BayLDA: Datenschutz-Behörde im Rekord-Stresstest

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) steht vor einer gewaltigen Belastungsprobe. Das geht aus dem 15. Tätigkeitsbericht für 2025 hervor, den Präsident Michael Will heute vorstellte. Ein Rekordaufkommen an Beschwerden, die Umsetzung des neuen Europäischen Data Act und der Umgang mit Künstlicher Intelligenz (KI) bestimmen die Arbeit der Aufsichtsbehörde.

Der aktuelle Tätigkeitsbericht des BayLDA verdeutlicht, wie massiv die Dokumentationspflichten für Unternehmen zunehmen. Mit dieser kostenlosen Excel-Vorlage und Schritt-für-Schritt-Anleitung erstellen Sie Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO rechtssicher und zeitsparend. Kostenlose Muster-Vorlage jetzt gratis herunterladen

Rekordfallzahlen und der Kampf um Prioritäten

Die Zahlen sind dramatisch: Die Verfahren beim BayLDA sind im Vergleich zu früheren Berichtszeiträumen um mehr als 60 Prozent gestiegen. Diese Flut wird durch ein gestiegenes Bewusstsein für digitale Rechte in der Bevölkerung und den massenhaften Einsatz automatisierter Datenverarbeitung in der Wirtschaft ausgelöst. Die Behörde stößt an ihre operativen Grenzen.

Die Folge: Das BayLDA muss Prioritäten setzen. Während Meldungen über Datenschutzverletzungen und Beschwerden historische Höchststände erreichen, schrumpfen die Kapazitäten für individuelle Beratung. Die Behörde reagiert mit digitalen Angeboten. Sie hat unter anderem ihre FAQ für Datenschutzbeauftragte in Unternehmen aktualisiert, um Standardfragen schneller zu klären.

Besorgniserregend ist der Anstieg bei Meldungen zu Cybersicherheitsvorfällen. Ransomware-Angriffe und Phishing-Kampagnen zwingen viele bayerische Mittelständler zum Handeln. Das BayLDA stellt klar: Viele dieser Verstöße wären durch grundlegende technische und organisatorische Maßnahmen vermeidbar gewesen.

Neue Gesetze und die KI-Herausforderung

Am 12. September 2025 trat der europäische Data Act in Kraft. Das BayLDA ist nun auch für die Durchsetzung dieses Gesetzes zuständig, sobald personenbezogene Daten im Spiel sind. Diese neue Aufgabe unterstreicht den Wandel der Behörde vom reinen Aufseher zum strategischen Berater.

Die Schnittstelle zwischen Data Act und der Datenschutz-Grundverordnung (DSGVO) bereitet Unternehmen praktische Probleme. Wie können sie Datennutzungsanfragen erfüllen, ohne die Privatsphäre Einzelner zu verletzen? Das BayLDA betont: Datenschutz und Datennutzung sind kein Widerspruch, sondern zwei Seiten derselben Medaille.

Ein weiterer Schwerpunkt ist die Regulierung von Künstlicher Intelligenz. 2025 lag der Fokus auf großen Sprachmodellen (LLMs) und dem Web-Scraping zu deren Training. Die Behörde stellt klar: Ein "berechtigtes Interesse" ist keine pauschale Rechtfertigung. Unternehmen müssen strenge Risikobewertungen und Transparenzmaßnahmen umsetzen. Das KI-Lab der Behörde hat dazu praktische Vorlagen entwickelt.

Angesichts der neuen Anforderungen durch den EU AI Act müssen Unternehmen ihre KI-Systeme jetzt rechtlich absichern. Dieses kostenlose E-Book bietet einen praxisnahen Umsetzungsleitfaden zu Risikoklassen, Fristen und Dokumentationspflichten für alle, die KI-Systeme entwickeln oder nutzen. EU AI Act Umsetzungsleitfaden kostenlos sichern

Biometrie-Debatte und transatlantische Datenflüsse

Ein Großkapitel des Berichts widmet sich der Untersuchung biometrischer Identitätssysteme, namentlich dem "Worldcoin"-Projekt. Als federführende Aufsichtsbehörde in Deutschland sieht das BayLDA fundamentale Risiken bei der Verarbeitung iris-basierter Daten. Es hat strengere Datenschutzmaßnahmen angeordnet, darunter einen verifizierbaren Löschprozess für Nutzer, die ihre Einwilligung widerrufen.

Die technische Herausforderung ist enorm: Wie lässt sich in dezentralen Systemen sicherstellen, dass biometrische Codes wirklich gelöscht sind? Präsident Will vergleicht die Aufgabe mit einer komplexen kryptografischen Puzzle-Arbeit.

Weiterhin schwierig bleiben internationale Datenübermittlungen. Das BayLDA warnt vor einer "Haftungsfalle" für Arbeitgeber, die US-Dienstleister nutzen. Viele Anbieter sind nur für "Non-HR Data" zertifiziert, verarbeiten aber Personaldaten. Europäische Unternehmen müssen prüfen, ob die Zertifizierung ihres Partners wirklich die richtigen Datenkategorien abdeckt – sonst drohen unrechtmäßige Übermittlungen.

Praxistipps: Von Videokonferenzen bis zum Arzttermin

Neben den großen regulatorischen Schlachten gibt der Bericht konkrete Ratschläge für den Alltag. Im Fokus stehen etwa KI-Tools, die Videokonferenzen automatisch transkribieren und zusammenfassen. Solche Funktionen benötigen eine explizite Rechtsgrundlage und oft die vorherige Einwilligung aller Teilnehmer – besonders wenn die Zusammenfassungen in Clouds außerhalb der EU gespeichert werden.

Auch der digitale Arzttermin wird thematisiert. Die Buchung über Drittanbieter-Apps ist Standard, doch medizinische Daten brauchen besonderen Schutz. Die primäre Verantwortung für die sensiblen Gesundheitsdaten der Patienten liege beim Arzt, nicht bei der Plattform, so das BayLDA.

Ein alter Grundsatz wird erneut bekräftigt: Bei Direktmarketing trägt das Unternehmen die Beweislast für die Einwilligung. Die Speicherung einer IP-Adresse reicht nicht aus. Erforderlich ist die vollständige Dokumentation der Willenserklärung des Nutzers.

Ausblick: Dezentralisierung als Stärke

Die Aufgaben werden nicht einfacher. Mit der vollständigen Anwendung des KI-Gesetzes rechnet das BayLDA mit weiter wachsender Komplexität. Es plant, seine Beratung für die "Digitale Wirtschaft" auszubauen, um Start-ups und KMU durch den europäischen Regelungsdschungel zu lotsen. Der Standort in Ansbach und Nürnberg soll erhalten bleiben, um nah an der regionalen Wirtschaft zu sein.

Damit positioniert sich die Behörde in der politischen Debatte um eine Zentralisierung der Datenschutzaufsicht. Während einige eine Bundesbehörde fordern, verteidigt das BayLDA das föderale Modell. Regionale Aufseher verständen die Bedürfnisse lokaler Unternehmen besser und könnten Unterstützung "vor Ort" leisten – etwas, das einer zentralisierten Behörde in Berlin schwerer fallen dürfte.

boerse | 69056195 |