Der Tätigkeitsbericht der Sächsischen Datenschutz- und Transparenzbeauftragten für das Jahr 2025 verdeutlicht einmal mehr, dass sich das Datenschutzrecht weiterhin in einem Spannungsfeld zwischen technologischer Entwicklung, wirtschaftlichen Interessen und dem Schutz grundlegender Freiheitsrechte bewegt. Besonders prägend sind dabei die zunehmende Nutzung von Künstlicher Intelligenz, die Ausweitung von Überwachungstechnologien sowie ein deutlicher Anstieg von Beschwerden betroffener Personen.
Für Unternehmen ergeben sich daraus nicht nur steigende Risiken, sondern auch klare Hinweise darauf, wo datenschutzrechtliche Schwachstellen typischerweise liegen und wie diesen begegnet werden kann.
Videoüberwachung: Keine Ausweitung privater Befugnisse
Ein besonders prominentes Thema ist die Videoüberwachung durch private Unternehmen. Der Bericht stellt unmissverständlich klar, dass private Akteure nicht berechtigt sind, Videoüberwachung mit dem Ziel der allgemeinen Kriminalitätsbekämpfung zu betreiben. Die Verfolgung und Prävention von Straftaten ist eine staatliche Aufgabe. Unternehmen können sich daher nicht darauf berufen, im Interesse der Allgemeinheit zu handeln.
Rechtlich relevant ist hier vor allem Art. 6 Abs. 1 lit. f DSGVO. Zwar können berechtigte Interessen eine Datenverarbeitung rechtfertigen, jedoch nur dann, wenn es sich um eigene Interessen handelt. Der Europäische Gerichtshof hat klargestellt, dass die bloße Unterstützung von Strafverfolgungsbehörden kein solches Interesse darstellt. Für die Praxis bedeutet das, dass Unternehmen ihre Überwachung strikt auf den Schutz eigener Rechtsgüter beschränken müssen. Eine Ausweitung auf öffentliche Räume oder eine „vorsorgliche“ Datensammlung für Behörden ist unzulässig. Gerade in sicherheitsrelevanten Branchen zeigt sich hier häufig eine Überschätzung der eigenen Befugnisse.
Zweckbindung als zentraler Prüfstein
Ein weiterer zentraler Punkt ist die Zweckbindung personenbezogener Daten. Der Bericht greift einen Fall auf, in dem Unternehmen Kundendaten für Wahlwerbung genutzt haben. Diese Praxis wurde als klarer Verstoß gegen die DSGVO bewertet. Entscheidend ist, dass personenbezogene Daten nur für den Zweck verwendet werden dürfen, zu dem sie ursprünglich erhoben wurden. Eine spätere Nutzung für andere Zwecke ist nur unter engen Voraussetzungen zulässig.
In der Praxis liegt genau hier eine der größten Fehlerquellen. Unternehmen nutzen vorhandene Daten häufig „weiter“, ohne die rechtliche Grundlage ausreichend zu prüfen. Die fehlende inhaltliche Nähe zwischen ursprünglichem Zweck und neuer Verwendung führt dabei regelmäßig zur Unzulässigkeit. Verstöße gegen diesen Grundsatz können erhebliche Bußgelder nach sich ziehen, da es sich um einen der zentralen Grundpfeiler der DSGVO handelt.
Datenminimierung und interne Zugriffssteuerung
Eng damit verbunden ist das Prinzip der Datenminimierung. Der Bericht zeigt anhand mehrerer Beispiele, dass Unternehmen häufig mehr Daten erheben als erforderlich. Dies betrifft etwa umfangreiche Mieterselbstauskünfte, unnötige Angaben auf Formularen oder zu weitreichende interne Zugriffsrechte. In all diesen Fällen liegt das Problem darin, dass Daten „vorsorglich“ oder aus Bequemlichkeit erhoben werden, ohne dass ein konkreter Bedarf besteht.
Datenschutzrechtlich ist jedoch entscheidend, dass nur solche Daten verarbeitet werden dürfen, die für den jeweiligen Zweck tatsächlich notwendig sind. Dieser Grundsatz wird in der Praxis oft unterschätzt, obwohl er zu den zentralen Anforderungen der DSGVO gehört. Unternehmen sind daher gut beraten, ihre Datenerhebungen systematisch zu überprüfen und insbesondere interne Zugriffsrechte strikt an Zuständigkeiten zu koppeln.
Künstliche Intelligenz als neues Datenschutzrisiko
Ein zunehmend wichtiges Feld ist der Einsatz von Künstlicher Intelligenz. Der Bericht macht deutlich, dass frei verfügbare KI-Systeme aus datenschutzrechtlicher Sicht häufig problematisch sind. Insbesondere fehlt es an geeigneten Rechtsgrundlagen und an der Möglichkeit, den Zugriff auf sensible Daten kontrolliert zu gestalten.
Für Unternehmen bedeutet das, dass der Einsatz solcher Systeme sorgfältig geprüft werden muss. Die Nutzung externer KI-Tools kann schnell zu einem Kontrollverlust über personenbezogene Daten führen. Gleichzeitig zeigt sich, dass rechtssichere Lösungen häufig nur in Form unternehmensinterner oder speziell abgesicherter Systeme möglich sind. Die regulatorische Entwicklung auf europäischer Ebene, insbesondere im Zusammenhang mit der KI-Verordnung, wird diesen Bereich weiter prägen.
IT-Sicherheit und Datenpannen als Dauerbrenner
Neben diesen strukturellen Themen verdeutlicht der Bericht auch, dass klassische Datenschutzprobleme weiterhin eine große Rolle spielen. Dazu gehören insbesondere Mängel in der IT-Sicherheit. Fälle wie öffentlich zugängliche Kundendaten, unsachgemäß weiterverkaufte IT-Geräte mit sensiblen Informationen oder Datenpannen im Gesundheitsbereich zeigen, dass grundlegende technische und organisatorische Maßnahmen oft nicht ausreichend umgesetzt werden.
Solche Verstöße sind regelmäßig vermeidbar, erfordern jedoch ein funktionierendes Datenschutz- und IT-Sicherheitsmanagement. Unternehmen müssen sicherstellen, dass Daten nicht nur rechtmäßig erhoben, sondern auch wirksam geschützt werden. Dies betrifft insbesondere die sichere Löschung von Daten sowie klare Prozesse für den Umgang mit Datenschutzvorfällen.
Steigende Beschwerdezahlen erhöhen den Druck
Ein weiterer wichtiger Trend ist der deutliche Anstieg von Beschwerden bei den Aufsichtsbehörden. Die Zahl der Eingaben ist erheblich gestiegen, was zeigt, dass das Bewusstsein für Datenschutzrechte in der Bevölkerung zunimmt.
Für Unternehmen bedeutet dies ein erhöhtes Risiko, dass Datenschutzverstöße entdeckt und verfolgt werden. Gleichzeitig steigt der Druck auf die Aufsichtsbehörden, Verfahren effizient zu bearbeiten, was mittelbar zu einer stärkeren Fokussierung auf besonders relevante oder gravierende Verstöße führen kann.
Neue Regulierung: DSGVO und KI-Recht im Wandel
Schließlich weist der Bericht auf geplante gesetzliche Änderungen auf europäischer Ebene hin. Der sogenannte „Digital Omnibus“ soll unter anderem Anpassungen der DSGVO und der KI-Verordnung vornehmen. Ziel ist eine bessere Abstimmung der verschiedenen Digitalrechtsakte, gleichzeitig bestehen jedoch auch Risiken einer weiteren Verkomplizierung der Rechtslage.
Unternehmen sollten diese Entwicklungen frühzeitig im Blick behalten und ihre Datenschutzorganisation so aufstellen, dass sie flexibel auf regulatorische Änderungen reagieren können. Eine rein reaktive Haltung wird in einem zunehmend dynamischen Rechtsumfeld nicht mehr ausreichen.
Fazit: Datenschutz als strategische Unternehmensaufgabe
Zusammenfassend zeigt der Tätigkeitsbericht, dass sich die größten datenschutzrechtlichen Risiken für Unternehmen weniger aus neuen Technologien allein ergeben, sondern aus der Kombination von technischer Entwicklung und unzureichender rechtlicher Einordnung. Klassische Fehler wie fehlende Zweckbindung, übermäßige Datenerhebung oder unzureichende Sicherheitsmaßnahmen bleiben weiterhin die Hauptursachen für Verstöße. Gleichzeitig erhöhen neue Technologien wie KI und umfangreiche Überwachungssysteme die Komplexität erheblich.
Unternehmen sind daher gut beraten, Datenschutz nicht als reines Compliance-Thema zu behandeln, sondern als integralen Bestandteil ihrer Geschäftsprozesse. Nur so lassen sich rechtliche Risiken nachhaltig reduzieren und zugleich das Vertrauen von Kunden und Geschäftspartnern stärken.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
