Der 7. Tätigkeitsbericht des Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) gewährt einen aufschlussreichen Einblick in den Zustand des Datenschutzes im Jahr 2024. Nahezu überall sind die Zahlen gestiegen: Es gab mehr Beschwerden, mehr gemeldete Datenpannen und auch mehr Bußgeldverfahren. Überraschend ist diese Entwicklung nicht. Bemerkenswert ist vielmehr, wie hartnäckig sich bestimmte Problemfelder halten, obwohl sie seit Jahren bekannt sind. Der Bericht macht deutlich, dass Datenschutz selten an mangelnder Technik scheitert, sondern deutlich häufiger an organisatorischen Defiziten, unklaren Verantwortlichkeiten und fehlenden Prozessen.
Beschwerden und Datenpannen: Datenschutz wird konfliktträchtiger
Die Zahl der Beschwerden nach Art. 77 DSGVO ist erneut gestiegen. Dies deutet weniger auf einen plötzlichen Verfall des Datenschutzniveaus hin als vielmehr auf eine gestiegene Sensibilität der Betroffenen. Datenschutz wird zunehmend als einklagbares Recht wahrgenommen, sowohl gegenüber Arbeitgebern als auch gegenüber Verwaltungen und privaten Dienstleistern. Parallel dazu ist auch die Zahl der gemeldeten Datenschutzverletzungen nach Art. 33 DSGVO gestiegen. Auffällig ist, dass es sich dabei überwiegend nicht um hochkomplexe Cyberangriffe handelt, sondern um klassische Fehler wie den Fehlversand von E-Mails, falsche Empfänger im CC-Feld oder zu weit gefasste Zugriffsrechte. Diese Vorfälle sind weniger Ausdruck technologischer Überforderung als vielmehr ein Zeichen organisatorischer Schwächen.
Bußgeldpraxis: Moderate Beträge mit klarer Signalwirkung
Auch die Zahl der Bußgeldverfahren ist gestiegen. Zwar bewegen sich die insgesamt verhängten Bußgelder weiterhin auf einem moderaten Niveau, ihre Signalwirkung ist jedoch nicht zu unterschätzen. Der TLfDI macht deutlich, dass Verstöße gegen grundlegende Pflichten wie fehlende Rechtsgrundlagen, mangelhafte Transparenz oder unzureichende Datensicherheit nicht folgenlos bleiben. Besonders auffällig ist, dass viele Verfahren Sachverhalte betreffen, die mit überschaubarem Aufwand vermeidbar gewesen wären. Der Bericht zeigt damit klar, dass Datenschutz in der Praxis nicht an der DSGVO scheitert, sondern an der fehlenden Priorisierung im organisatorischen Alltag: So kann eine falsche Schwerpunktsetzung ein Unternehmen schnell die letzten Quartalseinnahmen kosten. Mit der richtigen Beratung ist dies vermeidbar.
Beschäftigtendatenschutz und Videoüberwachung als Dauerbrenner
Wie bereits in den Vorjahren zählen der Beschäftigtendatenschutz und die Videoüberwachung zu den thematischen Schwerpunkten des Berichts. Gerade im Arbeitsverhältnis zeigt sich regelmäßig, dass personenbezogene Daten verarbeitet werden, ohne dass eine tragfähige Rechtsgrundlage geprüft oder dokumentiert wurde. Auch bei der Videoüberwachung bleiben die typischen Probleme bestehen: fehlende oder unzureichende Hinweisschilder, zu große Erfassungsbereiche oder Überwachungsmaßnahmen ohne klar definierte Zweckbestimmung. Der Bericht macht deutlich, dass die rechtlichen Anforderungen grundsätzlich bekannt sind, ihre praktische Umsetzung jedoch häufig unterschätzt wird.
Transparenzgesetz: Anspruch und Realität
Der Tätigkeitsbericht zeigt, dass das Thüringer Transparenzgesetz in der Praxis weiterhin mit erheblichen Umsetzungsdefiziten konfrontiert ist. Insbesondere die Pflicht zur proaktiven Veröffentlichung wird von vielen öffentlichen Stellen noch nicht konsequent erfüllt. Zudem kommt es häufig zu Verzögerungen, unvollständigen Auskünften oder pauschalen Ablehnungen von Anträgen, die teils unter Verweis auf den Datenschutz erfolgen, ohne eine sachgerechte Abwägung vorzunehmen. Transparenz scheitert damit weniger an der Rechtslage als an fehlenden Zuständigkeiten, unklaren Prozessen und einer noch nicht ausreichend verankerten Kultur der Offenheit.
KI, Cloud und Digitalisierung: Neue Technik, alte Pflichten
Neu ist der stärkere Fokus auf Künstliche Intelligenz und digitale Verfahren. Der TLfDI stellt klar, dass innovative Technologien nichts an den Grundprinzipien der DSGVO ändern. Transparenz, Zweckbindung und Datensparsamkeit gelten uneingeschränkt weiter, auch wenn KI-Systeme oder Cloud-Dienste eingesetzt werden. Gerade in diesen Bereichen zeigt sich, dass Datenschutz-Governance umso wichtiger wird, je komplexer die eingesetzte Technik ist. Fehlende Rollenklärung, unzureichende Risikoabwägungen und lückenhafte vertragliche Regelungen bleiben zentrale Schwachstellen.
Fazit: Datenschutz als Organisationsaufgabe
Der 7. Tätigkeitsbericht bestätigt, was sich auch bundesweit abzeichnet: Datenschutzprobleme entstehen selten durch fehlendes Wissen, sondern durch fehlende Struktur. Erfolgreicher Datenschutz erfordert klare Zuständigkeiten, dokumentierte Prozesse, regelmäßige Schulungen und eine realistische Risikobewertung. Der Bericht ist damit weniger eine Mahnung als vielmehr eine praktische Handlungsanleitung. Datenschutz funktioniert dort, wo er als integraler Bestandteil der Organisation verstanden wird und nicht als lästige Pflicht.
