Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Bettina Gayk, hat ihren 31. Tätigkeitsbericht für das Jahr 2025 vorgelegt – und schlägt deutliche Töne an. Im bevölkerungsreichsten Bundesland stiegen die Eingaben auf einen historischen Höchstwert, zugleich warnt Gayk vor einer schleichenden Aushöhlung der Grundrechte durch KI-Euphorie und übereilte Gesetzgebung. „Datennutzung ist in aller Munde und das neue Synonym für Fortschritt. Ich möchte aber davor warnen, die Gefahren ungezügelter Datennutzung zu ignorieren“, so Gayk.

Beschwerden explodieren – Bußgelder nahe einer halben Million Euro

Laut Tätigkeitsbericht erreichten im Jahr 2025 insgesamt rund 18.060 Eingaben die Behörde – ein Plus von rund 45 Prozent gegenüber dem bisherigen Höchststand von 12.490 Eingaben im Vorjahr. Besonders auffällig ist der Anstieg bei den individuellen Datenschutzbeschwerden: Sie kletterten von 7.539 auf 12.592 Fälle, ein Zuwachs von mehr als 67 Prozent.

Für Gayk sind die Zahlen auch ein Beleg dafür, dass Datenschutz bei den Menschen angekommen ist: Die Bürgerinnen und Bürger wollten, dass auf ihre Rechte geachtet werde, ihnen seien die Arbeit und der Auftrag der Behörde wichtig.

KI als zweischneidiges Schwert – Kritik an NRW-Sicherheitsgesetzen

Ein zentrales Thema des Berichts ist der Einsatz künstlicher Intelligenz durch Sicherheitsbehörden. Gayk übt scharfe Kritik am überarbeiteten Polizeigesetz und am neuen Verfassungsschutzgesetz NRW. In beiden Gesetzen seien unzureichende Regelungen zur Nutzung und zum Training von KI geschaffen worden, die weder die unterschiedlichen Auswirkungen der vielfältigen KI-Anwendungen noch die sich aus der Datenbasis ergebenden Probleme ausreichend würdigten.

Die Landesbeauftragte differenziert dabei klar: Es sei weniger kritisch, wenn KI zum Formulieren sprachlich verständlicher Schreiben genutzt werde. Sollten hingegen mittels KI die Wahrscheinlichkeit potenzieller Straftaten oder Anhaltspunkte für verfassungsfeindliche Tendenzen ermittelt werden, könne sich das ganz erheblich auf die Privatsphäre aller Bürgerinnen und Bürger auswirken. Besonders problematisch ist dabei, dass beide Gesetze die Nutzung behördlicher Datenbestände für KI-Training erlauben, auch die Nutzung personenbezogener Daten, wenn die Anonymisierung voraussichtlich mit einem hohen Aufwand verbunden ist. Gayk warnt, große Datenbestände seien fast nie aktuell, Fehler in den Ursprungsdaten könnten schlimmstenfalls zur Verfolgung Unschuldiger führen.

NRW weitet Polizeibefugnisse trotz Verfassungsrüge aus

Dabei nimmt Gayk auch Bezug auf Palantirs Datenanalyse-Software – in NRW als DAR (Datenanalyse und Recherche) bekannt. Die LDI befürchtet, dass US-Behörden über den Cloud Act und den Foreign Intelligence Surveillance Act Zugriff auf Polizeidaten erhalten könnten.

Nach einer klaren Rüge des Bundesverfassungsgerichts hätte Nordrhein-Westfalen sein Polizeigesetz eigentlich präzisieren und grundrechtskonform nachschärfen müssen. Stattdessen habe die Landesregierung die Gelegenheit genutzt, die Befugnisse der Polizei zur Datenanalyse und zum Einsatz von Künstlicher Intelligenz deutlich auszuweiten – und dabei zentrale Kritikpunkte weitgehend ignoriert. Gayk warnt, dass einige Regelungen „dem Grundsatz der Verhältnismäßigkeit nicht ausreichend Rechnung tragen“.

Höchst eingriffsintensive Durchforstungen des polizeilichen Datenbestands

Die LDI NRW sieht darin einen massiven Eingriff: „Höchst eingriffsintensive Durchforstungen des polizeilichen Datenbestands“ würden ermöglicht – bei gleichzeitig unzureichenden gesetzlichen Hürden. Besonders problematisch sei, dass damit der Grundsatz der Zweckbindung faktisch ausgehebelt werde: Bürger würden die Kontrolle darüber verlieren, wofür ihre einmal erhobenen Daten künftig verwendet werden.

Zwar sieht das Gesetz eine Anonymisierung vor, doch diese kann entfallen, wenn sie „voraussichtlich mit einem hohen Aufwand verbunden“ ist. Denn gerade KI-Systeme sind darauf ausgelegt, versteckte Zusammenhänge in Daten zu erkennen – auch dann, wenn offensichtliche Identifikatoren entfernt wurden. „Eine Anonymisierung gestaltet sich damit generell schwierig“, heißt es in der Bewertung. Das Risiko, dass Personen indirekt wieder identifizierbar werden, bleibt hoch – auch für Zeug*innen oder Opfer, deren Daten in polizeilichen Systemen gespeichert sind.

Auch bei der Speicherung von Daten bleibt das Gesetz hinter den verfassungsrechtlichen Anforderungen zurück. Die Neuregelung in NRW differenziert jedoch nicht ausreichend zwischen verschiedenen Speicherzwecken. So werden Daten zur Gefahrenabwehr, zur Dokumentation und zur späteren Nutzung „in einem Abwasch“ geregelt – obwohl sie unterschiedlich stark in Grundrechte eingreifen. Die Folge: zu lange Speicherfristen, fehlende Nutzungsbeschränkungen und eine insgesamt unklare Rechtslage.

Nächste Klage wahrscheinlich

Besonders deutlich wird die Kritik der Datenschutzbeauftragten in einem Punkt: Ihre Einwände wurden im Gesetzgebungsverfahren vollständig ignoriert. „Leider konnte die LDI NRW keine Auseinandersetzung mit ihren Bedenken feststellen“, heißt es im Fazit.

Verfassungsschutz: Web-Crawling und Kamerazugriff

Beim neuen Verfassungsschutzgesetz kritisiert Gayk, dass im Wesentlichen unbeschränkt mögliches Web-Crawling möglich ist, außerdem die nicht näher eingegrenzte Nutzung von Datenanalysetools mittels KI, die Nutzung von Verfassungsschutzdaten zum KI-Training sowie neu eingeräumte Zugriffsmöglichkeiten auf private Videoüberwachungsanlagen. Die Stellungnahme der LDI NRW ist als Landtagsdrucksache 18/2863 abrufbar. Besonders der Kamera-Zugriff sorgte für Aufsehen. Der Sachverständige Prof. Mark A. Zöller nannte die Regelung „in einem Rechtsstaat vollkommen inakzeptabel“.

300.000 Euro Bußgeld gegen 1N Telecom

Zudem enthält der Bericht auch drastische Einzelfälle, etwa das von 1N Telecom, einem Telekommunikationsunternehmen aus NRW. 1N Telecom erhielt Ende 2025 ein Bußgeld von 300.000 Euro. Über einen Zeitraum von nahezu zwei Jahren versandte das Unternehmen personalisierte Werbeschreiben, die dem Anschein nach aus der Feder eines bekannten großen Telekommunikationsunternehmens stammten. Trotz hunderter Beschwerden und klarer Datenschutzverstöße ignorierte das Unternehmen die Maßnahmen der LDI und änderte seine Geschäftspraktiken nicht.

Social Media

Weitere Fälle betreffen den Gesundheitsbereich. Mehrfach sind Pflegekräfte aufgefallen, die Pflegebedürftige durch Reels oder Livestreams im Internet zur Schau gestellt hatten – teils über Snapchat, teils als Livestreams während Nachtschichten. In keinem der geprüften Fälle war das Vorgehen rechtlich zulässig. Eine Arztpraxis veröffentlichte ohne Einwilligung Bilder einer Patientin zur Brustvergrößerungssimulation – inklusive versehentlich lesbarem Klarnamen. Das Bild war zehn Stunden über den Instagram-Account mit mehreren tausend Followern abrufbar; die LDI leitete ein Bußgeldverfahren ein.

Ebenfalls mit Gesundheitsdaten befasste sich ein Verfahren rund um den Online-Verkauf von Arzneimitteln. Bereits 2019 hatte die LDI NRW mehr als zehn Apotheken in NRW überprüft und festgestellt, dass keine von ihnen beim Online-Verkauf apothekenpflichtiger Medikamente eine Einwilligung der Besteller in die Nutzung ihrer Daten einholte. Die Apotheken argumentierten, bei nicht verschreibungspflichtigen Mitteln ließen sich keine Rückschlüsse auf den Gesundheitszustand ziehen. Die LDI und die Gerichte sehen das anders: Auch Bestelldaten nicht verschreibungspflichtiger Arzneimittel seien in Kombination mit Name und Lieferadresse als Gesundheitsdaten im Sinne der DSGVO zu werten.

Ebenfalls für Aufsehen sorgte bei der LDI ein sogenanntes Versicherungs-„Datenkartell“: Knapp 40 Versicherer aus Deutschland und Liechtenstein tauschten zur Betrugserkennung Kundendaten über einen gemeinsamen E-Mail-Verteiler aus – darunter Gesundheitsdaten und Daten Minderjähriger. Und ein Onlinedienst-Anbieter hatte über Jahre rechtswidrig Standortdaten von Nutzerinnen und Nutzern an Dritte weitergeleitet; die Daten landeten schließlich bei einem US-Databroker.

Datenpannen: Cyberangriffe dominieren

Die Meldungen zu Datenpannen erreichten mit 2.844 Fällen ebenfalls einen neuen Rekord (2024 waren es 2.170). Mit 34 Prozent waren Cyberangriffe die häufigste Ursache, gefolgt von Fehlversand (24 Prozent) und unbefugter Weitergabe (20 Prozent). Bei einer Sonderprüfung von 33 Universitätskliniken und Krankenhäusern fiel auf: Zwölf Kliniken gaben an, dass ihnen 2023 und 2024 keine einzige Datenpanne bekannt wurde – was die LDI für unwahrscheinlich hält und auf lückenhafte interne Meldeprozesse hindeutet.

Apple, Schulen und digitale Souveränität

Im Schulbereich bleibt die iPad-Nutzung ein Dauerthema. Bedenken hinsichtlich der iCloud konnten bislang noch nicht vollständig ausgeräumt werden. Für Gayk ist eine Ende-zu-Ende-Verschlüsselung der in der iCloud gespeicherten Daten, bei der die Schlüssel nicht bei Apple liegen, die datenschutzrechtlich nachhaltigste Lösung. Bis zur vollständigen Klärung rät die LDI zum Verzicht auf die iCloud. Ergänzend begrüßt die Behörde das länderübergreifende Projekt „telli“, das Schulen eine datenschutzkonforme Nutzung von KI-Sprachmodellen über pseudonymisierte Accounts ermöglichen soll.

Kritik an Zentralisierungsdebatte

Ein regelmäßiger Vorwurf der Wirtschaft, die Datenschutzaufsicht sei uneinheitlich, löste eine Diskussion über die Zentralisierung der Datenschutzaufsicht aus. Gayk hält diese Idee für abwegig. Wer eine faire und grundrechtekonforme Datenverarbeitung wolle, solle keine Hand an die föderale Datenschutzaufsicht legen, sondern einen ortsnahen Zugang zur Prüfung von Datenverarbeitungen aufrechterhalten.

Teil einer bundesweiten Entwicklung

Die NRW-Zahlen fügen sich nahtlos in ein bundesweites Bild ein. In Hessen meldete der Datenschutzbeauftragte Alexander Roßnagel einen Anstieg der Beschwerden um 58 Prozent auf 6.070 Fälle, in Baden-Württemberg verzeichnete Prof. Tobias Keber sogar ein Plus von über 90 Prozent auf 7.673 Beschwerden – ein Trend, den die Tätigkeitsberichte beider Länder ausführlich dokumentieren. Mehrere Landesbehörden nennen übereinstimmend KI als zentralen Treiber der Entwicklungen – sowohl weil sich Beschwerden inzwischen KI-gestützt formulieren lassen, als auch weil der Einsatz von KI-Systemen in Verwaltung, Polizei und Wirtschaft neue Datenschutzrisiken schafft. Gemeinsam ist den Berichten zudem die Sorge vor der wachsenden Abhängigkeit von Unternehmen aus den USA und China, die Forderung nach mehr digitaler Souveränität sowie die Warnung vor überhasteten Gesetzgebungsverfahren, die Grundrechte unzureichend berücksichtigen.

(mack)