Der heutige BfDI Tätigkeitsbericht 2025 ist weit mehr als ein Pflichtdokument für Verwaltung und Datenschutzbeauftragte. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat am 6. Mai 2026 ihren 34. Tätigkeitsbericht vorgelegt und damit einen selten klaren Blick auf den aktuellen Druck in der deutschen Datenschutzaufsicht eröffnet. Laut der heutigen Pressemitteilung verzeichnete die Behörde im Jahr 2025 insgesamt 11.824 Eingaben, also Beschwerden und Anfragen. Das entspricht einem Plus von rund 36 Prozent gegenüber dem Vorjahr und einem Anstieg von rund 52 Prozent gegenüber 2023. Die Zahl der Beschwerden hat sich innerhalb von zwei Jahren sogar mehr als verdoppelt.
Allein diese Entwicklung wäre bereits berichtenswert. Für Unternehmen wird die Story aber erst dadurch wirklich relevant, dass die BfDI denselben Bericht nicht als abstrakte Bürgerstatistik präsentiert, sondern als Aufsichtsbild für KI, Gesundheitsdaten, Verwaltungsdigitalisierung und Sicherheitsbehörden. Die Kombination aus wachsendem Eingangsvolumen, 80 Vor-Ort-Kontrollen, 40 schriftlichen Kontrollen und insgesamt 129 aufsichtsrechtlichen Maßnahmen zeigt, dass Datenschutzaufsicht in Deutschland 2025 nicht breiter diskutiert, sondern konkreter durchgesetzt wurde. Wer personenbezogene Daten in großem Umfang verarbeitet, sollte das nicht als Berliner Behördenrhetorik abtun, sondern als belastbares Signal für steigende Prüfintensität.
Besonders belastbar ist der Fall, weil die BfDI ihn am selben Tag doppelt unterfüttert: mit der Pressemitteilung zur Vorstellung des Berichts und mit dem parallel bereitgestellten 34. Tätigkeitsbericht selbst. Die Behörde setzt ihre Prioritäten damit nicht nur kommunikativ, sondern dokumentiert sie sofort in einem offiziellen Langformat. Für Leserinnen und Leser entsteht so kein dünner Hinweis, sondern ein belastbares Aufsichtsbild mit Substanz.
Beschwerden steigen, aber der eigentliche Punkt ist die Verdichtung der Aufsicht
Die steigende Zahl von Eingaben kann man leicht als Ausdruck größerer Sensibilität in der Bevölkerung lesen. Das stimmt zwar, trifft aber nur die Oberfläche. Spannender ist, was die BfDI daraus ableitet. Die Behörde beschreibt ihre Rolle ausdrücklich nicht mehr nur als reaktive Beschwerdestelle, sondern als Instanz, die Orientierung geben, neue technologische Entwicklungen einordnen und zugleich wirksam kontrollieren soll. Diese Mischung aus Beratung und Eingriff ist für Unternehmen der entscheidende Teil des Berichts.
Besonders plastisch wird das an den 129 aufsichtsrechtlichen Maßnahmen des Jahres 2025. Die BfDI nennt in ihrer Mitteilung als prominentes Beispiel das Verfahren gegen Vodafone. Dort verhängte sie zwei Geldbußen in Gesamthöhe von 45 Millionen Euro, unter anderem wegen mangelhafter Kontrolle von Partneragenturen und Sicherheitsproblemen bei Authentifizierungsprozessen. Der Bericht sendet damit eine klare operative Botschaft: Datenschutzaufsicht schaut nicht nur auf formale Texte oder Einwilligungsbanner, sondern zunehmend auf die tatsächliche Steuerung von Partnern, Schnittstellen und Authentifizierung.
Für viele Organisationen ist das unangenehmer als klassische Rechtsdebatten. Sobald Aufsicht tiefer in Kontrollketten, Dienstleistersteuerung und Sicherheitsarchitektur blickt, reichen saubere Policies allein nicht mehr. Dann muss nachweisbar sein, dass Prozesse im Alltag tatsächlich funktionieren. Der heutige Bericht ist deshalb auch ein Managementsignal. Wer Auslagerungen, Callcenter, Vertriebsagenturen, Identitätsprüfungen oder sensible Kundenzugriffe betreibt, sollte den Fall als Erinnerung lesen, dass Datenschutzversäumnisse schnell in ein Zusammenspiel aus Sicherheitsmangel, Kontrollversagen und Bußgeldrisiko kippen können.
KI, ePA und Sicherheitsstaat: Der Bericht zieht die Konfliktlinien enger
Der Bericht ist zugleich interessant, weil er die Themenagenda der Aufsicht sichtbar sortiert. Die BfDI hebt für 2025 neue Formate wie ReguLab, Datenbarometer und den Strategic-Foresight-Prozess hervor. Das klingt zunächst weich, ist aber aufsichtsstrategisch relevant. Die Behörde versucht damit, technologische Felder früher zu strukturieren, bevor Konflikte erst im Schadensfall eskalieren. Für Unternehmen heißt das: Datenschutzaufsicht will Standards nicht erst nachträglich sanktionieren, sondern vorab definieren, wo KI, Neurodaten oder neue digitale Verwaltungsprojekte grundrechtsschonend gebaut werden müssen.
Gerade beim Umgang mit künstlicher Intelligenz und Verwaltungsdigitalisierung wird der Bericht erstaunlich konkret. Die BfDI verweist auf ihre KI-Handreichung für die Bundesverwaltung und betont bei der EUDI-Wallet, dass datensparsame Verfahren wie Zero-Knowledge-Nachweise möglich sein müssen. Das ist mehr als regulatorische Theorie. Dahinter steht ein klarer Prüfmaßstab: Systeme sollen nicht nur digital bequem sein, sondern Datenminimierung technisch tatsächlich abbilden. Dasselbe Muster zeigt sich bei der elektronischen Patientenakte. Die BfDI sieht dort Potenzial, verbindet es aber ausdrücklich mit Datenschutz, Datensicherheit und Nutzerfreundlichkeit. Unternehmen im Gesundheitsumfeld können daraus ableiten, dass Akzeptanz und Rechtskonformität künftig noch enger zusammengedacht werden.
Noch schärfer wird der Bericht im Sicherheitsbereich. Die BfDI nennt Debatten über IP-Adressenspeicherung, digitale Ermittlungsbefugnisse, Chatkontrolle und die geplante Reform der Nachrichtendienstaufsicht ausdrücklich als Problemfelder. Besonders bemerkenswert ist der Hinweis auf Datenflüsse zwischen Nachrichtendiensten und Polizeien. Die Aufsicht warnt damit nicht nur vor einzelnen Maßnahmen, sondern vor einem strukturellen Verlust des Gesamtblicks auf sicherheitsbehördliche Datenverarbeitung. Das ist genau der Punkt, an dem Datenschutz von einer Einzelfalllogik in eine Governance-Frage kippt.
Was Unternehmen und öffentliche Stellen jetzt aus dem Bericht ziehen sollten
Der heutige BfDI-Bericht lässt sich deshalb auf drei praktische Lehren verdichten. Erstens: Beschwerdedruck ist kein Randphänomen mehr. Wenn Eingaben in dieser Geschwindigkeit wachsen, steigt auch die Chance, dass wiederkehrende Schwächen sichtbar und priorisiert werden. Zweitens: Kontrolle bedeutet immer öfter Prozessprüfung statt Papierprüfung. Vor allem Partnersteuerung, Authentifizierung, Rechtebearbeitung und Vorfallmanagement müssen belastbar funktionieren. Drittens: Wer in KI-, Gesundheits- oder staatlich geprägten Datenumgebungen arbeitet, sollte Datenschutz nicht als spätes Freigabethema behandeln, sondern als Architekturfrage.
Auch öffentliche Stellen sollten den Bericht nicht nur als Selbstbeschreibung der Aufsicht lesen. Die BfDI markiert mit EUDI-Wallet, ePA, Informationsfreiheit und Sicherheitsaufsicht mehrere Felder, in denen Grundrechtsschutz nur dann glaubwürdig bleibt, wenn Technik, Rechtsgrundlage und praktische Kontrolle zusammenpassen. Genau dort dürfte der Ton in den kommenden Monaten eher strenger als weicher werden.
Genau deshalb ist dieser Bericht mehr als eine routinierte Jahresbilanz. Er zeigt, dass Datenschutzaufsicht 2026 nicht nur in spektakulären Bußgeldern sichtbar wird, sondern schon in der verdichteten Kombination aus Beschwerden, Kontrollen, Technologieeinordnung und strukturellem Eingriffsanspruch. Wer Verantwortung für Datenverarbeitung trägt, bekommt damit eine ziemlich deutliche Vorschau darauf, welche Fragen Aufsicht als Nächstes härter stellen wird.
Bildquelle: Pexels
Quellen: BfDI, „Datenschutzaufsicht 2025: beraten, kontrollieren, Rechtsklarheit schaffen”; BfDI, „34. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2025”.
