Zum Inhalt springen
🎉 Nur für kurze Zeit: Sparen Sie die Einrichtungsgebühr von 199€ - jetzt registrieren! Jetzt sparen
Rechtliches 3 min Lesezeit

BfDI legt 34. Tätigkeitsbericht vor: Beschwerden +36%, 129 aufsichtsrechtliche Maßnahmen

Die Bundesdatenschutzaufsicht hat ihren Bericht für 2025 vorgestellt: 11.824 Eingaben (+36% YoY, mehr als verdoppelt in zwei Jahren), 80 Vor-Ort-Kontrollen, ein 45-Mio-€-Bußgeld gegen Vodafone. Was das für Mitarbeiterbefragungen und die GB Psych im Eigenbau bedeutet.

Rainer Orthober
Rainer Orthober
Compliance & Datenschutz
Gefächerter Stapel dunkelblauer Aktenmappen auf einem hellen Schreibtisch, daneben eine Lupe und ein Füllfederhalter — Symbolbild für die 11.824 Eingaben aus dem 34. BfDI-Tätigkeitsbericht 2025

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat in der Sitzungswoche 19/2026 den 34. Tätigkeitsbericht für das Berichtsjahr 2025 dem Bundestag übergeben. Die Zahlen sind unmissverständlich: Der Datenschutz-Aufsichtsbetrieb wird aktiver, und das mit einem Tempo, das in der Praxis vieler Unternehmen noch nicht angekommen ist. [1]

Die Zahlen aus dem Bericht

  • 11.824 Eingaben in 2025 — +36 % gegenüber 2024 und +52 % gegenüber 2023. Das Beschwerdevolumen hat sich innerhalb von zwei Jahren mehr als verdoppelt.
  • 80 Vor-Ort-Kontrollen, 40 schriftliche Kontrollen, insgesamt 129 aufsichtsrechtliche Maßnahmen.
  • 45 Millionen Euro Bußgeld in zwei Verfahren gegen die Vodafone GmbH wegen unzureichender Kontrolle von Partneragenturen und Sicherheitsmängeln.

Der Bericht zeigt vor allem eines: Die Phase, in der Datenschutzaufsicht primär beraten hat, ist vorbei. Beschwerden landen nicht mehr in der Schublade, Kontrollen werden konsequenter geführt, Bußgelder kommen schneller. [2]

Was das für die GB Psych bedeutet

Die psychische Gefährdungsbeurteilung läuft 2026 in eine doppelte Aufsichts-Front: Die Gewerbeaufsicht ist durch das Arbeitsschutzkontrollgesetz mit 5%-Mindestbesichtigungsquote gesetzlich zu mehr Prüfungen verpflichtet. Die Datenschutzaufsicht arbeitet, wie der BfDI-Bericht zeigt, aktiver — bei deutlich gestiegenem Beschwerdeaufkommen.

Konkret heißt das: Wer eine GB Psych im Eigenbau aufzieht — über Excel, Google Forms, MS Forms, SharePoint oder ein Inhouse-Tool — verarbeitet Gesundheitsdaten nach Art. 9 DSGVO ohne die architektonische Trennung, die eine Auftragsverarbeitung erzwingt. Eine einzige Beschwerde eines Beschäftigten an die Datenschutzaufsicht des Landes reicht aus, um eine Prüfung auszulösen. Und die Wahrscheinlichkeit dafür ist mit den BfDI-Zahlen gerade erheblich gestiegen.

Beschwerdewege, die Beschäftigte tatsächlich nutzen

Die BfDI-FAQ zum Beschäftigtendatenschutz nennt explizit den Datenschutz bei Mitarbeiterbefragungen als Themengebiet. [3] Beschäftigte können sich bei drei Stellen beschweren — und tun das zunehmend:

  • Datenschutzaufsicht des Landes (für die meisten Unternehmen) — die zuständige Behörde nach Art. 77 DSGVO und § 19 BDSG.
  • BfDI für Bundesbehörden, Telekommunikations- und Postanbieter, sowie über die Datenschutzkonferenz für länderübergreifende Verfahren.
  • Betriebsrat — der nach § 80 BetrVG die Einhaltung der Datenschutzvorschriften überwacht und nach § 87 (1) Nr. 6 BetrVG mitbestimmen muss.

Was Geschäftsführer in den nächsten 60 Tagen prüfen sollten

  1. Erhebungs-Architektur: Sieht der Arbeitgeber Rohantworten? Wenn ja, ist Art. 9 DSGVO einschlägig und die DSFA-Pflicht nach Art. 35 greift. Vollständiger Leitfaden: GB Psych und DSGVO bei Eigenerhebung.
  2. Auftragsverarbeitungsvertrag: Mit allen externen Beteiligten nach Art. 28 DSGVO. Standardvorlage prüfen.
  3. Betriebsvereinbarung: Existiert eine BV nach § 87 (1) Nr. 6/7 BetrVG zur Befragung? Ohne BV fehlt die Rechtsgrundlage nach Art. 88 DSGVO.
  4. n ≥ 5-Schwelle: Wird sie technisch erzwungen oder steht sie nur im Auswertungsleitfaden?

Der BfDI-Bericht liefert keine Garantie, dass eine konkrete Eigenerhebung geprüft wird. Er liefert aber das Klima — und das ist für 2026 deutlich kontrolldichter als für 2024.

Hintergrund: Die zwei Aufsichten parallel

Vertiefend mit Fokus auf den parallelen Bußgeld-Stack ArbSchG + DSGVO + BDSG: GB Psych selbst erhoben — warum 2026 zwei Aufsichten parallel prüfen können. Und der Pillar mit allen Quellen, DSFA-Checkliste und Konstellationen-Tabelle: Datenschutz und psychische Gefährdungsbeurteilung in Eigenregie.

Quellen

  1. 34. Tätigkeitsbericht der BfDI für das Jahr 2025, übergeben an den Deutschen Bundestag in Kalenderwoche 19 / 2026. Pressemitteilung Bundestag: bundestag.de/dokumente/textarchiv/2026/kw19-datenschutzbericht-1174220.
  2. Aufbereitung im Fachmedium QM-aktuell.de: 11.824 Eingaben, 80 Vor-Ort-Kontrollen, 45 Mio € Vodafone-Bußgeld. qm-aktuell.de/bfdi-stellt-34-taetigkeitsbericht-vor.
  3. BfDI FAQ Beschäftigtendatenschutz. bfdi.bund.de — FAQ Beschäftigtendatenschutz.
  4. Art. 77 DSGVO (Beschwerderecht). dsgvo-gesetz.de/art-77-dsgvo.
  5. Art. 9 DSGVO (besondere Kategorien). dsgvo-gesetz.de/art-9-dsgvo.

Tags

BfDITätigkeitsberichtDatenschutzaufsichtDSGVOGB Psych2025Beschäftigtendatenschutz

Weitere Artikel

Symbolbild: Aktenordner „Beschäftigtendatenschutz" und „Arbeitsschutz" nebeneinander auf einem Schreibtisch mit DSGVO-Heft und § 5 ArbSchG-Notiz — zwei Aufsichten prüfen die psychische Gefährdungsbeurteilung

GB Psych selbst erhoben: Warum 2026 zwei Aufsichten parallel prüfen können

Empfangshalle eines Regierungspräsidiums mit klassischer Architektur, Aktenkoffer und leerer Sitzbank – Symbolbild zur behördlichen Prüfung der psychischen Gefährdungsbeurteilung 2026

GB Psych 2026: Was Behörden in BW, NRW und Hessen jetzt prüfen

Luftaufnahme Stuttgart mit Neuem Schloss und Standortvergleichs-Diagramm der Regierungsbezirke Karlsruhe, Freiburg, Stuttgart und Tübingen – Symbolbild zur Auswertung des Jahresberichts der Gewerbeaufsicht Baden-Württemberg 2023

Gewerbeaufsicht Baden-Württemberg: nur 43 % der GB-Psyche-Zielquote 2023 erfüllt