Datenschutz-Beauftragte meldet Rekord: 45 Millionen Euro Bußgeld

Die Zahl der Beschwerden beim Bundesdatenschutzbeauftragten ist explodiert – und die Behörde verhängte 2025 Millionenstrafen.

Professor Dr. Louisa Specht-Riemenschneider hat ihren 34. Tätigkeitsbericht dem Bundestag vorgelegt. Die Bilanz für 2025 zeigt eine Behörde im Wandel: Nie zuvor gingen so viele Eingaben ein, nie zuvor waren die Strafen so hoch. Gleichzeitig setzt die Behörde auf einen neuen Kurs – weg von der reinen Kontrolle, hin zur aktiven Beratung.

Rekord bei Beschwerden und Bußgeldern

Die Zahlen sprechen eine deutliche Sprache: 11.824 Eingaben verzeichnete die Behörde im Jahr 2025 – ein Anstieg von 36 Prozent gegenüber dem Vorjahr. Damit hat sich das Beschwerdeaufkommen innerhalb von zwei Jahren mehr als verdoppelt und erreicht fast das Niveau des Jahres 2018, als die DSGVO in Kraft trat.

Angesichts der Rekordzahlen bei den Datenschutzbeschwerden müssen Unternehmen ihre Dokumentationspflichten ernster denn je nehmen. Mit dieser kostenlosen Muster-Vorlage und Anleitung erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher. Kostenlose Excel-Vorlage jetzt herunterladen

Doch nicht nur die Beschwerden nahmen zu. Die Behörde verhängte Bußgelder in Höhe von rund 45,2 Millionen Euro. Ein besonders spektakulärer Fall betraf einen Telekommunikationsanbieter: Gleich zwei Strafen – 15 und 30 Millionen Euro – verhängte die Behörde wegen schwerwiegender Sicherheitslücken und unzureichender Kontrolle von Partnerunternehmen.

Hinzu kamen 80 Vor-Ort-Kontrollen, 40 schriftliche Prüfungen und insgesamt 129 förmliche Aufsichtsmaßnahmen. 9.170 Datenpannen wurden gemeldet. „Beratung hat Priorität, aber wo Gesetze vorsätzlich oder massiv verletzt werden, müssen wir eingreifen", betonte die Behördenchefin.

Neuer Kurs: Vom Kontrolleur zum Begleiter

Unter Specht-Riemenschneider schlug die Behörde einen neuen Weg ein. Das ReguLab – eine Art Datenschutz-Sandkasten – erlaubt innovativen Projekten, ihre Compliance in einer geschützten Umgebung zu testen. Ergänzt wird das Angebot durch den Datenbarometer, eine repräsentative Umfrage, die gesellschaftliche Einstellungen zum Datenschutz erfasst.

Die Ergebnisse sind aufschlussreich: Warum nutzen nur zehn Prozent der Versicherten die elektronische Patientenakte (ePA)? Laut Datenbarometer sehen 42 Prozent der Befragten schlicht keinen praktischen Nutzen. Die Behörde warnt davor, die Sicherheitsstandards zu senken, um die Akzeptanz zu erhöhen.

Ein „Strategic Foresight"-Prozess soll künftige Regulierungsbedarfe frühzeitig erkennen – derzeit mit Fokus auf Neurodaten und deren Auswirkungen auf Grundrechte.

Künstliche Intelligenz im Fokus

Die EU-KI-Verordnung beschäftigte die Behörde intensiv. Ende 2025 veröffentlichte sie einen umfassenden Leitfaden mit dem Titel „KI in Behörden – Datenschutz von Anfang an mitdenken". Er gibt Bundesbehörden eine Roadmap für den Einsatz großer Sprachmodelle (LLMs) an die Hand.

Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der Risikodokumentation und Kennzeichnungspflicht. Dieser kostenlose Umsetzungsleitfaden zum AI Act bietet Ihrer IT- und Rechtsabteilung den nötigen Überblick über alle Fristen und Anforderungen. Gratis KI-Verordnung E-Book sichern

„Frühzeitige Beratung ist der wirksamste Weg, um Verstöße zu verhindern", so das Fazit. Die Behörde war 2025 an 147 Gesetzgebungsverfahren beteiligt und gab Expertisen, um neue Sicherheitsgesetze mit den verfassungsrechtlichen Datenschutzgrenzen in Einklang zu bringen.

Digitales Gesundheitswesen: Fortschritt und Frust

Ein Meilenstein war die Eröffnung des Forschungsdatenzentrums (FDZ) am Bundesinstitut für Arzneimittel und Medizinprodukte am 9. Oktober 2025. Die Behörde war eng in die Entwicklung eingebunden und stellte sicher, dass sensible Patientendaten nur in geschützten Umgebungen und pseudonymisiert verarbeitet werden.

Doch die ePA bleibt ein Sorgenkind. Die Behörde warnt: „Hohe technische Anforderungen sind unverzichtbar für das Vertrauen der Bürger."

Führungswechsel steht bevor

Der Bericht kommt zu einem besonderen Zeitpunkt: Specht-Riemenschneider, die ihr Amt Mitte 2024 antrat, hat im März 2026 aus gesundheitlichen Gründen ihren Rücktritt angekündigt. Bis zur Ernennung eines Nachfolgers führt sie die Geschäfte weiter.

Ihr Vermächtnis: ein dialogorientiertes und proaktives Aufsichtsmodell. „Datenschutz ist kein Hindernis für Innovation, sondern ein Vertrauensanker für die digitale Gesellschaft", betonte sie bei der Vorstellung des Berichts.

Ausblick: Was kommt auf die nächste Behördenleitung zu?

Die Herausforderungen bleiben gewaltig: Die Umsetzung des Europäischen Gesundheitsdatenraums (EHDS) und das Zusammenspiel von KI-Verordnung und DSGVO werden die kommenden Jahre prägen. Die Behörde rechnet mit weiter steigenden Beschwerdezahlen.

Für Unternehmen und Behörden gilt: Der Weg zur Compliance führt künftig über frühzeitige Beratung und die Nutzung der wachsenden Instrumente der Behörde. Der 34. Tätigkeitsbericht setzt dabei hohe Maßstäbe für die nächste Amtszeit.

de | wirtschaft | 69351151 |