Datenschutz 2025: Tätigkeitsbericht der BfDI

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Luisa Specht-Riemenschneider, hat in der Bundespressekonferenz ihren 34. Tätigkeitsbericht für das Jahr 2025 vorgestellt. Unter dem Leitgedanken „Aufbruch und Risiko” zog die Behörde Bilanz: zwischen einem 45-Millionen-Euro-Bußgeld gegen Vodafone, neuen Beratungsformaten und deutlicher Kritik an Vorratsdatenspeicherung sowie geplanten Aufsichtsverschiebungen bei Nachrichtendiensten. Specht-Riemenschneider hatte im März ihren Rücktritt aus gesundheitlichen Gründen angekündigt; die Suche nach einer Nachfolge läuft noch.

Drei zentrale Botschaften zum Datenschutz 2025

Specht-Riemenschneider strukturierte ihre Jahresbilanz um drei Kernaussagen. Erstens sei Datenschutz ein Vertrauensanker in einer Gesellschaft, in der Vertrauen zunehmend erodiere – und müsse deshalb gestärkt, nicht geschwächt werden. Zweitens sei Datenschutz kein Innovationshemmnis; der eigentliche Gegner von Innovation sei Rechtsunsicherheit. Gesetzgeber und Aufsicht sollten diese Unsicherheit gezielt reduzieren, statt sich in Deregulierungsdebatten zu verlieren.

Drittens betonte sie das Doppelmandat moderner Datenschutzaufsicht: Sie beaufsichtige und berate zugleich – zeige also auf, welche Datenverarbeitungen unter welchen Voraussetzungen zulässig sind, statt lediglich Verbote auszusprechen.

Bußgeld, Sandbox und Datenbarometer: Was die Behörde 2025 leistete

Die Behörde verzeichnete im vergangenen Jahr rund 12.000 Eingaben, davon etwa 5.300 förmliche Beschwerden – mehr als doppelt so viele wie in Vorjahren. Als Reaktion wurde ein zentrales Referat für Beschwerdebearbeitung und Bürgerdialog eingerichtet.

Zu den konkreten Ergebnissen zählen:

• Ein Bußgeld von 45 Millionen Euro gegen Vodafone, das zwischenzeitlich bezahlt wurde und zu einer angepassten Datenschutzpraxis des Unternehmens geführt hat.
• Die Einrichtung einer behördeneigenen Datenschutz-Sandbox (Reallabor), in der gemeinsam mit Krankenkassen und IT-Dienstleistern erprobt wird, wie § 25b SGB V grundrechtsschonend für Gesundheitsprävention genutzt werden kann.
• Die Veröffentlichung des Datenbarometers – repräsentative Bevölkerungsbefragungen zu Cookies, elektronischer Patientenakte und Informationsfreiheit.
• Handreichungen für Bundesbehörden zum datenschutzkonformen Einsatz von KI-Tools sowie zum Verhältnis von Data Act und DSGVO.
• Aufbau eines Vorausschau-Prozesses, der künftige Herausforderungen – etwa im Bereich Neurodaten – frühzeitig adressieren soll.

Digitale Brieftasche und Verwaltungsdigitalisierung

Positiv bewertete Specht-Riemenschneider, dass Datenschutz in Digitalisierungsprojekten der Bundesregierung zunehmend mitgedacht werde. Besonders der Dialog rund um die digitale Brieftasche (Wallet), die Anfang 2027 für alle Bürgerinnen und Bürger verfügbar sein soll, sowie die Deutschlandapp verlief konstruktiv.

Für die Wallet forderte sie konsequente Datensparsamkeit: Bei der Altersverifikation im Supermarkt oder im Netz solle nur die Information übermittelt werden, ob eine Altersgrenze erreicht ist – nicht der vollständige Datensatz der Nutzerin oder des Nutzers. Zero-Knowledge-Verfahren sollten dabei erste Wahl sein. Biometrische Altersschätzungen lehnte sie als massiven Eingriff in die Privatsphäre ab.

Sorgen: Vorratsdatenspeicherung und Aufsicht über Nachrichtendienste

Kritisch äußerte sich die Bundesbeauftragte zur geplanten Vorratsdatenspeicherung von IP-Adressen. Der vom Europäischen Gerichtshof (EuGH) in der Hadopi-Entscheidung zugelassene Korridor für eine anlasslose Speicherung sei „extrem schmal”. Der zulässige Speicherzeitraum müsse evidenzbasiert bestimmt werden; ohne diese Grundlage drohten Gesetze erneut vom Bundesverfassungsgericht gekippt zu werden.

Scharf kritisierte sie außerdem die Pläne der Bundesregierung, die datenschutzrechtliche Aufsicht über Nachrichtendienste aus ihrer Behörde herauszulösen. Dies sei kein Bürokratieabbau, sondern das Gegenteil: Eine neue, bisher nicht mit Datenschutzkompetenz ausgestattete Behörde müsse erst aufgebaut werden. Ihre Behörde sei die einzige, die einen vollständigen Überblick über alle Nachrichtendienste und deren Datenverarbeitungen besitze – eine Funktion, die das Bundesverfassungsgericht ausdrücklich als „Kompensationsfunktion” zugunsten der Bürgerinnen und Bürger anerkannt habe. Wer Befugnisse der Sicherheitsbehörden ausbaue und gleichzeitig die Kontrolle einschränke, schaffe „eine gefährliche Schieflage zu Lasten des Rechtsstaats”.

Auf europäischer Ebene mahnte Specht-Riemenschneider an, dass der Omnibus-Vereinfachungsprozess der EU die drängendsten Fragen – etwa zur effektiven Regulierung von Datenbrokern und großen Plattformen – bislang nicht ausreichend adressiere. Gemeinsam mit dem Europäischen Datenschutzausschuss arbeite man an Leitlinien zum Zusammenspiel von DSGVO, Digital Services Act, Digital Markets Act und KI-Verordnung. Ziel der sogenannten Helsinki-Erklärung sei es, die DSGVO-Anwendung vor allem für Startups und KMU durch Vorlagen, Checklisten und praxisnahe Hilfsmittel zu erleichtern.

Mit dem Appell, Innovation und Grundrechtsschutz als zwei Seiten derselben Medaille zu begreifen, schloss Specht-Riemenschneider ihren letzten öffentlichen Auftritt als Bundesbeauftragte. Wer ihre Nachfolge antritt und wie sich die offenen Streitfragen – Vorratsdatenspeicherung, Nachrichtendienstaufsicht, EU-Omnibus – entwickeln, wird die Datenschutzpolitik in Deutschland und Europa in den kommenden Jahren maßgeblich prägen.