Tendenziell gewissenhafter zeigen sich Firmen, die persönliche Daten von Endverbrauchern verwalten. Dort dient der Datenschutz als Marketing-Instrument, er wird als Qualitätsmerkmal offensiv angepriesen. Ebenfalls lässt sich beobachten, dass große Unternehmen sich eher an die Datenschutzbestimmungen halten als kleine. "Je größer der Betrieb, desto eher werden entsprechende Vorkehrungen getroffen", so Lüllemann. Im klassischen Mittelstand hingegen sei das Engagement schon erheblich dürftiger. Das bestätigt auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in ihrem Datenschutzbericht 2005: Demnach mangelt es den kleinen und mittleren Unternehmen häufig sowohl an Kontrollen als auch an verbindlichen Anweisungen. Schwächen wiesen sie auch im Hinblick auf eine ganzheitliche Datenschutzbetrachtung auf.

Das Risiko, bei Schluderei im Umgang mit Personendaten ertappt zu werden, erscheint auf den ersten Blick begrenzt: Nach Erfahrungen von Hülsmann müssen meldepflichtige Organisationen - etwa Auskunfteien, Online-Branchenauskünfte oder Unternehmen der Pharma-, Chemie- und TK-Branche - alle drei bis fünf Jahre mit einer behördlichen Routinekontrolle rechnen. Andere Unternehmen werden in erster Linie bei entsprechenden Vorkommnissen überprüft. "Allerdings knöpfen sich die Behörden immer wieder ad hoc eine Branche vor - man kann also nicht vorher wissen, ob es einen erwischt", gibt Lüllemann zu bedenken. Auch der wenig überschaubare Endverbrauchermarkt berge seine Risiken. "Es kann durchaus sein, dass ein sachkundiger Rechtsanwalt oder Datenschutzbeauftragter einen Verstoß gegen das Gesetz registriert und an die große Glocke hängt".