Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider hat ihren 34. Tätigkeitsbericht an Bundestagspräsidentin Julia Klöckner übergeben. 11.824 Eingaben in 2025 und 45 Millionen Euro Bußgeld gegen Vodafone stehen im Mittelpunkt. Was deutsche Mittelständler aus dem Dokument mitnehmen sollten.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Hand aufs Herz: Wann haben Sie zuletzt geprüft, ob Ihre Auftragsverarbeiter wirklich nach Artikel 28 DSGVO kontrolliert werden? Genau diese Frage steht im Zentrum des BfDI Tätigkeitsberichts für 2025, den die Bundesdatenschutzbeauftragte am 6. Mai 2026 öffentlich übergeben hat. Der Bericht dokumentiert nicht nur Rekord-Beschwerdezahlen, sondern auch handfeste Sanktionen, die jeden Mittelständler betreffen können.
Das Wichtigste in Kürze
- 11.824 Eingaben bei der BfDI in 2025, plus 36 Prozent gegenüber Vorjahr
- 80 Vor-Ort-Kontrollen und 40 schriftliche Audits durchgeführt
- 129 aufsichtsrechtliche Maßnahmen verhängt
- 45 Millionen Euro Bußgeld gegen Vodafone bestätigt
- Neue Formate: ReguLab, Datenbarometer, Strategic-Foresight-Prozess zu Neurodaten
Was zeigen die Rekordzahlen?
Die Eskalation ist messbar. 11.824 Eingaben in 2025 bedeuten ein Plus von 36 Prozent gegenüber 2024 und 52 Prozent gegenüber 2023. Ein vergleichbares Aufkommen verzeichnete die Behörde zuletzt 2018 im Zuge der DSGVO-Einführung. Bürger nutzen ihre Rechte zunehmend aktiv. Für Unternehmen heißt das konkret: Betroffenenanfragen nach Artikel 15 DSGVO erreichen Servicestellen häufiger, oft mit unrealistischen Fristen.
Das Vodafone-Bußgeld bleibt das spektakulärste Sanktionsbeispiel. Aufgeteilt in 15 Millionen Euro für mangelhafte Auftragsverarbeiterkontrolle und 30 Millionen Euro für Sicherheitsmängel beim MeinVodafone-eSIM-Authentifizierungsprozess setzt der Fall den Maßstab. Die Bestätigung im 34. Tätigkeitsbericht zeigt, dass die Behörde an der Linie festhält. Eine Folgekontrolle bei Vodafone wurde für 2026 angekündigt.
Lesetipp: Medienrecht 2026: Der praktische Überblick für Geschäftsführer und Webverantwortliche
Datenschutz ist 2026 keine Compliance-Pflicht mehr, sondern eine strategische Investition. Ohne systematische Kontrolle von Auftragsverarbeitern riskieren Unternehmen nicht nur ein Bußgeld, sondern den Vertrauensvorsprung gegenüber Kunden, die sensibilisiert reagieren.
— Michael Dobler, Herausgeber Dr. Web
Welche neuen Formate kommen aus dem Bericht?
Die ReguLab-Sandbox ist das interessanteste Format für Unternehmen mit konkreten Projekten. Im ersten Durchlauf testen Krankenkassen, wie Paragraf 25b SGB V für Präventionsangebote grundrechtsschonend angewendet werden kann. Mittelständler mit innovativen Datenprojekten können prüfen, ob ihr Vorhaben in einem ReguLab-Durchgang passen würde.
Das Datenbarometer liefert repräsentative Bevölkerungsdaten zu Datenschutz-Themen. Das Strategic-Foresight-Format widmet sich 2026 den Neurodaten, einer Kategorie, die mit Brain-Computer-Interfaces an Bedeutung gewinnen wird. Diese Vorausschau-Werkzeuge schaffen Planungssicherheit, weil sie absehbar machen, wo die Aufsicht 2027 ansetzen wird.
Specht-Riemenschneider formulierte ihre Haltung in einer Pressemitteilung zum 34. Tätigkeitsbericht pointiert: „Datenschutz ist Vertrauensanker in einer Zeit, in der Vertrauen zunehmend verloren geht. Nicht Datenschutz hemmt Innovation, sondern Rechtsunsicherheit.“ Das ist die Linie, die der Bitkom anders sieht.
Lesetipp: Cybersecurity Grundlagen: Was KMU 2026 können müssen
Was bedeutet das für Ihren Mittelstand?
Drei Handlungsfelder ergeben sich aus dem Bericht. Zunächst die Auftragsverarbeiter-Liste durchsehen und prüfen, ob jeder einzelne Vertrag eine aktuelle Auditierung hinterlegt hat. Parallel dazu die Authentifizierungs-Prozesse bei Kundenportalen kritisch bewerten, weil die Vodafone-Strafe genau dort ansetzte. Schließlich eigene Innovations-Projekte auf ReguLab-Tauglichkeit prüfen, gerade wenn Gesundheits-, Energie- oder HR-Daten verarbeitet werden.
Mehr Newshunger?
