DSGVO-Bericht: 5.329 Beschwerden und 45 Mio. Euro Vodafone-Strafe

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat seine Aufsichtstätigkeit im vergangenen Jahr massiv ausgeweitet. Der am 6. Mai 2026 vorgelegte 34. Tätigkeitsbericht dokumentiert eine Rekordzahl an Beschwerden und Bußgeldern – und das pünktlich zum zehnten Jahrestag der DSGVO, die am 25. Mai 2016 in Kraft trat.

Rekordzahlen bei Beschwerden und Prüfungen

Im Berichtszeitraum 2025 verzeichnete die Behörde 11.824 Anfragen und 5.329 formelle Beschwerden. Die Zahl der Beschwerden hat sich seit 2023 verdoppelt – ein klares Zeichen für das wachsende Bewusstsein der Bürger für ihre Datenschutzrechte. Die Aufsichtsbehörde führte zudem 80 Vor-Ort-Prüfungen und 40 schriftliche Audits durch. Ergebnis: 129 aufsichtsrechtliche Maßnahmen.

Die steigende Zahl an Prüfungen und drakonische Bußgelder zeigen, dass Lücken in der Dokumentation existieren. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen, um die strengen Anforderungen des Art. 30 DSGVO zu erfüllen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Ein besonderer Schwerpunkt lag auf der Durchsetzung von Bußgeldern. Gegen den Telekommunikationsriesen Vodafone verhängte der BfDI ein Bußgeld in Höhe von 45 Millionen Euro. Doch damit nicht genug: Die Behörde konzentriert sich zunehmend auf neue Technologien. Zu den aktuellen Prioritäten zählen die Überwachung Künstlicher Intelligenz, die europäische Digital Identity Wallet (EUDI), die elektronische Patientenakte (ePA) sowie das Cookie-Management. Neue Leitlinien zur Nutzung von KI in medizinischen Geräten wurden ebenfalls veröffentlicht.

Unternehmen zwischen Compliance und Frustration

Während die Regulierungsbehörde zuschlägt, zeigt eine repräsentative Bitkom-Studie unter 603 Unternehmen eine wachsende Kluft zwischen Rechtslage und Realität. Immerhin 71 Prozent der deutschen Firmen haben die DSGVO inzwischen weitgehend umgesetzt – 2018 waren es gerade einmal sieben Prozent. Doch der Preis ist hoch: 97 Prozent bewerten den Aufwand als hoch, 81 Prozent klagen über kompliziertere Geschäftsprozesse.

Besonders brisant: 72 Prozent der Unternehmen sind der Meinung, dass deutsche Behörden die Datenschutzregeln zu streng auslegen – 2020 waren es erst 40 Prozent. 82 Prozent sehen eine erhebliche Rechtsunsicherheit, verglichen mit 35 Prozent im Jahr 2017. Diese Spannung entlädt sich vor allem im Innovationsbereich: 69 Prozent der Firmen geben an, dass Datenschutzauflagen das Training von KI-Modellen behindern. 59 Prozent der Projekte zur gemeinsamen Datennutzung sind demnach an DSGVO-Hürden gescheitert.

Schatten-KI und Governance-Lücken

Trotz aller Compliance-Sorgen setzen Unternehmen massiv auf neue Technologien. Der Netskope Threat Labs Report Europe 2026 zeigt: 99 Prozent der europäischen Unternehmen nutzen generative KI, die aktive Nutzung hat sich auf 65 Prozent verdoppelt. Immerhin 72 Prozent setzen auf verwaltete Unternehmenslösungen. Doch 15 Prozent der Organisationen kämpfen mit sogenannter „Schatten-KI" – Mitarbeiter wechseln zwischen privaten und geschäftlichen Accounts.

Die zentrale Steuerung von KI hinkt hinterher: Nur 43 Prozent der Organisationen haben eine übergreifende KI-Governance etabliert. 63 Prozent können keine Zweckbindungen für autonome KI-Agenten durchsetzen, 60 Prozent fehlt die technische Möglichkeit, fehlerhafte Agenten abzuschalten. Die Folgen sind gravierend: 59 Prozent der Richtlinienverstöße in generativen KI-Umgebungen betreffen regulierte Daten.

Angesichts der rasanten Verbreitung von KI-Systemen und der neuen EU-Regulierung stehen viele Unternehmen vor massiven Compliance-Fragen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer IT- und Rechtsabteilung den notwendigen Überblick über alle neuen Fristen, Pflichten und Risikoklassen. EU AI Act in 5 Schritten verstehen – Jetzt kostenlos herunterladen

Neue Cyber-Befugnisse für Sicherheitsbehörden

Die regulatorische Landschaft verändert sich weiter. Am 27. Mai 2026 billigte das Bundeskabinett einen Gesetzesentwurf zur „aktiven Cyber-Verteidigung". Das Gesetz gibt dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundespolizei und dem Bundeskriminalamt (BKA) neue Befugnisse, um in IT-Systeme einzugreifen – inklusive der Möglichkeit, Datenverkehr umzuleiten oder Daten zu löschen und zu verändern.

Innenminister Alexander Dobrindt bezeichnete den Schritt als notwendig, um sich gegen Cyberangriffe zu wehren. Verbände wie Bitkom und BDI äußerten jedoch Bedenken wegen möglicher Kollateralschäden und forderten eine engere Zusammenarbeit mit der Privatwirtschaft.

Der Handlungsdruck ist enorm: Der BKA-Lagebericht Cybercrime 2025 verzeichnet 333.922 Straftaten. Ransomware-Angriffe auf kleine und mittlere Unternehmen stiegen um zehn Prozent. Zwar zahlten nur sieben Prozent der Opfer Lösegeld, doch der durchschnittliche Zahlungsbetrag in Deutschland stieg um 65 Prozent auf rund 456.000 Euro. Sicherheitsexperten warnen zudem vor autonomen Angriffsmodellen wie der KI „Mythos", die selbstständig Schwachstellen identifizieren und ausnutzen kann.

de | wirtschaft | 69430027 |