Wie noch nie gerate Datenschutz in Bedrängnis. Einerseits seien die Beschwerden der Bürgerinnen und Bürger wegen Verstößen gegen Datenschutzrechte massiv angewachsen, in Nordrhein-Westfalen um mehr als 67 Prozent gegenüber dem Vorjahr. Andererseits werde von Behörden und Unternehmen immer mehr Datennutzung gewollt und durch die Gesetzgebung der EU, des Bundes und der Länder ermöglicht. Hierbei gerate der Schutz der Freiheitsgrundrechte vor lauter Euphorie über neue Techniken oft völlig aus dem Blick. 

Bettina Gayk: „Gesetze werden teils im Eilverfahren verabschiedet. Das führt oft dazu, dass der Schutz von Grundrechten nicht mit der notwendigen Sorgfalt berücksichtigt wird. Wer an den Schrauben des Datenschutzgefüges dreht, muss dafür Sorge tragen, dass die Verhältnismäßigkeit gewahrt wird und der Umgang mit den Betroffenen fair und ausgewogen bleibt.“ 

Bei zwei wichtigen Sicherheitsgesetzen in NRW, dem Verfassungsschutzgesetz und dem Polizeigesetz, sei das nicht gut gelungen. In beiden Gesetzen seien beispielsweise unzureichende Regelungen zur Nutzung und zum Training von KI geschaffen worden, die weder die unterschiedlichen Auswirkungen der vielfältigen KI-Anwendungen noch die sich aus der Datenbasis ergebenden Probleme ausreichend würdigten. „Es ist weniger kritisch, wenn KI zum Formulieren sprachlich verständlicher Schreiben genutzt wird. Sollen hingegen mittels KI die Wahrscheinlichkeit von potentiellen Straftaten oder Anhaltspunkte für verfassungsfeindliche Tendenzen ermittelt werden, kann sich das ganz erheblich auf die Privatsphäre aller Bürger*innen auswirken“, erklärt die Landesbeauftragte. „KI produziert oft keine richtigen oder sicheren Ergebnisse. Manchmal denkt sich KI selbst Ergebnisse aus. Solche Fehler können eklatante Folgen für diejenigen haben, die vom Verfassungsschutz überwacht oder von der Polizei wegen einer Gefahrenlage oder Straftat verfolgt werden.“ 

In beiden Gesetzen wird zudem die Nutzung der Datenbestände der Behörden für KI-Training erlaubt, auch personenbezogen, wenn das Anonymisieren der Daten einen unverhältnismäßigen Aufwand erzeugt. „Große Datenbestände sind aber fast nie aktuell. Fehler in den Ursprungsdaten können sich nach dem Training in der KI perpetuieren und schlimmstenfalls zur Verfolgung Unschuldiger führen. Diese Gefahren müssen differenzierter betrachtet werden und es kann keine pauschale Erlaubnis für KI und das Training mit Daten geben“, so Gayk. Hier müssten Anwendungen im Einzelnen bewertet und gegebenenfalls systembezogen mit spezifischen Maßnahmen zum Grundrechteschutz gesetzlich beschrieben werden. 

2025 suchten mehr Bürgerinnen und Bürger als je zuvor die Hilfe der LDI NRW. Der bisherige Höchststand von 12.490 Eingaben im Jahr 2024 stieg 2025 noch einmal um fast 45 Prozent auf 18.062 Eingaben. Die darin enthaltenen Datenschutzbeschwerden wuchsen sogar von 7.539 um mehr als 67 Prozent auf 12.592. Gayk: „Mir zeigt das: Die Menschen wollen, dass auf ihre Rechte geachtet wird. Ihnen sind unsere Arbeit und unser Auftrag wichtig.“ Gleichzeitig belege die ebenfalls deutlich gestiegene Zahl von Geldbußen gegen Unternehmen in NRW, dass hier ein scharfer Blick der Datenschutzaufsicht dringend erforderlich sei. „Wir haben uns bei der Höhe der verhängten Geldbußen 2025 nahe an die Marke von einer halben Millionen Euro heran bewegt.“ 

Die Landesbeauftragte hebt hervor, dass es zunehmend zu hemmungslosen Datenverarbeitungen durch private Verantwortliche komme – etwa bei unerlaubten Veröffentlichungen von Daten Dritter im Internet. Im Bericht finden sich allein drei Fälle, in denen medizinisches Personal Daten von Patient*innen in Sozialen Medien veröffentlichte. Ein Reiseveranstalter glaubte, Urlaubsfilme mit Reisenden für Werbezwecke einsetzen zu dürfen, ohne deren Einwilligung einzuholen. Ein Taxiunternehmen teilte mit seinen Fahrer*innen Gesundheitsdaten der Fahrgäste über WhatsApp. Und gegen einen Telekommunikationsanbieter, über den eine dreistellige Zahl an Beschwerden einging, verhängte die LDI NRW eine empfindliche Geldbuße, weil er systematisch die Auskunftsrechte von Betroffenen missachtete und die Herkunft seiner Werbedaten verschleierte. 

Die LDI NRW war aber auch 2025 nicht nur repressiv tätig, sondern zugleich beratend. Wie aus dem Bericht hervorgeht, ging es dabei etwa um länderübergreifende Verfahren in der Verwaltungsdigitalisierung, die datenschutzkonforme Betrugsbekämpfung in der digitalen Welt sowie Hilfestellungen für die Messgeräteindustrie und Hinweise für Vermieterinnen zum Umgang mit Daten von Mietinteressent*innen. Dabei wurden wichtige Vorhaben mit allen deutschen Datenschutzaufsichtsbehörden abgestimmt. „Anders als von der Wirtschaft oft behauptet, sind wir uns nämlich regelmäßig sehr einig in der Auslegung des Datenschutzrechts“, hebt Gayk hervor. Der Vorwurf der Wirtschaft habe eine Diskussion über die Zentralisierung der Datenschutzaufsicht ausgelöst. Gayk findet diese Idee angesichts der Massen und der Vielfalt der heutigen Datenverarbeitung absurd. „Wem es egal ist, wenn die Bürger*innen in die Mühlen der Technik geraten, mag diese Idee weiterverfolgen“, so Gayk. „Wer aber eine faire und grundrechtekonforme Datenverarbeitung will, sollte keine Hand an die föderale Datenschutzaufsicht legen, sondern einen ortsnahen Zugang zur Prüfung von Datenverarbeitungen zum Schutz der Bürger*innen aufrechterhalten.“

Den 31. Tätigkeitsbericht finden Sie unter: https://www.ldi.nrw.de/berichte