Datenschutz in der Krise: Rekordbeschwerden und Millionenstrafen setzen Unternehmen unter Druck

Der massive Anstieg zwingt Unternehmen zum Umdenken.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) legte am Mittwoch ihren Jahresbericht für 2025 vor – und die Zahlen sind bemerkenswert. Insgesamt 11.824 Beschwerden und Anfragen gingen bei den deutschen Aufsichtsbehörden ein. Das ist ein Anstieg um 36 Prozent gegenüber 2024 und sogar 52 Prozent mehr als 2023. Die Bürger werden sensibler, die Hemmschwelle sinkt.

Der aktuelle Anstieg der Beschwerden zeigt, dass Unternehmen bei der DSGVO-Umsetzung keine Lücken lassen dürfen. Dieser kostenlose PDF-Ratgeber führt Sie in 5 konkreten Schritten zur rechtssicheren Umsetzung und bietet eine hilfreiche Checkliste für Ihren Betrieb. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Um dieser Flut Herr zu werden, führten die Behörden 80 Vor-Ort-Kontrollen und 40 schriftliche Prüfungen durch. Heraus kamen 129 formelle Aufsichtsmaßnahmen. Der spektakulärste Fall: eine 45-Millionen-Euro-Strafe gegen Vodafone. Der Telekommunikationsriese hatte bei der Überwachung seiner Partnerunternehmen und der technischen Sicherheit versagt.

Wenn der Dienstleister zum Risiko wird

Die Berliner Datenschutzbeauftragte erteilte den Berliner Verkehrsbetrieben (BVG) eine formelle Verwarnung. Grund: Ein Datenleck bei einem externen Dienstleister. Bereits Anfang 2025 waren dort die Daten von rund 180.000 Kunden abhandengekommen – Namen, Adressen, Vertragsnummern.

Das eigentliche Problem aber war ein anderes: Die BVG hatte die Löschung der Daten nach Abschluss eines Auftrags nicht ausreichend überwacht. Und dann verpasste das Unternehmen auch noch die vorgeschriebene 72-Stunden-Frist zur Meldung an die Aufsicht. Die Behörden schauten erst Tage später vorbei. Die Botschaft der Regulierer ist klar: Es geht nicht mehr nur um den Datenschutzverstoß selbst, sondern um den gesamten Lebenszyklus der Daten.

Fünf Standards gleichzeitig – und das Personal stöhnt

Die regulatorische Welle trifft auf eine Unternehmenswelt, die kaum hinterherkommt. Eine globale Studie von Sophos aus dem Frühjahr 2026 mit 5.000 Teilnehmern aus 17 Ländern zeigt: Der Median der Unternehmen hält gleich fünf verschiedene Standards ein. Die IT-Abteilungen verbringen inzwischen 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. 82 Prozent der Organisationen sorgen sich, den Überblick zu verlieren.

ISO 27001 (51,2 Prozent) und die DSGVO (40,4 Prozent) führen die Liste der am weitesten verbreiteten Rahmenwerke an. Doch 79 Prozent der Befragten geben zu, mit den ständigen Aktualisierungen nicht Schritt halten zu können. Kein Wunder also, dass der Ruf nach automatisierten Lösungen lauter wird.

Neue Regeln: Europrivacy-Zertifikat und DPIA-Vorlage

Der Europäische Datenschutzausschuss (EDPB) reagiert. Mitte April genehmigte er die Version 82 der Europrivacy-Zertifizierung – ein offizielles europäisches Datenschutzsiegel. Neu: Auch Nicht-EU-Bewerber können das Zertifikat erhalten, sofern sie unter die territoriale Reichweite der DSGVO fallen.

Zudem liegt ein standardisierter Vordruck für Datenschutz-Folgenabschätzungen (DPIA) zur öffentlichen Konsultation – bis zum 9. Juni 2026. Die Vorlage ist freiwillig, soll aber vor allem kleinen und mittleren Unternehmen helfen, risikoreiche Verarbeitungen strukturiert zu dokumentieren.

Um den neuen Anforderungen an Dokumentationspflichten wie die Datenschutz-Folgenabschätzung gerecht zu werden, benötigen Verantwortliche rechtssichere Vorlagen. Dieser kostenlose Leitfaden enthält eine bearbeitbare Muster-DSFA und hilft Ihnen, Bußgelder von bis zu 2 % des Jahresumsatzes zu vermeiden. Rechtssichere Datenschutzfolgenabschätzung in wenigen Schritten erstellen

In Großbritannien bereiten sich Unternehmen auf den Data (Use and Access) Act 2025 vor. Ab dem 19. Juni 2026 müssen britische Firmen formelle Verfahren für Datenschutzbeschwerden einrichten – inklusive einer 30-Tage-Frist für die Eingangsbestätigung.

Gericht stärkt Sicherheit vor Datenschutz – mit Einschränkungen

Nicht jeder Datenschutz-Eifer wird von Gerichten gestützt. Das Verwaltungsgericht Berlin kippte am Mittwoch eine Verwarnung des Berliner Datenschutzbeauftragten gegen die Bäderbetriebe (BBB). Die Richter erklärten die Ausweiskontrollen für Besucher über 14 Jahren und die Videoüberwachung an vier Sommerbädern für rechtmäßig.

Die Begründung ist bemerkenswert: Zwar greifen die Maßnahmen in das Recht auf informationelle Selbstbestimmung ein, doch die Sicherheitsgewinne überwiegen. Nach der Einführung der Kontrollen nach öffentlichen Ausschreitungen 2023 sanken die Gewaltvorfälle von 88 (2023) auf 66 (2024). Die 72-Stunden-Speicherfrist und der Verzicht auf Live-Überwachung machten die Maßnahmen verhältnismäßig.

Der Blick nach vorn: KI-Gesetz und Cyber Resilience Act

Das Jahr 2026 wird zum Stresstest für die europäische Digitalwirtschaft. Am 2. August tritt das EU-KI-Gesetz in vollem Umfang in Kraft – mit einem gestaffelten Bußgeldsystem, das bei schwersten Verstößen bis zu sieben Prozent des globalen Umsatzes erreichen kann. Nur sechs Wochen später, am 11. September, folgt der Cyber Resilience Act mit neuen Sicherheitsstandards für digitale Produkte.

In den USA zeichnet sich ebenfalls Bewegung ab: Der GUARD Financial Data Act und der SECURE Data Act wurden Ende April eingebracht. Sie sollen ein nationales Datenschutzrahmenwerk schaffen und den Flickenteppich der Bundesstaaten-Regelungen ablösen.

Für multinationale Konzerne wird die größte Herausforderung der kommenden Monate sein, diese unterschiedlichen Anforderungen unter einen Hut zu bringen – und das bei Altsystemen, die für moderne Lösch- und Portabilitätsstandards nie ausgelegt waren.

de | wirtschaft | 69287063 |