Hamburg DPA Annual Report 2025: 4,200+ Submissions, €492k Fine, AI Dominates
Summary
The Hamburg Data Protection Authority (HmbBfDI) has released its 34th Annual Data Protection Activity Report covering 2025. The report documents over 4,200 submissions—a 60 percent increase year-over-year—with this trend continuing at plus 10 percent through February 2026. The authority imposed a fine of €492,000 on a financial services company for rejecting credit card applications via automated decisions and subsequently failing to fulfill its legally required information and disclosure obligations when affected individuals requested access. AI-related issues feature prominently: complaints about social networks have nearly tripled, and HmbBfDI has ongoing investigations into Meta's AI training with user data from social networks and Meta's Ray-Ban AI glasses.
Financial services firms using automated credit-decisioning systems should review their compliance with Article 22 GDPR and the accompanying information and disclosure obligations. HmbBfDI's €492,000 fine was triggered not by the automated decision itself but by inadequate responses when affected individuals requested access to information—a reminder that the post-decision obligations can independently support enforcement even where initial decisions are defensible.
About this source
GovPing monitors Germany Hamburg HmbBfDI for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 3 changes logged to date.
What changed
The 34th Hamburg Data Protection Activity Report 2025 presents annual statistics on data protection complaints, enforcement actions, and regulatory priorities. Key figures include over 4,200 submissions (60% increase YoY), a €492,000 fine against a financial services company for automated decision-making violations, and tripling of social network-related complaints. The report identifies AI as a dominant theme, citing immature AI tools deteriorating digital customer service, Meta's AI training with social network user data, and the Ray-Ban AI glasses investigation.
Affected parties—including financial services firms, social network operators, and any companies using automated decision-making systems—should note that Hamburg's DPA is actively scrutinizing AI-related compliance. The report signals that data protection is increasingly intersecting with consumer protection and AI oversight, with growing enforcement focus on chatbots, account deletion processes, and automated rejections where information/disclosure obligations are not met.
Archived snapshot
Apr 23, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
- Jobs
HmbBfDI stellt Tätigkeitsbericht Datenschutz 2025 vor
25.03.2026
Medienserver Hamburg | Andreas Vollbracht Please find the English version below.
Explodierende Beschwerdezahlen, sechsstellige Bußgelder und KI als dominierendes Thema
Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, hat heute den 34. Tätigkeitsbericht Datenschutz 2025 an Bürgerschaftspräsidentin Carola Veit übergeben und im Anschluss bei einer Pressekonferenz vorgestellt.
Mehr als 4.200 Eingaben, über 60 Prozent Steigerung zum Vorjahr: Der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Thomas Fuchs legt heute seinen Tätigkeitsbericht vor – und stellt eine wachsende Frustration der Bürger:innen fest. Denn der Trend setzt sich 2026 fort: Bis Ende Februar 2026 sind die Kennzahlen im Vorjahresvergleich um weitere zehn Prozent gestiegen.
KI spielt bei diesem Anstieg eine doppelte Rolle: Zum einen nutzen Hamburger:innen häufiger KI-Tools, um sich über Datenschutz zu informieren und Beschwerden einzureichen. Zum anderen verschlechtert sich durch unausgereifte KI-Tools der digitale Kundenservice zunehmend – und wird damit selbst zum Datenschutzproblem.
Das zeigt sich deutlich bei sozialen Netzwerken: Hier haben sich die Beschwerden beinahe verdreifacht. Einfache Prozesse wie die Kontolöschung sind unnötig kompliziert gestaltet und manövrieren Nutzende in Chatbot-Schleifen ohne Ausweg. Wer so nicht mehr in Erfahrung bringen kann, was das Netzwerk für Daten speichert, dem wird faktisch der Anspruch auf Auskunft verwehrt.
Aber nicht nur bei den Betreibern großer sozialer Netzwerke fällt Automatisierung mit mangelhafter Compliance auf. Der HmbBfDI verhängte 2025 ein Bußgeld in Höhe von 492.000 Euro gegen ein Unternehmen der Finanzwirtschaft. Es hatte trotz guter Bonität die Kreditkartenanträge mittels automatisierter Entscheidungen abgelehnt und dann seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllte, als Betroffene eine Begründung verlangten.
Datenschutzrechtlich problematisch war im Berichtsjahr zudem der Beginn des KI-Trainings mit Nutzerdaten aus sozialen Netzwerken durch Meta. Auch die durch Meta betriebene Ray-Ban-KI-Brille ist seit 2025 Gegenstand noch andauernder Untersuchungen eines interdisziplinären Projektteams des HmbBfDI.
Insgesamt positiv gestaltet sich hingegen die Zusammenarbeit mit den Senatsbehörden im Bereich von KI und Datenschutz. So war der HmbBfDI eng eingebunden, als es darum ging, Aufnahmen der Überwachungskameras am Hansa- und am Hachmannplatz zum KI-Training zu verwenden, um die Früherkennung von Gefahrensituationen zu verbessern. Der HmbBfDI prüfte dazu die von der Polizei Hamburg vorgelegten Informationen, wobei datenschutzkritische Sachverhalte wie Diskriminierungspotenzial oder die Möglichkeit, Personen zu re-identifizieren, ausgeschlossen werden konnten und auch die Speicherdauer der von Hand ausgewählten Trainingssequenzen auf ein Minimum reduziert bleibt.
Auch die Inbetriebnahme und Nutzung von LLMoin, dem für die Hamburger Verwaltung eingesetzte KI-Assistenzsystem, zeigt, dass eine datenschutzkonforme KI-Nutzung möglich ist.
Dazu Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Die digitale Transformation ist immer stärker KI-getrieben. Aber was wir beobachten, ist nicht nur Fortschritt. Viele Unternehmen nutzen KI, um Kundenservice abzubauen, statt ihren Service zu verbessern. Wir sehen es an den Beschwerden, die in Rekordzahl bei uns eingehen. Der Datenschutz entwickelt sich zur Schnittstelle von Verbraucherschutz und KI-Aufsicht.“
Save the Date: Online-Datenschutzsprechstunde zum Tätigkeitsbericht am 1. April 2026 von 12:30-13:30 Uhr
Im Rahmen unserer Datenschutzsprechstunde wird Thomas Fuchs am 1. April 2026 um 12:30-13:30 Uhr Bürger:innen Fragen zum 34. Tätigkeitsbericht Datenschutz beantworten.
Tätigkeitsbericht Datenschutz 2026
Lesen Sie hier den Tätigkeitsbericht Datenschutz 2025
Kontakt für Rückfragen
Eva Zimmermann, Pressesprecherin
Telefon: +49 40 428 54-4044
E-Mail:
+++
Hamburg DPA Annual Report 2025
Exploding number of complaints, six-figure fines, and AI as the dominant topic
Thomas Fuchs, the Hamburg Commissioner for Data Protection and Freedom of Information, today handed over the 34th Annual Data Protection Activity Report 2025 to Carola Veit, President of the Hamburg Parliament, and subsequently presented it at a press conference.
More than 4,200 submissions, an increase of over 60 percent compared to the previous year: Thomas Fuchs, the Hamburg Commissioner for Data Protection and Freedom of Information (presents the Hamburg DPA Annual Report today and notes growing frustration among citizens. This trend continues in 2026: by the end of February 2026, the key figures have risen by another ten percent compared to the previous year.
AI plays a dual role in this increase: on the one hand, Hamburg citizens are increasingly using AI tools to inform themselves about data protection and to file complaints. On the other hand, immature AI tools are increasingly deteriorating digital customer service – thus becoming a data protection problem themselves.
This is particularly evident with social networks: here, complaints have almost tripled. Simple processes such as account deletion are unnecessarily complicated and lead users into endless chatbot loops. If users can no longer find out what data the network stores about them, their right to information is effectively denied.
But it is not only the operators of large social networks where automation with poor compliance is noticeable. In 2025, the Hamburg DPA imposed a fine of €492,000 on a financial services company. Despite good credit ratings, it had rejected credit card applications through automated decisions and then failed to sufficiently fulfill its legally required information and disclosure obligations when affected individuals requested access.
Another data protection issue in the reporting year was the start of AI training with user data from social networks by Meta. The Ray-Ban AI glasses operated by Meta have also been the subject of ongoing investigations by an interdisciplinary Hamburg DPA project team since 2025.
On a more positive note, cooperation with the Senate authorities in the area of AI and data protection has been constructive. The Hamburg DPA was closely involved when it came to using surveillance camera footage at Hansa- and Hachmannplatz for AI training to improve early detection of dangerous situations. The Hamburg DPA reviewed the information provided by the Hamburg police, ensuring that data protection-critical issues such as discrimination potential or the possibility of re-identifying individuals could be excluded, and that the storage duration of the manually selected training sequences was minimized.
The introduction and use of LLMoin, the AI assistant system deployed for the Hamburg administration, also demonstrates that data protection-compliant use of AI is possible.
Thomas Fuchs, Hamburg Commissioner for Data Protection and Freedom of Information, commented: “The digital transformation is increasingly driven by AI. But what we are observing is not just progress. Many companies are using AI to reduce customer service rather than improve it. We see this in the record number of complaints we receive. Data protection is becoming the interface between consumer protection and AI oversight.”
Save the Date: Online Consultation on the Hamburg DPA Annual Report on April 1, 2026, from 12:30 to 13:30
As part of our data protection consultation series, Hamburg DPC Thomas Fuchs will answer citizens’ questions about the 34th Data Protection Activity Report on April 1, 2026, from 12:30 to 13:30.
2025 Hamburg DPA Annual Report
Read the 2025 Hamburg DPA Annual Report here (in German)
Contact for Press Requests
Eva Zimmermann, Press Officer
Telefon: +49 40 428 54-4044
E-Mail:
21.01.2026
Neuer Transparenzbericht: Hamburg bei Informationsfreiheit weiter auf Kurs
Tätigkeitsbericht
02.04.2025
HmbBfDI stellt Tätigkeitsbericht Datenschutz 2024 vor
Tätigkeitsbericht
15.04.2024
HmbBfDI stellt Tätigkeitsbericht Datenschutz 2023 vor
Tätigkeitsbericht
28.03.2023
„Nicht der Datenschutz erschwert die Digitalisierung, sondern schlechte Digitalisierung erschwert guten Datenschutz“
Tätigkeitsbericht
07.04.2022
„Datenschutz ist auch eine Gestaltungsaufgabe“ HmbBfDI stellt Tätigkeitsbericht Datenschutz 2021 vor alle News
Related changes
Get daily alerts for Germany Hamburg HmbBfDI
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
Source
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from HmbBfDI.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when Germany Hamburg HmbBfDI publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.