Datenschutz

BfDI: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Die BfDI ist die deutsche Bundesbehörde für Datenschutz: Aufgaben, Befugnisse, Beschwerdeverfahren, Bußgelder und Abgrenzung zu den Landesdatenschutzbehörden.

TD
Dr. Thiébaut Devergranne
17. Mai 20265 min read

In einem Satz. Die BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) ist die unabhängige deutsche Bundesbehörde für Datenschutz. Sie überwacht Bundesbehörden, Telekommunikations- und Postunternehmen sowie bestimmte Sektoren. Für private Unternehmen sind grundsätzlich die 16 Landesdatenschutzbehörden zuständig. Die BfDI vertritt Deutschland im EDPB, kann Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes verhängen und ist seit 2023 von der Bundeskanzlerin/dem Bundeskanzler unabhängig.

Die BfDI ist die zentrale deutsche Datenschutzbehörde auf Bundesebene. Sie spielt eine doppelte Rolle: Aufsicht über bundesweit operierende Bereiche (Telekommunikation, Bundesverwaltung) und Vertretung Deutschlands im Europäischen Datenschutzausschuss (EDPB). Für die meisten privaten Unternehmen ist jedoch die zuständige Landesdatenschutzbehörde (z. B. BlnBDI in Berlin, LDA Bayern) der primäre Kontakt.

Für die operative DSB-Funktion siehe Aufgaben des Datenschutzbeauftragten. Für DSGVO-Bußgelder, DSGVO Bußgelder.

Wichtige Punkte

  • BfDI = Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Sitz in Bonn.
  • Aktuelle Amtsinhaberin: Louisa Specht-Riemenschneider seit September 2024.
  • Zuständig für Bundesbehörden, Telekommunikations- und Postunternehmen, EU-Institutionen mit Sitz in Deutschland.
  • Private Unternehmen fallen typischerweise unter die 16 Landesdatenschutzbehörden.
  • Bußgeldbefugnis nach Artikel 83 DSGVO: bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes.

1. Mandat und Zuständigkeit

Die BfDI überwacht:

  • Bundesbehörden (Ministerien, Bundesämter, Bundesanstalten)
  • Telekommunikations- und Postunternehmen (Telekom, Vodafone, 1&1, etc.)
  • Sozialversicherungsträger auf Bundesebene
  • Bundesgerichte in administrativen Angelegenheiten

Sie ist nicht zuständig für:

  • Private Unternehmen außerhalb von Telekommunikation/Post (zuständig: Landesbehörden)
  • Landesbehörden (zuständig: jeweilige Landesdatenschutzbehörde)
  • Kirchen (zuständig: kirchliche Datenschutzbehörden)

2. Befugnisse (Artikel 58 DSGVO + BDSG)

Die BfDI hat erhebliche Untersuchungs- und Korrekturbefugnisse:

Befugnis Praktische Anwendung
Untersuchungsbefugnis Auskunftsverlangen, Vor-Ort-Prüfung, Einsicht in Räumlichkeiten
Beratung Verbindliche Stellungnahmen an Bundesbehörden
Anordnung Mangelbehebung verlangen
Bußgeld Bis 20 Mio. € oder 4 % weltweiter Umsatz
Verarbeitungsverbot Verarbeitungstätigkeit aussetzen oder beschränken
Daten-Anordnung Berichtigung, Löschung, Einschränkung anordnen
Zertifizierung Datenschutz-Zertifizierungen entziehen

3. BfDI vs. Landesdatenschutzbehörden

Deutschland hat ein föderales Datenschutzaufsichtssystem:

Bereich Zuständige Behörde
Bundesbehörden BfDI
Telekommunikations-/Postunternehmen BfDI
Private Unternehmen (Sitz in Berlin) BlnBDI (Berlin)
Private Unternehmen (Sitz in Bayern) LDA Bayern
Private Unternehmen (Sitz in NRW) LDI NRW
Private Unternehmen (Sitz in Baden-Württemberg) LfDI BW
Private Unternehmen (Sitz in Hamburg) HmbBfDI
(12 weitere Landesbehörden)

Wenn Sie ein Unternehmen sind, ist Ihre Hauptniederlassung in der Regel entscheidend für die Zuständigkeit. Für grenzüberschreitende Fälle gilt die Lead-Authority-Regel des Artikel 60 DSGVO.

4. Beschwerdeverfahren

Jede betroffene Person kann eine Beschwerde bei der BfDI einreichen. Verfahren:

  1. Online über www.bfdi.bund.de — Beschwerdeformular
  2. Per Post — Graurheindorfer Straße 153, 53117 Bonn
  3. Per E-Mailpoststelle@bfdi.bund.de

Anforderungen an die Beschwerde:

  • Klare Beschreibung des Sachverhalts
  • Identifizierung des betroffenen Verantwortlichen
  • Bisherige Kommunikation mit dem Verantwortlichen (empfohlen, nicht zwingend)
  • Anlagen (Korrespondenz, Bildschirmaufnahmen, Verträge)

Die BfDI bestätigt den Empfang typischerweise innerhalb von 14 Tagen. Bearbeitungszeit variiert stark — von wenigen Wochen bis zu 12-24 Monaten für komplexe Fälle.

5. Aktuelle Schwerpunktthemen 2026

Die BfDI hat in ihrem aktuellen Tätigkeitsbericht und in Stellungnahmen 2024-2026 folgende Schwerpunkte hervorgehoben:

  • Künstliche Intelligenz und automatisierte Entscheidungsfindung (Artikel 22 DSGVO + KI-Gesetz)
  • NIS2-Umsetzung in Deutschland (NIS2UmsuCG seit 2024)
  • Cookie und Tracking — Durchsetzung gegen non-konforme Banner
  • Datenübermittlungen in die USA (Schrems II, DPF)
  • Beschäftigtendatenschutz — neues Gesetz in Vorbereitung
  • TTDSG-Durchsetzung (Telekommunikation-Telemedien-Datenschutzgesetz)

6. Bemerkenswerte BfDI-Sanktionen

Jahr Unternehmen Bußgeld Verstoß
2019 Deutsche Wohnen 14,5 Mio. € Verstöße gegen Löschungspflichten
2020 1&1 Telecom 9,55 Mio. € Unzureichende Authentifizierung (Artikel 32)
2022 Vodafone Deutschland 1,4 Mio. € Aufsichtsmängel über Partner
2023 Booking.com (durch andere Behörde, aber relevant für DACH) Cookie-Verstöße
2024 Mehrere Sektoren Verschiedene KI-Anwendungen ohne DSFA

Die BfDI verhängt im Vergleich zur CNIL (Frankreich) weniger und häufig moderatere Bußgelder, ist aber bei Verstößen großer Telekommunikations- und Bundesinstitutionen einflussreich.

7. Wie die BfDI prüft

Typisches Prüfverfahren:

  1. Auslöser: Beschwerde, Stichprobenkontrolle, Datenpannen-Meldung, sektorale Schwerpunktprüfung
  2. Auskunftsverlangen: schriftliche Anfrage, typischerweise 30 Tage Frist
  3. Vor-Ort-Prüfung (bei Bedarf): Vorankündigung von 24-48 Stunden, in dringenden Fällen unangekündigt
  4. Anhörung: schriftliche Stellungnahmen, manchmal mündliche Anhörung
  5. Verfahren: Mangelaufstellung, Vorschlag zur Behebung
  6. Sanktion (wenn keine Behebung): Anordnung oder Bußgeld

8. EDPB-Vertretung

Die BfDI vertritt Deutschland im Europäischen Datenschutzausschuss (EDPB). Wichtige Positionen 2024-2026:

  • Befürwortung strengerer Auslegungen bei KI-Training mit personenbezogenen Daten
  • Mitwirkung an EDPB-Leitlinien zu Schrems II-Konformität
  • Stimme für stärkere Anwendung in grenzüberschreitenden Fällen (Article-65-Verfahren)

9. Wenn Sie ein BfDI-Verfahren erhalten

Sofortmaßnahmen:

  • Sofort interne Eskalation — Geschäftsführung + Rechtsabteilung + DSB
  • Anwaltliche Vertretung erwägen für jedes Verfahren über reine Informationsanfragen
  • Aktenmaterial sammeln — Verzeichnis, AV-Verträge, DSFA, Schulungsnachweise
  • Innerhalb der Frist antworten — typischerweise 30 Tage; bei Bedarf Fristverlängerung beantragen
  • Korrekturmaßnahmen dokumentieren — Reaktivität fließt in die Bußgeldbemessung ein

10. Werkzeuge

Legiscope hält das Compliance-Dossier automatisch — Verzeichnis, AV-Verträge, DSFA, Vorfallsprotokoll — exportierbar im Falle einer BfDI-Anfrage. Für ein KMU ist dies der Unterschied zwischen der Bereitstellung eines vollständigen Dossiers in 24 Stunden und einer dreiwöchigen Improvisation.

Für verwandte Themen: DSGVO Bußgelder, Aufgaben des Datenschutzbeauftragten, DSGVO Checkliste, Datenpanne melden DSGVO.

Fazit

Die BfDI ist die deutsche Antwort auf die DSGVO-Durchsetzung auf Bundesebene. Für die meisten Unternehmen ist jedoch die zuständige Landesdatenschutzbehörde der primäre Kontakt. Beide haben aber identische DSGVO-Befugnisse — und beide sind zunehmend aktiv in den Bereichen KI, Cookies und Datenübermittlung in Drittländer.

FAQ

Was ist die BfDI?

Die BfDI ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit — die deutsche Bundesdatenschutzbehörde. Sie überwacht Bundesbehörden, Telekommunikations- und Postunternehmen sowie bestimmte Sektoren.

Wer ist für mein Unternehmen zuständig — BfDI oder Landesbehörde?

Für die meisten privaten Unternehmen ist die Landesdatenschutzbehörde des Bundeslands Ihrer Hauptniederlassung zuständig. Die BfDI ist nur für Telekommunikations-/Postunternehmen und Bundesbehörden zuständig.

Wie reiche ich eine Beschwerde bei der BfDI ein?

Über www.bfdi.bund.de mit dem Beschwerdeformular, per E-Mail an poststelle@bfdi.bund.de oder per Post an Graurheindorfer Straße 153, 53117 Bonn. Beschreiben Sie den Sachverhalt klar und identifizieren Sie den Verantwortlichen.

Welche Bußgelder kann die BfDI verhängen?

Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Artikel 83 DSGVO). Die BfDI verhängt in der Praxis weniger und oft moderatere Bußgelder als z. B. die französische CNIL, aber Verstöße bei großen Telekommunikationsunternehmen werden konsequent verfolgt.

Wie lange dauert ein BfDI-Verfahren?

Variiert stark — einfache Fälle können in wenigen Wochen geklärt werden, komplexe Untersuchungen dauern 12-24 Monate.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →