Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Datenschutz entwickelt sich immer stärker zu einem praktischen Steuerungs- und Compliance-Thema für Behörden, Unternehmen und digitale Plattformen. Der aktuelle 34. Tätigkeitsbericht der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zeigt, welche Themen die Datenschutzaufsicht im Jahr 2025 besonders beschäftigt haben, angefangen bei KI-Systemen über digitale Identitäten bis hin zu Cookie-Management, Behördenkontrollen und neuen europäischen Digitalprojekten.
Besonders deutlich wird dabei, wie eng Datenschutz inzwischen mit technologischen Innovationen verknüpft ist. Der Bericht behandelt unter anderem die Umsetzung der KI-Verordnung, den datenschutzkonformen Einsatz großer Sprachmodelle, die EUDI-Wallet, den digitalen Euro sowie neue Ansätze für Einwilligungs- und Cookie-Management. Zu welchen Ergebnissen der 34. Tätigkeitsbericht kommt und welche Auswirkungen das auf Wirtschaft, Unternehmen und KMU haben kann, schauen wir uns nachfolgend genauer an.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Louisa Specht-Riemenschneider, hat am 6. Mai 2026 den Tätigkeitsbericht für das Jahr 2025 an Bundestagspräsidentin Julia Klöckner übergeben. Der inzwischen 34. Tätigkeitsbericht erscheint kompakter als frühere Ausgaben und wird vor allem digital bereitgestellt.
Der 34. Tätigkeitsbericht der BfDI ist eine ausführliche Rückschau auf das Datenschutz- und Informationsfreiheitsjahr 2025 in Deutschland. Er zeigt, vor welchen Aufgaben die Aufsicht steht, wie sie Orientierung geben will, wo sie wirksam kontrolliert und wie sie neue technische Entwicklungen einordnet.
Specht-Riemenschneider betont dabei vor allem die Funktion des Datenschutzes als Vertrauensgrundlage. Datenschutz solle Innovation nicht ausbremsen, sondern durch Regeln ermöglichen. Hemmend sei aus ihrer Sicht nicht der Datenschutz selbst, sondern Rechtsunsicherheit. Die Aufgabe von Gesetzgeber und Aufsicht sei es daher, diese Unsicherheit zu verringern.
Der Tätigkeitsbericht versteht sich deshalb auch als Orientierungshilfe. Die BfDI will aufzeigen, welche Datenverarbeitungen unter welchen Voraussetzungen zulässig sind, und zugleich dort konsequent eingreifen, wo Datenschutzrecht verletzt wird.
Der Tätigkeitsbericht der BfDI ist der jährliche Bericht der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Darin wird dargestellt, welche Entwicklungen es beim Datenschutz und bei der Informationsfreiheit auf Bundesebene gegeben hat, welche Probleme in der Praxis aufgetreten sind und wie die Behörde damit umgegangen ist.
Die Aufgabe des Berichts ist vor allem, Bundestag, Bundesrat, Bundesregierung und Öffentlichkeit über wichtige Datenschutzfragen zu informieren. Er dient also nicht nur der Dokumentation, sondern auch dazu, Missstände sichtbar zu machen, Empfehlungen zu geben und die Arbeit der Datenschutzaufsicht transparent zu machen.
Erstellt werden muss dieser Bericht von der BfDI selbst, also von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Im Bericht werden unter anderem Verstöße, Maßnahmen, Sanktionen und zentrale Entwicklungen zusammengefasst. Außerdem wird er dem Deutschen Bundestag vorgelegt und auch europäischen Stellen zugänglich gemacht.
Nach der Übergabe des Berichts stellt sich vor allem die Frage, welche Themen die Datenschutzaufsicht besonders geprägt haben. Der 34. Tätigkeitsbericht zeigt dabei ein breites Spektrum: von stark steigenden Bürgeranfragen über KI und digitale Identitäten bis hin zu Cookie-Einwilligungen, Kontrollen und neuen europäischen Digitalprojekten.
Ein zentraler Punkt des Tätigkeitsberichts ist der deutliche Anstieg der Eingaben bei der BfDI. Im Jahr 2025 gingen insgesamt 11.824 Beschwerden und Anfragen ein. Damit lag das Aufkommen fast auf dem Niveau des bisherigen Höchststands aus dem Jahr 2018, als die Einführung der DSGVO besonders viele Verfahren auslöste. Der Anstieg zeigte sich nach dem Bericht in allen Referaten der Behörde.
Besonders auffällig ist die Entwicklung bei den förmlichen Beschwerden nach Art. 77 DSGVO. Diese stiegen von 2.513 im Jahr 2023 auf 5.329 im Jahr 2025 und haben sich damit innerhalb von zwei Jahren mehr als verdoppelt. Auch allgemeine Anfragen nahmen deutlich zu. Zusätzlich zu schriftlichen und elektronischen Eingaben beriet die BfDI im Jahr 2025 in 3.091 Fällen telefonisch.
Ein weiterer Schwerpunkt des Berichts liegt auf neuen Formaten, mit denen die BfDI Datenschutz früher, praxisnäher und innovationsfreundlicher gestalten will. Dazu gehört vor allem das ReguLab, eine eigene Datenschutz-Sandbox der BfDI. Es soll datengetriebene Innovationen über mehrere Monate begleiten und dabei helfen, datenschutzrechtliche Unsicherheiten frühzeitig zu klären. Das Ziel ist es, Datenschutzfragen gemeinsam mit den beteiligten Projekten zu lösen und die Ergebnisse später auch anderen als Orientierung zur Verfügung zu stellen.
Ergänzend setzt die BfDI auf Technology Foresight und Strategic Foresight, um neue technologische Entwicklungen frühzeitig einzuordnen. 2025 lag ein besonderer Schwerpunkt auf Gesundheit, maschinellem Lernen mit Gesundheitsdaten, Human Enhancement und neuen Gehirn-Computer-Schnittstellen. Die Erkenntnisse sollen in ein Diskussionspapier einfließen, das 2026 erscheinen soll.
Auch der Umgang mit Künstlicher Intelligenz war 2025 ein zentrales Thema. Die BfDI führte ein Konsultationsverfahren zum datenschutzkonformen Umgang mit personenbezogenen Daten in KI-Modellen durch und veröffentlichte eine Handreichung für die Bundesverwaltung, die Behörden beim datenschutzkonformen Einsatz von KI-Systemen wie Chatbots unterstützen soll.
Im Jahr 2025 führte die Behörde insgesamt 80 Vor-Ort-Kontrollen sowie 40 schriftliche Kontrollen durch und ergriff 129 aufsichtsrechtliche Maßnahmen. Besonders viel Aufmerksamkeit erhielt dabei das Verfahren gegen die Vodafone GmbH. Die BfDI verhängte Geldbußen in Höhe von insgesamt 45 Millionen Euro, unter anderem wegen Defiziten bei der Kontrolle von Partneragenturen und Schwachstellen bei Authentifizierungsverfahren. Damit unterstreicht der Bericht erneut, wie stark Datenschutzaufsicht inzwischen auch IT-Sicherheit, interne Prozesse und organisatorische Kontrollmechanismen umfasst.
Gleichzeitig unterstützte die BfDI mehrere große Digitalprojekte der Bundesregierung konstruktiv-kritisch. Dazu zählen insbesondere die EUDI-Wallet und die geplante Deutschland-App. Die Behörde betont dabei, dass moderne Verwaltungsdigitalisierung sowohl alltagstauglich als auch grundrechtsschonend ausgestaltet werden müsse. Besonders wichtig seien datensparsame technische Ansätze wie Zero-Knowledge-Nachweise, bei denen etwa ein Altersnachweis erbracht werden kann, ohne weitere persönliche Identitätsdaten offenzulegen.
Kritisch bewertet die BfDI hingegen Verfahren zur Altersverifikation, die auf biometrischer Analyse beruhen. Hier sieht die Behörde erhöhte Risiken für Datenschutz und Grundrechte.
Ein weiterer Schwerpunkt des Berichts liegt auf den sogenannten Gesundheitsdaten. Bei der elektronischen Patientenakte sieht die BfDI großes Potenzial für bessere Versorgung und Forschung, sofern Datenschutz, Datensicherheit und Nutzerfreundlichkeit gemeinsam gedacht werden. Zugleich zeigt das Datenbarometer der Behörde, dass viele Bürgerinnen und Bürger der ePA grundsätzlich offen gegenüberstehen, aber noch besser informiert werden müssen – insbesondere darüber, dass die Akte für gesetzlich Versicherte angelegt wird, wenn sie nicht widersprechen.
Auch das ReguLab setzt im Gesundheitsbereich an. Im ersten Durchgang geht es um die Frage, wie Krankenkassen die Regelung des § 25b SGB V zur Prävention von Gesundheitsrisiken datenschutz- und grundrechtsschonend nutzen können. Das Ziel ist es, rechtliche und praktische Fragen bereits vor dem Start entsprechender Angebote zu klären.
Kritisch bewertet die BfDI auch mehrere Entwicklungen im Sicherheitsbereich. Dazu gehören Diskussionen über die Speicherung von IP-Adressen, neue digitale Ermittlungsbefugnisse, die sogenannte Chatkontrolle sowie die geplante Reform der Aufsicht über die Nachrichtendienste. Besonders problematisch sieht die Behörde eine mögliche Verlagerung der Datenschutzaufsicht über Nachrichtendienste zum Unabhängigen Kontrollrat. Aus Sicht der BfDI würde dadurch weder die Kontrolle effizienter noch der Aufwand geringer. Vielmehr müsste dort datenschutzrechtliche Fachkompetenz neu aufgebaut werden, während diese bei der BfDI bereits vorhanden ist.
Hinzu kommt ein struktureller Punkt. Die BfDI verfügt über den Gesamtblick auf Datenverarbeitungen der Sicherheitsbehörden des Bundes. Dazu gehören auch Datenflüsse zwischen Nachrichtendiensten, Polizeien und anderen Behörden. Würde dieser Blick zerschnitten, könnten Kontrolllücken entstehen. Statt einer Verlagerung spricht sich die BfDI daher für klare gesetzliche Regeln aus, die einen gezielten fachlichen Austausch mit dem Unabhängigen Kontrollrat ermöglichen und Doppelkontrollen vermeiden.
Neben Datenschutz bleibt auch Informationsfreiheit ein zentrales Thema des Berichts. Die BfDI versteht Transparenz staatlichen Handelns als wichtige Grundlage demokratischer Kontrolle und öffentlichen Vertrauens. 2025 richtete sie die Internationale Konferenz der Informationsfreiheitsbeauftragten in Berlin aus. In diesem Rahmen wurde mit ENTRI ein neues europäisches Netzwerk für Transparenz und Informationsfreiheit gegründet, dessen Vorsitz die BfDI übernommen hat.
Für Unternehmen zeigt der Tätigkeitsbericht 2025 vor allem eines: Datenschutz wird praktischer, sichtbarer und konsequenter durchgesetzt. Die stark gestiegene Zahl der Eingaben, die zahlreichen Kontrollen und die aufsichtsrechtlichen Maßnahmen machen deutlich, dass Unternehmen jederzeit mit Beschwerden, Nachfragen oder Prüfungen rechnen müssen. Datenschutz ist damit kein einmaliges Projekt, sondern ein laufender Compliance-Prozess.
Besonders relevant ist die Sanktionspraxis. Verfahren gegen große sowie kleine und mittelständische Unternehmen und Geldbußen in Höhe von insgesamt 45 Millionen Euro zeigen, dass Schwächen bei IT-Sicherheit, Partnerkontrolle, Authentifizierung oder internen Prozessen erhebliche finanzielle Folgen haben können. Unternehmen müssen deshalb nicht nur vermeiden, gegen Datenschutzrecht zu verstoßen, sondern auch nachweisen können, dass sie Risiken erkannt, bewertet und angemessen abgesichert haben.
Zugleich versteht sich die BfDI als Orientierungsgeberin. Gerade bei neuen Technologien wie KI, digitalen Identitäten, Gesundheitsdaten oder Verwaltungsplattformen wird erwartet, dass Datenschutz frühzeitig in Produktentwicklung, Projektplanung und Vertragsgestaltung integriert wird. Wer datenintensive oder KI-gestützte Geschäftsmodelle betreibt, sollte Datenschutz daher von Beginn an mitdenken und dokumentieren.
Wichtige Konsequenzen für Unternehmen:
Haben Sie Fragen zu Datenschutz-Compliance, Behördenanfragen oder steigenden Anforderungen der Datenschutzaufsicht? Müssen Datenschutzerklärungen, KI-Projekte, Datenflüsse oder Verträge rechtlich geprüft werden? Oder möchten Sie Ihr Unternehmen auf Kontrollen, Beschwerden, Bußgeldverfahren und neue DSGVO-Anforderungen rechtssicher vorbereiten?
Als Kanzlei für Datenschutzrecht unterstützen wir Sie auf diesem Rechtsgebiet umfassend und sind bei der Umsetzung datenschutzrechtlicher Compliance an Ihrer Seite. Wir erstellen maßgeschneiderte Datenschutzerklärungen für Webseiten, Apps und Social-Media-Auftritte, beraten zu Datenschutz im Online-Business und prüfen Vertragsbeziehungen sowie internationale Datentransfers auf DSGVO-Konformität. Darüber hinaus begleiten wir Unternehmen bei Audits, der Gestaltung von Auftragsverarbeitungsverträgen und Joint Controller Agreements sowie bei der Entwicklung interner Datenschutz- und Compliance-Richtlinien. Auch bei behördlichen Verfahren, Bußgeldverfahren, Abmahnungen und datenschutzrechtlichen Fragen rund um KI, Marketing, Mitarbeiterdaten oder digitale Geschäftsmodelle sind wir beratend für Sie da.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?