Berliner Gericht erlaubt Videoüberwachung an Schwimmbädern

Das Berliner Verwaltungsgericht hat entschieden: Identitätskontrollen und Videoüberwachung an städtischen Sommerbädern sind rechtens. Die Richter kippten damit eine Anordnung des Berliner Datenschutzbeauftragten gegen die Berliner Bäder-Betriebe. Der Fall dreht sich um die grundsätzliche Frage, ob verschärfte Sicherheitsmaßnahmen an öffentlichen Freizeiteinrichtungen mit der EU-Datenschutzgrundverordnung (DSGVO) vereinbar sind – oder ob die öffentliche Ordnung solche Eingriffe rechtfertigt.

Konkret ging es um vier Sommerbäder, in denen der Betreiber verpflichtende Ausweiskontrollen an den Eingängen und Videoüberwachung eingeführt hatte. Die Datenschutzbehörde hielt diese Maßnahmen für überzogen. Das Gericht sah das anders: Angesichts der Vorgeschichte mit wiederholten Störungen seien die Sicherheitsvorkehrungen verhältnismäßig. Das Urteil ist noch nicht rechtskräftig, setzt aber ein wichtiges Signal für die Abwägung zwischen Privatsphäre und Sicherheit in stark frequentierten öffentlichen Räumen.

Ob Videoüberwachung oder Ausweiskontrollen – die rechtssichere Dokumentation von Sicherheitsmaßnahmen ist für Betreiber heute unerlässlich. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis zeitsparend und DSGVO-konform zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Weniger Gewalt durch schärfere Kontrollen

Die Richter stützten ihre Entscheidung auf handfeste Zahlen. Die Gewaltvorfälle in den betroffenen Bädern sanken von 88 Fällen im Jahr 2023 auf 66 im Jahr 2024. Für das Gericht war das der Beleg: Die Maßnahmen wirken abschreckend und helfen, potenzielle Störer zu identifizieren.

Die aktuellen Sicherheitsregeln sehen vor, dass Videoaufnahmen 72 Stunden gespeichert und dann gelöscht werden. Diese Frist hielten die Richter für angemessen, um Straftaten zu ermitteln. Das Urteil fällt in eine Zeit, in der öffentliche Einrichtungen in ganz Deutschland unter wachsendem Druck stehen, Sicherheit zu gewährleisten – und dabei die komplexen Datenschutzvorgaben einzuhalten.

Datenschutz-Beschwerden steigen rasant

Parallel zum Urteil veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seinen 34. Tätigkeitsbericht. Behördenchefin Louisa Specht-Riemenschneider übergab die Bilanz für 2025 am Mittwoch an Bundestagspräsidentin Julia Klöckner. Die Zahlen sind alarmierend: 11.824 Eingaben und Beschwerden gingen ein – ein Anstieg von 36 Prozent gegenüber 2024 und sogar 52 Prozent mehr als 2023.

Die Aufsichtsbehörden waren nicht untätig: 80 Vor-Ort-Prüfungen und 40 schriftliche Audits führten zu 129 aufsichtsrechtlichen Maßnahmen. Ein Schwerpunkt lag auf dem Schutz von Gesundheitsdaten, insbesondere bei der elektronischen Patientenakte (ePA). Specht-Riemenschneider kritisierte, dass die aktuellen Zugriffsverwaltungen noch nicht den Anforderungen des kommenden europäischen Gesundheitsdatenraums ab März 2029 entsprächen.

45 Millionen Euro Strafe für Vodafone

Ein besonders dickes Ende gab es für Vodafone: 45 Millionen Euro Bußgeld wegen unzureichender Kontrolle von Partnerfirmen und Sicherheitslücken. Eine der höchsten Strafen der letzten Jahre. Specht-Riemenschneider nannte Datenschutz bei der Vorstellung des Berichts keinen Innovationshemmer, sondern einen „Vertrauensanker", der die Rechtssicherheit für digitale Entwicklungen schaffe. Aus gesundheitlichen Gründen kündigte sie ihren Rücktritt an – bleibt aber bis zur Ernennung eines Nachfolgers im Amt.

BVG wegen Datenpanne gerügt

Die Berliner Verkehrsbetriebe (BVG) bekamen ebenfalls Post vom Datenschutzbeauftragten. Grund: Eine Datenpanne Mitte April 2025, bei der 180.000 Kundendaten durch einen Angriff auf einen Dienstleister kompromittiert wurden. Die BVG hatte versäumt, die Löschung der Daten zu überwachen und die vorgeschriebene 72-Stunden-Meldepflicht einzuhalten. Die offizielle Benachrichtigung erfolgte erst fast zwei Wochen nach Entdeckung des Vorfalls.

Europaweite Bußgeldwelle

Auch andere europäische Aufsichtsbehörden zeigen im Frühjahr 2026 wenig Gnade:

• Poste Italiane/Postepay (Italien): 12,5 Millionen Euro wegen unerlaubtem Tracking in Banking-Apps
• Unicaja Banco (Spanien): 400.000 Euro für Probleme bei Videoüberwachung und geteilte Passwörter
• Ares Capital (Spanien): 200.000 Euro, weil Mitarbeiter bestimmte Apps auf privaten Handys nutzen mussten
• Crowd Entertainment (Rumänien): 35.000 Euro für SMS-Werbung ohne Einwilligung

Unternehmen ersticken im Compliance-Dschungel

Eine Studie des Sicherheitsanbieters Sophos aus dem Frühjahr 2026 zeigt das ganze Ausmaß: Befragt wurden 5.000 IT-Entscheider aus 17 Ländern. Das mittlere Unternehmen muss demnach fünf verschiedene Compliance-Standards gleichzeitig einhalten. 82 Prozent der Befragten zweifeln, ob ihre Organisation die Vorgaben überhaupt stemmen kann. IT-Teams verbringen im Schnitt 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. Besonders kleine und mittlere Unternehmen (KMU) leiden unter der Last.

Angesichts drohender Bußgelder und strenger Kontrollen müssen Unternehmen ihre IT-Strategie heute proaktiv absichern. Dieser kostenlose Leitfaden verschafft Ihnen den nötigen Überblick über Pflichten und Risikoklassen, um rechtlich auf der sicheren Seite zu stehen. Umsetzungsleitfaden zum EU AI Act jetzt kostenlos herunterladen

Neue Hilfen für Unternehmen

Der Europäische Datenschutzausschuss (EDSA) arbeitet an einer Standardvorlage für Datenschutz-Folgenabschätzungen (DPIA). Das Dokument ist bis zum 9. Juni 2026 in der öffentlichen Konsultation. Es soll vor allem KMU helfen, risikoreiche Datenverarbeitungen zu bewerten. Die Nutzung bleibt freiwillig.

Ebenfalls neu: Der EDSA bestätigte am 15. April 2026 die Version 82 der Europrivacy-Zertifizierung als anerkanntes Europäisches Datenschutzsiegel. Eine wichtige Neuerung: Künftig können sich auch Unternehmen außerhalb des Europäischen Wirtschaftsraums (EWR) zertifizieren lassen, wenn sie unter Artikel 3(2) der DSGVO fallen – etwa bei internationalen klinischen Studien. Voraussetzung: Eine strenge Prüfung, ob die Gesetze des Drittlandes mit der DSGVO vereinbar sind.

KI-Gesetz und Cyber Resilience Act kommen

Der regulatorische Rahmen weitet sich rasant aus. Am 5. Mai 2026 veröffentlichte die US-Cybersicherheitsbehörde CISA ihr „CI Fortify"-Framework für KI-Risiken. In Europa tritt am 2. August 2026 der AI Act in Kraft – mit Strafen von bis zu sieben Prozent des globalen Jahresumsatzes. Am 11. September 2026 folgt der Cyber Resilience Act.

Streit um Chatkontrolle spitzt sich zu

Datenschützer bleiben kritisch. Specht-Riemenschneider und die Datenschutzkonferenz (DSK) lehnen die geplanten EU-Chatkontrollen scharf ab. Die Maßnahmen, die das Scannen verschlüsselter Kommunikation vorsehen, seien unverhältnismäßige Massenüberwachung. Vor den nächsten Trilog-Verhandlungen am 11. Mai 2026 argumentiert die DSK mit Zahlen eines großen Technologieanbieters: Von 11,7 Milliarden gescannten Inhalten im Jahr 2023 führte nur ein verschwindend geringer Teil zu verwertbaren Hinweisen für die Strafverfolgung.

Ausblick: Balanceakt zwischen Sicherheit und Privatsphäre

Das Urteil zu den Berliner Schwimmbädern zeigt: Gerichte sind bereit, öffentliche Sicherheit in konfliktträchtigen Umgebungen höher zu gewichten als Datenschutzbedenken. Gleichzeitig wird das regulatorische Umfeld immer strenger. Öffentliche und private Organisationen stehen vor einer doppelten Herausforderung: Sie müssen Sicherheitsmaßnahmen umsetzen, die Bürger und Investoren fordern – und gleichzeitig mit einem immer komplexeren Compliance-Regime Schritt halten.

Mit dem AI Act und dem Cyber Resilience Act rückt der Fokus auf proaktives Risikomanagement und standardisierte Zertifizierung. Die Trilog-Verhandlungen am 11. Mai werden zum Lackmustest für die Zukunft der Verschlüsselung in Europa. Und der Führungswechsel beim BfDI markiert das Ende einer Ära, die von scharfen Bußgeldern und einem enormen Anstieg des Bürgerinteresses an Datenschutz geprägt war.

de | wirtschaft | 69287095 |