Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat heute ihren 31. Tätigkeitsbericht vorgestellt – und die Botschaft ist deutlich. Laut der Mitteilung der LDI NRW stiegen die Eingaben 2025 auf 18.062, nach 12.490 im Vorjahr. Die darin enthaltenen Datenschutzbeschwerden kletterten sogar von 7.539 auf 12.592. Heise ordnet den Bericht deshalb zu Recht nicht als routinemäßige Jahresstatistik ein, sondern als Signal für wachsenden Aufsichtsdruck, mehr Konflikte um Datennutzung und eine zunehmend härtere Grundrechtsdebatte rund um Künstliche Intelligenz.
Für Unternehmen und öffentliche Stellen ist der Fall gerade deshalb relevant, weil hier zwei Entwicklungen zusammenlaufen. Einerseits melden sich Betroffene häufiger, wenn sie ihre Datenschutzrechte verletzt sehen. Andererseits wächst politisch und operativ der Wunsch, vorhandene Datenbestände immer breiter für Automatisierung, Analyse und KI nutzbar zu machen. Genau an dieser Stelle setzt die Kritik von Bettina Gayk an. Wer Datennutzung pauschal mit Fortschritt gleichsetzt, übersieht schnell Zweckbindung, Datenqualität, Fairness und die Frage, ob spätere Verwendungen noch von der ursprünglichen Erhebung gedeckt sind.
18.062 Eingaben sind kein statistischer Nebenton
Die heutigen Zahlen tragen den Fall schon für sich. Wenn eine Aufsicht innerhalb eines Jahres von 12.490 auf 18.062 Eingaben springt und die Beschwerden um mehr als 67 Prozent zulegen, ist das kein normaler Ausschlag. Die LDI NRW verbindet diese Entwicklung ausdrücklich mit einer wachsenden Erwartung der Bürgerinnen und Bürger, dass ihre Rechte tatsächlich durchgesetzt werden. Dazu passt, dass sich die verhängten Geldbußen 2025 laut Mitteilung an die Marke von einer halben Million Euro angenähert haben.
Das ist für Verantwortliche in Unternehmen die eigentliche operative Lehre. Datenschutzrisiko entsteht nicht erst im spektakulären Großvorfall. Schon wiederkehrende Auskunftsprobleme, intransparente Werbedaten, unzulässige Veröffentlichungen in sozialen Medien oder unklare Weitergaben sensibler Informationen können in einer Lage mit steigender Beschwerdebereitschaft deutlich schneller zum Verfahren werden. Der Bericht nennt dafür greifbare Beispiele: Patientendaten in sozialen Medien, Gesundheitsdaten über WhatsApp und Bußgelddruck gegen ein Telekommunikationsunternehmen wegen missachteter Betroffenenrechte und verschleierter Werbedatenherkunft.
Damit wird aus der Jahresbilanz ein ziemlich nüchterner Hinweis an die Praxis: Wer Datenflüsse nicht sauber dokumentiert, Anfragen von Betroffenen schleifen lässt oder sensible Informationen im Tagesgeschäft zu locker behandelt, kann sich nicht mehr darauf verlassen, unter dem Radar zu bleiben.
Warum KI-Training mit Behördendaten der neuralgische Punkt ist
Der politisch schärfste Teil des heutigen Falls liegt aber bei den NRW-Sicherheitsgesetzen. Die LDI kritisiert, dass sowohl im Polizeigesetz als auch im Verfassungsschutzgesetz unzureichende Regeln zur Nutzung und zum Training von KI geschaffen worden seien. Besonders heikel ist laut Mitteilung der Punkt, dass die Nutzung vorhandener Datenbestände für KI-Training selbst dann erlaubt sein kann, wenn personenbezogene Daten betroffen sind und eine Anonymisierung als unverhältnismäßig aufwendig gilt.
Genau hier wird Datenschutz zur Betriebsfrage. Große Altbestände sind selten sauber, aktuell und frei von Fehlern. Werden solche Daten für Trainingszwecke verwendet, wandern alte Ungenauigkeiten, Verzerrungen oder Kontextverluste nicht einfach mit, sondern können sich im System verfestigen. Die LDI formuliert das ungewöhnlich klar: Fehler in den Ursprungsdaten können sich nach dem Training in der KI perpetuieren und im schlimmsten Fall zur Verfolgung Unschuldiger führen. Das ist keine abstrakte Debatte über Zukunftstechnologie, sondern ein Hinweis auf Zweckbindungsbruch, Qualitätsrisiko und Grundrechtseingriffe mit möglicher Fehlwirkung.
Auch für private Organisationen liegt darin eine direkte Lehre. Wer bestehende Kunden-, Mitarbeiter- oder Vorgangsdaten später in Analyse- oder KI-Projekten zweitverwerten will, kann sich nicht mit dem Hinweis beruhigen, die Daten lägen ja bereits vor. Ob ein solches Re-Use-Modell tragfähig ist, hängt gerade an Herkunft, Zweck, Datenminimierung, Transparenz und der Frage, ob die Datenbasis inhaltlich überhaupt belastbar genug ist.
Was Organisationen jetzt praktisch prüfen sollten
Der heutige NRW-Bericht ist deshalb mehr als eine Aufsichtsnotiz aus einem Bundesland. Er zeigt eine Entwicklung, die viele Teams bereits spüren: mehr Beschwerden, mehr Erwartung an Durchsetzung und weniger Toleranz für Datenexperimente ohne klare Governance. Wer mit KI, Profiling, internen Analysen oder wachsenden Datenpools arbeitet, sollte die Botschaft nicht auf Behördenrecht reduzieren.
- Prüfen Sie, aus welchen Beständen Analyse- oder KI-Projekte gespeist werden und ob der ursprüngliche Erhebungszweck diese Nutzung wirklich trägt.
- Bewerten Sie Datenqualität und Aktualität ausdrücklich, statt Altbestände automatisch als brauchbares Trainingsmaterial zu behandeln.
- Trennen Sie Datenschutzprüfung, Fachlogik und Technik nicht voneinander, wenn Systeme später über Personen entscheiden oder Risiken bewerten sollen.
- Schließen Sie Lücken bei Auskunftsrechten, Löschprozessen und Dokumentation, bevor Beschwerdedruck daraus ein Verfahren macht.
Der Bericht aus NRW macht damit eine Entwicklung sichtbar, die über Landesgrenzen hinausweist. Aufsichtsdruck steigt nicht nur wegen neuer Technik, sondern auch wegen der alten Versuchung, verfügbare Daten einfach weiterzunutzen. Gerade wenn KI-Projekte mit bestehenden Beständen beschleunigt werden sollen, lohnt sich der zweite Blick. Ohne saubere Zweckgrenzen, belastbare Datenbasis und dokumentierte Schutzmaßnahmen wird aus Effizienz schnell ein Datenschutzproblem.
Bildquelle: Pexels
Quellen: LDI NRW, „Landesdatenschutzbeauftragte legt Tätigkeitsbericht vor – und warnt vor Datennutzung um jeden Preis“; LDI NRW, 31. Tätigkeitsbericht 2026; heise online, „NRW-Datenschutzbeauftragte warnt vor Datennutzung um jeden Preis“.
