Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Dr. Louisa Specht-Riemenschneider hat ihren Tätigkeitsbericht für das Jahr 2025 veröffentlicht. Der Tätigkeitsbericht thematisiert Rekordeingaben, Millionenbußgelder und neue Aufsichtsformate. Wir haben einen Blick in den Tätigkeitsbericht geworfen.
Der Inhalt im Überblick
Zahlen und Fakten
Der 34. Tätigkeitsbericht dokumentiert ein deutlich gestiegenes Arbeitsaufkommen.
Die BfDI verzeichnete 2025 insgesamt 11.824 Eingaben. Das waren rund 36 Prozent mehr als im Vorjahr und rund 52 Prozent mehr als 2023. Ein vergleichbares Aufkommen verzeichnete die BfDI zuletzt 2018 im Zuge der DSGVO-Einführung.
Dieser Anstieg zeigt, dass immer mehr Menschen von ihren Rechten Gebrauch machen und die Aufsichtsbehörde als Anlaufstelle für deren Durchsetzung gegenüber Unternehmen und öffentlichen Stellen nutzen.
„Datenschutz ist Vertrauensanker in einer Zeit, in der Vertrauen zunehmend verloren geht. Nicht Datenschutz hemmt Innovation, sondern Rechtsunsicherheit. Es ist die Aufgabe von Gesetzgeber und Aufsicht gleichermaßen, diese Rechtsunsicherheit zu minimieren. Wir zeigen, welche Datenverarbeitungen unter welchen Voraussetzungen möglich sind, statt nur zu sagen, was nicht geht. Gleichzeitig schreiten wir dort effektiv ein, wo Datenschutzrecht verletzt wird“,
so Specht-Riemenschneider in der Pressemitteilung zum Tätigkeitsbericht.
Auch auf Durchsetzungsseite zeigen sich erheblich angestiegene Zahlen:
- 80 Vor-Ort-Kontrollen
- 40 schriftliche Kontrollen (+ 42,9 % zum Vorjahr)
- 9 sonstige Kontrollen (+ 80 % zum Vorjahr)
- 129 aufsichtsrechtliche Maßnahmen (+ 8,4 % zum Vorjahr)
- Geldbußen in einer Gesamthöhe von 45.177.500 Euro
BfDI verhängt Rekord-Bußgeld gegen Vodafone
Das bestimmende Thema im Bereich Kontrollen und Maßnahmen war die Verhängung von Bußgeldern in einer Gesamthöhe von 45 Millionen Euro gegen Vodafone. Es ist das höchste Bußgeld, das je von einer deutschen Aufsichtsbehörde verhängt worden ist.
Die Bußgelder setzten sich aus zwei Verfahren zusammen:
- 15 Millionen Euro wegen unzureichender datenschutzrechtlicher Überprüfung und Überwachung von Partneragenturen, durch die es zum Betrug zulasten zahlreicher Kunden gekommen war sowie
- 30 Millionen Euro wegen Schwachstellen bei einem Authentifizierungsprozess, über den unbefugte Dritte potenziell eSIM-Profile und Mobilfunknummern fremder Personen hätten übernehmen können.
Den Bußgeldern waren jahrelange Ermittlungen vorausgegangen. Vodafone kooperierte und akzeptierte die Bußgelder. Eine Folgekontrolle der ergriffenen Maßnahmen ist für 2026 angekündigt.
Auch gegen einen weiteren Telekommunikationsanbieter verhängte die BfDI ein Bußgeld in Höhe von 177.500 Euro, weil Anfragen zu Betroffenenrechten nicht oder nur unvollständig beantwortet wurden. Das Unternehmen hat gegen den Bußgeldbescheid Einspruch eingelegt. Die BfDI bewertete diesen als unbegründet und leitete den Fall an die zuständige Staatsanwaltschaft weiter. Eine gerichtliche Klärung steht noch aus.
Was berichtet die BfDI zur elektronischen Patientenakte?
Seit dem 15. Januar 2025 wurde die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten von ihren Krankenkassen angelegt, sofern sie nicht aktiv widersprochen haben. Seit Oktober 2025 sind Praxen und Kliniken zur Nutzung der ePA verpflichtet. Die ePA kann aus Sicht der BfDI einen Mehrwert für Versorgung und Forschung bieten, wenn Datenschutz, Datensicherheit und Nutzerfreundlichkeit mitbedacht werden.
Das BfDI-Datenbarometer zeigt jedoch, dass nur rund jede zehnte Person die ePA aktiv nutzt. Viele Versicherte wüssten nicht einmal, dass für sie bereits eine ePA angelegt wurde. Dies liegt laut dem Bericht aber nicht an überzogenen Sicherheitsanforderungen beim Authentifizierungsprozess. Die BfDI hat gegenüber den Krankenkassen Anweisungen erteilt, das Zugriffsmanagement feingranular auszugestalten und auch Personen ohne eigene technische Endgeräte den Zugriff zu ermöglichen.
Weitere Schwerpunkte des Tätigkeitsberichts
Der Tätigkeitsbericht widmet sich darüber hinaus neuen Formaten, mit denen die BfDI frühzeitig mehr Rechtsklarheit schaffen und Datenschutz praxisnäher vermitteln will. Dazu gehören das ReguLab als BfDI-eigene Datenschutz-Sandbox, das Datenbarometer mit repräsentativen Bevölkerungsbefragungen und der Strategic-Foresight-Prozess.
Inhaltlich behandelt der Tätigkeitsbericht auch zentrale Digitalprojekte der Bundesregierung, darunter die EUDI-Wallet und die Deutschland-App, die die BfDI konstruktiv-kritisch begleitet. Ein weiterer Schwerpunkt liegt auf Künstlicher Intelligenz. Die europäische KI-Verordnung ist seit 2025 teilweise in Kraft. Die BfDI hat eine KI-Handreichung veröffentlicht, die die datenschutzkonforme Nutzung von KI-Tools in der Bundesverwaltung beschreibt.
Mit Blick auf den Sicherheitsbereich formuliert der Tätigkeitsbericht deutliche Bedenken. Dazu zählen Debatten über IP-Adressenspeicherung, digitale Ermittlungsbefugnisse und die Chatkontrolle. Besonders kritisch bewertet die BfDI die geplante Verlagerung der Datenschutzaufsicht über die Nachrichtendienste zum Unabhängigen Kontrollrat (UKRat). Dort müsste datenschutzrechtliches Fachwissen erst neu aufgebaut werden, das bei der BfDI längst vorhanden ist. Außerdem würde auch der Gesamtblick auf Datenflüsse zwischen Nachrichtendiensten und Polizeien verloren gehen.
Was folgt aus dem Tätigkeitsbericht der BfDI für 2026?
Der 34. Tätigkeitsbericht verdeutlicht, dass Datenschutzaufsicht zunehmend andere Regulierungsbereiche berührt. Für 2026 zeichnen sich bereits zentrale Themen ab: die angekündigte Folgekontrolle bei Vodafone, die praktische Umsetzung der KI-Verordnung und die Zukunft der Nachrichtendienstaufsicht.
