Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat seinen Tätigkeitsbericht für das Jahr 2025 vorgelegt. Die Pressemitteilung dazu hebt – erwartbar – die gestiegenen Zahlen hervor. Wer genauer hinschaut, entdeckt dahinter etwas Interessanteres: Ein strukturelles Bild davon, wie Datenschutz in der Praxis gerade wirklich funktioniert – oder auch nicht.
Beschwerden beim ULD und gemeldete Datenpannen steigen seit Jahren, 2025 nochmals deutlich. Das lässt sich auf zwei Arten lesen.
Die eine: Datenschutz ist als Grundrecht so präsent wie nie zuvor, Menschen nehmen ihre Rechte wahr, und Datenpannen werden – wie es die DSGVO verlangt – tatsächlich gemeldet.
Die andere, weniger bequeme Lesart: Viele Unternehmen und Behörden verarbeiten personenbezogene Daten nach wie vor auf eine Weise, die Fehler und Konflikte geradezu produziert.
Beides ist wahr, und beides zusammen erklärt, warum die Aufsicht an ihre Kapazitätsgrenzen stößt.
Auffällig ist, dass der Schwerpunkt der Beschwerden klar im nichtöffentlichen Bereich liegt. Unternehmen sind das Hauptziel. Das ist kein Zufall: Gerade dort, wo kommerzielle Interessen mit Datenverarbeitung verbunden sind, und wo Betroffene das spüren, entsteht Konfliktpotenzial.
Videoüberwachung: Das Problem ist nicht die Kamera
Videoüberwachung ist nach wie vor der klassische Dauerbrenner im Beschwerdegeschäft der Aufsicht. In Sportvereinen, Restaurants, Schwimmbädern, Taxis. Die Landesdatenschutzbeauftragte stellt klar: „Nicht jede Videoüberwachung ist datenschutzrechtlich unzulässig – offenbar denken dies aber viele Menschen.“
Das eigentliche Problem liegt woanders. Nicht die Kamera an sich, sondern fehlende rechtliche Prüfung, falsche Kamerawinkel, überlange Speicherfristen und das Fehlen jedes Hinweisschildes: Das sind die Schwachstellen, an denen es regelmäßig scheitert. Wer eine Kamera montiert, ohne sich um die Grundlagen zu kümmern, provoziert Beschwerden – unabhängig davon, ob der Einsatz im Kern gerechtfertigt gewesen wäre. Die Technik funktioniert. Die Rechtsprüfung davor oft nicht.
Datenpannen: Fehlkuvert und Cyberangriff liegen näher beieinander, als man denkt
Die gemeldeten Datenpannen reichen von falsch kuvertierten Briefen über fehlerhafte Softwarekonfigurationen bis zu kriminellen Cyberangriffen. Diese Bandbreite ist aufschlussreich. Sie zeigt, dass Datenpannen kein Spezialthema für IT-Abteilungen sind, sondern mitten in der Aufbau- und Ablauforganisation entstehen – beim Postversand ebenso wie beim nächsten Softwareupdate.
Wer Datenpannen ausschließlich als IT-Risiko behandelt, hat das Problem falsch verstanden. Und wer glaubt, bei ihm passiere so etwas nicht, wird früher oder später vom Gegenteil überrascht – und steht dann ohne Notfallplan da. Die entscheidende Frage ist nicht, ob eine Panne passiert, sondern ob die Organisation dann weiß, was zu tun ist.
Geldbußen: Selten, aber gezielt
Das ULD hat 2025 fünf Geldbußen verhängt. Im Verhältnis zur Gesamtzahl der Fälle ist das wenig – was aber nicht bedeutet, dass die Sanktionsbereitschaft der Behörde gering wäre. Die Fälle betreffen den medizinischen Bereich, Finanzdienstleistungen und – besonders bemerkenswert – unbefugte Datenzugriffe durch Mitarbeitende in einem Jobcenter.
Gerade dieser letzte Punkt verdient Aufmerksamkeit. Interne Zugriffe ohne Berechtigung werden nicht mehr als disziplinarische Interna behandelt, sondern als das, was sie sind: Datenschutzverstöße mit Außenwirkung. Die Botschaft an Verantwortliche ist eindeutig: „Das regeln wir intern“ ist keine Datenschutzstrategie.
Beratung als eigentliches Steuerungsinstrument
Der vielleicht wichtigste Befund des Berichts hat wenig mit Zahlen zu tun. Das ULD baut sein Beratungsangebot konsequent aus – für Unternehmen, für öffentliche Stellen, für Start-ups. Das Format „Frag‘ für ’nen Freund“ zielt darauf ab, den Austausch zwischen Verantwortlichen und Aufsicht zu normalisieren und Hemmschwellen abzubauen. Dass eine Datenschutzbehörde Hemmschwellen abbauen muss, um ins Gespräch zu kommen, sagt einiges über den bisherigen Zustand dieses Gesprächs.
Dahinter steckt eine klare Philosophie. Die Landesdatenschutzbeauftragte bringt sie auf den Punkt: „Wer gleich die Weichen für seine Datenverarbeitung richtigstellt, beugt späteren Problemen und Pannen vor.“ Aus dem Kontrolleur wird, zumindest in der Beratungsphase, ein Sparringspartner. Diese Entwicklung ist für alle Beteiligten sinnvoller als eine Aufsicht, die erst nach der Panne auf den Plan tritt – und dann auch noch überrascht wirkt.
Der Blick nach vorn: Wenn die Pflicht beim Hersteller beginnt
Das ULD bringt sich aktiv in die laufende Datenschutzreform auf EU-Ebene ein. Der Kern des Vorschlags: Da das Cybersicherheitsrecht Hersteller internetfähiger Produkte bereits über die gesamte Lieferkette zur „Sicherheit by Design“ verpflichtet, liegt es nahe, denselben Ansatz auch für den Datenschutz ernsthaft einzufordern. Die Landesdatenschutzbeauftragte fasst das Zielbild so zusammen: „Wir brauchen weniger Abhängigkeiten, mehr Verlässlichkeit und Transparenz, mehr Garantien für europäische Werte – und das bedeutet im Endeffekt: Datenschutz im Schulterschluss mit der digitalen Souveränität.“
Das ist kein unrealistisches Wunschdenken. Es ist die logische Konsequenz aus einer Entwicklung, bei der Datenschutz-Compliance auf der „letzten Meile“ beim Verantwortlichen nicht funktionieren kann, wenn die Produkte und Systeme, auf die er angewiesen ist, datenschutzrechtlich nicht beherrschbar sind.
Oder anders gesagt: Wer ein undichtes Rohr verkauft, sollte sich nicht wundern, wenn der Installateur die Haftung ablehnt.