Am 24. März 2026 stellte die Sächsische Datenschutz- und Transparenzbeauftragte, Fr. Dr. Julina Hundert, ihren Tätigkeitsbericht für das Jahr 2025 vor. Auf geballten 260 Seiten stellt die sächsische Datenschutzaufsichtsbehörde aktuelle datenschutzrechtliche Themen und Prüfungen aus dem vergangenen Jahr aus Wirtschaft und Verwaltung vor. Im heutigen Beitrag wollen uns einen kurzen Überblick über die wichtigsten Aspekte verschaffen.

Meldungen zu Datenschutzverletzungen und Beschwerden auf einem neuen Hoch

Hervorzuheben ist zunächst, dass es auch im Jahr 2025 einen erneuten Anstieg an gemeldeten Datenschutzverletzungen zu verzeichnen gibt. Im Berichtszeitraum sind 1.058 Meldungen nach Art. 33 DS-GVO bei der Aufsichtsbehörde abgesetzt wurden. Dies ist im Vergleich zum Vorjahr eine Steigerung um ca. 5%. Zu den häufigsten Verletzungshandlungen zählen Fehlversendungen, offene E-Mail-Verteiler, Verlust auf dem Postweg, Hacking bzw. Schadcode, kompromittierte E-Mail-Konten sowie Einbruch und Diebstahl. Diese Fallgruppen sind nahezu identisch zu denen des vorangegangenen Jahres.

Ein deutlicherer Anstieg ist bei den Beschwerden zu verzeichnen. So gingen im Berichtszeitraum 1.614 Eingaben bei der Behörde ein. Dies ist im Vergleich zu 2024 ein Anstieg um 29%. Der Zuwachs betraf sowohl den nichtöffentlichen als auch den öffentlichen Bereich. Sofern man ein wenig über den Tellerrand blickt, dass sind bei vielen deutschen Aufsichtsbehörden die Beschwerdezahlen deutlich angestiegen. Wie auch die sächsische Behörde betont, stellt dies zunehmend ein Ressourcenproblem dar.

Entwicklungen auf dem Gebiet der Künstliche Intelligenz

Das Thema Künstliche Intelligenz bzw. KI ist aus dem Arbeitsalltag in Verwaltung und Wirtschaft nicht mehr wegzudenken. Über die datenschutzrechtlichen Anforderungen bei der Nutzung von KI und die datenschutzrechtlichen Transparenzanforderungen bei Nutzung von KI haben wir bereits berichtet. Ebenso nimmt die Aufsichtsbehörde das Thema auf die Agenda. Interessant ist hierbei vor allem der Hinweis, dass die sächsische Landesregierung mit der Beteilung der Sächsischen Datenschutzbeauftragten Regeln zum rechtskonformen Einsatz von KI in der öffentlichen Verwaltung erarbeitet (vgl. Ziff. 1.3). Weiterhin wird das In-Kraft-Treten der Verordnung über künstliche Intelligenz (KI‑Verordnung oder KI‑VO) und der nunmehr geltenden Pflichten adressiert, Ziff. 6.1.

„Einblicke in die sächsische Webseitenlandschaft und Nachprüfung von Google Analytics“

Einen Blick wert sind die Ausführungen zur Kontrolle der Internetpräsenzen (vgl. Ziff. 4.1.1 f.) durch die Behörde. In den Jahren 2024 und 2025 wurden insgesamt 32.981 Webseiten von sächsischen Unternehmen, Vereinen und Behörden automatisiert geprüft. Eine (bekannte) Auffälligkeit war hierbei die hohe Anzahl der Einbindung von Google-Diensten ohne Einwilligung der Nutzenden. Nach schriftlichen Anschreiben im Jahr 2024 wurden 2025 dann gegen einzelne Verantwortliche, welche keine Anpassung Ihrer Webseiten vorgenommen hatten (insgesamt 803 verantwortliche Stellen) gezielt aufsichtsbehördliche Verfahren eingeleitet. Den Verantwortlichen wurde ein Informationsersuchen mit Ankündigung eines Verwaltungsverfahrens übermittelt.

Neben den Einzelverfahren wurden ebenfalls automatisierte Prüfungen durchgeführt. Im Oktober 2025 wurden so 29.260 Webseiten geprüft. Analysiert wurde der initiale Aufruf der Website sowie zwei weitere Unterseiten, ohne jegliche Interaktion mit der Website, also ohne erteilte Einwilligungen. Insgesamt 65,5 % dieser Webseiten führten ohne Einwilligung Netzwerkanfragen an Drittanbieter durch. Auffällig ist die weiterhin hohe Quantität der

Einbindungen von Google-Diensten ohne Einwilligung. Die Zahlen zeigen 8.562 Webseiten (29.3 %) mit Verbindungen zu Google LLC. Diese Verbindungen werden initiiert durch die Einbettung diverser Dienste, wie insbesondere Google Fonts, aber auch Google Tag Manager, Google Maps, Google Analytics oder Youtube. Daneben liegt nach wie vor eine hohe Anzahl an generellen Drittanbietern vor. Externe Verbindungen werden dabei insbesondere zu großen Dienstanbietern aufgebaut wie Cloudflare, Amazon und Facebook sowie zu Consent-Management-Anbietern wie Usercentrics oder eRecht24 und Webseitenbuilder wie Jimdo oder WordPress oder zu Services zur Einbindung externer Ressourcen wie OpenJS oder Fonticons. 54,4 % der Webseiten speicherten zudem Cookies. Insgesamt wurden 52.967 Cookies gesetzt, im Schnitt rund zwei Cookies pro Webseite.

Es sind allesamt interessante Zahlen und verdeutlicht für die Verantwortlichen, dass die Internetpräsenzen als Tor nach Außen datenschutzrechtlich sauber gehalten werden müssen. Wer hier Nachbesserungsbedarf hat, sollte dich dieses Tham zwingend auf die Agenda setzen.

Und dann ist da noch der Beschäftigtendatenschutz

Selbstverständlich darf auch der Beschäftigtendatenschutz als zentrales Element des Datenschutzrechtes nicht zur kurz kommen. So haben es einige bemerkenswerte Fälle in den aktuellen Bericht geschafft.

Den Anfang macht ein Prüfverfahren zum datenschutzkonformen Einsatz der Funktion „Anwesenheitsübersicht“ eines elektronischen Zeiterfassungssystems in einem Finanzamt (vgl. Ziff. 2.2.18). Hierbei verwundert insbesondere die Darstellung „Im Bereich der Finanzämter war die Funktion zunächst so ausgestaltet, dass jede/r Beschäftigte bei jeder/jedem anderen Beschäftigten eines Finanzamtes den Status einsehen konnte. Die Statusdaten umfassten zu Beginn die Angaben „anwesend“, „Telearbeit/mobiles Arbeiten“, „Dienstgang/Dienstreise“, „abwesend“ (mit hinterlegter Fehlzeit für geplante Abwesenheit, zum Beispiel Urlaub), „abwesend“ (ohne hinterlegte Fehlzeit für ungeplante Abwesenheit, zum Beispiel Pause, Kind krank.“ Den geneigten Lesern drängt sich hier bereits auf, dass dies mit den datenschutzrechtlichen Grundsätzen nicht übereinstimmen kann. Die Aufsichtsbehörde sah hierin einen Verstoß gegen das Erforderlichkeitsprinzip (hier im Rahmen des § 11 Abs 1 Satz 1 Sächsisches Datenschutzdurchführungsgesetz – SächsDSDG) sowie den Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 lit. c DS-GVO).

Auch die vorgebrachten Gründe der Personaleinsatzplanung seitens des Dienstherren konnten hier nicht überzeugen: „Es erschließt sich nicht, inwieweit die Information zum aktuellen An- und Abwesenheitsstatus und zur Angabe des Arbeitsortes, das heißt, einer Momentaufnahme überhaupt für eine Personaleinsatzplanung, geeignet sein soll […] Allgemeine und pauschale Aussagen, dass dies für die Personaleinsatzplanung vor dem Hintergrund des orts- und arbeitszeitflexiblen Arbeitens sowie einer Vielzahl von Arbeitszeitmodellen, die nicht in Planungsszenarien gefasst werden könnten, zwingend erforderlich sei, genügen den Anforderungen an eine datenschutzrechtliche Erforderlichkeit jedenfalls nicht.“ Ebenso verfangen weiteren Argumente der Organisation der Arbeitsabläufe („Der Verantwortliche trug zwar umfangreich vor und beschrieb dabei eine Vielzahl von Anwendungsfällen und Prozessen, diese ließen jedoch teilweise Zweifel aufkommen, ob sich derartige Prozesse mit der Lebenswirklichkeit bzw. üblichen Verwaltungspraxis in Einklang bringen lassen.“).

Der Fall liest sich nahezu schulbuchartig, denn die Aufsicht führt in der Folge noch zur Leistungs- und Verhaltenskontrolle sowie dem Transparenzgrundsatz aus (vgl. Art. 5 Abs. 1 lit. a) DS-GVO). Am Ende stehen Anordnungen gegenüber den 24 Finanzämtern zu Beschränkung von Zugriffsberechtigungen nach Art. 58 Abs. 2 lit. f) DS-GVO. Für die Praxis zeigt uns der Fall, dass Verarbeitungstätigkeiten, welche tendenziell die Leistungs- und Verhaltenskontrolle von Beschäftigten ermöglich, wohl geprüft und begründet werden müssen. Allein pauschale Angaben genügen – wenig überraschend – nicht.  

Spannende Fälle aus dem Beschäftigtenbereich liefert der Bericht zudem zur „Veröffentlichung von Beschäftigtendaten im Internet“ (vgl. Ziff. 2.3.1) und zur Thematik „Krankenbesuche durch den Arbeitgeber“ (vgl. Ziff. 2.3.2). Insbesondere der zweite Fall enthält eine datenschutzrechtlich interessante Ausführung, denn die Aufsichtsbehörde bezieht sich bei Ihren Ausführungen zur Einwilligung bei Gesundheitsdaten neben Art. 9 DS-GVO auf § 26 Abs. 3 BDSG. Dies streitet dafür, dass die Behörde diese Norm im Lichte der Rechtsprechung des Europäischen Gerichtshof und des Bundesarbeitsgericht weiterhin für anwendbar hält.

Fazit

Der aktuelle Tätigkeitsbericht enthält eine Vielzahl spannender und teilweise auch kurioser Fallgestaltungen (Stichwort Hasenstallfall (Ziff. 6.1.3.1). Neben den dargestellten Berichten und Fällen widmet sich die Aufsicht auch wieder dem Thema Videoüberwachung, u.a. an Tiefgaragenausfahrten (Ziff. 2.2.5), im Fitnessstudio (Ziff. 2.26), zum Schutz von Warenautomaten (Ziff. 2.2.7) und in einer Flüchtlingsunterkunft (Ziff. 2.2.8) sowie der Verarbeitung von Daten Minderjähriger, bspw. bei der Aufnahme von Videobildern bei Fußballspielen im Kinder- und Jugendbereich mithilfe von Kameradrohnen zur taktischen Auswertung (Ziff. 2.3.6). Spannend ist zudem der Fall des Telepräsenz-Avatars im Unterricht (Ziff. 2.2.9). Ein Blick in den Bericht lohnt sich daher allemal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ende März 2025 legte die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert ihren Tätigkeitsbericht für das Jahr 2024 vor. Der Bericht bietet auf mehr als 200 Seiten einen umfassenden Überblick über die Arbeit der Aufsichtsbehörde und benennt zentrale Entwicklungen im Bereich des Datenschutzes. Im Folgenden werden die wichtigsten Befunde und exemplarische Fälle zusammengefasst.

Steigende Zahl von Beschwerden und Datenschutzverletzungen

Der Trend steigender Fallzahlen setzte sich auch im Berichtsjahr 2024 fort. Insgesamt 1.255 Beschwerden, Beratungsanfragen und Kontrollanregungen gingen bei der Aufsichtsbehörde im vergangenen Jahr ein. Das entspricht einem Anstieg von rund acht Prozent gegenüber dem Vorjahr. Die Zahl der gemeldeten Datenschutzverletzungen überschritt erstmals die Marke von tausend: 1.001 Vorfälle wurden durch sächsische Verantwortliche der Aufsichtsbehörde gemeldet.

Die häufigsten Ursachen waren klassische Fehlversendungen, etwa durch falsche Adressierungen bei Postversand oder fehlerhafte E-Mail-Verteiler, der Verlust technischer Geräte wie Laptops sowie Cybervorfälle, etwa durch Phishing- oder Ransomware-Angriffe. Ein praktisches Beispiel betrifft den Diebstahl von Kameras aus einer Kindertageseinrichtung, auf denen Bilddaten von Kindern gespeichert waren. Ein weiterer Fall betraf den Verlust unverschlüsselter Notebooks mit Gesundheitsdaten. Die Behörde betonte erneut die Bedeutung technischer und organisatorischer Maßnahmen, um Datenschutzverletzungen zu verhindern oder deren Auswirkungen zu begrenzen.

Maßnahmen der Aufsichtsbehörde

Nach den Angaben des Tätigkeitsberichtes griff die Aufsichtsbehörde zur Durchsetzung datenschutzrechtlicher Anforderungenauf verschiedene Instrumente zurück. Im Jahr 2024 wurden 11 Warnungen, 47 Verwarnungen sowie 40 Anweisungen und Anordnungen ausgesprochen. Daneben verhängte die Behörde 21 Bußgelder. Die Gesamthöhe belief sich auf 199.000 Euro im nichtöffentlichen Bereich und 14.580 Euro im öffentlichen Bereich.

Ein erheblicher Teil der Bußgeldverfahren betraf unzulässige Videoüberwachungen oder den Einsatz von Dashcams. Beispielhaft erwähnt wird die Nutzung von Dashcams durch Fahrzeugführerinnen und Fahrzeugführer, bei denen Aufnahmen ohne konkreten Anlass und über längere Zeiträume hinweg gespeichert wurden. In diesen und weiteren Fällen wurden Bußgelder zwischen 100 Euro und 1.000 Euro verhängt.

Prüfungen von Internetseiten

Ein wesentlicher Schwerpunkt der behördlichen Tätigkeit war im vergangenen Jahr die automatisierte Überprüfung von 32.981 Internetseiten sächsischer Behörden, Unternehmen und Vereine. Die Prüfungen konzentrierten sich darauf, ob bereits bei einem ersten Aufruf einer Internetseite ohne Einwilligung personenbezogene Daten an Drittanbieter übermittelt werden. Bei etwa 66 Prozent der geprüften Seiten wurde eine solche Übertragung festgestellt, häufig an Google-Dienste wie Google Analytics oder Google Fonts.

In der Folge leitete die Aufsichtsbehörde ein Massenverfahren ein und kontaktierte 2.304 Seitenbetreiber, die überwiegend Google Analytics ohne rechtmäßige Einwilligung eingesetzt hatten. Die Nachkontrolle ergab, dass rund 65 Prozent der Verantwortlichen die festgestellten Verstöße beseitigt hatten. Häufige Fehlerquellen waren etwa voreingestellte Tracking-Dienste trotz Anzeige eines Einwilligungsmanagements („Cookie-Banner“) oder unzureichende Informationen im Rahmen der Einholung der Einwilligung. Der Bericht zeigt, dass weiterhin erheblicher Nachbesserungsbedarf bei der praktischen Umsetzung von Einwilligungsanforderungen besteht.

Dauerbrenner Videoüberwachung

Auch im Bereich der Videoüberwachung blieb der Beratungs- und Prüfbedarf hoch. Mehr als zwei Drittel der im nichtöffentlichen Bereich eingeleiteten Ordnungswidrigkeitenverfahren standen im Zusammenhang mit Verstößen bei Videoüberwachungen. Häufig wurden fehlende Hinweisschilder bemängelt, die betroffenen Personen nicht klar und verständlich über die Überwachung informieren. Zudem fehlte in vielen Fällen eine klare Zweckbestimmung, und überwachte Bereiche umfassten auch öffentlich zugängliche Flächen, ohne dass hierfür ein ausreichender Rechtfertigungsgrund vorlag.

Zur Unterstützung bei der Umsetzung datenschutzkonformer Videoüberwachung veröffentlichte die sächsische Datenschutz-Aufsichtsbehörde 2024 eine überarbeitete zweite Auflage der Broschüre „Achtung Kamera!“, die praxisnahe Hinweise zur rechtssicheren Gestaltung von Videoüberwachungsmaßnahmen bietet.

Beschäftigtendatenschutz

Ein weiterer Schwerpunkt lag im Bereich des Schutzes von Beschäftigtendaten. Die Aufsichtsbehörde stellte beispielsweise fest, dass in mehreren Fällen vertrauliche personenbezogene Daten von Beschäftigten, etwa Gesundheitsdaten oder Kündigungsgründe, in Betriebsversammlungen oder internen Bekanntmachungen unzulässig offengelegt wurden. Die Aufsichtsbehörde weist in diesem Kontext ausdrücklich darauf hin, dass Personalaktendaten stets streng vertraulich zu behandeln sind. Auch mündliche Offenbarungen sensibler Informationen gegenüber nicht berechtigten Dritten sind unzulässig.

„Das Gebot der Gewährleistung der Vertraulichkeit in Bezug auf Personalaktendaten ist eine Verpflichtung des Arbeitgebers, die sowohl innerhalb der Dienststelle bzw. des Betriebes und auch gegenüber außenstehenden Dritten besteht. Die Personalakte ist daher vertraulich zu behandeln, vor unbefugter Einsicht zu schützen und der Zugriff nur für solche Beschäftigten und auf solche Daten zuzulassen, wie dies im Rahmen der Personalverwaltung erforderlich ist.“, so Dr. Juliane Hundert im Rahmen des Tätigkeitsberichtes.

Cyberkriminalität als zunehmende Bedrohung

Der Tätigkeitsbericht weist ferner darauf hin, dass Meldungen von Datenschutzverletzungen infolge von Cyberangriffen weiterhin eine zentrale Rolle spielen. Derartige Vorfälle umfassen insbesondere Phishing-Angriffe, Ransomware-Attacken sowie das Ausnutzen von Sicherheitslücken.

Ein typisches Beispiel aus dem Berichtsjahr war die Kompromittierung von E-Mail-Konten, die in mehreren Fällen dazu führte, dass unbefugte Dritte Zugriff auf personenbezogene Daten erlangten. In einigen Fällen wurden dadurch vertrauliche Kommunikationsdaten abgegriffen oder betrügerische E-Mails im Namen betroffener Organisationen verschickt. Die Behörde empfiehlt, den Schutz technischer Systeme regelmäßig zu überprüfen und organisatorische Maßnahmen wie Sensibilisierungstrainings für Beschäftigte zu etablieren, um das Risiko von derartigen Datenschutzverletzungen und Sicherheitsvorfällen zu verringern.

Fazit

Der Tätigkeitsbericht zeigt, an welchen Stellen Verantwortliche in Sachsen gezielt ansetzen können, um datenschutzrechtliche Anforderungen im Alltag besser umzusetzen. Ob bei einem Betrieb von Internetseiten, bei der Gestaltung von Videoüberwachungsmaßnahmen oder im Umgang mit Beschäftigtendaten – häufig lassen sich Verbesserungen schon durch klarere Prozesse sowie wirksamere technische und organisatorische Maßnahmen erzielen. Die dargestellten Beispiele machen deutlich, dass Datenschutz in vielen Fällen mit überschaubarem Aufwand wirksam verbessert werden kann. Unternehmen, Behörden und Vereine erhalten mit dem Bericht konkrete Hinweise, um ihre bestehenden Strukturen weiterzuentwickeln und die gesetzlichen Anforderungen im eigenen Verantwortungsbereich zuverlässig zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.