Tätigkeitsbericht BayLDA 2025: Datenschutzaufsicht im Belastungstest
07.04.2026
Zusammenfassung
Der Tätigkeitsbericht für das Jahr 2025 der bayerischen Landesdatenschutzaufsichtsbehörde zeigt einen massiven Anstieg von Beschwerden und Datenschutzverstößen, getrieben insbesondere durch KI-generierte Eingaben und die zunehmende instrumentelle Nutzung des Datenschutzrechts. Gleichzeitig stößt die Behörde angesichts wachsender Aufgaben durch EU-Digitalregulierung und begrenzter Ressourcen an strukturelle Belastungsgrenzen.
6 Minuten Lesezeit
Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Herr Michael Will, hat am 12. März 2026 dem Ausschuss für Verfassung, Recht, Parlamentsfragen und Integration des Bayerischen Landtags den Tätigkeitsbericht seines Hauses für das Jahr 2025 vorgestellt.
Fallzahlen: Explosionsartiger Anstieg
Die Zahlen sprechen für sich: 9.746 Beschwerden und Kontrollanregungen gingen beim BayLDA im Berichtsjahr ein – ein Anstieg von +61 % gegenüber dem Vorjahr. Die Meldungen von Datenschutzverletzungen stiegen um +23 % auf 3.603 Vorfälle.
Immerhin: 62 % der förmlichen Beschwerden wurden innerhalb von drei Monaten bearbeitet. Angesichts der schieren Menge ist das eine beachtliche Quote – zeigt aber auch, wie hoch der operative Druck auf das Team in Ansbach ist.
Treiber Nr. 1: KI senkt die Hemmschwelle
Ein zentraler Befund des Berichts: Künstliche Intelligenz – vor allem Large Language Models – hat die Hürde für die Einreichung von Beschwerden massiv gesenkt. Mit wenigen Klicks lassen sich heute formal vollständige Beschwerdeschreiben generieren. Das klingt zunächst nach mehr Teilhabe für Betroffene, hat aber eine Kehrseite: Viele KI-generierte Eingaben enthalten ungeprüfte oder schlicht erfundene Details, was zu unnötigem Ressourcenverbrauch und längeren Verfahren führt.
Das BayLDA appelliert daher ausdrücklich: KI-generierte Beschwerden bitte nicht ungeprüft absenden. Für Unternehmen bedeutet das im Gegenzug: Nicht jede formal perfekte Beschwerde ist auch inhaltlich fundiert – eine saubere Dokumentation der eigenen Prozesse ist der beste Schutz.
Treiber Nr. 2: Instrumentalisierung des Datenschutzrechts
Noch grundsätzlicher ist ein zweiter Befund: Beschwerden werden zunehmend nicht primär zum Schutz von Datenschutzinteressen eingesetzt, sondern als Werkzeug in anderen Auseinandersetzungen – sei es im Arbeitsrecht, in Nachbarschaftskonflikten oder zur individuellen Rechtsdurchsetzung. Will nennt das einen „Belastungstest“ für die Aufsicht und fordert rechtspolitische Gegensteuerung.
Für Unternehmen gilt dennoch: Auch eine taktisch motivierte Beschwerde muss geprüft werden. Wer keine belastbaren Rechtsgrundlagen und Dokumentationen vorhalten kann, verliert solche Verfahren.
Schwerpunkte: Internet, Video und Werbung
Die thematische Verteilung der Beschwerden deckt sich mit den Vorjahren:
- Internet und digitale Dienste (Tracking, Cookies, Drittlandstransfers)
- Videoüberwachung (fehlende Kennzeichnung, unverhältnismäßige Überwachung, zu lange Speicherfristen)
- Werbung und Newsletter (fehlende Einwilligungen, ignorierte Widersprüche)
Konkrete Fälle aus dem Bericht: Ein Reisebusunternehmen wurde angewiesen, die anlasslose Dashcam-Speicherung von mehr als zwei Minuten einzustellen. Ein Automaten-Shop-Betreiber erhielt eine Sanktion, weil er Überwachungsbilder zur öffentlichen Fahndung veröffentlicht hatte. Und ein Unternehmen, das Auskunftsersuchen konsequent ignorierte, wurde mit einem Bußgeld von 50.000 Euro belegt.
Neue Zuständigkeiten: Data Act und politisches Targeting
Der Aufgabenbereich der Behörde erfährt auch in normativer Hinsicht eine erhebliche Ausweitung. Zwei neue EU-Rechtsakte sind dabei von besonderer Relevanz:
- Data Act (anwendbar seit September 2025): Zunächst ist das BayLDA für personenbezogene Daten zuständig – ein Gesetzentwurf sieht jedoch eine spätere Zuständigkeitsverschiebung zur Bundesnetzagentur und der BfDI vor.
- TTPW-VO – politisches Targeting (anwendbar seit Oktober 2025): Das BayLDA überwacht die datenschutzrechtlichen Vorgaben und verzeichnet bereits erste Beschwerden in diesem Bereich.
Die Datenschutzaufsicht entwickelt sich damit zunehmend zu einem zentralen Knotenpunkt der EU-Digitalregulierung – und reicht damit weit über den klassischen Anwendungsbereich der DSGVO hinaus.
EU-US-Datentransfer: Rechtsunsicherheit bleibt
Das EU-U.S. Data Privacy Framework (DPF) ist die aktuelle Rechtsgrundlage für Datenübermittlungen in die USA – ein anhängiges Rechtsmittel hält die Rechtsunsicherheit jedoch aufrecht. Unternehmen, die ergänzend auf Standardvertragsklauseln (SCCs) setzen, müssen zwingend ein Transfer Impact Assessment (TIA) durchführen. Verbleibende Zweifel über das Schutzniveau des Drittlandes gehen dabei zu Lasten des Datenexporteurs.
Personal und Ressourcen: Wachstum mit Grenzen
Positiv zu vermerken ist, dass das BayLDA seine personelle Ausstattung um neun Stellen auf nunmehr 43 Planstellen erweitern konnte. Erstmals seit dem Jahr 2020 ist damit eine interne Vertretung in sämtlichen Organisationseinheiten gewährleistet. Demgegenüber steht jedoch, dass der Haushaltsentwurf für die Jahre 2026/27 keine weitere personelle Aufstockung vorsieht und darüber hinaus eine Einschränkung der Sachmittel beinhaltet.
Vor dem Hintergrund stark ansteigender Fallzahlen, neuer Aufgaben infolge unionsrechtlicher Vorgaben, KI-bedingter Beschwerdewellen sowie der anstehenden Vorbereitung auf den Vorsitz der Datenschutzkonferenz im Jahr 2027 steuert die Behörde auf erhebliche strukturelle und organisatorische Belastungen zu. Eine stetige Ausweitung des Aufgabenzuschnitts bei unveränderter Personal- und Sachmittelausstattung erweist sich als strukturell nicht tragfähig.
Fazit
Der 15. Tätigkeitsbericht des BayLDA ist ein Dokument unter Druck: steigende Fallzahlen, neue Aufgaben durch EU-Digitalrecht, KI als Beschwerde-Turbo und eine Ressourcensituation, die nicht mithält. Für Unternehmen sind die Botschaften klar:
- Klassische Problemfelder (Tracking, Video, Newsletter) konsequent sauber aufstellen.
- Dokumentation und Rechtsgrundlagen prüffähig halten – KI-gestützte Beschwerden kommen schneller als je zuvor.
- EU-US-Transfers nur mit aktuellem TIA und klarer Rechtsgrundlage betreiben.
- Neue Regelwerke (Data Act, TTPW-VO) auf Relevanz für das eigene Unternehmen prüfen.
Die Aufsicht ist belastet – aber sie arbeitet. Und mit dem DSK-Vorsitz 2027 im Blick wird das BayLDA auch sichtbar bleiben.
Tätigkeitsbericht im Volltext
Der Tätigkeitsbericht kann hier heruntergeladen werden:
