Das Berliner Verwaltungsgericht hat die umstrittene Video-Überwachung und Ausweiskontrollen in öffentlichen Freibädern für rechtmäßig erklärt. Die Entscheidung vom heutigen Mittwoch stellt einen Paukenschlag im Spannungsfeld zwischen Sicherheit und Datenschutz dar. Die Richter wiesen eine Klage der Berliner Bäder-Betriebe gegen eine Abmahnung der Datenschutzbeauftragten Meike Kamp ab – und bestätigten damit im Kern die Maßnahmen, die nach einer Serie von Sicherheitsvorfällen im Sommer 2023 eingeführt wurden.
Das aktuelle Urteil zeigt, dass Videoüberwachung im öffentlichen Raum strengen Regeln unterliegt – doch auch im privaten Sektor lauern teure Fallstricke. Dieser kostenlose Ratgeber hilft Ihnen, Ihre Dokumentationspflichten rechtssicher zu erfüllen und hohe Bußgelder zu vermeiden. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen
Sicherheit vor informationeller Selbstbestimmung
In ihrer Urteilsbegründung stellten die Richter klar: Der Schutz von Leben, Gesundheit und Freiheit wiegt in diesem Fall schwerer als das Recht auf informationelle Selbstbestimmung. Die Beeinträchtigung der Besucherrechte sei vergleichsweise gering – entscheidend sei die konkrete Ausgestaltung der Technik.
Die Videoaufzeichnungen werden nur 72 Stunden gespeichert, eine Live-Überwachung findet nicht statt. Zwar müssen Badegäste am Eingang ihren Ausweis vorzeigen, die Daten werden jedoch weder dokumentiert noch gespeichert. „Die Maßnahmen stehen in einem angemessenen Verhältnis zum verfolgten Sicherheitszweck“, so das Gericht.
Der Erfolg gibt den Sicherheitsverantwortlichen recht: In den vier mit Kameras ausgestatteten Bädern in Kreuzberg, Neukölln, Pankow und am Insulaner sanken die strafrechtlich relevanten Vorfälle von 88 (2023) auf 66 (2024). Stadtweit fiel die Zahl sogar von 294 auf 154 Vorfälle – ein Rückgang um fast die Hälfte.
Datenschutz-Behörde meldet Rekordaktivität
Parallel zum Gerichtsurteil legte die Bundesbeauftragte für den Datenschutz (BfDI), Louisa Specht-Riemenschneider, ihren 34. Tätigkeitsbericht für 2025 vor. Die Zahlen sind beeindruckend: 11.824 Eingänge – Beschwerden und Anfragen – bedeuten einen Anstieg um 36 Prozent gegenüber 2024 und sogar 52 Prozent mehr als 2023.
Die Behörde war 2025 so aktiv wie nie: 80 Vor-Ort-Kontrollen und 129 aufsichtsrechtliche Maßnahmen. Besonders ins Gewicht fiel ein Bußgeld von 45 Millionen Euro gegen Vodafone, unter anderem wegen unzureichender Kontrolle von Partnerunternehmen.
Specht-Riemenschneider nutzte die Gelegenheit für einen Seitenhieb auf moderne Technologien: Gesichtserkennung sei fehleranfällig, forderte sie datensparsamere Alternativen für Identitäts- und Altersnachweise. Ihre Amtszeit – geprägt von der Digitalisierung des Gesundheitswesens und der Entwicklung der Datenschutz-Sandbox „ReguLab“ – endet vorzeitig aus gesundheitlichen Gründen.
BVG unter Druck: Datenleck mit 180.000 Betroffenen
Auch Berlins Datenschutzbeauftragte Meike Kamp zeigt keine Nachsicht mit öffentlichen Unternehmen. Sie erteilte den Berliner Verkehrsbetrieben (BVG) eine formelle Abmahnung wegen eines Datenlecks im April 2025. Ein Cyberangriff auf einen Dienstleister legte damals die Daten von rund 180.000 Kunden offen – Namen, Adressen und Vertragsnummern.
Kamps Behörde monierte, dass die BVG nicht überprüft habe, ob der Dienstleister die Daten nach Vertragsende tatsächlich löschte. Zudem habe die Meldung der Sicherheitslücke fast zwei Wochen gedauert. Die BVG hat inzwischen die Zusammenarbeit beendet und prüft Schadensersatzforderungen.
Europaweiter Trend zu schärferen Sanktionen
Der Berliner Fall steht exemplarisch für eine europaweite Entwicklung. In Dänemark ordnete die Datenschutzbehörde der Stadt Aalborg eine systematische Überholung ihrer Löschverfahren bis Oktober 2026 an. In Italien verhängten die Behörden im April 2026 ein Bußgeld von 12,5 Millionen Euro gegen Poste Italiane – wegen Tracking von Nutzern über Banking-Apps. Die spanische Unicaja Banco zahlte 400.000 Euro für unzureichende Berechtigungskonzepte bei Videoüberwachung.
EU-Gesetzgebung: Stillstand bei zentralen Projekten
Während die Gerichte entscheiden, stocken die politischen Verhandlungen auf EU-Ebene. Die zweite Runde der Trilog-Verhandlungen zum EU Digital Omnibus endete am 28. April 2026 ohne Einigung. Besonders umstritten: die Konformitätsbewertungsverfahren für KI in regulierten Produkten wie Medizingeräten und Kraftfahrzeugen.
Für deutsche Unternehmen wird die Zeit knapp. Ohne die im Omnibus vorgeschlagenen Anpassungen treten zentrale Transparenz- und Risikomanagementpflichten für Hochrisiko-KI-Systeme am 2. August 2026 in Kraft. Verbände warnen vor einer Fragmentierung der Standards und steigenden Compliance-Kosten, besonders für kleine und mittlere Unternehmen.
Nicht nur die DSGVO, sondern auch der neue EU AI Act stellt Unternehmen vor gewaltige Dokumentationspflichten. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den nötigen Überblick über Fristen und Risikoklassen, damit Sie rechtlich auf der sicheren Seite bleiben. EU AI Act in 5 Schritten verstehen – jetzt kostenlos herunterladen
„Chat Control“: Datenschützer laufen Sturm
Die geplante EU-Verordnung zur Chat-Überwachung bleibt ein Zankapfel. Die Datenschutzkonferenz (DSK) verschärfte ihre Opposition vor der vierten Trilog-Runde am 11. Mai 2026. Ihr Vorwurf: Die geplante Pflicht zur Durchsuchung privater Nachrichten schaffe eine Infrastruktur zur Massenüberwachung und untergrabe die Ende-zu-Ende-Verschlüsselung. Zahlen großer Technologiekonzerne zeigten, dass nur ein verschwindend geringer Anteil der Milliarden durchsuchter Inhalte tatsächlich zu einem Tatverdacht führe.
Ausblick: Wohin steuert der Datenschutz?
Die juristische Auseinandersetzung ist noch nicht beendet. Meike Kamp prüft derzeit, ob sie Berufung gegen das Urteil des Verwaltungsgerichts einlegt. Ein mögliches Revisionsverfahren könnte höchstrichterlich klären, wie „Sicherheit durch Überwachung“ gegen die DSGVO abzuwägen ist – ein Präzedenzfall für ganz Deutschland.
Unterdessen bereitet die Datenschutzorganisation noyb eine Beschwerde gegen LinkedIn bei der österreichischen Behörde vor. Der Vorwurf: Die Plattform verstoße mit der Beschränkung von „Profilbesucher“-Einblicken auf Premium-Mitglieder gegen das Auskunftsrecht nach Artikel 15 DSGVO.
Für Unternehmen steht fest: Die Kosten der Nichteinhaltung erreichen Vorstandsebene. 45 Millionen Euro Bußgeld für Vodafone sind ein klares Signal. Wer seine KI-Inventur und internen Nutzungsrichtlinien nicht bis August 2026 in Ordnung bringt, spielt mit dem Feuer. Die kommenden Monate werden entscheiden, ob Europa den Spagat zwischen Innovation und Grundrechtsschutz meistert.
