Mit einem Plus von 36 Prozent gab es 2025 deutlich mehr eingehende Fälle bei der BfDI als 2024, darunter auch Beschwerden. Dennoch setzte Prof. Dr. Louisa Specht-Riemenschneider vor ihrem Rücktritt zahlreiche Projekte um, die sie im 34. Tätigkeitsbericht vorstellt.
2025 gab es viele Themen und Aufgaben, die die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beschäftigt haben.
Anfang Mai übergab die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, ihren 34. Tätigkeitsbericht an die Präsidentin des Deutschen Bundestages Julia Klöckner. Der diesjährige Bericht verdeutliche, vor welchen Herausforderung die Datenschutzaufsicht stehe. Sie müsse Orientierung geben, wirksam kontrollieren und neue technologische Entwicklungen einordnen. „Datenschutz ist Vertrauensanker in einer Zeit, in der Vertrauen zunehmend verloren geht. Nicht Datenschutz hemmt Innovation, sondern Rechtsunsicherheit. Es ist die Aufgabe von Gesetzgeber und Aufsicht gleichermaßen, diese Rechtsunsicherheit zu minimieren“, kommentiert Specht-Riemenschneider. „Wir zeigen, welche Datenverarbeitungen unter welchen Voraussetzungen möglich sind, statt nur zu sagen, was nicht geht. Gleichzeitig schreiten wir dort effektiv ein, wo Datenschutzrecht verletzt wird.“
Insgesamt verzeichnete die BfDI in ihrem 34. Bericht, der das Jahr 2025 abbildet, 11.824 Eingaben, darunter auch Beschwerden und Anfragen zum Datenschutz. Das waren rund 36 Prozent Eingaben mehr als im Vorjahr und rund 52 Prozent mehr als 2023. Die Zahl der Beschwerden hat sich innerhalb von zwei Jahren mehr als verdoppelt. Dieser Anstieg zeige, dass immer mehr Menschen von ihren Rechten Gebrauch machen und erwarten, dass Datenschutzaufsicht ihnen dabei hilft, ihre Rechte gegenüber Unternehmen, Behörden und anderen öffentlichen Einrichtungen durchzusetzen.
Im vergangenen Jahr war es das Ziel der BfDI gewesen, frühzeitig mehr Rechtsklarheit zu schaffen und Datenschutz praxisnäher zu vermitteln. Dafür hat sie mehrere neue Formate vorangebracht. Dazu gehören das ReguLab als BfDI-eigene Datenschutz-Sandbox, das Datenbarometer mit repräsentativen Bevölkerungsbefragungen und der Strategic-Foresight-Prozess, aktuell konkret zu Neurodaten.
Ein weiterer Schwerpunkt war 2025 der Umgang mit Künstlicher Intelligenz. Mit ihrer KI-Handreichung hat die BfDI aufgezeigt, wie KI-Tools datenschutzkonform in der Bundesverwaltung eingesetzt werden können. „Wer Datenschutzrecht einhalten will, sollte dazu befähigt werden. Unsere neuen Formate schaffen Orientierung für Verwaltung, Forschung und digitale Innovationsprojekte und helfen uns zugleich, Regierung und Gesetzgeber evidenzbasierter zu beraten“, so Specht-Riemenschneider. „Die Arbeit mit externen Fachleuten aus unterschiedlichen Forschungsbereichen sowie mit erfahrenen Praktikerinnen und Praktikern hat uns 2025 wichtige Impulse gegeben.“
Neben der Beratung soll auch die konsequente Kontrolle ein Kernauftrag der BfDI bleiben. Im Jahr 2025 habe die Behörde eigenen Angaben nach 80 Vor-Ort-Kontrollen sowie 40 schriftliche Kontrollen durchgeführt. Insgesamt habe sie 129 aufsichtsrechtliche Maßnahmen ergriffen. Ein vielbeachtetes Beispiel war das Verfahren gegen die Vodafone GmbH. Die BfDI verhängte zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro, unter anderem wegen unzureichender Kontrolle von Partneragenturen und Sicherheitsmängeln bei Authentifizierungsprozessen.
Zudem habe die BfDI 2025 die zentralen Digitalprojekte der Bundesregierung konstruktiv-kritisch begleitet, darunter die EUDI-Wallet und die Deutschland-App. „Gute Verwaltungsdigitalisierung gelingt dort, wo sie Menschen den Alltag erleichtert und gleichzeitig Grundrechte gewahrt bleiben“, ordnet die BfDI die aktuellen Vorgänge in der Verwaltungsdigitalisierung ein. „Bei der EUDI-Wallet kommt es insbesondere darauf an, dass datensparsame Verfahren wie Zero-Knowledge-Nachweise ermöglicht werden. So muss etwa bei einem Altersnachweis nicht das gesamte Identitätsprofil offengelegt werden. Auch für eine grundrechtsschonende Altersverifikation im Netz kann eine entsprechend ausgestaltete Wallet ein sinnvoller Baustein sein.“ Verfahren, bei denen das Alter über biometrische Analysen geschätzt wird, sieht die BfDI dagegen kritisch.
Ein weiterer Schwerpunkt lag 2025 auf Gesundheitsdaten. Bei der elektronischen Patientenakte (ePA) sieht die BfDI Potenzial für bessere, grundrechtskonforme Versorgung und Forschung, wenn Datenschutz, Datensicherheit und Nutzerfreundlichkeit zusammengedacht werden. Das BfDI-Datenbarometer habe gezeigt, dass viele Bürgerinnen und Bürger der ePA offen gegenüberstehen, zugleich aber noch Informationsbedarf besteht. Viele gesetzlich Versicherte würden nicht wissen, dass für sie bereits eine ePA angelegt wurde, sofern sie nicht widersprochen haben. Auch mit dem ReguLab setzt die BfDI im Gesundheitsbereich an: Im ersten Durchgang gehe es um die Frage, wie Krankenkassen grundrechtsschonend von der Regelung des § 25b SGB V für die Prävention von Gesundheitsrisiken Gebrauch machen können. Ziel sei es, Datenschutzfragen zu klären, bevor entsprechende Angebote in der Praxis starten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Besorgt blicke die BfDI auf Entwicklungen im Sicherheitsbereich. Dazu zählen Debatten über IP-Adressenspeicherung, digitale Ermittlungsbefugnisse, die sogenannte Chatkontrolle und vor allem die geplante Reform der Aufsicht über die Nachrichtendienste. Eine Verlagerung der Datenschutzaufsicht über die Nachrichtendienste zum Unabhängigen Kontrollrat (UKRat) würde aus Sicht der BfDI weder Aufwand reduzieren noch Kontrolle verbessern. Beim UKRat müsste datenschutzrechtliche Expertise parallel aufgebaut werden, die bei der BfDI bereits vorhanden sei. Zudem ginge der Gesamtblick der BfDI auf die Datenverarbeitungen der Sicherheitsbehörden des Bundes verloren, beispielsweise auf Datenflüsse zwischen Nachrichtendiensten und Polizeien. Einfacher und kostengünstiger sei es, klare gesetzliche Regeln für einen konkreten fachlichen Austausch zwischen BfDI und UKRat zu schaffen. Das würde auch Doppelkontrollen effektiv vermeiden.
Auch die Informationsfreiheit bleibe aus Sicht der BfDI ein zentrales Demokratie- und Vertrauensthema. 2025 hat die BfDI die Internationale Konferenz der Informationsfreiheitsbeauftragten (ICIC) in Berlin ausgerichtet. Dabei wurde mit dem European Network for Transparency and Right to Information (ENTRI) ein neues europäisches Netzwerk für Transparenz und Informationsfreiheit gegründet, dessen Vorsitz die BfDI übernommen hat. Zum 20-jährigen Bestehen des Informationsfreiheitsgesetzes wirbt die BfDI dafür, den Zugang zu amtlichen Informationen nicht zu schwächen, sondern in das digitale Zeitalter weiterzuentwickeln.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/38/30383885bad542ad6c41dc4e57ae1395/0131628564v1.jpeg "Zum Start von ARCH unterzeichnen Cyberagentur und Projektteam die Vereinbarungen für eine systematischere Erfassung von Schäden durch Cyberkriminalität. Im Bild: Dr. Nicole Hartlapp, Bettina Bubnys, Prof. Dr. Christian Hummert und Prof. David Décary-Hétu. (Bild: Cyberagentur)")
:quality(80)/p7i.vogel.de/wcms/b7/a2/b7a22f7118a608d260e239c11954fe2c/0131612860v2.jpeg "Am 12. Januar 2027 verlieren Windows Server 2016 und Windows 10 LTSC 2021 ihre Updateversorgung. Offene Schwachstellen bleiben danach dauerhaft ungepatcht. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/38/71388e518548f6491397ba579d7798e5/0131570993v2.jpeg "CVE-2026-41615 verleitet den Microsoft Authenticator zur Token-Weitergabe an Angreifer. Kein Exploit ist nötig, ein Nutzerklick genügt für eine Kontoübernahme. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/56/08561843729867306d1012c2c5434fbb/0122408422v1.jpeg "Schatten-IT ist ein bekanntes Problem, doch jetzt kommt mit Schatten-KI eine neue Bedrohung für Datenschutz und Sicherheit in Unternehmen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/63/71/637176238911765ea7930198ee3ab584/0131573032v2.jpeg "Dashboards, Bedrohungskarten und Analysten rund um die Uhr: Ein SOC beeindruckt optisch. Wer kein Bedrohungsmodell hat, produziert damit aber nur Alerts, die niemand bearbeitet. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/21/5a/215a4ae8f72644cf33b313e97216b154/0130985818v1.jpeg "KI-Lieferketten haben keinen Perimeter. Identität wird damit zur primären Steuerungsebene, denn unkontrollierte Zugangsdaten schaffen in KI-Umgebungen systemische Risiken. (Bild: © Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/bd/9fbd70488e5c87d28c8081781a6fc5ff/0131015676v1.jpeg "Swisscom hat eine souveräne Kubernetes-Plattform auf seiner eigenen Infrastruktur in Schweizer Rechenzentren aufgebaut – eine produktionsreife, softwaredefinierte Cloud-Plattform auf bestehender Bare-Metal-Infrastruktur. (Bild: Swisscom (swisscom.ch))")
:quality(80)/p7i.vogel.de/wcms/04/82/04823bb75d3e2cbe43eb9d6de41daea6/0131023976v1.jpeg "Laut Wire-Geschäftsführer Benjamin Schilz bringe die VS-NfD-Zulassung das Unternehmen dem Ziel digitaler Souveränität einen Schritt näher. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/69/98/69981ea4553403feb570210fde1627fc/0131560890v4.jpeg "CVE-2026-9082 erlaubt anonymen Angreifern SQL-Injection in Drupal Core. Updates für alle gepflegten Zweige schließen die hochkritische Lücke. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/f6/ecf650410a3f7a777738eab205bc72ac/0131558081v2.jpeg "Ein blauer Abwehr-Agent und ein roter Angreifer-Agent stehen sich im autonomen Dauerduell gegenüber. Ob ein Netzwerk-Agent verteidigt oder angreift, entscheiden allein Reward und Einsatzkonzept. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cd/6f/cd6f731c0ed680d9d410827b6c3df012/0131361357v1.jpeg "2025 gab es viele Themen und Aufgaben, die die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beschäftigt haben. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/cc/1ccc422b9b4cff266216d930d7f251ce/0131030971v1.jpeg "Mit eIDAS 2.0 schafft die EU eine interoperable Wallet- und Vertrauensinfrastruktur mit Vertrauensdiensten, auf deren Basis KI‑Agenten mittels digitaler Vollmachten kryptografisch signierte, auditierbare Aktionen ausführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1e/07/1e07f8ca94d913d6571de0aec3b84d6e/0130114230v2.jpeg "Das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit überwacht die Einhaltung der Datenschutzgesetze in Deutschland, insbesondere der Datenschutz-Grundverordnung. (Bild: Johanna Wittig)")
:quality(80)/p7i.vogel.de/wcms/81/bd/81bd5ce4ed478e58f0a4b58c2ca96612/0124967752v2.jpeg "Verbände und Politiker wollen die Datennutzung über den Datenschutz stellen. Dabei soll der Datenschutz die Datennutzung gar nicht verhindern, sondern ihr einen rechtlichen Rahmen vorgeben, der den Menschen die Kontrolle über ihre eigenen Daten verschafft. (Bild: © Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/eb/92ebb75c0097fbf1fa7150158111aacc/0126754374v2.jpeg "Das Löschen personenbezogener Daten aus KI-Modellen bleibt technisch und rechtlich eine Herausforderung – Verlernen gilt als möglicher Ansatz. (Bild: © tadamichi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/b8/b7b85f23fc336975db9560ff55870967/0125054400v2.jpeg "Die Bundesdatenschutzbehörde hat ihr bisher höchste Bußgeld gegen Vodafone verhängt. (©alfexe - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/63/d8638528fd47de171bd82feb63bb94bd/0126598576v2.jpeg "Die EU verpflichtet alle Mitgliedstaaten bis 2026 zur Einführung einer zertifizierten Digital Identity Wallet. Moderne Kryptographietechniken wie Blockchain und Multi-Party Computation sollen Sicherheit und Datenschutz gewährleisten. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/5c/da5c36c48e77d9066e349e1cc28f757b/0124162061v2.jpeg "Laut Gesundheitsminister Karl Lauterbach startet bald das deutschlandweite Ausrollen der elektronischen Patientenakte, auf der automatisch Arztbriefe, Befunde, Laborwerte und verordnete Medikamente gespeichert werden, sofern die Nutzer dem nicht aktiv widersprechen. (© Stockwerk-Fotodesign – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/f8/40f89f374d9fc9a77fa03a28acc418d0/0126340017v2.jpeg "SPD und CDU wollen zeitnah ein Gesetz zur Vorratsdatenspeicherung auf den Weg bringen – dies wurde bisher vom Europäischen Gerichtshof immer wieder blockiert. Nun läuft eine EU-weite Initiative, die einen einheitlichen Rechtsrahmen für die Datenspeicherung schaffen soll. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/77/0c/770c05f35154712fdfd26d88a5456606/0126493215v2.jpeg "Die nächste Verhandlung über die „Regulation to Prevent and Combat Child Sexual Abuse“ (CSAR) findet am 12. September 2025. Am 14. Oktober 2025 soll dann final über eine neue EU-Verordnung abgestimmt werden. (© growth.ai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/db/3b/db3b88c18bb40fa007b8a0a84d992c82/0127345129v2.jpeg "Im Juli 2025 hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 1.000 Menschen zu Datenschutzthemen befragt. Künftig sollen solche Umfragen im Rahmen des Datenschutzbarometers erfolgen. (Bild: Jadon Bester/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e07f8ca94d913d6571de0aec3b84d6e/0130114230v2.jpeg "Das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit überwacht die Einhaltung der Datenschutzgesetze in Deutschland, insbesondere der Datenschutz-Grundverordnung. (Bild: Johanna Wittig)")