Landesdatenschützer melden Rekorde bei Beschwerden und Datenpannen
Mehr Datenpannen, mehr KI-Fälle. Die Datenschutzbehörden sind am Limit. Grund dafür ist KI, aber auch billige Technik und Videoüberwachung.
(Bild: Trismegist san / Shutterstock.com)
Mit zunehmender Digitalisierung steigt auch die Zahl der Datenschutzbeschwerden – und damit die Belastung der Datenschutzbehörden. Das zeigen die bisher veröffentlichten Tätigkeitsberichte für 2025. In Hessen stieg die Zahl der Beschwerden laut dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), Alexander Roßnagel, um 58 Prozent auf 6.070 Fälle. Insgesamt bearbeitete die Behörde mehr als 11.000 Vorgänge, auch die gemeldeten Datenschutzverletzungen erreichten mit 2.730 Fällen einen Höchststand. Besonders stark betroffen waren Auskunfteien, Videoüberwachung und Beschäftigtendaten.
Als wichtige Ursache gilt der wachsende Einsatz von Künstlicher Intelligenz. KI wirkt dabei in mehrfacher Hinsicht als Verstärker: Sie senkt die Hürden für Beschwerden, da sich viele Eingaben inzwischen automatisiert oder KI-gestützt erstellen lassen. Zum anderen führt der breitere Einsatz von KI-Systemen zu neuen Problemen. Intransparente Entscheidungen, fehlerhafte oder „halluzinierte“ Ergebnisse und unklare Datenverarbeitung sorgen zunehmend für Unsicherheit und damit für mehr Beschwerden. Viele Betroffene ließen sich ihre Eingaben inzwischen von Chatbots formulieren, die häufig auf die Datenschutzaufsicht als kostenfreie Anlaufstelle verweisen.
Trotz steigender Anforderungen bleibt die personelle Ausstattung in den Behörden weitgehend konstant. Roßnagel kündigte daher an, dass Priorisierungen und längere Bearbeitungszeiten künftig kaum zu vermeiden seien. Zugleich betont er Beratung und präventiven Maßnahmen – etwa beim datenschutzgerechten Einsatz von KI oder im Gesundheitsbereich.
Wachsende Sensibilität für Datenschutz
Roßnagel beschreibt den Anstieg, wie andere Datenschutzbeauftragte auch, als Ausdruck einer wachsenden Sensibilität für Datenschutz in einer zunehmend digitalisierten Gesellschaft. Bürger legten mehr Wert auf ihre Persönlichkeitsrechte und suchten häufiger die Unterstützung der Aufsicht. Gleichzeitig steige aber auch die Belastung der Behörde deutlich, während die Zahl des Personals seit Jahren unverändert sei.
Überdurchschnittlich stark nahm das Beschwerdeaufkommen in einzelnen Bereichen zu. Bei Auskunfteien, die unter anderem Angaben zur Kreditwürdigkeit erheben, schnellte die Zahl der Beschwerden von 503 auf 1613 nach oben. Im Bereich Videoüberwachung stiegen die Fälle um 83 Prozent von 295 auf 539, beim Beschäftigtendatenschutz ebenfalls um 83 Prozent von 287 auf 525. Auch fehlende Kooperation führte zu Sanktionen. „Verantwortliche sind gesetzlich verpflichtet, mit der Datenschutzaufsicht zu kooperieren“, so Roßnagel.
Ein Schwerpunkt bleibt die Beratung, etwa beim Aufbau einer Treuhandstelle für den Schutz sensibler Gesundheitsdaten. Außerdem wollten aus einer Gemeinschaftspraxis ausscheidende Ärzte wissen, was sie tun müssen, um Patientenakten zu schützen. Ebenso beriet er zum Anmeldebereich von Arztpraxen und Notaufnahmen zur Wahrung des Patientengeheimnisses.
Microsoft 365: Roßnagel sieht mehr Rechtssicherheit
Erneut Thema ist der Einsatz von Microsoft 365. Nach Jahren der Unsicherheit kommt Roßnagel nun zu dem Ergebnis, dass Microsoft 365 in Hessen datenschutzkonform genutzt werden kann – allerdings nur unter bestimmten Voraussetzungen und wenn Verantwortliche eigene Pflichten konsequent erfüllen.
Grundlage dafür seien Änderungen am Data Protection Addendum von Microsoft, zusätzliche Transparenzdokumente, technische Anpassungen wie die Verarbeitung fast aller personenbezogenen Daten im Europäischen Wirtschaftsraum sowie der EU-Angemessenheitsbeschluss zum EU-US Data Privacy Framework. Roßnagel betont zugleich, dass dies keine pauschale Entwarnung bedeutet: Verantwortliche müssten Rechtsgrundlagen, Konfiguration, Löschkonzepte und Drittlandtransfers weiterhin selbst prüfen und dokumentieren.
Abhängigkeit von Technik aus den USA und China bleibt Problem
Grundsätzlich warnt der Bericht vor der starken Abhängigkeit von IT-Systemen und digitalen Diensten großer Konzerne aus den USA und China. Diese Abhängigkeit verschärfe sich mit dem Einsatz Künstlicher Intelligenz weiter. Zum einen erfüllen viele dieser Systeme die Anforderungen der DSGVO nicht vollständig, zum anderen wachse damit die politische und wirtschaftliche Erpressbarkeit Europas. Roßnagel plädiert deshalb für mehr digitale Souveränität und datenschutzgerechte Alternativen.
Im Bereich KI berichtet der HBDI auch über das gemeinsame Prüfverfahren mehrerer deutscher Datenschutzaufsichtsbehörden gegen DeepSeek. Nach Auffassung der Behörden bestehen erhebliche Zweifel, ob die Übermittlung personenbezogener Daten nach China mit der DSGVO vereinbar ist. DeepSeek sei deshalb aufgefordert worden, seine App aus deutschen Stores zu entfernen oder die Datenübermittlungen rechtskonform zu gestalten. Der Bericht verweist zudem auf internationale Reaktionen, darunter Maßnahmen in Italien, Tschechien, den Niederlanden und Südkorea.
Bahn, Polizei, Anwälte
Wie üblich schildern die Tätigkeitsberichte auch eine Reihe konkreter Fälle. Dazu gehört die bereits stark beachtete Auseinandersetzung um das Sparpreisticket der Deutschen Bahn. Dort hat Roßnagel seine datenschutzrechtliche Bewertung abgegeben. Demnach war es datenschutzwidrig, den Kauf günstiger Tickets von der Angabe einer E-Mail-Adresse oder Mobilfunknummer abhängig zu machen. Das Oberlandesgericht Frankfurt am Main bestätigte diese Sicht im Juli 2025.
Im Polizeibereich verhängte der HBDI mehrere Geldbußen gegen Polizeibedienstete wegen unzulässiger Datenabfragen zu privaten Zwecken. In einem besonders gravierenden Fall fertigten Beamte mit ihren Smartphones Aufnahmen aus einer Gewahrsamszelle und teilten diese anschließend in einer WhatsApp-Gruppe. Die Geldbußen lagen zwischen 800 und 1500 Euro. Erstmals sanktionierte die Behörde zudem einen Rechtsanwalt, der auf Instagram ungeschwärzte Strafakten von Mandanten zeigte, um für seine Kanzlei zu werben. Sichtbar waren Namen, Adressen, Geburtsdaten, Staatsangehörigkeiten und Tatvorwürfe. Der Anwalt erhielt eine Geldbuße von 4000 Euro.
Werbung mit Corona-Testdaten und ignorierte Werbewidersprüche
Mehrere Sanktionsverfahren betrafen auch unzulässige Werbung. So nutzte ein Unternehmen Daten aus früheren Corona-Testzentren, um ohne Einwilligung Werbe-E-Mails für andere Produkte zu verschicken. Der HBDI untersagte die weitere Nutzung der E-Mail-Adressen und leitete ein Bußgeldverfahren ein. Darüber hinaus wurde auch ein älteres Verfahren gegen ein IT-Unternehmen abgeschlossen, das eine Online-Lösung für den Abruf von Testergebnissen für Corona-Testzentren entwickelt hatte, die aufgrund einer Sicherheitslücke Zugriff auf die Testergebnisse ermöglicht hatte. In einem weiteren Fall führte ein technischer Fehler dazu, dass ein Reiseunternehmen über 5000 Personen Werbung zusandte, obwohl diese der Nutzung ihrer Daten widersprochen hatten.
Cyberangriffe auf Pflegeeinrichtungen und mehr
Meldungen infolge von Cyberangriffen, Phishing, Schadsoftware und Sicherheitslücken stiegen von 482 auf 625 Fälle. Besonders im Fokus standen Angriffe auf Auftragsverarbeiter, weil diese zugleich Daten vieler Unternehmen und Behörden verarbeiten und Vorfälle daher schnell ein großes Ausmaß annehmen können. Ein Beispiel waren zahlreiche Ransomware-Angriffs auf Pflegeeinrichtungen. Ein anderes betraf einen Luftfahrtkonzern, bei dem über einen kompromittierten Auftragsverarbeiter Daten von rund 100.000 Passagieren abgeflossen waren. Die Aufsicht kritisierte hier insbesondere die schleppende Zusammenarbeit und die zunächst zögerliche Information der Betroffenen.
Werkzeug zum Auffinden personenbezogener Daten in Datenlecks
Der HBDI versucht auf die wachsende Arbeitsbelastung der Datenschutzbehörden mit Priorisierung, neuen Werkzeugen, Beratung und stärkerer Kooperation zu reagieren – etwa bei der Einführung der Bezahlkarte für Asylsuchende, bei Webseiten-Checks für Vereine oder mit einem eigenen Open-Source-Werkzeug zur Analyse von Datenveröffentlichungen im Darknet, das auf Open-Code veröffentlicht wurde.
Videos by heise
Ebenfalls mehr Eingaben in Baden-Württemberg
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Prof. Tobias Keber, legte seinen 41. Tätigkeitsbericht Ende März vor. Wie in den anderen Datenschutzbehörden ist auch hier die Zahl der Eingaben aufgrund von KI deutlich gestiegen. Im Jahr 2025 verzeichnete das Bundesland insgesamt 7.673 Beschwerden, was einem Anstieg von über 90 Prozent gegenüber dem Vorjahr entspricht. Auch die Zahl der gemeldeten Datenpannen stieg auf 4.059, ein Plus von knapp 20 Prozent. Für LfDI Prof. Tobias Keber ist das kein Alarmzeichen, sondern ein Beleg für wachsendes Bewusstsein: Die Menschen wollen, dass ihre Datenschutzrechte ernst genommen werden.
Die Bußgeldstelle erließ 2025 insgesamt 101 Bußgeldbescheide mit einer Gesamtsumme von 308.850 Euro. Zu bekannten Fällen zählen ein Taxiunternehmen mit illegalen Tonaufzeichnungen und ein Polizeibeamter, der Melderegisterdaten abgerufen hatte. Zudem wurde ein Automobilunternehmen zur Kasse gebeten, nachdem Führerschein- und Personalausweiskopien von Kunden von einem Entsorgungsfahrzeug auf die Straße gefallen waren. Bei der Vorstellung des Berichts betonte Keber jedoch auch: „Die größten Bauchschmerzen machen mir nicht die gemeldeten Datenpannen, sondern die, die nicht gemeldet werden.“
Technik tut mehr, als uns bewusst ist
Keber betonte bei der Vorstellung des Berichts, dass selbst datenschutzbewussten Menschen oft nicht klar ist, was technisch möglich ist. Am Beispiel von Mobilitäts-Apps erklärte er: Vor einer Reise nach Berlin schaltet man das GPS aus. „GPS hat man ausgeschaltet, wenn man einen Dienst allerdings jetzt IP-basiert benutzt – und das tut man in aller Regel – so ist nun mal die Kommunikation im Internet IP-basiert. [...] Das heißt, eine Geolokalisierung ist auch damit möglich. Das heißt, obwohl man GPS ausgestellt hat, ist eben IP-basiert diese Standortinformation geflossen. Und das ist einem oft selbst gar nicht mehr klar. Daran merkt man aber, dass die Technik eben vieles tut, was einem so gar nicht vielleicht in letzter Konsequenz klar ist“, so Keber.
Kein Thema hat die Behörde 2025 (PDF) so sehr beschäftigt wie Künstliche Intelligenz. Im Oktober veröffentlichte die Datenschutzkonferenz, deren Vorsitz Keber in diesem Jahr hat, eine Orientierungshilfe zu Retrieval Augmented Generation (RAG), an der auch der HBDl mitgewirkt hatte.
Keber setzt dabei auf einen konstruktiven Kurs. Im Gespräch mit heise online betonte er im Januar: „Innovation und Datenschutz passen sehr gut zusammen und sind kein Widerspruch." Sein Projekt MindBW soll KI-Reallabore in Baden-Württemberg begleiten und Rechtssicherheit für Unternehmen und Forschungseinrichtungen schaffen.
Videoüberwachung: Beschwerden um 80 Prozent gestiegen
Neben KI entwickelte sich die Videoüberwachung zum zweiten großen Streitfeld. Die Zahl der Beschwerden in diesem Bereich stieg von 442 auf 800 Fälle – ein Anstieg von rund 80 Prozent. Die Fälle reichen von Kameras in Gaststätten mit illegalen Tonaufzeichnungen über Videoüberwachung an Schulen bis hin zu Schwimmbädern, die Umkleidebereiche im Blick haben.
Kritisch bewertet die Behörde auch eine geplante Änderung des Landesdatenschutzgesetzes: „Der bislang sehr begrenzte Anwendungsbereich für die Videoüberwachung wurde in § 18 LDSG-neu ausgeweitet“, was Keber für verfassungs- und europarechtswidrig hält. Auch die Änderung des Polizeigesetzes, die der Polizei Baden-Württemberg eine verfahrensübergreifende Datenanalyse ermöglicht, sieht Keber kritisch.
Videoüberwachung in Praxis für Dermatologie
In einem Fall aus dem Gesundheitsbereich wurde gegen die Betreiber einer großen dermatologischen Praxis ein Bußgeldverfahren eingeleitet, nachdem bekannt wurde, dass sieben Kameras Patienten und Mitarbeiter überwachten, teils sogar in Behandlungsräumen. Die Videoaufnahmen, die teilweise auch entkleidete Patienten betrafen, wurden zentral auf einem Monitor sichtbar gemacht, ohne dass eine transparente Information oder wirksame Einwilligung vorlag. Die Praxis begründete die Überwachung mit Effizienzsteigerung, doch die Datenschutzbehörde bewertete dies als unverhältnismäßigen Eingriff in besonders sensible Gesundheitsdaten und Persönlichkeitsrechte. Noch sei das Verfahren auf eine Frage an Keber formal nicht abgeschlossen, aber er kündigte bei der Vorstellung des Berichts an: „Das wird Konsequenzen haben.“
Kritik an Identifikationsnummer für Schüler
Ebenfalls für Reibung mit der Datenschutzbehörde sorgte auch das neue Schulgesetz, das eine individuelle, lebenslange Identifikationsnummer für alle Schülerinnen und Schüler vorsieht – inklusive zentraler Speicherung von Noten, Leistungsdaten und künftig auch Gesundheitsdaten. Keber nennt das im Bericht klar „Vorratsdatenspeicherung sensibler Daten eines empfindlichen Personenkreises". Bei dem Vorhaben müsse man sich unter anderem sehr genau die Zweckbestimmung anschauen.
Zwischen Entbürokratisierung und Grundrechtsschutz
Auf europäischer Ebene beobachtet Keber die laufenden Reformvorhaben mit Skepsis. Der Digitale Omnibus der EU-Kommission soll unter anderem die DSGVO, die KI-Verordnung und den Data Act vereinfachen. Er warnt jedoch vor Schnellschüssen. Gegenüber heise online sagte er: „Wenn Innovation nur möglich sein soll, indem man Grundrechte abbaut, dann ist das keine nachhaltige Innovation." Als DSK-Vorsitzender will er die Reformdebatte konstruktiv mitgestalten und dabei sicherstellen, dass die europäischen Schutzstandards nicht leichtfertig geopfert werden.
(mack)
