnisse. Dies zeigt sich beispielsweise darin, dass Datenschutzthemen in regelmäßigen Team-Meetings besprochen werden, dass neue Mitarbeiter eine vollständige Datenschutzeinführung erhalten und dass Datenschutzfragen bei der Einführung neuer Software oder Prozesse von Anfang an berücksichtigt werden.

Ein besonders wichtiger Aspekt ist die Akzeptanz der Mitarbeiter. Wenn Beschäftigte verstehen, warum Datenschutz wichtig ist und welche konkreten Risiken bei Verstößen drohen, steigt die Compliance erheblich. Regelmäßige und praxisnahe Schulungen sind daher kein notwendiges Übel, sondern eine Investition in die Datenschutzkultur des Unternehmens. Die DATUREX GmbH unterstützt Unternehmen dabei, diese Kultur nachhaltig aufzubauen und zu pflegen.

DSGVO als Wettbewerbsvorteil nutzen

Trotz der vielfach beklagten Schwierigkeiten bei der Umsetzung kann die DSGVO-Compliance auch als Wettbewerbsvorteil genutzt werden. Immer mehr Kunden und Geschäftspartner legen Wert darauf, dass ihre Daten sicher und rechtskonform verarbeitet werden. Unternehmen, die einen hohen Datenschutzstandard nachweisen können, genießen ein höheres Vertrauen und können sich im Wettbewerb positiv differenzieren.

Insbesondere bei der Zusammenarbeit mit öffentlichen Auftraggebern oder internationalen Konzernen ist eine nachweisbare DSGVO-Compliance häufig Voraussetzung für eine Auftragserteilung. Auch bei der Gewinnung von Fachkräften kann ein verantwortungsvoller Umgang mit Mitarbeiterdaten ein wichtiges Argument sein. Die Investition in den Datenschutz zahlt sich somit langfristig aus.

Zusammenfassung und Handlungsempfehlung

Die Umsetzung der DSGVO bleibt für viele Unternehmen eine Herausforderung, bietet aber gleichzeitig Chancen. Ein strukturierter Ansatz, unterstützt durch einen erfahrenen Datenschutzbeauftragten, regelmäßige Schulungen und moderne IT-Lösungen, kann die Komplexität deutlich reduzieren. Unternehmen, die den Datenschutz als fortlaufenden Prozess und nicht als einmaliges Projekt verstehen, werden langfristig profitieren und sind besser gegen Bußgelder und Reputationsschäden geschützt.

Die DATUREX GmbH steht Unternehmen als erfahrener Partner bei der Umsetzung der DSGVO zur Seite. Von der Erstanalyse über die Dokumentation bis hin zu regelmäßigen Schulungen und Audits bieten wir ein vollständiges Dienstleistungspaket, das individuell auf die Bedürfnisse Ihres Unternehmens zugeschnitten wird. Kontaktieren Sie uns für eine unverbindliche Erstberatung zu Ihrem Datenschutzkonzept.

Letztlich zeigt die Bitkom-Umfrage, dass die DSGVO zwar Herausforderungen mit sich bringt, diese aber mit der richtigen Unterstützung und einem systematischen Ansatz bewältigbar sind. Der Schlüssel liegt in der Kombination aus fachkundiger Beratung, praxisnahen Schulungen und einer kontinuierlichen Weiterentwicklung des betrieblichen Datenschutz-Managementsystems.