Am 24. März 2026 stellte die Sächsische Datenschutz- und Transparenzbeauftragte, Fr. Dr. Julina Hundert, ihren Tätigkeitsbericht für das Jahr 2025 vor. Auf geballten 260 Seiten stellt die sächsische Datenschutzaufsichtsbehörde aktuelle datenschutzrechtliche Themen und Prüfungen aus dem vergangenen Jahr aus Wirtschaft und Verwaltung vor. Im heutigen Beitrag wollen uns einen kurzen Überblick über die wichtigsten Aspekte verschaffen.
Meldungen zu Datenschutzverletzungen und Beschwerden auf einem neuen Hoch
Hervorzuheben ist zunächst, dass es auch im Jahr 2025 einen erneuten Anstieg an gemeldeten Datenschutzverletzungen zu verzeichnen gibt. Im Berichtszeitraum sind 1.058 Meldungen nach Art. 33 DS-GVO bei der Aufsichtsbehörde abgesetzt wurden. Dies ist im Vergleich zum Vorjahr eine Steigerung um ca. 5%. Zu den häufigsten Verletzungshandlungen zählen Fehlversendungen, offene E-Mail-Verteiler, Verlust auf dem Postweg, Hacking bzw. Schadcode, kompromittierte E-Mail-Konten sowie Einbruch und Diebstahl. Diese Fallgruppen sind nahezu identisch zu denen des vorangegangenen Jahres.
Ein deutlicherer Anstieg ist bei den Beschwerden zu verzeichnen. So gingen im Berichtszeitraum 1.614 Eingaben bei der Behörde ein. Dies ist im Vergleich zu 2024 ein Anstieg um 29%. Der Zuwachs betraf sowohl den nichtöffentlichen als auch den öffentlichen Bereich. Sofern man ein wenig über den Tellerrand blickt, dass sind bei vielen deutschen Aufsichtsbehörden die Beschwerdezahlen deutlich angestiegen. Wie auch die sächsische Behörde betont, stellt dies zunehmend ein Ressourcenproblem dar.
Entwicklungen auf dem Gebiet der Künstliche Intelligenz
Das Thema Künstliche Intelligenz bzw. KI ist aus dem Arbeitsalltag in Verwaltung und Wirtschaft nicht mehr wegzudenken. Über die datenschutzrechtlichen Anforderungen bei der Nutzung von KI und die datenschutzrechtlichen Transparenzanforderungen bei Nutzung von KI haben wir bereits berichtet. Ebenso nimmt die Aufsichtsbehörde das Thema auf die Agenda. Interessant ist hierbei vor allem der Hinweis, dass die sächsische Landesregierung mit der Beteilung der Sächsischen Datenschutzbeauftragten Regeln zum rechtskonformen Einsatz von KI in der öffentlichen Verwaltung erarbeitet (vgl. Ziff. 1.3). Weiterhin wird das In-Kraft-Treten der Verordnung über künstliche Intelligenz (KI‑Verordnung oder KI‑VO) und der nunmehr geltenden Pflichten adressiert, Ziff. 6.1.
„Einblicke in die sächsische Webseitenlandschaft und Nachprüfung von Google Analytics“
Einen Blick wert sind die Ausführungen zur Kontrolle der Internetpräsenzen (vgl. Ziff. 4.1.1 f.) durch die Behörde. In den Jahren 2024 und 2025 wurden insgesamt 32.981 Webseiten von sächsischen Unternehmen, Vereinen und Behörden automatisiert geprüft. Eine (bekannte) Auffälligkeit war hierbei die hohe Anzahl der Einbindung von Google-Diensten ohne Einwilligung der Nutzenden. Nach schriftlichen Anschreiben im Jahr 2024 wurden 2025 dann gegen einzelne Verantwortliche, welche keine Anpassung Ihrer Webseiten vorgenommen hatten (insgesamt 803 verantwortliche Stellen) gezielt aufsichtsbehördliche Verfahren eingeleitet. Den Verantwortlichen wurde ein Informationsersuchen mit Ankündigung eines Verwaltungsverfahrens übermittelt.
Neben den Einzelverfahren wurden ebenfalls automatisierte Prüfungen durchgeführt. Im Oktober 2025 wurden so 29.260 Webseiten geprüft. Analysiert wurde der initiale Aufruf der Website sowie zwei weitere Unterseiten, ohne jegliche Interaktion mit der Website, also ohne erteilte Einwilligungen. Insgesamt 65,5 % dieser Webseiten führten ohne Einwilligung Netzwerkanfragen an Drittanbieter durch. Auffällig ist die weiterhin hohe Quantität der
Einbindungen von Google-Diensten ohne Einwilligung. Die Zahlen zeigen 8.562 Webseiten (29.3 %) mit Verbindungen zu Google LLC. Diese Verbindungen werden initiiert durch die Einbettung diverser Dienste, wie insbesondere Google Fonts, aber auch Google Tag Manager, Google Maps, Google Analytics oder Youtube. Daneben liegt nach wie vor eine hohe Anzahl an generellen Drittanbietern vor. Externe Verbindungen werden dabei insbesondere zu großen Dienstanbietern aufgebaut wie Cloudflare, Amazon und Facebook sowie zu Consent-Management-Anbietern wie Usercentrics oder eRecht24 und Webseitenbuilder wie Jimdo oder WordPress oder zu Services zur Einbindung externer Ressourcen wie OpenJS oder Fonticons. 54,4 % der Webseiten speicherten zudem Cookies. Insgesamt wurden 52.967 Cookies gesetzt, im Schnitt rund zwei Cookies pro Webseite.
Es sind allesamt interessante Zahlen und verdeutlicht für die Verantwortlichen, dass die Internetpräsenzen als Tor nach Außen datenschutzrechtlich sauber gehalten werden müssen. Wer hier Nachbesserungsbedarf hat, sollte dich dieses Tham zwingend auf die Agenda setzen.
Und dann ist da noch der Beschäftigtendatenschutz
Selbstverständlich darf auch der Beschäftigtendatenschutz als zentrales Element des Datenschutzrechtes nicht zur kurz kommen. So haben es einige bemerkenswerte Fälle in den aktuellen Bericht geschafft.
Den Anfang macht ein Prüfverfahren zum datenschutzkonformen Einsatz der Funktion „Anwesenheitsübersicht“ eines elektronischen Zeiterfassungssystems in einem Finanzamt (vgl. Ziff. 2.2.18). Hierbei verwundert insbesondere die Darstellung „Im Bereich der Finanzämter war die Funktion zunächst so ausgestaltet, dass jede/r Beschäftigte bei jeder/jedem anderen Beschäftigten eines Finanzamtes den Status einsehen konnte. Die Statusdaten umfassten zu Beginn die Angaben „anwesend“, „Telearbeit/mobiles Arbeiten“, „Dienstgang/Dienstreise“, „abwesend“ (mit hinterlegter Fehlzeit für geplante Abwesenheit, zum Beispiel Urlaub), „abwesend“ (ohne hinterlegte Fehlzeit für ungeplante Abwesenheit, zum Beispiel Pause, Kind krank.“ Den geneigten Lesern drängt sich hier bereits auf, dass dies mit den datenschutzrechtlichen Grundsätzen nicht übereinstimmen kann. Die Aufsichtsbehörde sah hierin einen Verstoß gegen das Erforderlichkeitsprinzip (hier im Rahmen des § 11 Abs 1 Satz 1 Sächsisches Datenschutzdurchführungsgesetz – SächsDSDG) sowie den Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 lit. c DS-GVO).
Auch die vorgebrachten Gründe der Personaleinsatzplanung seitens des Dienstherren konnten hier nicht überzeugen: „Es erschließt sich nicht, inwieweit die Information zum aktuellen An- und Abwesenheitsstatus und zur Angabe des Arbeitsortes, das heißt, einer Momentaufnahme überhaupt für eine Personaleinsatzplanung, geeignet sein soll […] Allgemeine und pauschale Aussagen, dass dies für die Personaleinsatzplanung vor dem Hintergrund des orts- und arbeitszeitflexiblen Arbeitens sowie einer Vielzahl von Arbeitszeitmodellen, die nicht in Planungsszenarien gefasst werden könnten, zwingend erforderlich sei, genügen den Anforderungen an eine datenschutzrechtliche Erforderlichkeit jedenfalls nicht.“ Ebenso verfangen weiteren Argumente der Organisation der Arbeitsabläufe („Der Verantwortliche trug zwar umfangreich vor und beschrieb dabei eine Vielzahl von Anwendungsfällen und Prozessen, diese ließen jedoch teilweise Zweifel aufkommen, ob sich derartige Prozesse mit der Lebenswirklichkeit bzw. üblichen Verwaltungspraxis in Einklang bringen lassen.“).
Der Fall liest sich nahezu schulbuchartig, denn die Aufsicht führt in der Folge noch zur Leistungs- und Verhaltenskontrolle sowie dem Transparenzgrundsatz aus (vgl. Art. 5 Abs. 1 lit. a) DS-GVO). Am Ende stehen Anordnungen gegenüber den 24 Finanzämtern zu Beschränkung von Zugriffsberechtigungen nach Art. 58 Abs. 2 lit. f) DS-GVO. Für die Praxis zeigt uns der Fall, dass Verarbeitungstätigkeiten, welche tendenziell die Leistungs- und Verhaltenskontrolle von Beschäftigten ermöglich, wohl geprüft und begründet werden müssen. Allein pauschale Angaben genügen – wenig überraschend – nicht.
Spannende Fälle aus dem Beschäftigtenbereich liefert der Bericht zudem zur „Veröffentlichung von Beschäftigtendaten im Internet“ (vgl. Ziff. 2.3.1) und zur Thematik „Krankenbesuche durch den Arbeitgeber“ (vgl. Ziff. 2.3.2). Insbesondere der zweite Fall enthält eine datenschutzrechtlich interessante Ausführung, denn die Aufsichtsbehörde bezieht sich bei Ihren Ausführungen zur Einwilligung bei Gesundheitsdaten neben Art. 9 DS-GVO auf § 26 Abs. 3 BDSG. Dies streitet dafür, dass die Behörde diese Norm im Lichte der Rechtsprechung des Europäischen Gerichtshof und des Bundesarbeitsgericht weiterhin für anwendbar hält.
Fazit
Der aktuelle Tätigkeitsbericht enthält eine Vielzahl spannender und teilweise auch kurioser Fallgestaltungen (Stichwort Hasenstallfall (Ziff. 6.1.3.1). Neben den dargestellten Berichten und Fällen widmet sich die Aufsicht auch wieder dem Thema Videoüberwachung, u.a. an Tiefgaragenausfahrten (Ziff. 2.2.5), im Fitnessstudio (Ziff. 2.26), zum Schutz von Warenautomaten (Ziff. 2.2.7) und in einer Flüchtlingsunterkunft (Ziff. 2.2.8) sowie der Verarbeitung von Daten Minderjähriger, bspw. bei der Aufnahme von Videobildern bei Fußballspielen im Kinder- und Jugendbereich mithilfe von Kameradrohnen zur taktischen Auswertung (Ziff. 2.3.6). Spannend ist zudem der Fall des Telepräsenz-Avatars im Unterricht (Ziff. 2.2.9). Ein Blick in den Bericht lohnt sich daher allemal.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
