Frau Gayk, erst einmal ein kurzer Rückblick. Das Jahr 2025 ist gerade zu Ende gegangen. Wie sehen Sie darauf – aus Sicht der Datenschützerin und Beauftragten für Informationsfreiheit?

2025 war ein sehr bewegtes Jahr. Es war nicht durchweg ein gutes Jahr für die Persönlichkeitsrechte der Bürger*innen. Der Datenschutz wurde als bürokratisch bezeichnet, behindert angeblich die Wirtschaft und auch die Sicherheit im Land. Dies alles sind populäre Ansichten, die sich in politischen Aktionen und Gesetzgebungsvorhaben manifestieren – seien es neue Sicherheitsgesetze, ein Omnibus-Gesetzentwurf der Europäischen Kommission, der Hindernisse des Datenschutzes für die Wirtschaft beseitigen soll, oder die von der Bundesregierung gewünschte und zuvor von Funktionsträgern a. D. vorgeschlagene Neuorganisation der Datenschutzaufsicht. 

Aus meiner Sicht als Leiterin einer Datenschutzaufsichtsbehörde werden hier Schnellschüsse produziert, die mehr Probleme schaffen werden, als sie lösen und die einen Abbau von Bürger*innenrechten befürchten lassen. Auf welcher Ebene auch immer Änderungen eingeleitet werden, sollte der Blick dafür nicht verloren gehen, welche wichtigen Ziele der Datenschutz verfolgt. Datenschutz will die Menschen im Land vor willkürlicher und manipulativer Nutzung ihrer Daten zu ihrem Nachteil schützen. Wer hier auf den verschiedenen Gesetzgebungsebenen – EU, Bund, Land – an den Schrauben des Datenschutzgefüges dreht, sollte im Blick behalten, dass sowohl in Bezug auf die staatliche Datennutzung die Verhältnismäßigkeit gewahrt, als auch die Datennutzung durch die Wirtschaft gegenüber den Betroffenen fair und ausgewogen bleibt. 

Neben diesen politischen Aspekten beansprucht die Routinetätigkeit meine Behörde zunehmend und bringt uns dieses Jahr an Grenzen. Seit Inkrafttreten der Datenschutzgrundverordnung verzeichnet meine Behörde Eingaben von rund 12.000 jährlich. In diesem Jahr haben wir fast 45 Prozent mehr an Eingaben erhalten. Das hat leider Auswirkungen für diejenigen, die die Hilfe meiner Behörde suchen, denn unsere Bearbeitungszeiten steigen deswegen leider auch. Eines zeigt der Anstieg der Eingaben jedenfalls: Die Bürger*innen wollen, dass auf ihre Datenschutzrechte geachtet wird. 

Froh bin ich, dass es uns in diesem Jahr gelungen ist, eklatante Datenschutzverstöße konsequent zu verfolgen. Handel mit Standortdaten, Gesundheitsdatenaustausch über WhatsApp oder über offene E-Mail-Verteiler und systematische Missachtung von Betroffenenrechten waren für uns Anlass zum Eingreifen und führten zu Geldbußeverfahren.

Die Informationsfreiheit entwickelt sich im Land leider nicht fort. Hier gibt es Stillstand und keine Entwicklung hin zu mehr Transparenzelementen, die die Landesregierung zumindest prüfen wollte. Um ehrlich zu sein, leiere ich das inzwischen fast jährlich herunter. Es bewegt sich an dieser Stelle eben nichts. 

Was waren die Fälle, die die LDI NRW 2025 am intensivsten beschäftigt haben? Gibt es Trends?

Der Trend geht eindeutig zu mehr Datennutzung. Und natürlich spüren wir den Hype um alles, was mit KI, also Künstlicher Intelligenz, zu tun hat.

In der Privatwirtschaft gab es einige eklatante Fälle, bei denen die Datennutzung klar zu weit ging, so beispielsweise eine illegale Weitergabe von Handystandortdaten. Hier haben wir durch eine Vor-Ort-Prüfung wichtige Erkenntnisse gewonnen. Wir verdichten und überprüfen die Erkenntnisse derzeit im Geldbuße-Verfahren. Viel Mühe hat uns auch das unseriöse Geschäftsgebaren eines Telekommunikationsunternehmens bei der Werbung von Neukunden gemacht. Wir hatten eine dreistellige Anzahl von Beschwerden gegen dieses Unternehmen, das systematisch Betroffenenrechte missachtete und sich weigert, hinsichtlich der Herkunft von Daten transparent zu sein. Wir haben eine Geldbuße von 300.000 Euro gegen das Unternehmen verhängt, die aufgrund des erhobenen Einspruchs nun gerichtlich überprüft wird. Dann gab es bei einigen Unternehmen und Stellen einen sehr laxen Umgang mit Gesundheitsdaten. Da geht es um mehrere Versicherungen, die bei der Betrugsbekämpfung über das Ziel hinausgeschossen sind und anlasslos Gesundheitsdaten der Kund*innen über offene Mailverteiler untereinander ausgetauscht haben. Auch ein Taxiunternehmen wollte es sich leicht machen und tauschte Informationen über die Kundschaft einschließlich von Gesundheitsdaten über WhatsApp-Gruppen mit den Fahrer*innen aus. Unfassbar für mich sind Angehörige von Gesundheitsberufen, die als Influencer aktiv sind und dabei den Schutz von sensiblen Gesundheitsdaten der Patient*innen auf die leichte Schulter nehmen. 

Außerdem hat die jüngste Sicherheitsgesetzgebung im Land, also die Änderung des Polizeigesetzes und des Verfassungsschutzgesetzes, meine Behörde besonders beschäftigt. Auch hier ist der Wunsch der Sicherheitsbehörden nach möglichst umfassender Datennutzung ein erkennbarer Trend. Beim Polizeigesetz wurden etwa Regelungen eingeführt, die die Künstliche Intelligenz für die Polizei leicht gängig und nutzbar zur Verarbeitung personenbezogener Daten machen. Eine ernsthafte Auseinandersetzung mit den daraus für Bürger*innen entstehenden Gefährdungen, und wie diese so eingegrenzt werden, dass die Daten angesichts der gesetzgeberischen Ziele verhältnismäßig und damit verfassungskonform verarbeitet werden, erfolgte aber nicht. 

Völlig irritiert bin ich von der Reaktion auf meine Stellungnahme, die ich gegenüber dem Innenministerium zum Verfassungsschutzgesetz abgegeben habe. Während redaktionelle Hinweise dankbar übernommen wurden, gab es keine nennenswerte Auseinandersetzung mit meinen verfassungsrechtlichen Bedenken zu einzelnen Regelungen des Entwurfs. Auch hier geht es unter anderem um neue Datenanalysemethoden mittels KI, potentiell auch im Internet. Eine gänzlich neue Befugnis erlaubt dem Verfassungsschutz die Nutzung jedweder Videoaufzeichnungen dritter Stellen, die öffentlich zugänglichen Raum erfassen. Sogar das Aufschalten auf die Videoanlagen Dritter durch den Verfassungsschutz soll ermöglicht werden. Diese neuen Befugnisse sind nicht ausreichend eingegrenzt und begegnen deswegen in ihrer Ausgestaltung erheblichen verfassungsrechtlichen Bedenken. Da der Verfassungsschutz zunächst heimlich operiert, ist es besonders wichtig, dass hier schon gesetzlich weitgehend sichergestellt bleibt, dass nicht jede*r von diesen Maßnahmen betroffen werden kann. Bei der Änderung eines Gesetzes, das die Verfassung schützen soll, hätte ich mir eine intensivere Auseinandersetzung mit der Frage gewünscht, ob dieses Gesetz selbst verfassungskonform ist. 

Und 2026? Deutet sich schon an, was 2026 auf Sie und damit auch auf die Bürger*innen zukommen wird? 

Auch in der Politik ist der Wunsch nach mehr Datennutzung angekommen. Als Signal für mehr Datennutzung will die Bundesregierung meine Kollegin im Bund zusätzlich zur Datennutzungsbeauftragten ernennen. Solche politischen Signale dürfen aber nicht missverstanden werden. Es kann nicht darum gehen, dass der Schutz der Rechte der Bürger*innen abgebaut wird, sondern dass Datennutzung datenschutzgerecht gestaltet wird. 

Auch KI ist auf viele Daten angewiesen, damit sie gut funktioniert. Alle wollen KI nutzen, die meisten wissen noch nicht so genau, was das im Detail an Problemen für die Menschen erzeugt, deren Daten mittels solcher Technik verarbeitet werden. Entscheidungen von KI sind nicht immer nachvollziehbar oder KI kann gar unwahre, phantasierte Daten generieren. Hier gilt es, die daraus entstehenden Gefährdungen für die Bürger*innen einzugrenzen. Datenschutzfolgenabschätzungen sind in diesen teils noch experimentellen Phasen der neuen Technik essentiell, um die Rechtmäßigkeit der Datenverarbeitung zu beurteilen. Eine effektive Nachkontrolle von durch KI generierten Entscheidungen in Bezug auf einzelne Personen ist darüber hinaus notwendig. Diejenigen, die diese Aufgabe haben, können dabei nicht blind auf die Technik vertrauen. Besonders gefährdende KI soll die KI-Verordnung der Europäischen Union einer besonderen Überwachung unterstellen. Leider will die Europäische Kommission mit ihrem Omnibus-Gesetzentwurf die Anwendung der Regelungen für Hochrisiko-KI-Systeme um anderthalb Jahre auf Dezember 2027 verschieben. Dies ist einer der Schnellschüsse, die nicht nachvollziehbar sind. Selbst wenn die KI-VO erst 2027 in diesem Punkt wirksam wird, dürften die Wertungen der KI-VO im Datenschutzrecht schon heute zu beachten sein. 

Ende 2027 ist für mich noch unter einem anderen Aspekt ein spannender Zeitpunkt, denn bis dann wollen Bund und Länder eine Reform der Datenschutzaufsicht erreichen. Bürokratie, uneinheitliche Rechtsanwendung und Synergien sind die Stichworte, mit denen diese Reform begründet wird. Von ganz oder teilweiser Zentralisierung der Datenschutzaufsicht über Bündelung von Aufgaben bei einer federführenden Behörde bis zu Koordinierungsverfahren in der Konferenz der Datenschutzaufsicht in Bund und Ländern sind da viele Ideen in der Diskussion. Ich vermisse in diesem Prozess bisher eine strukturierte Einbeziehung der Datenschutzaufsichtsbehörden selbst, die den Bürokratieaufwand am besten beurteilen können, der durch den Vollzug der Datenschutzgesetzgebung entsteht. Zentralisierung kann angesichts der nicht nur in NRW, sondern bundesweit steigenden Eingabezahlen keine praktikable Lösung sein. Eine ortsnahe und leicht zugängliche Unterstützung der Bürger*innen bei der Wahrnehmung der eigenen Rechte wird dadurch wegfallen. Auch die Beratung für kleinere und mittlere Unternehmen, die die Datenschutzaufsichten heute leisten, wird von einer zentralen Behörde kaum gleichwertig angeboten werden können. Angesichts der vielen laufenden Verfahren bei den Datenschutzaufsichtsbehörden würde eine Neuorganisation selbst einen unvergleichlichen Bürokratieaufwand erzeugen. 

Das heißt, wir müssen uns europaweit auf den Abbau des Datenschutzes einstellen?

Hoffentlich nicht! Ich vertraue darauf, dass die Mehrheit der politischen Entscheidungsträger*innen die Bedeutung des Datenschutzes für unsere Demokratie wahrnimmt. Der Schutz der Bürger*innen vor einer unbegrenzten Ausforschung und Datenpreisgabe ist in einem Rechtsstaat ein wichtiges Element, das die Freiheitsrechte der Bürger*innen sichert. Dass staatliche Macht durch das Verhältnismäßigkeitsprinzip begrenzt ist, ist hier ein wesentlicher Faktor, der uns von nichtdemokratischen Staaten unterscheidet. Ich habe erste Anzeichen, dass die Landesregierung bei den Sicherheitsgesetzen noch einmal genauer hinsehen will. Das ist gut. Am Ende haben wir noch ein verlässliches Bundesverfassungsgericht. 

In Europa ist der Ausgang der Diskussion über den Omnibus-Gesetzentwurf noch im Gange – Ende offen. 

Zum Schluss noch ein paar Worte zu Ihren Zielen. Sie hatten im letzten Jahr unter anderem gesagt, dass sich die LDI NRW angesichts hoher Eingangszahlen stärker auf die großen Fälle konzentrieren will. Hat das geklappt? Und welche Pläne haben Sie noch für Ihre Behörde in den nächsten Jahren?

Mit großen Fällen meine ich vor allem solche, bei denen sehr viele Menschen von unrechtmäßiger Datenverarbeitung betroffen sind oder Fälle, in denen sehr sensible Daten unrechtmäßig verarbeitet werden, so dass die Betroffenen die Kontrolle über ihre Daten verlieren. Die in diesem Interview angesprochenen Fälle aus dem privaten Bereich kennzeichnen genau das. Hier handelt meine Behörde konsequent und bleibt am Ball. Die Arbeit meiner Behörde im letzten Jahr lag hier absolut auf der Linie meiner Zielsetzung.

Im Übrigen bleibt für uns die Beratung der Daten verarbeitenden Stellen wichtig. Wir wollen eine rechtskonforme Datenverarbeitung erreichen. Wenn dies durch Beratung gelingt, ist das gut, macht Geldbußen oder Anordnungen entbehrlich und führt zu einem guten Ergebnis für die Betroffenen. 

Ein zwangsläufiges Thema und Ziel ist die Bewältigung der ungewöhnlich hohen Eingabenflut. Das wird uns in diesem Jahr sehr beschäftigen. Wenn die Eingaben auf diesem Niveau bleiben, wird mein Personal nicht reichen, um die Anforderungen der Datenschutz-Grundverordnung zu erfüllen. 

Ich bin wegen der hohen Eingabezahlen noch zurückhaltend, mir neue hohe Ziele zu stecken. Auch die laufende Diskussion über die Reform der Datenschutzaufsicht gilt es erst einmal zu beobachten. Je nachdem, was da an Umwälzungen auf meine Behörde zukommt, müssten wir auch noch einmal justieren, wo unsere Arbeitsschwerpunkte liegen müssen. Es werden sicher noch drei ereignisreiche Jahre sein, bis meine Amtszeit endet.