Die deutsche Datenschutzaufsicht verzeichnet einen historischen Höchststand an Bürgeranfragen und verschärft gleichzeitig die Kontrolle. Der 34. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz (BfDI) offenbart eine drastische Zunahme der Beschwerden – und ein Gerichtsurteil in Berlin schafft neue Klarheit zur Videoüberwachung.
Viele Datenschutzbeauftragte kämpfen ums Budget – dieser Fehler im Jahresbericht ist oft der Grund. Wer keine Kennzahlen liefert, wird vom Management nicht ernst genommen – so belegen Sie mit dieser kostenlosen Vorlage für Ihren Tätigkeitsbericht 2025 den Wert Ihrer Arbeit. Kostenlose Vorlage und Anleitung für den Datenschutz-Jahresbericht sichern
Rekordzahlen und Millionenstrafen
BfDI Louisa Specht-Riemenschneider übergab am heutigen Mittwoch ihren Jahresbericht an Bundestagspräsidentin Bärbel Bas. Die Zahlen sprechen eine deutliche Sprache: 11.824 Eingaben – Beschwerden und Anfragen – gingen 2025 bei der Behörde ein. Das ist ein Anstieg von 36 Prozent im Vergleich zu 2024 und sogar 52 Prozent mehr als 2023.
Die Aufsicht führte 80 Vor-Ort-Prüfungen und 40 schriftliche Audits durch. Heraus kamen 129 Aufsichtsmaßnahmen. Die spektakulärste: eine Geldbuße von 45 Millionen Euro gegen Vodafone. Der Telekommunikationsriese hatte gegen Transparenz- und Sicherheitspflichten verstoßen.
Die Behörde erweitert zudem ihr Instrumentarium. Mit „ReguLab“ gibt es jetzt eine spezielle Beratung für Künstliche Intelligenz. Ein „Datenbarometer“ soll künftig Datenschutzstandards branchenübergreifend messbar machen.
Europaweit hohe Bußgeldwelle
Der Trend zur härteren Gangart ist kein rein deutsches Phänomen. Im April 2026 verhängten Aufsichtsbehörden in ganz Europa empfindliche Strafen:
- Italien: 12,5 Millionen Euro gegen Poste Italiane (Postepay) wegen Tracking in der Banking-App
- Spanien: 400.000 Euro gegen Unicaja Banco wegen Verstößen bei der Videoüberwachung
- Spanien: 200.000 Euro gegen Ares Capital – das Unternehmen verlangte von Mitarbeitern die Installation von Apps auf Privathandys
- Rumänien: 35.000 Euro gegen Crowd Entertainment für unerlaubte Werbe-SMS
- Rumänien: 2.500 Euro gegen Blue Projects nach einem Cyberangriff mit Sicherheitslücken
Gericht erlaubt Videoüberwachung an Schwimmbädern
Am selben Tag fällte das Berliner Verwaltungsgericht ein wegweisendes Urteil: Videoüberwachung und Ausweiskontrollen an vier großen Berliner Freibädern sind rechtmäßig. Der Berliner Datenschutzbeauftragten Meike Kamp war 2025 noch gegen die Betreiber vorgegangen.
Das Gericht wog ab: Lebens- und Gesundheitsschutz wiegen schwerer als das Recht auf informationelle Selbstbestimmung. Die Maßnahmen – Ausweiskontrollen ab 14 Jahren und 72-Stunden-Speicherung der Videodaten an Eingängen – seien verhältnismäßig.
Die Zahlen geben den Betreibern recht: Die Straftaten in den vier überwachten Bädern sanken von 88 (2023) auf 66 (2024). In allen Berliner Bädern zusammen fielen die Delikte von 294 auf 154. Die Polizeieinsätze reduzierten sich um 48 Prozent zwischen 2023 und 2025. Kamp prüft nach eigenen Angaben eine Berufung.
Dänemark: Bußgeld-Drohung für Lösch-Chaos
Auch öffentliche Stellen bleiben nicht verschont. Die dänische Aufsicht (Datatilsynet) erließ am heutigen Mittwoch eine Anordnung gegen die Gemeinde Aalborg. Grund: systematische Mängel bei der Datenlöschung. Die Kommune muss die Probleme bis zum 2. Oktober 2026 beheben – sonst drohen schärfere Sanktionen.
Kampf um die „Chatkontrolle“
Ein zentrales Streitthema bleibt die geplante EU-weite Überwachung privater Kommunikation. Die Datenschutzkonferenz (DSK) forderte am Dienstag die endgültige Aufgabe der „Chatkontrolle“. DSK-Vorsitzender Prof. Dr. Tobias Keber warnte: Die geplante Pflicht zum Scannen privater Nachrichten – technisch Client-Side-Scanning (CSS) genannt – sei ein Eingriff in Grundrechte und gefährde die Ende-zu-Ende-Verschlüsselung.
Die DSK verweist auf Effizienzzweifel: Von 11,7 Milliarden weltweit von Microsoft gescannten Inhalten führten 2023 nur 0,00007 Prozent zu verwertbaren Hinweisen für Ermittler. Die Übergangsfrist für freiwilliges Scannen lief Anfang April 2026 aus. Das EU-Parlament hatte eine Verlängerung Ende März abgelehnt.
Parallel dazu reichte die Organisation noyb am Dienstag eine Beschwerde gegen LinkedIn in Österreich ein. Der Vorwurf: Das soziale Netzwerk verlange Geld für Auskünfte über Profilbesuche – ein Verstoß gegen Artikel 15 der DSGVO.
EU-KI-Verordnung: Zeitdruck vor Trilog-Verhandlungen
Die Verhandlungen zum „Omnibus“-Gesetz der EU-KI-Verordnung stocken. Eine zwölfstündige Verhandlungsrunde am 28. April endete ohne Einigung. Streitpunkt: Wie sollen Konformitätsbewertungen für KI in regulierten Produkten wie Medizingeräten oder Fahrzeugen aussehen?
Zwar gibt es eine vorläufige Einigung, Fristen für Hochrisiko-KI-Systeme auf Dezember 2027 oder August 2028 zu verschieben. Doch ohne endgültigen Vertrag bleibt der 2. August 2026 als gesetzlicher Stichtag für viele Hochrisiko-Anwendungen bestehen. Die nächste Trilog-Runde Mitte Mai 2026 gilt als letzte Chance.
Die neuen EU-Regeln stellen Unternehmen vor große Herausforderungen, da für viele KI-Anwendungen bereits konkrete Fristen und Pflichten gelten. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act bietet Ihrer Rechts- und IT-Abteilung jetzt den nötigen Überblick über Risikoklassen und Dokumentationspflichten. Kostenlosen Leitfaden zur KI-Verordnung herunterladen
Elektronische Patientenakte: Nachbesserungen gefordert
Der BfDI-Bericht mahnt auch beim digitalen Gesundheitswesen. Specht-Riemenschneider kritisiert: Das aktuelle Zugriffsmanagement der elektronischen Patientenakte (ePA) erfülle noch nicht die europäischen Standards. Patienten könnten derzeit nicht verhindern, dass einzelne Ärzte bestimmte Dokumente einsehen – ein Recht, das der Europäische Gesundheitsdatenraum (EHDS) vorsieht. Zwar gilt die EHDS-Verordnung erst ab März 2029 vollständig. Die nationale Umsetzung müsse aber jetzt beginnen.
Neue Leitlinien für die Forschung
Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am Mittwoch neue Leitlinien zur Verarbeitung personenbezogener Daten für wissenschaftliche Zwecke. Kernaussage: Die Weiterverarbeitung von Daten für die Forschung kann unter bestimmten Bedingungen mit dem ursprünglichen Erhebungszweck vereinbar sein. Pseudonymisierung bleibe ein zentrales Schutzinstrument – besonders wenn private Einrichtungen im öffentlichen Interesse forschen.
Analyse: Sicherheit versus Privatsphäre
Die aktuellen Entwicklungen zeigen einen wachsenden Zielkonflikt. Das Berliner Urteil stellt die physische Sicherheit durch Überwachung in den Vordergrund – ein Trend, der den Warnungen des BfDI vor Gesichtserkennung direkt widerspricht. Die Behörde hält biometrische Scans für fehleranfällig und datenschutzrechtlich bedenklich.
Die steigende Zahl der Beschwerden in Deutschland und der Schweiz – der Kanton Luzern meldete 2025 mit 483 Fällen ebenfalls einen Rekord – zeigt: Bürger werden mündiger. Unternehmen müssen von reiner Dokumentation zu aktiver, nachprüfbarer Compliance übergehen. Die Millionenstrafen sind längst keine theoretische Drohung mehr.
