Der aktuelle Tätigkeitsbericht 2025 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zeichnet ein klares Bild: Datenschutz befindet sich in einer neuen Phase. Die klassischen Compliance-Fragen bleiben bestehen, werden jedoch überlagert von einer massiven Zunahme an Verfahren, neuen technologischen Einflüssen und einer veränderten Nutzung datenschutzrechtlicher Instrumente. Für Unternehmen bedeutet das vor allem eines: Datenschutz ist längst nicht mehr nur ein rechtliches Pflichtprogramm, sondern ein strategisches Thema mit unmittelbaren Auswirkungen auf Geschäftsprozesse und Risikomanagement.
Ein Jahr der Rekorde und der strukturellen Überlastung
Die Zahlen sprechen eine deutliche Sprache: Mit rund 9.746 Beschwerden verzeichnete die Aufsichtsbehörde einen Anstieg um 61 % gegenüber dem Vorjahr. Parallel dazu stiegen auch die gemeldeten Datenschutzverletzungen um 23 %. Diese Entwicklung ist kein kurzfristiger Ausreißer, sondern Ausdruck eines grundlegenden Wandels.
Auffällig ist dabei nicht nur die Menge der Eingaben, sondern auch deren Zusammensetzung. Ein Großteil entfällt auf klassische Betroffenenrechte, insbesondere Auskunftsansprüche nach Art. 15 DSGVO. Gleichzeitig sinkt die Zahl der Beratungsanfragen deutlich – ein Indiz dafür, dass Datenschutz weniger präventiv gedacht und stattdessen häufiger konfliktgetrieben adressiert wird.
Für Unternehmen bedeutet das: Die Wahrscheinlichkeit, in ein datenschutzrechtliches Verfahren verwickelt zu werden, steigt signifikant – unabhängig davon, ob tatsächlich ein schwerwiegender Verstoß vorliegt.
Künstliche Intelligenz verändert die Spielregeln
Ein zentraler Treiber dieser Entwicklung ist der Einsatz von KI. Large Language Models erleichtern es Betroffenen erheblich, Beschwerden zu formulieren und rechtliche Argumentationen aufzubauen. Die Eintrittshürden für datenschutzrechtliche Verfahren sind dadurch drastisch gesunken. Ohne Risiken bleibt der Einsatz dabei jedoch nicht.
Das führt zu einer neuen Qualität von Verfahren: Eingaben sind schneller erstellt, aber nicht zwingend fundierter. Häufig enthalten sie ungenaue oder sogar fehlerhafte Sachverhalte, was die Bearbeitung auf Unternehmensseite komplexer und ressourcenintensiver macht. Gleichzeitig zeigt sich, dass KI nicht nur als Werkzeug zur Beschwerdeerstellung dient, sondern auch gezielt genutzt wird, um rechtliche Optionen strategisch auszuloten.
Diese Entwicklung verlangt eine Anpassung interner Prozesse. Unternehmen müssen in der Lage sein, auch mit unklaren oder KI-generierten Eingaben strukturiert umzugehen und diese effizient rechtlich zu bewerten, ohne dabei unnötige Ressourcen zu binden.
Datenschutz als strategisches Instrument
Besonders bemerkenswert ist ein weiterer Trend, den der Bericht klar benennt: Datenschutz wird zunehmend als Instrument in anderen rechtlichen Auseinandersetzungen eingesetzt. In vielen Fällen steht nicht mehr der Schutz personenbezogener Daten im Vordergrund, sondern ein anderes Ziel – etwa im Arbeitsrecht, bei Versicherungsstreitigkeiten oder in zivilrechtlichen Konflikten.
Das Datenschutzrecht dient hier als zusätzlicher Hebel, um Druck aufzubauen oder Informationen zu erhalten. Diese „Instrumentalisierung“ führt dazu, dass Verfahren häufiger eskalieren, länger dauern und zusätzliche rechtliche Komplexität entwickeln.
Für Unternehmen entsteht daraus eine neue Herausforderung: Datenschutzanfragen müssen nicht nur rechtlich geprüft, sondern auch im Kontext möglicher strategischer Motive bewertet werden. Eine isolierte Betrachtung reicht nicht mehr aus.
Wo die größten Risiken liegen
Die Verteilung der Beschwerden zeigt klare Schwerpunkte. Besonders betroffen sind:
- Internet- und digitale Dienste
- Videoüberwachung, insbesondere im privaten Umfeld
- Direktwerbung und Einwilligungsprozesse
- Beschäftigtendatenschutz
Diese Bereiche eint, dass sie stark alltagsnah sind und eine hohe Sichtbarkeit für Betroffene haben. Gleichzeitig sind sie häufig technisch oder organisatorisch komplex, was Fehler begünstigt.
Typische Problemfelder reichen von unzureichend dokumentierten Einwilligungen über fehlerhafte Löschprozesse bis hin zu unzulässigen Datenverarbeitungen im Arbeitsverhältnis. Auch scheinbar kleine Details – etwa nicht bereinigte Autovervollständigungsfunktionen in E-Mail-Programmen – können zu Verstößen führen.
Mehr Verfahren, längere Dauer, steigender Druck
Trotz erheblicher Anstrengungen der Aufsichtsbehörde zeigt sich eine zunehmende strukturelle Belastung. Zwar konnten rund 62 % der Beschwerden innerhalb von drei Monaten abgeschlossen werden, gleichzeitig wächst der Bestand offener Verfahren kontinuierlich.
Hinzu kommt die europäische Dimension: Grenzüberschreitende Verfahren nehmen zu und bringen zusätzliche Komplexität mit sich. Neue EU-Verfahrensregeln sollen zwar für mehr Einheitlichkeit sorgen, werden aber voraussichtlich auch den Ressourcenbedarf weiter erhöhen.
Für Unternehmen bedeutet das eine doppelte Herausforderung: Verfahren dauern länger und binden mehr interne Kapazitäten, während gleichzeitig die Anforderungen an Dokumentation und Mitwirkung steigen.
Was Unternehmen jetzt tun sollten
Die Entwicklungen des Jahres 2025 zeigen deutlich, dass ein rein reaktiver Umgang mit Datenschutz nicht mehr ausreicht. Vielmehr braucht es einen integrierten Ansatz, der Datenschutz als Teil der Gesamtstrategie begreift.
Im Mittelpunkt steht dabei nicht die formale Einhaltung einzelner Vorschriften, sondern die Fähigkeit, mit dynamischen und teilweise strategisch motivierten Verfahren souverän umzugehen. Dazu gehört insbesondere:
- die Etablierung klarer und belastbarer Prozesse für Betroffenenrechte
- eine rechtlich fundierte und zugleich pragmatische Bewertung eingehender Beschwerden
- die Priorisierung besonders risikobehafteter Bereiche wie Marketing, HR und digitale Dienste
- eine enge Verzahnung von Datenschutz, Legal und operativen Einheiten
Unternehmen, die Datenschutz als isoliertes Compliance-Thema behandeln, laufen Gefahr, von der aktuellen Entwicklung überrollt zu werden. Wer hingegen frühzeitig Strukturen schafft und Datenschutz strategisch verankert, kann Risiken nicht nur minimieren, sondern auch Wettbewerbsvorteile sichern.
Fazit: Datenschutz ist strategischer Erfolgsfaktor
Der Tätigkeitsbericht 2025 bestätigt einen Trend, der sich bereits seit einigen Jahren klar abzeichnet und sich nun weiter verfestigt: Datenschutz ist in der operativen Realität angekommen. Die steigenden Fallzahlen, der routinierte Einsatz von KI im rechtlichen Kontext und die zunehmende Verzahnung mit anderen Rechtsgebieten zeigen, dass sich die Dynamik nicht mehr durch punktuelle Anpassungen bewältigen lässt, sondern strukturelle Antworten erfordert.
Datenschutz entwickelt sich damit weg von einem isolierten Compliance-Thema hin zu einer dauerhaft integrierten Steuerungsfunktion, die eng mit Risikomanagement, Litigation-Strategie und digitalen Geschäftsmodellen verzahnt ist.
Ihr nächster Schritt
Sie möchten wissen, wie gut Ihr Unternehmen auf diese Entwicklungen vorbereitet ist?
Wir unterstützen Sie dabei, Ihre Datenschutzstrategie zu überprüfen, Prozesse zu optimieren und Risiken gezielt zu minimieren.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
