Datenschutzrecht in Deutschland: Leitfaden zu DSGVO, BDSG & Durchsetzung (2026)

Deutschland regelt personenbezogene Daten über die EU-DSGVO, umgesetzt durch das Bundesdatenschutzgesetz (BDSG), das strengere Regeln zur Bestellung von Datenschutzbeauftragten, zu Beschäftigtendaten und zu strafrechtlichen Sanktionen ergänzt. Beide Gesetze stützen sich auf ein verfassungsrechtliches Grundrecht auf informationelle Selbstbestimmung, das im Volkszählungsurteil des Bundesverfassungsgerichts von 1983 begründet wurde.
Deutschland nimmt in der weltweiten Landschaft des Datenschutzes eine besondere Stellung ein. Lange bevor die Europäische Union 2016 die Datenschutz-Grundverordnung verabschiedete, hatte Deutschland bereits jahrzehntelang an einem der umfassendsten Datenschutzrahmen der Welt gearbeitet. Der Umgang des Landes mit Privatsphäre wird durch historische Erfahrungen, Verfassungsrecht und eine tief verwurzelte kulturelle Erwartung geprägt, wonach der Einzelne kontrollieren können soll, wie seine persönlichen Informationen verwendet werden.
Dieser Leitfaden behandelt jede wesentliche Dimension des deutschen Datenschutzrechts mit Stand 2026, von der föderalen und landesrechtlichen Aufsichtsstruktur über die verfassungsrechtlichen Grundlagen und die Regeln zur Beschäftigtenüberwachung bis hin zur EU-KI-Verordnung und den Durchsetzungsmaßnahmen, die Deutschland zu einer der aktivsten DSGVO-Jurisdiktionen Europas gemacht haben.
Kurzantwort: Was regelt den Datenschutz in Deutschland?
Drei Rechtsinstrumente wirken zusammen. Die Datenschutz-Grundverordnung der EU (DSGVO) gilt unmittelbar in allen EU-Mitgliedstaaten und bildet die Grundlage. Das Bundesdatenschutzgesetz (BDSG) setzt die nationalen "Öffnungsklauseln" der DSGVO um und ergänzt strengere Regeln zur Bestellung von Datenschutzbeauftragten, zu Beschäftigtendaten, zur Videoüberwachung und zum Scoring sowie strafrechtliche Sanktionen. Das TDDDG (vormals TTDSG) regelt den Datenschutz in der Telekommunikation und bei digitalen Diensten, einschließlich der Cookie-Einwilligung, der Vertraulichkeit der Kommunikation und der Regeln zum Gerätezugriff.
Diesem gesamten Rahmen liegt ein verfassungsrechtliches Recht auf informationelle Selbstbestimmung zugrunde, das mehr als drei Jahrzehnte vor der DSGVO entstand. Dieses Recht prägt, wie deutsche Gerichte jede Datenschutzfrage auslegen, die vor sie gebracht wird.
Für den grenzüberschreitenden Kontext siehe unseren Leitfaden zu den Datenschutzgesetzen der EU und für die spezifischen Regeln zu Tonaufnahmen in Deutschland unsere Seite Aufnahmegesetze Deutschland.

Historische Grundlagen: Warum Deutschland den Datenschutz so ernst nimmt
Deutschlands strenger Umgang mit dem Datenschutz entstand nicht im luftleeren Raum. Zwei autoritäre Regime des 20. Jahrhunderts hinterließen in der deutschen Öffentlichkeit ein unmittelbares Verständnis dessen, was geschieht, wenn Regierungen personenbezogene Daten ohne Beschränkung sammeln.
Das NS-Regime nutzte Volkszählungs- und Meldedaten, um Minderheiten zu identifizieren und zu verfolgen. In der Deutschen Demokratischen Republik führte die Stasi Akten über schätzungsweise sechs Millionen ostdeutsche Bürger, rund ein Drittel der Bevölkerung. Nachbarn bespitzelten Nachbarn, Telefonate wurden abgehört und Post geöffnet. Als die Berliner Mauer 1989 fiel, fanden Bürger, die die Stasi-Zentrale stürmten, mehr als 111 Kilometer archivierter Akten vor. Diese kollektive Erinnerung prägt die deutsche Haltung zu Überwachung und Datenerhebung bis heute.
Das Volkszählungsurteil von 1983 und die informationelle Selbstbestimmung
Der rechtliche Grundstein des deutschen Datenschutzes ist eine Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1983, bekannt als Volkszählungsurteil. Die westdeutsche Regierung hatte eine umfassende Volkszählung geplant, und Hunderttausende Bürger protestierten auf den Straßen. Der Fall gelangte vor das Bundesverfassungsgericht, das zentrale Bestimmungen des Volkszählungsgesetzes für nichtig erklärte.
In seinem Urteil vom 15. Dezember 1983 leitete das Gericht aus Art. 1 Abs. 1 und Art. 2 Abs. 1 des Grundgesetzes ein neues Grundrecht ab: das Recht auf informationelle Selbstbestimmung. Das Gericht stellte fest, dass der Einzelne "aus der Idee der Selbstbestimmung heraus grundsätzlich selbst entscheiden" können muss, "wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden".
Dieses Recht hat Verfassungsrang. Jedes deutsche Datenschutzgesetz, das seit 1983 erlassen wurde, wirkt innerhalb des durch das Volkszählungsurteil geschaffenen Rahmens. Die Entscheidung entstand mehr als drei Jahrzehnte vor der DSGVO und erklärt, warum die deutsche Umsetzung europäischer Datenschutzstandards durchgängig über das hinausgeht, was Brüssel allein verlangt. Andere EU-Mitgliedstaaten und Gerichte in ganz Europa haben sich bei der Entwicklung ihrer eigenen verfassungsrechtlichen Datenschutzdoktrin am Volkszählungsurteil orientiert.

Der Rechtsrahmen: DSGVO, BDSG, TDDDG und Landesgesetze
Das deutsche Datenschutzrecht des Jahres 2026 stützt sich auf mehrere ineinandergreifende Ebenen. Zu verstehen, wie diese zusammenwirken, ist für die Compliance unerlässlich.
Die DSGVO als Grundlage
Die Datenschutz-Grundverordnung (EU) 2016/679 gilt in Deutschland unmittelbar wie in allen EU-Mitgliedstaaten. Sie trat am 25. Mai 2018 in Kraft und regelt die Verarbeitung personenbezogener Daten durch Organisationen, die innerhalb der EU tätig sind, Waren oder Dienstleistungen für Personen in der EU anbieten oder das Verhalten von Personen in der EU beobachten.
Die DSGVO liefert die Grundregeln: die Rechtmäßigkeitsgrundsätze nach Art. 5, sechs Rechtsgrundlagen für die Verarbeitung nach Art. 6 (Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen), Rechte betroffener Personen nach den Art. 12 bis 22 sowie den Durchsetzungsrahmen einschließlich Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
Das Bundesdatenschutzgesetz (BDSG)
Das Bundesdatenschutzgesetz wurde am 30. Juni 2017 erlassen, um die DSGVO auf nationaler Ebene zu ergänzen. Es nutzt die "Öffnungsklauseln" der DSGVO, die den Mitgliedstaaten erlauben, in bestimmten Bereichen spezifischere oder strengere Regeln zu erlassen.
Zu den zentralen Bereichen, in denen das BDSG die DSGVO ergänzt, gehören:
- Bestellung von Datenschutzbeauftragten (§ 38): Deutschland verlangt einen Datenschutzbeauftragten, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ein deutlich niedrigerer Schwellenwert als der Ansatz der DSGVO für den privaten Sektor.
- Beschäftigtendatenschutz (§ 26): Spezielle Regeln für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, die weiter unten ausführlich behandelt werden.
- Videoüberwachung öffentlich zugänglicher Räume (§ 4): Konkrete Vorschriften zur Videoüberwachung in öffentlich zugänglichen Bereichen, die Kennzeichnungspflichten vorsehen und die Speicherdauer begrenzen.
- Scoring und Kreditauskunft (§ 31): Beschränkungen der automatisierten Einzelfallentscheidung im Finanzkontext.
- Strafrechtliche Sanktionen (§§ 42 bis 43): Deutschland ist einer der wenigen EU-Mitgliedstaaten, die für schwerwiegende Datenschutzverstöße strafrechtliche Sanktionen einschließlich Freiheitsstrafe vorsehen.
- Meinungs- und Informationsfreiheit (§ 57): Sonderbestimmungen, die den Datenschutz gegen die Presse-, Wissenschafts- und Kunstfreiheit abwägen.
Im Februar 2024 billigte das Bundeskabinett einen Gesetzentwurf zur Änderung des BDSG, der die DSK formell institutionalisieren, die gemeinsame Aufsicht über Verantwortliche bei Forschungs- und Statistikverarbeitung straffen und klarstellen sollte, dass Geschäftsgeheimnisse die Verweigerung von Auskunftsinformationen rechtfertigen können. Dieser Entwurf durchlief das parlamentarische Verfahren nicht mehr, bevor die Koalition im November 2024 zerbrach, und die neue Regierung aus CDU/CSU und SPD verfolgt mit dem Koalitionsvertrag 2025 einen anderen Ansatz.
Das TDDDG
Das Telekommunikation-Telemedien-Datenschutz-Gesetz, ursprünglich am 1. Dezember 2021 als TTDSG erlassen und am 13. Mai 2024 zur Angleichung an das Digitale-Dienste-Gesetz der EU in TDDDG umbenannt, regelt den Datenschutz bei elektronischer Kommunikation und digitalen Diensten. Seine wichtigste Bestimmung, § 25, verlangt eine aktive Opt-in-Einwilligung, bevor ein nicht notwendiges Cookie oder eine ähnliche Tracking-Technologie auf das Endgerät eines Nutzers zugreifen darf. Rein technisch notwendige Cookies, die zur Erbringung eines vom Nutzer ausdrücklich gewünschten Dienstes erforderlich sind, bilden die einzige Ausnahme.
Landesrechtliche Datenschutzgesetze
Jedes der 16 deutschen Bundesländer verfügt über ein eigenes Landesdatenschutzgesetz, das die Datenverarbeitung durch Landes- und Kommunalbehörden regelt. Diese Landesgesetze spiegeln den Rahmen von DSGVO und BDSG wider, gelten aber speziell für Behörden auf Landesebene, öffentliche Schulen, Universitäten und kommunale Stellen.

Aufsichtsstruktur: Die BfDI, 16 Landesbehörden und die DSK
Die Durchsetzungsarchitektur des deutschen Datenschutzes ist die komplexeste in der Europäischen Union. Anders als die meisten Mitgliedstaaten, die über eine einzige nationale Behörde verfügen, arbeitet Deutschland mit 17 unabhängigen Aufsichtsbehörden.
Die Bundesbeauftragte (BfDI)
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist die Aufsichtsbehörde auf Bundesebene. Prof. Dr. Louisa Specht-Riemenschneider übernahm dieses Amt im September 2024. In ihrem 33. Tätigkeitsbericht für das Jahr 2024 berichtete die BfDI von 11.824 Beschwerden und Anfragen, ein Rekordwert und rund ein Drittel mehr als im Vorjahr. Die Behörde führte im Berichtsjahr 80 Vor-Ort-Kontrollen und 40 schriftliche Kontrollverfahren durch.
Die BfDI ist zuständig für Bundesbehörden und öffentliche Stellen, Telekommunikationsanbieter, Postdienstleister, die bundesweiten Sozialversicherungsträger sowie die Nachrichtendienste (BND, BfV, MAD) im Hinblick auf deren Einhaltung des Datenschutzes. Die BfDI kann verbindliche Anordnungen gegenüber Bundesbehörden erlassen und Geldbußen gegen Telekommunikations- und Postunternehmen verhängen.
Die BfDI hat drei Schwerpunktbereiche festgelegt: Gesundheitsdaten (elektronische Patientenakten, Medizinprodukte), Systeme der Künstlichen Intelligenz und Anwendungen der Datenerhebung im Bereich der nationalen Sicherheit. Die Behörde hat sich besonders deutlich gegen geplante Überwachungsbefugnisse ausgesprochen, die sie als mit dem Recht auf informationelle Selbstbestimmung unvereinbar ansieht.
Die 16 Landesdatenschutzbehörden
Für den privaten Sektor, also Unternehmen, Vereine, Freiberufler und Nichtregierungsorganisationen, liegt die Aufsicht bei den Landesdatenschutzbeauftragten. Jedes der 16 Bundesländer verfügt über mindestens eine Behörde, wobei Bayern als einziges Land zwei Behörden hat: eine für öffentliche Stellen und eine für den privaten Sektor.
Die Landesbehörden sind vollständig unabhängig. Sie unterliegen keinen Weisungen der BfDI oder ihrer jeweiligen Landesregierung. Jede Behörde legt ihre eigenen Durchsetzungsschwerpunkte fest, entwickelt ihre eigene Auslegung der DSGVO und entscheidet unabhängig darüber, ob und wie sie Geldbußen verhängt. Hamburg und Baden-Württemberg gehörten historisch zu den aktivsten, andere agieren zurückhaltender.
Die Datenschutzkonferenz (DSK)
Um dieses fragmentierte Umfeld zu koordinieren, nehmen alle 17 Behörden an der Datenschutzkonferenz (DSK) teil, die gemeinsame Orientierungshilfen, Positionspapiere und ein Bußgeldmodell veröffentlicht. Das zuletzt 2022 überarbeitete Bußgeldmodell der DSK bietet einen Rahmen, den die Behörden nutzen, um eine gewisse Konsistenz im Sanktionsniveau sicherzustellen.
Beschlüsse der DSK sind für die einzelnen Behörden jedoch rechtlich nicht bindend. Dies hat zu Situationen geführt, in denen Unternehmen je nach Bundesland unterschiedliche Auslegungen derselben DSGVO-Bestimmung erhalten. Eine DSK-Zwischenkonferenz im Jahr 2024 begegnete dieser Uneinheitlichkeit, indem sie die Verfahren zum Informationsaustausch zwischen den 17 Behörden stärkte.
Im Mai 2024 veröffentlichte die DSK ihre erste Orientierungshilfe zu generativer KI und Datenschutz, die die DSGVO-konforme Auswahl und den Einsatz von KI-Werkzeugen durch Organisationen behandelt. Ein begleitendes Positionspapier vertrat die Auffassung, dass die deutschen Datenschutzbehörden als nationale Marktüberwachungsbehörde im Rahmen der EU-KI-Verordnung fungieren sollten.
Koalitionsvertrag 2025: Zentralisierung vorgeschlagen
Der Koalitionsvertrag vom 9. April 2025 zwischen CDU/CSU und SPD schlägt eine bedeutende strukturelle Änderung vor: die Bündelung der Datenschutzaufsicht über den privaten Sektor bei der BfDI, die in "Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit" umbenannt werden soll. Nach dem Vorschlag würde die DSK förmlich im BDSG verankert und mit der Befugnis ausgestattet, verbindliche Datenschutzstandards zu erlassen. Der Vertrag sieht zudem Ausnahmen von der DSGVO für kleine und mittlere Unternehmen sowie für risikoarme Verarbeitung vor. Verfassungsrechtliche Fragen zum Föderalismus machen diese Reform komplex, und die vollständige Umsetzung wird voraussichtlich mehrere Jahre in Anspruch nehmen.
Rechtsgrundlagen der Verarbeitung: Einwilligung und die Alternativen
Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn sie auf einer von sechs Rechtsgrundlagen beruht. In Deutschland machen bestimmte kontextuelle Faktoren die Wahl der Rechtsgrundlage besonders bedeutsam.
Die Einwilligung nach Art. 6 Abs. 1 lit. a muss freiwillig, für den bestimmten Fall, informiert und unmissverständlich sein. In Deutschland wird die Einwilligung sorgfältig geprüft, wegen der Machtungleichgewichte, die in Beschäftigungs-, Verbraucher- und öffentlich-rechtlichen Kontexten auftreten. Bereits angekreuzte Kästchen, gebündelte Einwilligungen und eine Einwilligung als Voraussetzung für den Zugang zu wesentlichen Dienstleistungen werden von den deutschen Aufsichtsbehörden allesamt mit Skepsis betrachtet.
Die Vertragserfüllung nach Art. 6 Abs. 1 lit. b umfasst die Verarbeitung, die tatsächlich zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen auf deren Anfrage erforderlich ist.
Die rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c umfasst die gesetzlich vorgeschriebene Verarbeitung, etwa für steuerliche Meldungen, Aufzeichnungen zum Arbeitsschutz oder Anforderungen zur Geldwäscheprävention.
Berechtigte Interessen nach Art. 6 Abs. 1 lit. f erfordern eine dreistufige Abwägung: Der Verantwortliche muss ein berechtigtes Interesse haben, die Verarbeitung muss zu dessen Verfolgung erforderlich sein, und die Interessen dürfen nicht durch die Grundrechte der betroffenen Person überwogen werden. Deutsche Behörden wenden diesen Test streng an, insbesondere im Zusammenhang mit Beschäftigtenüberwachung, Direktwerbung und Betrugsprävention.
Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, darunter Gesundheitsdaten, rassische oder ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit und biometrische Daten, erfordern eine strengere Rechtsgrundlage, in der Regel die ausdrückliche Einwilligung oder eine gesetzliche Ausnahmeregelung.
Rechte der betroffenen Personen
Die DSGVO gewährt dem Einzelnen ein umfassendes Bündel an Rechten, die die deutschen Aufsichtsbehörden aktiv durchsetzen.
Auskunftsrecht (Art. 15): Personen können eine Bestätigung verlangen, ob ihre Daten verarbeitet werden, und eine Kopie erhalten. § 34 BDSG stellt klar, dass Geschäfts- und Betriebsgeheimnisse die Verweigerung von Teilen einer Antwort rechtfertigen können, pauschale Verweigerungen sind jedoch nicht zulässig.
Recht auf Berichtigung (Art. 16): Der Einzelne kann die Berichtigung unrichtiger Daten und die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17): Häufig als Recht auf Vergessenwerden bezeichnet, gilt es, wenn Daten nicht mehr erforderlich sind, die Einwilligung widerrufen wurde, die Verarbeitung unrechtmäßig ist oder eine gesetzliche Verpflichtung zur Löschung besteht.
Recht auf Einschränkung der Verarbeitung (Art. 18): Wird die Richtigkeit von Daten bestritten oder ist die Verarbeitung unrechtmäßig, die betroffene Person zieht jedoch eine Einschränkung der Löschung vor, kann die Verarbeitung ausgesetzt werden.
Recht auf Datenübertragbarkeit (Art. 20): Beruht die Verarbeitung auf einer Einwilligung oder einem Vertrag und erfolgt sie mithilfe automatisierter Verfahren, kann der Einzelne seine Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
Widerspruchsrecht (Art. 21): Der Einzelne kann einer auf berechtigten Interessen oder einer öffentlichen Aufgabe beruhenden Verarbeitung widersprechen. Bei der Direktwerbung ist das Widerspruchsrecht absolut und muss uneingeschränkt beachtet werden.
Automatisierte Einzelfallentscheidung (Art. 22): Der Einzelne hat das Recht, keiner ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche oder ähnlich erhebliche Wirkung entfaltet. Deutsche Behörden legen diesen Artikel streng aus und verlangen eine tatsächliche menschliche Kontrolle bei KI-gestützten Einstellungs-, Kredit- und ähnlichen Entscheidungen.
Pflichten zur Meldung von Datenschutzverletzungen
Deutschland folgt dem Melderahmen der DSGVO nach den Art. 33 und 34.
Verantwortliche müssen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung eine Verletzung des Schutzes personenbezogener Daten melden, sofern die Verletzung voraussichtlich nicht zu einem Risiko für den Einzelnen führt. Die Meldung muss die Art der Verletzung, die ungefähre Anzahl der betroffenen Personen und Datensätze, die Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen beschreiben.
Führt eine Verletzung voraussichtlich zu einem hohen Risiko für den Einzelnen, muss der Verantwortliche zudem die betroffenen Personen unverzüglich benachrichtigen.
Deutschland zählt zu den aktivsten EU-Mitgliedstaaten bei der Meldung von Datenschutzverletzungen. Im Jahr 2024 meldeten deutsche Organisationen 27.829 Datenschutzverletzungen, die zweithöchste Zahl aller EU-Mitgliedstaaten (nach den Niederlanden mit 33.471) und rund 20 Prozent aller europäischen Meldungen. Praktiker führen dies teils auf die starke Ermutigung der deutschen Aufsichtsbehörden zur Selbstmeldung zurück und teils auf das rechtliche Risiko einer unterlassenen Meldung.
Datenschutzbeauftragte: Der niedrigere Schwellenwert in Deutschland
Die DSGVO verlangt die Bestellung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen (Art. 37): Kerntätigkeiten, die eine umfangreiche Verarbeitung besonderer Kategorien von Daten umfassen, oder Kerntätigkeiten, die eine umfangreiche systematische Überwachung von Personen umfassen. Deutschland geht darüber hinaus.
Nach § 38 BDSG muss ein Datenschutzbeauftragter bestellt werden, wenn:
- in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, unabhängig davon, ob diese Verarbeitung ein hohes Risiko birgt;
- der Verantwortliche eine Verarbeitung durchführt, die nach Art. 35 DSGVO einer Datenschutz-Folgenabschätzung unterliegt, unabhängig von der Zahl der Beschäftigten;
- der Verantwortliche personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet, unabhängig von der Unternehmensgröße.
Das deutsche Recht sieht zudem einen erweiterten Kündigungsschutz für Datenschutzbeauftragte vor, die Beschäftigte der Organisation sind. Sie können nur aus wichtigem Grund abberufen werden, und dieser Schutz besteht noch 12 Monate nach Beendigung der Bestellung fort.
Beschäftigtendatenschutz: § 26 BDSG und die Rechtslage nach dem EuGH-Urteil
Deutschland unterhält seit jeher einige der strengsten Regeln Europas dazu, wie Arbeitgeber personenbezogene Beschäftigtendaten erheben und nutzen dürfen. Der Verlauf dieses Rechtsgebiets wurde durch zwei bedeutende Gerichtsentscheidungen geprägt.
Die Rechtssache C-34/21 des EuGH: § 26 Abs. 1 BDSG für unanwendbar erklärt
In einem Urteil vom 30. März 2023 entschied der Gerichtshof der Europäischen Union, dass § 26 Abs. 1 Satz 1 BDSG keine gültige "spezifischere Vorschrift" im Sinne von Art. 88 Abs. 1 DSGVO darstellt. Der Gerichtshof entschied, dass Mitgliedstaaten, die sich auf Art. 88 berufen, Vorschriften mit tatsächlich spezifischerem Inhalt erlassen müssen als die DSGVO selbst; eine bloße Wiederholung der allgemeinen Grundsätze der DSGVO genügt nicht. Im Anschluss an dieses Urteil erklärte das Bundesarbeitsgericht § 26 Abs. 1 Satz 1 für unanwendbar.
Arbeitgeber müssen sich nun unmittelbar auf die allgemeinen Rechtsgrundlagen der DSGVO stützen:
- Art. 6 Abs. 1 lit. b: die zur Durchführung des Beschäftigungsverhältnisses erforderliche Verarbeitung (zum Beispiel Onboarding, Gehaltsabrechnung und Leistungsbeurteilung, die unmittelbar mit dem Beschäftigungsverhältnis verbunden sind).
- Art. 6 Abs. 1 lit. f: die für die berechtigten Interessen des Arbeitgebers erforderliche Verarbeitung, vorbehaltlich einer Abwägung gegen die Rechte der Beschäftigten (verwendet bei Betrugsermittlungen, IT-Sicherheit und bestimmten Überwachungstätigkeiten).
Was weiterhin gilt
Andere Bestimmungen des § 26 BDSG wurden nicht für nichtig erklärt. § 26 Abs. 4, der Betriebsvereinbarungen als gültige Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten anerkennt, bleibt anwendbar. Diese zwischen Arbeitgeber und Betriebsrat nach dem Betriebsverfassungsgesetz ausgehandelten Vereinbarungen bleiben der gängigste Mechanismus zur Schaffung einer Rechtsgrundlage für die Überwachung am Arbeitsplatz und für HR-Analysesysteme.
§ 26 Abs. 2, wonach die Einwilligung von Beschäftigten der Schrift- oder elektronischen Form bedarf, um wirksam zu sein, gilt ebenfalls weiterhin. Angesichts des inhärenten Machtungleichgewichts in Beschäftigungsverhältnissen bleiben deutsche Behörden skeptisch gegenüber der Berufung von Arbeitgebern auf die Einwilligung von Beschäftigten.
Beschränkungen der Beschäftigtenüberwachung
Das deutsche Recht nimmt bei der Beschäftigtenüberwachung eine restriktive Haltung ein:
- Überwachung von E-Mail und Internet: Stichprobenkontrollen dienstlicher E-Mails sind zulässig, wenn der Arbeitgeber einen konkreten, dokumentierten Anlass hat. Eine fortlaufende, verdeckte Überwachung der Kommunikation von Beschäftigten ist unzulässig.
- Videoüberwachung: Eine verdeckte Videoüberwachung ist nur zulässig, wenn ein konkreter, spezifischer Verdacht strafbaren Verhaltens gegen eine identifizierbare Person besteht, die Überwachung zeitlich begrenzt und verhältnismäßig ist und mildere Mittel ausgeschöpft wurden.
- Mitbestimmung des Betriebsrats: Nach dem Betriebsverfassungsgesetz hat der Betriebsrat ein zwingendes Mitbestimmungsrecht, wenn Arbeitgeber technische Einrichtungen einführen, die zur Überwachung des Verhaltens oder der Leistung von Beschäftigten bestimmt sind. Jedes Überwachungssystem, von Tastaturprotokollierung bis zu KI-gestützten Produktivitätswerkzeugen, muss vor der Einführung mit dem Betriebsrat verhandelt werden.
Das gescheiterte Beschäftigtendatengesetz
Deutschland hat lange versucht, ein eigenständiges Beschäftigtendatengesetz zu erlassen. Ein im Oktober 2024 veröffentlichter Entwurf zielte darauf ab, die Verarbeitung von Beschäftigtendaten vor, während und nach dem Beschäftigungsverhältnis umfassend zu regeln, einschließlich Regeln zu KI am Arbeitsplatz, biometrischen Daten und den datenschutzrechtlichen Auswirkungen digitaler Arbeitsumgebungen.
Der Entwurf gelangte nie zur förmlichen parlamentarischen Beratung. Als die Ampelkoalition (SPD, Grüne, FDP) am 6. November 2024 zerbrach, verfielen anhängige Gesetzesvorhaben einschließlich des Beschäftigtendatengesetzes. Der Koalitionsvertrag 2025 von CDU/CSU und SPD erwähnt das Vorhaben nicht, sodass ein dritter Versuch einer umfassenden Regelung des Beschäftigtendatenschutzes ungewiss bleibt. Arbeitgeber müssen sich weiterhin in der Rechtslage nach § 26 mit den allgemeinen Rechtsgrundlagen des Art. 6 DSGVO und Betriebsvereinbarungen zurechtfinden.
Grenzüberschreitende Datenübermittlungen
Als EU-Mitgliedstaat folgt Deutschland dem Rahmen der DSGVO für internationale Datenübermittlungen nach Kapitel V (Art. 44 bis 49).
Angemessenheitsbeschlüsse der Europäischen Kommission erlauben die freie Übermittlung an anerkannte Länder. Mit Stand 2026 gilt Angemessenheit für Andorra, Argentinien, Kanada (kommerzielle Organisationen nach PIPEDA), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, Südkorea, die Schweiz, das Vereinigte Königreich, Uruguay sowie die Vereinigten Staaten (Organisationen, die im Rahmen des im Juli 2023 verabschiedeten EU-US Data Privacy Framework zertifiziert sind).
Standardvertragsklauseln (SCCs) sind der am häufigsten verwendete Mechanismus für Übermittlungen in Länder ohne Angemessenheitsbeschluss. Verantwortliche müssen SCCs mit einer dokumentierten Transfer Impact Assessment begleiten, die überprüft, dass das Recht des Zielstaats die Garantien der SCCs nicht untergräbt.
Verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules, BCRs) erlauben multinationalen Konzernen, konzerninterne Übermittlungen nach Genehmigung durch die zuständige Aufsichtsbehörde zu regeln.
Die deutschen Aufsichtsbehörden gehören zu den strengsten in der EU bei der Prüfung grenzüberschreitender Übermittlungen. Die BfDI hat wiederholt betont, dass Transfer Impact Assessments substanziell, dokumentiert und immer dann zu aktualisieren sind, wenn sich die rechtlichen oder tatsächlichen Umstände im Zielstaat ändern. Übermittlungen an Cloud- oder KI-Dienstleister in den Vereinigten Staaten sind weiterhin häufig Gegenstand von Beschwerden und Untersuchungen.
Die EU-KI-Verordnung im Überblick
Die EU-KI-Verordnung (Verordnung 2024/1689), im Juni 2024 verabschiedet und in Etappen zwischen August 2024 und August 2026 in Kraft tretend, schafft eine zweite Regulierungsebene, die für deutsche Organisationen in bedeutender Weise mit der DSGVO zusammenwirkt.
Risikoeinstufung und Zusammenspiel mit der DSGVO
Die KI-Verordnung stuft KI-Systeme nach Risiko ein. Hochrisiko-KI-Anwendungen, darunter solche im Beschäftigungs- und Personalmanagement, im Kredit-Scoring, bei der biometrischen Identifizierung und in der Strafverfolgung, unterliegen strengen Konformitätsanforderungen. Verarbeiten diese Systeme personenbezogene Daten, müssen sie sowohl die technischen Standards der KI-Verordnung als auch die Anforderungen der DSGVO an die Rechtsgrundlage erfüllen.
Art. 47 der KI-Verordnung verlangt von Anbietern von Hochrisiko-KI-Systemen, eine Erklärung zur DSGVO-Konformität in ihre Konformitätserklärung aufzunehmen, sofern das System personenbezogene Daten verarbeitet. Viele Datenschutzgrundsätze überschneiden sich zwischen beiden Regelwerken: Transparenz, Genauigkeit und Sicherheitsanforderungen finden sich in beiden. Der zentrale Unterschied liegt im Anwendungsbereich: Die DSGVO erfasst jede Verarbeitung personenbezogener Daten, während die KI-Verordnung sich auf KI-Systeme konzentriert und spezifische Pflichten zu menschlicher Aufsicht, Robustheit und Dokumentation hinzufügt.
Die deutschen Datenschutzbehörden handelten frühzeitig. Am 6. Mai 2024 veröffentlichte die DSK ihre erste Orientierungshilfe zu generativer KI, die den DSGVO-konformen Einsatz durch Organisationen behandelt. Die Orientierungshilfe befasste sich mit den Anforderungen an die Rechtsgrundlage, den Beschränkungen der automatisierten Entscheidungsfindung nach Art. 22, den Transparenzpflichten und der Notwendigkeit der Datenminimierung bei Ein- und Ausgaben von KI-Systemen. Die DSK veröffentlichte zudem ein Positionspapier, wonach die deutschen Datenschutzbehörden als nationale Marktüberwachungsbehörde im Rahmen der KI-Verordnung fungieren sollten, wobei nun erwartet wird, dass diese Rolle von der Bundesnetzagentur übernommen wird.
Die KI-Konsultation der BfDI
Im Jahr 2025 startete die BfDI eine öffentliche Konsultation zu KI-Modellen und personenbezogenen Daten und holte Stellungnahmen zur datenschutzkonformen Entwicklung und zum Einsatz von KI ein, einschließlich Datenminimierung, Transparenz, den Voraussetzungen für die Nutzung personenbezogener Daten beim Training sowie den Rechten von Personen, die von KI-gestützten Entscheidungen betroffen sind. Die Konsultation spiegelt die Entschlossenheit Deutschlands wider, die praktische Auslegung des Zusammenspiels von KI und DSGVO zu prägen, bevor die Durchsetzungsphase der KI-Verordnung beginnt.
Fanseiten und soziale Medien
Eine gesonderte Linie der Durchsetzung betrifft KI-nahe Datenflüsse. Im Juli 2025 bestätigte das Verwaltungsgericht Köln teilweise die Position der BfDI in einem Verfahren zu deutschen Behörden, die Facebook-Fanseiten betreiben. Das Gericht stellte fest, dass die gemeinsame Verantwortlichkeit zwischen Betreibern von Fanseiten und Meta über das bloße Anlegen der Seite hinaus aktive Compliance-Schritte erfordert, eine bedeutsame Feststellung für jede deutsche Organisation, die geschäftliche Seiten in sozialen Medien nutzt.
Bußgelder und strafrechtliche Sanktionen
Der deutsche Sanktionsrahmen verbindet Verwaltungsgeldbußen der DSGVO mit nationalen strafrechtlichen Sanktionen.
Verwaltungsgeldbußen nach der DSGVO
Die DSGVO sieht zwei Stufen vor:
- Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für Verstöße gegen die Pflichten von Verantwortlichen und Auftragsverarbeitern, einschließlich der Anforderungen an Datenschutzbeauftragte, Datenschutz-Folgenabschätzungen und Meldepflichten bei Datenschutzverletzungen (Art. 83 Abs. 4).
- Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes für Verstöße gegen die Grundsätze der Verarbeitung, die Einwilligungsanforderungen, die Rechte betroffener Personen und die Regeln zu grenzüberschreitenden Übermittlungen (Art. 83 Abs. 5).
Strafrechtliche Sanktionen nach dem BDSG
Das BDSG geht weiter als die meisten EU-Mitgliedstaaten, indem es strafrechtliche Haftung vorsieht:
- § 42 Abs. 1: bis zu drei Jahre Freiheitsstrafe oder Geldstrafe für die unbefugte Übermittlung einer großen Menge personenbezogener Daten an Drittländer oder deren unbefugte Zugänglichmachung, sofern die Daten geschäftsmäßig verarbeitet oder zu geschäftlichen Zwecken erlangt wurden.
- § 42 Abs. 2: bis zu zwei Jahre Freiheitsstrafe oder Geldstrafe für die unbefugte Verarbeitung personenbezogener Daten oder deren Erlangung durch unrichtige Angaben, in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
- § 43: Verwaltungsgeldbußen von bis zu 50.000 Euro für geringfügige Verstöße und bis zu 300.000 Euro für schwerere Verstöße, die die Schwelle zur Strafbarkeit nicht erreichen.
Die strafrechtliche Haftung trifft natürliche Personen, nicht Unternehmen. Die Strafverfolgung setzt einen Strafantrag der betroffenen Person, der Aufsichtsbehörde oder der BfDI voraus.
Bemerkenswerte Durchsetzungsmaßnahmen
Die dezentrale Durchsetzungsstruktur Deutschlands hat einige der höchsten DSGVO-Geldbußen Europas hervorgebracht.
Vodafone: 45 Millionen Euro (2025)
In der bislang größten Durchsetzungsmaßnahme der BfDI wurde die Vodafone GmbH im März 2025 mit einer Geldbuße von insgesamt 45 Millionen Euro belegt, 15 Millionen Euro und 30 Millionen Euro in zwei zusammenhängenden Entscheidungen, zuzüglich einer Verwarnung. Die BfDI stellte fest, dass Vodafone seine beauftragten Vertriebspartner unzureichend überwacht und geprüft und Schwachstellen im Authentifizierungsverfahren des Online-Kundenportals zugelassen hatte, die den Missbrauch von eSIMs hätten ermöglichen können. Die Verstöße betrafen Art. 28 Abs. 1 und Art. 32 Abs. 1 DSGVO: unzureichende Auftragsverarbeitungsverträge und unzureichende Sicherheit der Verarbeitung.
H&M: 35,3 Millionen Euro (2020)
Der Hamburgische Beauftragte für Datenschutz verhängte am 1. Oktober 2020 gegen H&M Hennes and Mauritz Online Shop A.B. & Co. KG eine Geldbuße von 35.258.707,95 Euro wegen systematischer Überwachung von Beschäftigten im Servicecenter Nürnberg. Seit mindestens 2014 hatten Führungskräfte nach Abwesenheiten der Beschäftigten ausführliche Rückkehrgespräche geführt und dabei Informationen über Urlaubsaktivitäten, familiäre Probleme, religiöse Überzeugungen und medizinische Diagnosen festgehalten. Diese Notizen wurden auf einem Netzlaufwerk gespeichert, auf das bis zu 50 Führungskräfte zugreifen konnten. Der Verstoß kam im Oktober 2019 ans Licht, als ein Konfigurationsfehler die Dateien vorübergehend unternehmensweit sichtbar machte.
Deutsche Wohnen: 14,5 Millionen Euro und das EuGH-Urteil
Der Berliner Beauftragte für Datenschutz verhängte im Oktober 2019 eine Geldbuße von 14,5 Millionen Euro gegen die Deutsche Wohnen SE wegen der Speicherung personenbezogener Daten von Mietern in einem Archivsystem ohne Löschmechanismus für nicht mehr benötigte Daten. Der Fall führte anschließend zu einem der bedeutendsten DSGVO-Urteile bis heute.
Als ein Berliner Amtsgericht die Geldbuße im Februar 2021 mit der Begründung aufhob, Geldbußen könnten nur verhängt werden, wenn eine konkret schuldhaft handelnde Person identifiziert werde, wurde die Frage dem EuGH vorgelegt. Am 5. Dezember 2023 erging das Urteil in der Rechtssache C-807/21. Der EuGH entschied erstens, dass das deutsche Modell, wonach eine Geldbuße gegen ein Unternehmen die Zurechnung an eine bestimmte natürliche Person voraussetzt, mit der DSGVO unvereinbar ist; Unternehmen können unmittelbar für institutionelles Versagen mit einer Geldbuße belegt werden. Zweitens wies der Gerichtshof eine verschuldensunabhängige Haftung zurück: Eine Geldbuße darf nur verhängt werden, wenn der Verantwortliche den Verstoß vorsätzlich oder fahrlässig begangen hat. Das Urteil hat europaweite Bedeutung dafür, wie DSGVO-Geldbußen berechnet und angefochten werden.
notebooksbilliger.de: 10,4 Millionen Euro (2021)
Die niedersächsische Datenschutzbehörde verhängte gegen den Elektronikhändler notebooksbilliger.de AG eine Geldbuße von 10,4 Millionen Euro, weil er über mehr als zwei Jahre ohne Rechtsgrundlage Videoüberwachungskameras zur Beobachtung von Beschäftigten an Arbeitsplätzen, in Verkaufsräumen und Lagerhallen betrieben hatte. Es hatte kein konkreter Verdacht strafbaren Verhaltens vorgelegen, der die Überwachung gerechtfertigt hätte.
1&1 Telecom: Auf 9,55 Millionen Euro reduziert (2019)
Die BfDI verhängte gegen die 1&1 Telecom GmbH eine Geldbuße von 9,55 Millionen Euro, weil sich das Unternehmen bei der Verifizierung von Anrufern in Callcentern ausschließlich auf Name und Geburtsdatum verließ. Das Amtsgericht Bonn reduzierte die Geldbuße anschließend aus Gründen der Verhältnismäßigkeit um 90 Prozent und stellte damit fest, dass die ursprüngliche Berechnung überhöht war, auch wenn der zugrunde liegende Verstoß tatsächlich vorlag.
Durchsetzungstrends: Kleine und mittlere Unternehmen im Fokus
Zwischen 2018 und 2024 verhängten die deutschen Aufsichtsbehörden insgesamt Geldbußen von rund 160 Millionen Euro nach der DSGVO. Der Schwerpunkt der Durchsetzung hat sich verschoben. In den ersten Jahren lag der Fokus auf Großunternehmen; seit 2024 hat sich der Schwerpunkt zu kleinen und mittleren Unternehmen sowie kleinen Website-Betreibern verlagert. Durchschnittliche Sanktionen gegen kleine Unternehmen reichen inzwischen von 50.000 bis 200.000 Euro, fünf- bis zehnmal höher als 2020.
Praktische Compliance-Checkliste für Organisationen in Deutschland
Organisationen, die personenbezogene Daten in Deutschland verarbeiten, sollten Folgendes berücksichtigen:
- Bestellen Sie einen Datenschutzbeauftragten, wenn mindestens 20 Personen mit der automatisierten Datenverarbeitung befasst sind oder wenn Sie eine Hochrisikoverarbeitung durchführen oder gewerbsmäßig mit personenbezogenen Daten handeln.
- Implementieren Sie einen konformen Mechanismus zur Cookie-Einwilligung, der nicht notwendige Cookies standardmäßig deaktiviert und eine aktive Opt-in-Einwilligung verlangt, bevor Tracking-Technologien aktiviert werden.
- Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten, wie es Art. 30 DSGVO vorschreibt.
- Führen Sie Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen durch, insbesondere bei Beschäftigtenüberwachung, umfangreichem Profiling und KI-gestützter Entscheidungsfindung.
- Richten Sie ein 72-Stunden-Verfahren zur Meldung von Datenschutzverletzungen ein und testen Sie es, bevor ein Vorfall eintritt.
- Überprüfen Sie alle grenzüberschreitenden Übermittlungen mit dokumentierten Transfer Impact Assessments für jeden Zielstaat.
- Aktualisieren Sie die Datenschutzhinweise für Beschäftigte, um nach dem EuGH-Urteil zu § 26 die konkrete Rechtsgrundlage nach Art. 6 DSGVO für jede Verarbeitungstätigkeit anzugeben.
- Konsultieren Sie den Betriebsrat, bevor Sie ein Überwachungs-, Analyse- oder KI-System einführen, das Verhaltensdaten von Beschäftigten verarbeitet.
- Dokumentieren Sie Löschfristen und setzen Sie technische Kontrollen um, um Daten nach Ablauf der Speicherfrist zu löschen.
- Bestimmen Sie Ihre zuständige Aufsichtsbehörde anhand des Standorts Ihrer Niederlassung und Ihres Sektors.
- Bewerten Sie Ihre Pflichten nach der EU-KI-Verordnung, wenn Sie KI-Systeme entwickeln, einsetzen oder nutzen, insbesondere bei Einstellung, Kreditvergabe, Betrugserkennung oder öffentlichen Dienstleistungen, und stimmen Sie die Dokumentation der Datenschutz-Folgenabschätzung mit der Konformitätsdokumentation der KI-Verordnung ab.
Frequently Asked Questions
Wie unterscheidet sich der deutsche Datenschutzrahmen von der DSGVO allein?
Deutschland ergänzt die DSGVO durch das Bundesdatenschutzgesetz (BDSG), das in mehreren Bereichen strengere Anforderungen hinzufügt. Dazu zählen ein niedrigerer Schwellenwert für die verpflichtende Bestellung eines Datenschutzbeauftragten (20 Beschäftigte, die mit automatisierter Verarbeitung befasst sind), strafrechtliche Sanktionen einschließlich bis zu drei Jahren Freiheitsstrafe für schwere Verstöße, konkrete Regeln zu Videoüberwachung und Kredit-Scoring sowie verstärkter Schutz für Beschäftigtendaten. Deutschland setzt zudem das TDDDG für den Datenschutz bei Telekommunikation und digitalen Diensten durch, einschließlich strenger Regeln zur Cookie-Einwilligung. Das Ergebnis ist ein mehrstufiges System, in dem die DSGVO die Grundlage bildet und das deutsche nationale Recht die Anforderungen dort anhebt, wo die Öffnungsklauseln der DSGVO dies erlauben.
Welche deutsche Aufsichtsbehörde ist für meine Organisation zuständig?
Die Zuständigkeit hängt von der Art und dem Standort Ihrer Organisation ab. Bundesbehörden, Telekommunikationsanbieter und Postdienstleister unterliegen der BfDI. Alle anderen privaten Stellen, also Unternehmen, Nichtregierungsorganisationen und Freiberufler, unterliegen der Datenschutzbehörde des Bundeslandes, in dem die Organisation ihren Sitz hat. Bayern verfügt als einziges Land über zwei Behörden: eine für öffentliche Stellen und eine für den privaten Sektor. Ist Ihre Organisation in mehreren Bundesländern tätig, übernimmt die Behörde am Sitz Ihrer Hauptniederlassung die Federführung, während andere Landesbehörden für Beschwerden von Einwohnern ihres Bundeslandes weiterhin zuständig bleiben.
Welche strafrechtlichen Sanktionen drohen bei Datenschutzverstößen in Deutschland?
Nach § 42 BDSG drohen Personen, die unbefugt große Mengen personenbezogener Daten an Drittländer übermitteln oder geschäftsmäßig verarbeitete Daten unbefugt zugänglich machen, bis zu drei Jahre Freiheitsstrafe. Wer Daten unbefugt verarbeitet oder durch Täuschung erlangt, in der Absicht, sich zu bereichern oder Schaden zuzufügen, muss mit bis zu zwei Jahren Freiheitsstrafe rechnen. Diese strafrechtlichen Vorschriften gelten für natürliche Personen, nicht für Unternehmen. Die Strafverfolgung setzt einen förmlichen Strafantrag der betroffenen Person, der Aufsichtsbehörde oder der BfDI voraus. Diese strafrechtlichen Sanktionen bestehen neben den Verwaltungsgeldbußen der DSGVO, sodass ein einzelner Vorfall sowohl eine Unternehmensgeldbuße als auch eine strafrechtliche Verfolgung einer Einzelperson auslösen kann.
Was hat sich beim Beschäftigtendatenschutz geändert, nachdem der EuGH § 26 BDSG für unanwendbar erklärt hat?
Der EuGH entschied im März 2023 (Rechtssache C-34/21), dass § 26 Abs. 1 Satz 1 BDSG lediglich die allgemeinen Bestimmungen der DSGVO wiederholt, anstatt tatsächlich spezifischere Regeln im Sinne von Art. 88 vorzusehen. Das Bundesarbeitsgericht erklärte die Vorschrift daraufhin für unanwendbar. Arbeitgeber müssen sich nun auf Art. 6 Abs. 1 lit. b DSGVO für die zur Durchführung des Beschäftigungsverhältnisses erforderliche Verarbeitung sowie auf Art. 6 Abs. 1 lit. f für berechtigte Interessen, abgewogen gegen die Rechte der Beschäftigten, stützen. Andere Teile des § 26, einschließlich der Anerkennung von Betriebsvereinbarungen als Rechtsgrundlage und strengerer Formanforderungen für die Einwilligung von Beschäftigten, gelten weiterhin. Das geplante Beschäftigtendatengesetz, das § 26 hätte ersetzen sollen, verfiel, als die Koalition im November 2024 zerbrach.
Was hat der EuGH im Fall Deutsche Wohnen (C-807/21) entschieden?
Am 5. Dezember 2023 klärte der EuGH zwei zentrale Fragen zur unternehmerischen Haftung nach der DSGVO. Erstens entschied er, dass Unternehmen unmittelbar für DSGVO-Verstöße mit einer Geldbuße belegt werden können, ohne dass eine bestimmte schuldhaft handelnde Person identifiziert werden muss; das deutsche Modell, das eine Zurechnung an eine natürliche Person voraussetzt, ist mit der DSGVO unvereinbar. Zweitens wies der Gerichtshof eine verschuldensunabhängige Haftung zurück: Eine Geldbuße darf nur verhängt werden, wenn der Verantwortliche den Verstoß vorsätzlich oder fahrlässig begangen hat. Organisatorisches Verschulden, etwa das Versäumnis, ein angemessenes Compliance- und Datenschutzmanagementsystem einzurichten, kann diese Voraussetzung erfüllen. Das Urteil hat unmittelbare Bedeutung für alle EU-Mitgliedstaaten dafür, wie Datenschutz-Geldbußen berechnet und angefochten werden.
Wie wirkt die EU-KI-Verordnung in Deutschland mit der DSGVO zusammen?
Die EU-KI-Verordnung, die in Etappen bis August 2026 vollständig in Kraft tritt, fügt eine parallele Compliance-Ebene für Organisationen hinzu, die KI-Systeme entwickeln oder einsetzen. Hochrisiko-KI-Anwendungen, etwa im Einstellungswesen, im Kredit-Scoring oder bei der biometrischen Identifizierung, müssen sowohl die Konformitätsanforderungen der KI-Verordnung als auch die Anforderungen der DSGVO an Rechtsgrundlage und Rechte betroffener Personen erfüllen. Die deutsche DSK veröffentlichte im Mai 2024 ihre erste Orientierungshilfe zu generativer KI, und die BfDI startete 2025 eine Konsultation zu KI-Modellen. Deutsche Behörden legen Art. 22 DSGVO, der vollständig automatisierte Entscheidungen beschränkt, streng aus, das heißt, eine tatsächliche menschliche Kontrolle muss wirklich umgesetzt und darf nicht nur formal vorgesehen sein.
Wird Deutschland seine Datenschutzaufsicht zentralisieren?
Der Koalitionsvertrag 2025 zwischen CDU/CSU und SPD schlägt vor, die Datenschutzaufsicht über den privaten Sektor bei einer umbenannten BfDI zu bündeln, wobei die DSK die Befugnis erhalten soll, verbindliche Standards zu erlassen. Der Vertrag sieht zudem Ausnahmen von der DSGVO für kleine und mittlere Unternehmen sowie für risikoarme Verarbeitung vor. Koalitionsverträge sind jedoch keine bindende Gesetzgebung. Verfassungsrechtliche Fragen zum Föderalismus und zur Unabhängigkeit der Landesbehörden machen diese Reform komplex, und die vollständige Umsetzung wird voraussichtlich mehrere Jahre in Anspruch nehmen. Unternehmen müssen sich in der Zwischenzeit weiterhin in der bestehenden Struktur mit mehreren Behörden zurechtfinden.
Sources and References
- Bundesdatenschutzgesetz (BDSG) - Englische Übersetzung(gesetze-im-internet.de).gov
- Bundesverfassungsgericht - Volkszählungsurteil vom 15. Dezember 1983(bundesverfassungsgericht.de).gov
- BfDI - Bundesbeauftragte für den Datenschutz und die Informationsfreiheit(bfdi.bund.de).gov
- BfDI - Aufgaben und Befugnisse der Bundesbeauftragten(bfdi.bund.de).gov
- BfDI - Datenschutzkonferenz(bfdi.bund.de).gov
- Volltext der DSGVO (EU) 2016/679(eur-lex.europa.eu).gov
- EDSA - Hamburgischer Beauftragter verhängt Geldbuße von 35,3 Millionen Euro gegen H&M(edpb.europa.eu).gov
- EDSA - Berliner Beauftragter verhängt Geldbuße gegen Deutsche Wohnen(edpb.europa.eu).gov
- EDSA - BfDI verhängt Geldbuße von 45 Millionen Euro gegen Vodafone (2025)(edpb.europa.eu).gov
- EDSA - Leitlinien zur Meldung von Datenschutzverletzungen(edpb.europa.eu).gov
- Europäische Kommission - Angemessenheitsbeschluss EU-US Data Privacy Framework(ec.europa.eu).gov
- BfDI - 33. Tätigkeitsbericht 2024(bfdi.bund.de).gov
- BfDI - Konsultation zu KI-Modellen 2025(bfdi.bund.de).gov
- Datenschutzkonferenz (DSK) - Offizielles Portal(datenschutzkonferenz-online.de).gov
- GDPRhub - EuGH C-807/21 Deutsche Wohnen, Urteil zum organisatorischen Verschulden(gdprhub.eu)
- DLA Piper Privacy Matters - Koalitionsvertrag 2025: Zentralisierungspläne(privacymatters.dlapiper.com)
- activeMind.legal - EuGH erklärt Teile des § 26 BDSG für nichtig(activemind.legal)
- Hogan Lovells - Entwurf für ein deutsches Beschäftigtendatengesetz veröffentlicht(hoganlovells.com)
- EDSA - Geldbuße von 1,2 Milliarden Euro gegen Facebook (Meta)(edpb.europa.eu).gov