Datenschutz in der Krise: Rekord-Bußgelder und neue EU-Pläne unter Beschuss

Der deutsche Datenschutzbeauftragte schlägt Alarm: 2025 gingen so viele Beschwerden ein wie nie zuvor, während die EU mit umstrittenen Überwachungsplänen für Aufsehen sorgt.

Rekordflut an Beschwerden beim BfDI

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat seinen Jahresbericht für 2025 vorgelegt – und die Zahlen sind beeindruckend. 11.824 Beschwerden und Anfragen gingen bei der Behörde ein, ein Anstieg um 36 Prozent gegenüber dem Vorjahr und sogar 52 Prozent mehr als 2023. Die Bürger nehmen ihr Recht auf informationelle Selbstbestimmung offenbar immer ernster.

Viele Datenschutzbeauftragte kämpfen um Anerkennung und Budget, weil sie den Wert ihrer Arbeit nicht mit harten Fakten belegen können. Diese kostenlose Vorlage und Anleitung hilft Ihnen, einen überzeugenden Tätigkeitsbericht 2025 mit aussagekräftigen Kennzahlen zu erstellen. Kostenlose Vorlage für den Datenschutz-Jahresbericht sichern

Die Behörde selbst hat nachgelegt: 129 formelle Maßnahmen wurden 2025 ergriffen, darunter 80 Vor-Ort-Kontrollen und 40 schriftliche Prüfungen. Besonders ins Gewicht fällt die 45-Millionen-Euro-Strafe gegen Vodafone. Der Telekommunikationsriese hatte bei der Kontrolle seiner Partnerunternehmen und der allgemeinen IT-Sicherheit gravierende Mängel. Ein weiterer, namentlich nicht genannter Anbieter musste 177.500 Euro zahlen.

Doch nicht nur die Privatwirtschaft steht unter Beobachtung. Auch das Bundeskriminalamt (BKA), das Bundesamt für Verfassungsschutz (BfV) und der Militärische Abschirmdienst (MAD) wurden unter die Lupe genommen.

EU-„Chatkontrolle“: Behörde warnt vor Massenüberwachung

Ein zentraler Streitpunkt des Berichts: die geplante EU-Verordnung zur automatisierten Kommunikationsüberwachung, bekannt als CSA-Verordnung oder „Chatkontrolle". Louisa Specht-Riemenschneider, die scheidende BfDI-Chefin, bezeichnete die Pläne als beispiellos in einem Rechtsstaat. „Eine anlasslose Massenüberwachung darf es nicht geben", so die Botschaft.

Die Datenschutzkonferenz (DSK) schließt sich der Kritik an und fordert die EU-Gesetzgeber auf, Pläne zur Aufhebung der Ende-zu-Ende-Verschlüsselung oder zur Einführung von Client-Side-Scanning zu stoppen. Specht-Riemenschneider selbst wird ihr Amt aus gesundheitlichen Gründen aufgeben – ein weiterer Paukenschlag.

Berliner Verkehrsbetriebe: Datenpanne mit Folgen

Während der Bund auf die EU blickt, zeigen die Länder Härte. Die Berliner Datenschutzbeauftragte hat die BVG abgemahnt. Grund: Ein Cyberangriff auf einen Dienstleister im Januar 2025 legte rund 180.000 Kundendatensätze offen. Das Problem: Die BVG meldete den Vorfall erst am 30. April 2025 – weit nach Ablauf der gesetzlichen 72-Stunden-Frist. Zudem hatte der Verkehrsbetrieb versäumt, die Löschung der Daten nach Vertragsende durchzusetzen.

LinkedIn im Visier: Beschwerde in Österreich

Auch die großen Tech-Plattformen kommen nicht zur Ruhe. Die Datenschutzorganisation noyb hat am 5. Mai 2026 eine Beschwerde gegen LinkedIn in Österreich eingereicht. Der Vorwurf: Das berufliche Netzwerk verlange Geld von Nutzern, die sehen wollen, wer ihr Profil besucht hat – ein Verstoß gegen Artikel 15 der DSGVO. Branchenkenner vermuten, dass auch die deutsche Plattform Xing bald ins Visier geraten könnte.

Europaweite Bußgeldwelle

Der Trend zur härteren Gangart ist europaweit zu spüren. Im April 2026 verhängten die Aufsichtsbehörden:

• Italien: 12,5 Millionen Euro gegen Poste Italiane wegen Tracking in Banking-Apps
• Spanien: 400.000 Euro gegen Unicaja Banco wegen Verstößen bei der Videoüberwachung

Diese Fälle sind Teil einer koordinierten Aktion des Europäischen Datenschutzausschusses (EDPB), der sich auf die Transparenzpflichten der Artikel 12, 13 und 14 der DSGVO konzentriert.

Großbritannien: Neue Regeln für Cookies und Beschwerden

Auch jenseits des Ärmelkanals tut sich etwas. Das Data (Use and Access) Act 2025 (DUAA) ist seit Juni 2025 in Kraft. Die britische Aufsichtsbehörde ICO hat am 29. April 2026 finale Leitlinien zu Cookies, Pixeln und Speichertechnologien veröffentlicht. Neu: Ausnahmen von der Einwilligungspflicht für statistische Zwecke, sofern Unternehmen klare Informationen und eine einfache Opt-Out-Möglichkeit bieten.

Eine kritische Deadline naht: Bis zum 19. Juni 2026 müssen Unternehmen ein formelles internes Beschwerdeverfahren für Datenschutzverstöße einrichten. Betroffene müssen sich zunächst an den Datenverantwortlichen wenden, der die Beschwerde innerhalb von 30 Tagen bestätigen muss.

Compliance-Falle: IT-Teams am Limit

Die zunehmende Regulierungsdichte fordert ihren Tribut. Eine Studie mit 5.000 Befragten aus 17 Ländern zeigt: IT-Teams verbringen inzwischen 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. 82 Prozent der Unternehmen zweifeln an ihrer Fähigkeit, alle Anforderungen gleichzeitig zu erfüllen. Im Schnitt müssen Firmen fünf verschiedene Compliance-Rahmenwerke parallel bedienen – von ISO 27001 bis zur DSGVO.

Neue Werkzeuge für die Risikobewertung

Der EDPB will Abhilfe schaffen: Eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen (DPIAs) ist in der Konsultation. Bis zum 9. Juni 2026 können Unternehmen und Verbände Stellung nehmen. Das Tool soll vordefinierte Felder und Leitfäden bieten, um Risiken bei neuen Technologien systematisch zu erfassen.

Eine fehlende oder fehlerhafte Datenschutz-Folgenabschätzung kann Unternehmen bei Prüfungen teuer zu stehen kommen. Mit dieser rechtssicheren Muster-Vorlage und den passenden Checklisten erstellen Sie eine DSFA in wenigen Schritten und sichern Ihren Betrieb wirksam gegen Bußgelder ab. Gratis E-Book mit Muster-DSFA und Checklisten herunterladen

Ähnliche Ansätze verfolgt Malaysia: Die dortige Datenschutzbehörde hat Leitlinien für DPIAs und „Privacy by Design" veröffentlicht. Bei der Verarbeitung von Daten von mehr als 20.000 Personen (10.000 bei sensiblen Daten) ist eine quantitative Bewertung Pflicht. Der Fokus liegt auf dem DEICA-Ansatz (Describe, Evaluate, Identify, Consider, Assess) – besonders beim Umgang mit Minderjährigen.

USA: Flickenteppich der Gesetze

In den Vereinigten Staaten wird die Lage nicht einfacher. Acht Bundesstaaten haben seit Mai 2025 neue Datenschutzgesetze erlassen – mit unterschiedlichen Schwellenwerten und Durchsetzungsmechanismen. Marylands MODPA, in Kraft seit Oktober 2025, verbietet Werbung an Minderjährige und verlangt strenge Verhältnismäßigkeit bei der Datenerhebung. Während die FCC die Telemarketing-Regeln lockerte, verschärfen einzelne Bundesstaaten die Zügel: New York verhängt Bußgelder von bis zu 20.000 US-Dollar pro Verstoß gegen „Do Not Call"-Register.

Ausblick: Reformen und Fristen

In Deutschland hat das Bundeskabinett am 6. Mai 2026 eine Reform des Allgemeinen Gleichbehandlungsgesetzes (AGG) auf den Weg gebracht. Die Frist für Diskriminierungsklagen wird von zwei auf vier Monate verlängert, und es gibt neuen Schutz gegen Sexismus auf dem Wohnungsmarkt. Doch Ferda Ataman, die Antidiskriminierungsbeauftragte des Bundes, kritisiert die Reform als unzureichend. Sie fordert eine zwölfmonatige Frist und die Einbeziehung staatlicher Stellen.

Die kommenden Wochen werden zeigen, ob die Unternehmen die neuen Anforderungen stemmen können. Mit der EDPB-Konsultation, der UK-Frist im Juni und den ständig neuen Bußgeldern steht die Datenschutzlandschaft vor einem ihrer turbulentesten Jahre.

de | wirtschaft | 69286726 |