Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Bettina Gayk, hat ihren 31. Tätigkeitsbericht für das Jahr 2025 vorgelegt – und schlägt deutliche Töne an. Im bevölkerungsreichsten Bundesland stiegen die Eingaben auf einen historischen Höchstwert, zugleich warnt Gayk vor einer schleichenden Aushöhlung der Grundrechte durch KI-Euphorie und übereilte Gesetzgebung. „Datennutzung ist in aller Munde und das neue Synonym für Fortschritt. Ich möchte aber davor warnen, die Gefahren ungezügelter Datennutzung zu ignorieren“, so Gayk.

Beschwerden explodieren – Bußgelder nahe einer halben Million Euro

Laut Tätigkeitsbericht erreichten im Jahr 2025 insgesamt rund 18.060 Eingaben die Behörde – ein Plus von rund 45 Prozent gegenüber dem bisherigen Höchststand von 12.490 Eingaben im Vorjahr. Besonders auffällig ist der Anstieg bei den individuellen Datenschutzbeschwerden: Sie kletterten von 7.539 auf 12.592 Fälle, ein Zuwachs von mehr als 67 Prozent.

Für Gayk sind die Zahlen auch ein Beleg dafür, dass Datenschutz bei den Menschen angekommen ist: Die Bürgerinnen und Bürger wollten, dass auf ihre Rechte geachtet werde, ihnen seien die Arbeit und der Auftrag der Behörde wichtig.

KI als zweischneidiges Schwert – Kritik an NRW-Sicherheitsgesetzen

Ein zentrales Thema des Berichts ist der Einsatz künstlicher Intelligenz durch Sicherheitsbehörden. Gayk übt scharfe Kritik am überarbeiteten Polizeigesetz und am neuen Verfassungsschutzgesetz NRW. In beiden Gesetzen seien unzureichende Regelungen zur Nutzung und zum Training von KI geschaffen worden, die weder die unterschiedlichen Auswirkungen der vielfältigen KI-Anwendungen noch die sich aus der Datenbasis ergebenden Probleme ausreichend würdigten.

Die Landesbeauftragte differenziert dabei klar: Es sei weniger kritisch, wenn KI zum Formulieren sprachlich verständlicher Schreiben genutzt werde. Sollten hingegen mittels KI die Wahrscheinlichkeit potenzieller Straftaten oder Anhaltspunkte für verfassungsfeindliche Tendenzen ermittelt werden, könne sich das ganz erheblich auf die Privatsphäre aller Bürgerinnen und Bürger auswirken. Besonders problematisch ist dabei, dass beide Gesetze die Nutzung behördlicher Datenbestände für KI-Training erlauben, auch die Nutzung personenbezogener Daten, wenn die Anonymisierung voraussichtlich mit einem hohen Aufwand verbunden ist. Gayk warnt, große Datenbestände seien fast nie aktuell, Fehler in den Ursprungsdaten könnten schlimmstenfalls zur Verfolgung Unschuldiger führen.

NRW weitet Polizeibefugnisse trotz Verfassungsrüge aus

Dabei nimmt Gayk auch Bezug auf Palantirs Datenanalyse-Software – in NRW als DAR (Datenanalyse und Recherche) bekannt. Die LDI befürchtet, dass US-Behörden über den Cloud Act und den Foreign Intelligence Surveillance Act Zugriff auf Polizeidaten erhalten könnten.

Nach einer klaren Rüge des Bundesverfassungsgerichts hätte Nordrhein-Westfalen sein Polizeigesetz eigentlich präzisieren und grundrechtskonform nachschärfen müssen. Stattdessen habe die Landesregierung die Gelegenheit genutzt, die Befugnisse der Polizei zur Datenanalyse und zum Einsatz von Künstlicher Intelligenz deutlich auszuweiten – und dabei zentrale Kritikpunkte weitgehend ignoriert. Gayk warnt, dass einige Regelungen „dem Grundsatz der Verhältnismäßigkeit nicht ausreichend Rechnung tragen“.

Höchst eingriffsintensive Durchforstungen des polizeilichen Datenbestands

Die LDI NRW sieht darin einen massiven Eingriff: „Höchst eingriffsintensive Durchforstungen des polizeilichen Datenbestands“ würden ermöglicht – bei gleichzeitig unzureichenden gesetzlichen Hürden. Besonders problematisch sei, dass damit der Grundsatz der Zweckbindung faktisch ausgehebelt werde: Bürger würden die Kontrolle darüber verlieren, wofür ihre einmal erhobenen Daten künftig verwendet werden.

Zwar sieht das Gesetz eine Anonymisierung vor, doch diese kann entfallen, wenn sie „voraussichtlich mit einem hohen Aufwand verbunden“ ist. Denn gerade KI-Systeme sind darauf ausgelegt, versteckte Zusammenhänge in Daten zu erkennen – auch dann, wenn offensichtliche Identifikatoren entfernt wurden. „Eine Anonymisierung gestaltet sich damit generell schwierig“, heißt es in der Bewertung. Das Risiko, dass Personen indirekt wieder identifizierbar werden, bleibt hoch – auch für Zeug*innen oder Opfer, deren Daten in polizeilichen Systemen gespeichert sind.

Auch bei der Speicherung von Daten bleibt das Gesetz hinter den verfassungsrechtlichen Anforderungen zurück. Die Neuregelung in NRW differenziert jedoch nicht ausreichend zwischen verschiedenen Speicherzwecken. So werden Daten zur Gefahrenabwehr, zur Dokumentation und zur späteren Nutzung „in einem Abwasch“ geregelt – obwohl sie unterschiedlich stark in Grundrechte eingreifen. Die Folge: zu lange Speicherfristen, fehlende Nutzungsbeschränkungen und eine insgesamt unklare Rechtslage.

Nächste Klage wahrscheinlich

Besonders deutlich wird die Kritik der Datenschutzbeauftragten in einem Punkt: Ihre Einwände wurden im Gesetzgebungsverfahren vollständig ignoriert. „Leider konnte die LDI NRW keine Auseinandersetzung mit ihren Bedenken feststellen“, heißt es im Fazit.

Verfassungsschutz: Web-Crawling und Kamerazugriff

Beim neuen Verfassungsschutzgesetz kritisiert Gayk, dass im Wesentlichen unbeschränkt mögliches Web-Crawling möglich ist, außerdem die nicht näher eingegrenzte Nutzung von Datenanalysetools mittels KI, die Nutzung von Verfassungsschutzdaten zum KI-Training sowie neu eingeräumte Zugriffsmöglichkeiten auf private Videoüberwachungsanlagen. Die Stellungnahme der LDI NRW ist als Landtagsdrucksache 18/2863 abrufbar. Besonders der Kamera-Zugriff sorgte für Aufsehen. Der Sachverständige Prof. Mark A. Zöller nannte die Regelung „in einem Rechtsstaat vollkommen inakzeptabel“.

300.000 Euro Bußgeld gegen 1N Telecom

Zudem enthält der Bericht auch drastische Einzelfälle, etwa das von 1N Telecom, einem Telekommunikationsunternehmen aus NRW. 1N Telecom erhielt Ende 2025 ein Bußgeld von 300.000 Euro. Über einen Zeitraum von nahezu zwei Jahren versandte das Unternehmen personalisierte Werbeschreiben, die dem Anschein nach aus der Feder eines bekannten großen Telekommunikationsunternehmens stammten. Trotz hunderter Beschwerden und klarer Datenschutzverstöße ignorierte das Unternehmen die Maßnahmen der LDI und änderte seine Geschäftspraktiken nicht.

Social Media

Weitere Fälle betreffen den Gesundheitsbereich. Mehrfach sind Pflegekräfte aufgefallen, die Pflegebedürftige durch Reels oder Livestreams im Internet zur Schau gestellt hatten – teils über Snapchat, teils als Livestreams während Nachtschichten. In keinem der geprüften Fälle war das Vorgehen rechtlich zulässig. Eine Arztpraxis veröffentlichte ohne Einwilligung Bilder einer Patientin zur Brustvergrößerungssimulation – inklusive versehentlich lesbarem Klarnamen. Das Bild war zehn Stunden über den Instagram-Account mit mehreren tausend Followern abrufbar; die LDI leitete ein Bußgeldverfahren ein.

Ebenfalls mit Gesundheitsdaten befasste sich ein Verfahren rund um den Online-Verkauf von Arzneimitteln. Bereits 2019 hatte die LDI NRW mehr als zehn Apotheken in NRW überprüft und festgestellt, dass keine von ihnen beim Online-Verkauf apothekenpflichtiger Medikamente eine Einwilligung der Besteller in die Nutzung ihrer Daten einholte. Die Apotheken argumentierten, bei nicht verschreibungspflichtigen Mitteln ließen sich keine Rückschlüsse auf den Gesundheitszustand ziehen. Die LDI und die Gerichte sehen das anders: Auch Bestelldaten nicht verschreibungspflichtiger Arzneimittel seien in Kombination mit Name und Lieferadresse als Gesundheitsdaten im Sinne der DSGVO zu werten.

Ebenfalls für Aufsehen sorgte bei der LDI ein sogenanntes Versicherungs-„Datenkartell“: Knapp 40 Versicherer aus Deutschland und Liechtenstein tauschten zur Betrugserkennung Kundendaten über einen gemeinsamen E-Mail-Verteiler aus – darunter Gesundheitsdaten und Daten Minderjähriger. Und ein Onlinedienst-Anbieter hatte über Jahre rechtswidrig Standortdaten von Nutzerinnen und Nutzern an Dritte weitergeleitet; die Daten landeten schließlich bei einem US-Databroker.

Datenpannen: Cyberangriffe dominieren

Die Meldungen zu Datenpannen erreichten mit 2.844 Fällen ebenfalls einen neuen Rekord (2024 waren es 2.170). Mit 34 Prozent waren Cyberangriffe die häufigste Ursache, gefolgt von Fehlversand (24 Prozent) und unbefugter Weitergabe (20 Prozent). Bei einer Sonderprüfung von 33 Universitätskliniken und Krankenhäusern fiel auf: Zwölf Kliniken gaben an, dass ihnen 2023 und 2024 keine einzige Datenpanne bekannt wurde – was die LDI für unwahrscheinlich hält und auf lückenhafte interne Meldeprozesse hindeutet.

Apple, Schulen und digitale Souveränität

Im Schulbereich bleibt die iPad-Nutzung ein Dauerthema. Bedenken hinsichtlich der iCloud konnten bislang noch nicht vollständig ausgeräumt werden. Für Gayk ist eine Ende-zu-Ende-Verschlüsselung der in der iCloud gespeicherten Daten, bei der die Schlüssel nicht bei Apple liegen, die datenschutzrechtlich nachhaltigste Lösung. Bis zur vollständigen Klärung rät die LDI zum Verzicht auf die iCloud. Ergänzend begrüßt die Behörde das länderübergreifende Projekt „telli“, das Schulen eine datenschutzkonforme Nutzung von KI-Sprachmodellen über pseudonymisierte Accounts ermöglichen soll.

Kritik an Zentralisierungsdebatte

Ein regelmäßiger Vorwurf der Wirtschaft, die Datenschutzaufsicht sei uneinheitlich, löste eine Diskussion über die Zentralisierung der Datenschutzaufsicht aus. Gayk hält diese Idee für abwegig. Wer eine faire und grundrechtekonforme Datenverarbeitung wolle, solle keine Hand an die föderale Datenschutzaufsicht legen, sondern einen ortsnahen Zugang zur Prüfung von Datenverarbeitungen aufrechterhalten.

Teil einer bundesweiten Entwicklung

Die NRW-Zahlen fügen sich nahtlos in ein bundesweites Bild ein. In Hessen meldete der Datenschutzbeauftragte Alexander Roßnagel einen Anstieg der Beschwerden um 58 Prozent auf 6.070 Fälle, in Baden-Württemberg verzeichnete Prof. Tobias Keber sogar ein Plus von über 90 Prozent auf 7.673 Beschwerden – ein Trend, den die Tätigkeitsberichte beider Länder ausführlich dokumentieren. Mehrere Landesbehörden nennen übereinstimmend KI als zentralen Treiber der Entwicklungen – sowohl weil sich Beschwerden inzwischen KI-gestützt formulieren lassen, als auch weil der Einsatz von KI-Systemen in Verwaltung, Polizei und Wirtschaft neue Datenschutzrisiken schafft. Gemeinsam ist den Berichten zudem die Sorge vor der wachsenden Abhängigkeit von Unternehmen aus den USA und China, die Forderung nach mehr digitaler Souveränität sowie die Warnung vor überhasteten Gesetzgebungsverfahren, die Grundrechte unzureichend berücksichtigen.

(mack)

Die US-Regierung spricht wieder mit dem von ihr sanktionierten KI-Hersteller Anthropic. Dieser wurde kürzlich vom Pentagon als „Supply-Chain-Risiko“ eingestuft, weil er den Einsatz seiner Technologie für autonome US-Waffensysteme und Massenüberwachung von US-Bürgern nicht unterstützen wollte.

Das Portal Axios berichtet unter Berufung auf mehrere Quellen aus dem Weißen Haus über das Treffen zwischen Anthropic-Chef Dario Amodei und US-Finanzminister Scott Bessent und Stabschefin Susie Wiles. Hintergrund des Treffens sei demnach die Bereitstellung von Anthropics neuer KI Claude Mythos Preview an ausgewählte Institutionen und Behörden gewesen. Eine allgemeine Veröffentlichung von Claude Mythos Preview hält Anthropic für zu gefährlich. Die Fähigkeiten dieses neuen Modells sorgen zurzeit für massive Cybersicherheitsbedenken bei Unternehmen und Regierungen auf der ganzen Welt, auch das BSI erwartet große „Umwälzungen“ im Bereich der IT-Sicherheit.

Druck auf US-Regierung offenbar zu hoch

Die US-Regierung sah sich aufgrund der Entwicklungen offenbar gezwungen, wieder Gespräche mit Anthropic aufzunehmen – trotz der Klage, die Anthropic gegen die Schritte des Pentagons erhoben hat. Diesen Streit wollten beide Seiten beim jetzigen Gespräch außer Acht lassen, er sei dabei nicht Thema gewesen. Stattdessen ging es demnach um zukünftige Themen, insbesondere wie andere Regierungsbehörden mit Claude Mythos Preview umgehen sollen.

Im Treffen betonte Wiles demnach, dass trotz laufender Gerichtsverfahren eine konstruktive Beziehung zu Anthropic wichtig sei. Es ging laut Axios um die Sicherheit des Quellcodes, die Entscheidungsprozesse des Unternehmens und den Umgang mit der Veröffentlichung neuer Modelle.

Interesse an Zusammenarbeit

Mehrere Behörden, darunter das Finanzministerium, zeigten demnach Interesse an einer Zusammenarbeit. Eigentlich würde die aktuelle Einstufung Anthropics als Sicherheitsrisiko das verbieten, doch da Anthropic dagegen geklagt hat, sind diese zunächst ausgesetzt. Einerseits fürchtet die US-Regierung – wie viele andere auch – dass fortschrittliche KI-Werkzeuge wie Mythos von Cyberkriminellen missbraucht werden könnten, um kritische Systeme anzugreifen. Andererseits könnten Unternehmen und Behörden Mythos nutzen, um ihre Cybersicherheit zu stärken, bevor Kriminelle Zugang erhalten.

Scott Bessent wollte demnach mit seiner Teilnahme am Treffen sicherstellen, „dass alle Beteiligten an einem Strang ziehen“, und betonte in dem Gespräch, dass die Regierung trotz der Privatwirtschaft eine wichtige Rolle spiele.

Die US-Regierung bezeichnete das Treffen im Nachhinein als „produktiv und konstruktiv“. Die Gespräche jetzt folgen auf einige andere Gespräche der US-Regierung mit Tech-Unternehmen, Banken und anderen Unternehmen im Hinblick auf Anthropics neue KI Claude Mythos Preview.

(nen)

Wer in Microsoft Teams auf dem Desktop Inhalte per Rechtsklick einfügen will, schaut ins Leere: Die Paste-Option im Kontextmenü ist ausgegraut und nicht anwählbar. Betroffen sind sowohl Windows- als auch macOS-Nutzer der Desktop-Anwendung in Version 26072.519.4556.7438.

In Foren berichten zahlreiche IT-Administratoren von dem Problem. Nutzer hätten demnach Probleme mit dem Einfügen von Bildern, Text und URLs via Tastenkürzel. Neuinstallation der App oder Löschen des Caches brachten keine Besserung. Wie aus dem zugehörigen Thread auf Microsoft Q&A hervorgeht, hat Microsoft die Ursache inzwischen identifiziert: Eine Code-Regression in einem kürzlichen Update des Microsoft-Edge-Browsers löste demnach den Fehler aus.

Die gute Nachricht: Die Zwischenablage selbst ist nicht betroffen. Tastenkürzel wie Strg+V unter Windows beziehungsweise Command+V unter macOS funktionieren weiterhin. Auch das Einfügen als reinen Text über Strg+Umschalt+V ist möglich. Alternativ können Nutzer auf die Web-Version von Teams im Browser ausweichen, die von dem Problem nicht betroffen ist.

Fix im schrittweisen Rollout

Microsoft bestätigte das Problem am 16. April und nannte das Edge-Update als Ursache. Ein Fix soll jetzt schrittweise ausgerollt werden.

(nen)