Berliner Datenschutzbeauftragte stellt Jahresbericht 2025 vor

Veröffentlicht am:

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 23.06.2026

Das Landgericht Berlin I hat gestern sein Urteil zum Bußgeldbescheid der Berliner Beauftragten für Im Abgeordnetenhaus von Berlin hat Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), heute ihren Jahresbericht für das Jahr 2025 vorgestellt.

Neue Befugnisse für Polizei und Verfassungsschutz

Zahlreiche neue Befugnisse mit zum Teil erheblichen Auswirkungen auf unbeteiligte Personen brachten die Reformen des Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG) und des Verfassungsschutzgesetzes. Die Datenschutzbeauftragte hat beide Gesetzgebungen mit Stellungnahmen begleitet und warnte vor erheblichen Eingriffsmöglichkeiten, die oft anlasslos und mit großer Streubreite in das Grundrecht auf informationelle Selbstbestimmung auch Unbeteiligter eingreifen. „Nicht jede technisch mögliche Überwachung ist rechtsstaatlich zulässig“, sagte Kamp. „Jede Maßnahme muss geeignet, erforderlich und angemessen sein – im Einzelnen wie im Gesamtzusammenhang.“

Informationsfreiheit in Gefahr

2025 war kein gutes Jahr für die Informationsfreiheit in Berlin. Das Land schaffte zunächst die Transparenzvorgaben zu Hygienekontrollen im Lebensmittelbereich ab und kündigte weitere gesetzliche Beschränkungen an. Gegen diese Bestrebungen hat sich Kamp als Beauftragte für Informationsfreiheit in mehreren Stellungnahmen klar geäußert. „Der Staat und seine Behörden sollten ein Interesse daran haben, dass das eigene Handeln von anderen überprüft und nachvollzogen werden kann“, sagte Kamp. „Das schafft Vertrauen und stärkt die Demokratie. Voraussetzung dafür ist, dass die Verwaltung ihr Handeln transparent macht. Mit großer Sorge beobachte ich daher die Tendenzen, die Informationsfreiheit zu beschränken. Öffentliche Informationen zugänglich zu machen, stellt eine eigene Aufgabe der Verwaltung dar, die gleichwertig neben den Fachaufgaben stehen sollte.“

Künstliche Intelligenz in Unternehmen und Behörden

Auch 2025 hat die Datenschutzbeauftragte die Berliner Verwaltung zum datenschutzkonformen Einsatz von Künstlicher Intelligenz beraten. Sie trug zur Schaffung einer Rechtsgrundlage für die KI-Nutzung bei, die Behörden zu risikomindernden Maßnahmen zum Schutz der Betroffenen verpflichtet. „KI-Systeme müssen für Behörden beherrschbar sein, denn sie sind und bleiben verantwortlich für die darin verarbeiteten personenbezogenen Daten“, so Kamp.

Parallel zeigte sich bei Unternehmen Handlungsbedarf. Mehrere Prüfungen vor Ort offenbarten, dass Transparenzverpflichtungen beim KI-Einsatz nicht immer eingehalten werden. Ein Unternehmen verarbeitete Daten der Schuldner:innen zur psychologisch optimierten Ansprache und zum vermeintlich anonymisierten Training eines KI-Modells, ohne darüber ausreichend zu informieren. Gleiches Problem bei einer Online-Plattform: Hier wurde ebenfalls ein KI-System ohne Transparenz gegenüber den betroffenen Personen mit Kundenanfragen trainiert.

Bußgelder nach Datenabfragen zu privaten Zwecken

Zahlreiche Verfahren betrafen erneut Fälle, in denen Beschäftigte Daten aus dem Arbeitskontext für private Zwecke weiternutzten. Regelmäßig verhängt die Datenschutzbeauftragte aus diesem Grund Bußgelder, wie der Bericht anhand von Fällen aus dem Gesundheitsbereich und der Polizei schildert:

  • In einem Fall nutzte ein Rezeptionist einer psychiatrischen Ambulanz die E-Mail-Adresse einer Patientin, um ihr mitzuteilen, dass er sie bei einem Treffen näher kennenlernen möchte.
  • Ein Arzt rief die Gesundheitsdaten einer ihm fachlich unterstellten Beschäftigten im Krankenhausinformationssystem ohne erkennbaren Grund ab. Derselbe Arzt prüfte ohne Befugnis den Infektionsstatus seines Assistenzarztes.
  • Ein Polizeibeamter fragte einen Vorgang ab, in dem er selbst als Täter geführt wurde, um so Einfluss auf das Verfahren nehmen zu können.

Umgang mit Datenschutzvorfällen in Berliner Unternehmen

Im vergangenen Jahr erhielt die BlnBDI im Schnitt vier Meldungen von Datenschutzvorfällen pro Tag. Insgesamt meldeten private und öffentliche Stellen 1.462 Vorfälle, bei denen es im Zuge eines Sicherheitsvorfalls zu einer unbefugten Offenlegung oder zu einem unbefugten Zugriff auf personenbezogene Daten kam.

Ein wiederkehrendes Problem waren Mängel im Umgang mit Datenschutzvorfällen, sowohl auf Seiten der verantwortlichen Unternehmen als auch bei ihren Auftragsverarbeitern. „Schnelles Handeln ist bei Datenschutzvorfällen Pflicht: Lücken müssen geschlossen und betroffene Personen bei hohen Risiken benachrichtigt werden, damit die Möglichkeit besteht, Schutzmaßnahmen zu ergreifen“, erklärt Kamp. Die BlnBDI verwarnte die BVG aufgrund der verspäteten Meldung eines Datenschutzvorfalls und mangelnder Kontrolle des Auftragsverarbeiters. In einem anderen Verfahren informierte ein Anbieter einer Software für Rechtsanwaltskanzleien seine Kund:innen trotz mehrfacher Aufforderung nicht ausreichend über einen Datenschutzvorfall. Dadurch war es den betroffenen Rechtsanwält:innen nicht möglich, ihren Benachrichtigungspflichten nachzukommen.

Anstieg der Eingaben um 50 Prozent

2025 wandten sich mehr Menschen als je zuvor an die BlnBDI. Der bisherige Höchststand von 6.036 Eingaben im Jahr 2024 stieg 2025 noch einmal um 52 Prozent auf 9.224 Eingaben. Darunter fallen formelle Beschwerden (2.856) und Anfragen um schriftliche Beratung von betroffenen Personen (6.368), etwa zu ihren Datenschutzrechten. Die Behörde hat 53 Verwarnungen und 59 Geldbußen in Höhe von insgesamt 79.450 Euro erlassen.

Vorsitz der Datenschutzkonferenz

Im Jahr 2025 war Kamp auch Vorsitzende der Datenschutzkonferenz, dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Unter ihrer Leitung positionierte sich die Datenschutzkonferenz unter anderem zu den Vorschlägen der EU-Kommission zur DSGVO-Reform und zum Einsatz automatisierter Datenanalysen durch Polizeibehörden. Auf Initiative Berlins hat die Datenschutzkonferenz zudem ein Projekt gestartet, das anhand konkreter Anwendungsfälle zeigen möchte, welche Anforderungen und Verfahren für die Pseudonymisierung und Anonymisierung personenbezogener Daten wichtig sind. Das Projekt soll in diesem Jahr abgeschlossen werden.

Der Jahresbericht 2025 ist hier abrufbar.