Dramatischer Anstieg von Datenschutzbeschwerden in NRW; Aufsicht warnt vor Grundrechtsrisiken durch KI‑Training in Polizei‑ und Verfassungsschutzgesetzen.
In Kürze
- Beschwerden steigen um 45% (18.060 Eingaben), individuelle Fälle +67%
- Neue Polizei-/Verfassungsschutzgesetze erlauben KI‑Training mit schwächeren Anonymisierungspflichten
- Palantir/DAR und US‑Gesetze erhöhen Drittlandsrisiken; zahlreiche Datenpannen und Bußgelder
Alarm aus Düsseldorf
Die nordrhein‑westfälische Landesbeauftragte für Datenschutz, Bettina Gayk, hat im Tätigkeitsbericht 2025 deutliche Warnzeichen verzeichnet. Beschwerden und Meldungen erreichen neue Rekordwerte, gleichzeitig sehen die Aufsichtsbehörden durch neue Polizeigesetze und die verstärkte Nutzung von Künstlicher Intelligenz (KI) Risiken für Grundrechte.
Beschwerden steigen sprunghaft
Die LDI NRW zählte 2025 insgesamt rund 18.060 Eingaben – ein Anstieg von etwa 45 Prozent gegenüber 12.490 im Vorjahr. Besonders prägnant: die individuellen Datenschutzbeschwerden, die von 7.539 auf 12.592 kletterten (plus über 67 Prozent). Gayk interpretiert das als Zeichen, dass Datenschutz in der Bevölkerung angekommen ist und Bürgerinnen und Bürger ihre Rechte stärker wahrnehmen.
Polizei- und Verfassungsschutzgesetze: erweiterte Nutzung für KI‑Training
Kritik richtet sich stark gegen die überarbeiteten Polizei‑ und Verfassungsschutzgesetze in NRW. Beide erlauben vielmehr als zuvor, Behörden‑Daten für das Training von KI‑Systemen zu nutzen. Eine zentrale Schwachstelle: Anonymisierungspflichten können entfallen, wenn das Entfernen von Identifikatoren „voraussichtlich mit hohem Aufwand verbunden“ ist. Gayk weist darauf hin, dass KI‑Modelle selbst aus scheinbar anonymen Datensätzen Personenbezüge rekonstruieren können. Folge laut Bericht: großflächige Durchforstungen polizeilicher Datenbestände, faktische Aushebelung der Zweckbindung, verlängerte Speicherfristen und unklare Nutzungsregeln.
Nach einer Rüge des Bundesverfassungsgerichts habe die Landesregierung ihre Befugnisse eher ausgeweitet als eingeschränkt, so Gayk. Ihre formalen Einwände seien im Gesetzgebungsprozess unbeachtet geblieben; eine weitere Klage der Aufsicht wird als wahrscheinlich beschrieben.
Risiko externer Zugriffe: Palantir/DAR und US‑Gesetze
Der Einsatz der Palantir-Software (in NRW unter dem Kürzel „DAR“ geführt) weckt Besorgnis wegen möglicher Zugriffe durch US‑Behörden. Gesetze wie der Cloud Act und der Foreign Intelligence Surveillance Act (FISA) erlauben unter bestimmten Bedingungen US‑Behörden Zugriff auf Daten, die bei US‑Firmen liegen – auch wenn die Daten im Ausland gespeichert sind. Die LDI weist auf dieses Drittlandsrisiko hin.
Verfassungsschutzgesetz: Web‑Crawling, KI‑Tools und Kamerazugriff
Das neue Verfassungsschutzgesetz erlaubt unter anderem großflächiges Web‑Crawling, den Einsatz KI‑gestützter Analysetools, die Nutzung von Verfassungsschutzdaten zum KI‑Training und erweitert den Zugriff auf private Videoüberwachungen. Experten im Bericht charakterisieren etwa den neuen Kamera‑Zugriff als „inakzeptabel“.
Konkrete Fälle und Bußgelder
Der Tätigkeitsbericht dokumentiert mehrere Einzelfälle:
- 1N Telecom: Bußgeld in Höhe von 300.000 Euro (Ende 2025). Das Unternehmen versandte über fast zwei Jahre personalisierte Werbeschreiben, die den Eindruck erweckten, von einem großen Anbieter zu stammen; Reaktionen der LDI wurden weitgehend ignoriert.
- Pflegebereich: Pflegekräfte stellten Pflegebedürftige in Reels/Livestreams dar; eine Praxis veröffentlichte das Bild einer Patientin mit Klarnamen – Bußgeldverfahren wurden eingeleitet.
- Apotheken‑Onlineverkauf: Bestellungen ohne wirksame Einwilligung; Kombination aus Bestelldaten mit Name/Adresse kann als Gesundheitsdaten gelten.
- „Datenkartell“: Rund 40 Versicherer tauschten Kundendaten, darunter Gesundheitsdaten und Daten Minderjähriger, über einen gemeinsamen E‑Mail‑Verteiler.
- Standortdaten: Ein Online‑Dienst leitete langfristig Standortdaten unrechtmäßig an Dritte weiter; diese Daten gelangten zu einem US‑Databroker.
Rekord bei Datenpannen
Die gemeldeten Datenpannen stiegen auf 2.844 Fälle (2024: 2.170). Als Ursachen nennt die LDI 34 Prozent Cyberangriffe, 24 Prozent Fehlversand und 20 Prozent unbefugte Weitergabe. Bei einer Prüfung von 33 Universitätskliniken bzw. Kliniken gaben 12 an, für 2023/24 keinerlei Pannen gemeldet zu haben – die Aufsichtsbehörde vermutet lückenhafte Meldeprozesse.
Schulen, Apple und digitale Souveränität
Im Schulbereich bleibt die Speicherung von iPad‑Daten in der iCloud umstritten. Die LDI empfiehlt, auf iCloud‑Speicherung zu verzichten, solange keine Ende‑zu‑Ende‑Verschlüsselung gewährleistet ist, bei der die Schlüssel nicht bei Apple liegen. Positiv hervorgehoben wird das Projekt „telli“, das Schulen eine datenschutzfreundliche Nutzung von KI‑Sprachmodellen über pseudonymisierte Accounts ermöglicht.
Zentralisierung der Aufsicht: nein
Gayk lehnt eine Zentralisierung der Datenschutzaufsicht ab und plädiert für ortsnahe, föderale Prüfungszugänge, um die rechtskonforme Datenverarbeitung besser zu überprüfen.
Bundesweiter Trend
Ähnliche Entwicklungen zeigen sich bundesweit: Hessen meldet +58 Prozent Eingaben (6.070), Baden‑Württemberg +90 Prozent (7.673). Gemeinsame Themen sind der Einfluss von KI, Sorgen über Abhängigkeiten von US‑ und chinesischen Firmen, Forderungen nach mehr digitaler Souveränität und Kritik an zu schnellen Gesetzesänderungen ohne ausreichenden Grundrechtsschutz.
Quellen
- Quelle: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
