Search

[Textaris(txt*bot)]

[...] Dieser Artikel ist eine Übersetzung. Das Original ist im Blog The Local Stack erschienen: https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/

Ich habe meine Identität auf Linkedin verifiziert. Hier erzähle ich, was ich preisgegeben habe, nur um ein blaues Häkchen zu bekommen. 31. März 2026 um 08:56 Uhr / Von rogi

Ich wollte das blaue Häkchen auf Linkedin, das besagt: "Diese Person ist echt". Inmitten von Massen falscher Personalvermittler, Bot-Konten und KI-generierter Profilbilder schien mir das eine gute Idee zu sein.

Also tippte ich auf "Verifizieren". Ich scannte meinen Reisepass ein und machte ein Selfie. Drei Minuten später – fertig, Badge erhalten. Ich spürte einen winzigen Dopamin-Kick: Jetzt war ich legitimiert.

Dann tat ich, was wahrscheinlich sonst kaum jemand tut: Ich las mir die Datenschutzerklärung und die Nutzungsbedingungen durch. Nicht die von Linkedin. Die von der anderen Firma.

Moment mal, welche andere Firma?

Wer auf Linkedin auf "Verifizieren" klickt, gibt seinen Pass nicht an Linkedin, sondern wird zu einem Unternehmen namens Persona weitergeleitet. Vollständiger Name: Persona Identities, Inc., mit Sitz in San Francisco, Kalifornien.

Linkedin ist dessen Kunde. Ich bin das Gesicht, das gescannt wird.

Ich hatte wie die meisten Menschen nie zuvor von Persona gehört. Das ist gewollt, das Unternehmen sitzt unsichtbar zwischen uns und den Plattformen, denen wir vertrauen.

Also habe ich mir die Datenschutzerklärung (18 Seiten) und die Nutzungsbedingungen (16 Seiten) von Persona heruntergeladen – und erzähle im Folgenden, was ich herausgefunden habe.

Für eine dreiminütige Identitätsprüfung wurde Folgendes erfasst:

    mein vollständiger Name: Vorname, zweiter Vorname, Nachname
    mein Passfoto: das gesamte Dokument, beide Seiten, alle Daten auf der Vorderseite
    mein Selfie: ein in Echtzeit aufgenommenes Foto meines Gesichts
    eine Gesichtsgeometrie: biometrische Daten, die aus beiden Bildern extrahiert wurden und dazu dienen, das Selfie mit dem Pass abzugleichen
    eine NFC-Chip-Daten: die digitalen Informationen, die auf dem Chip in meinem Reisepass gespeichert sind
    meine nationale Identifikationsnummer
    meine Staatsangehörigkeit, mein Geschlecht, mein Geburtsdatum, mein Alter
    meine E-Mail-Adresse, Telefonnummer und Postanschrift
    meine IP-Adresse, Gerätetyp, MAC-Adresse, Browser, Betriebssystemversion und Sprache
    meine Geolokalisierung, abgeleitet aus meiner IP-Adresse

Dazu kommen noch ein paar bemerkenswerte Punkte:

    Verzögerungserkennung: Persona hat verfolgt, ob ich während des Vorgangs pausiert habe
    Copy-Paste-Erkennung: Persona hat verfolgt, ob ich Informationen hineinkopiert statt eingetippt habe
    Verhaltensbiometrie, zusätzlich zur physischen Biometrie

Das alles habe ich für die Verifizierung bei Linkedin preisgegeben.

Persona hat sich aber nicht nur auf die Daten verlassen, die ich dem Unternehmen gegeben habe, sondern mich mit dessen "globalen Netzwerk vertrauenswürdiger Datenquellen von Drittanbietern" abgeglichen:

    behördliche Datenbanken
    nationale Melderegister
    Kreditauskunfteien
    Versorgungsunternehmen
    Mobilfunkanbieter
    Postadressdatenbanken

Kurz gesagt: Ich habe meinen Reisepass gescannt, um ein Häkchen zu erhalten, und Persona hat einen Hintergrundcheck durchgeführt.

Fast hätte ich es übersehen, denn es steht versteckt in einer Tabelle auf Seite 6 der Datenschutzerklärung unter "berechtigte Interessen": Persona verwendet hochgeladene Bilder von Ausweisdokumenten – also von meinem Reisepass – zum Trainieren seiner KI. Damit bringt die Firma ihrem System bei zu erkennen, wie Reisepässe in verschiedenen Ländern aussehen. Außerdem wird mein Selbstporträt genutzt, um "Verbesserungen am Dienst zu identifizieren".

Die Rechtsgrundlage ist nicht meine Einwilligung, Rechtsgrundlage sind "berechtigte Interessen". Das heißt, Persona hat selbst entschieden, dass es in Ordnung sei, meine Daten so zu verwenden. Laut der DSGVO müssen Unternehmen ihre "Interessen" gegen unsere Grundrechte abwägen. Ob das Einspeisen europäischer Pässe in Machine-Learning-Modelle dem Anspruch standhält, ist eine Frage, die wir stellen sollten.

Ich kam für ein Häkchen und blieb als Trainingsdaten.

Sobald Persona die Daten hat, bekommen folgende Stellen eine Kopie:

Linkedin erhält

    den vollständigen Namen
    das Geburtsjahr
    die Art des amtlichen Ausweises und die ausstellende Behörde
    das Ergebnis der Überprüfung
    eine unkenntlich gemachte Version des Ausweises. Alle Angaben außer dem Namen und dem Foto sind unkenntlich gemacht

Zugriff erhalten außerdem

    die Dienstleister von Persona, also Anbieter, die in Personas Auftrag tätig sind
    Personas "globales Netzwerk von Datenpartnern". Diese Datenbanken von Drittanbietern funktionieren in beide Richtungen
    verbundene Unternehmen und Tochtergesellschaften – Firmen, mit denen Persona "gemeinsame Datensysteme" nutzt
    jeder, der Persona kauft; bei einer Fusion, Übernahme oder Insolvenz gehen die Daten mit dem Geschäft über und
    interessanterweise auch Strafverfolgungsbehörden

Außerdem gibt es eine von Persona veröffentlichte Liste der Unterauftragsverarbeiter, die Zugriff auf die Daten haben. Ich wünschte, ich hätte nicht so genau hingeschaut!

Die 17 Unternehmen, die mit meinem Gesicht in Berührung kommen

Unterauftragsverarbeiter sind Drittunternehmen, die unsere personenbezogenen Daten in Personas Auftrag verarbeiten. Hier ist die vollständige Liste:

Liste der Unterauftragsverarbeiter:

Firmenname    Was die Firma mit unseren Daten macht    Firmensitz
Anthropic    Datenauswertung und -analyse    San Francisco, USA
OpenAI    Datenauswertung und -analyse    San Francisco, USA
Groqcloud    Datenauswertung und -analyse    San Jose, USA
AWS    Infrastruktur, Bildverarbeitung    Houston, USA
Google Cloud Platform    Infrastructure as a Service    Mountain View, USA
Resistant AI    Dokumentenauswertung    New York, USA
Fingerprint JS    Geräteauswertung    Chicago, USA
MongoDB    Datenbankdienst    New York, USA
Snowflake    Datenbankdienst    Bozeman, USA
Elasticsearch    Suchmaschine und Analysetool    Mountain View, USA
Confluent    ETL Services    Mountain View, USA
DBT    ETL Services    Philadelphia, USA
Sigma Computing    Datenanalyse    San Francisco, USA
Tableau    Datenanalyse    Seattle, USA
Stripe    Kreditkartenverarbeitung    South San Francisco, USA
Twilio    Kommunikations-APIs (Smartphone, SMS)    Denver, USA
Persona Identities Canada    Kundenservice und Entwicklung    Toronto, Kanada

Zählen wir mal durch: 17 Unternehmen, 16 davon in den USA, eines in Kanada, null in der EU.

Ich habe also meinen europäischen Reisepass für ein berufliches Netzwerk eingescannt und meine Daten gingen ausschließlich an nordamerikanische Unternehmen. Kein einziger in der EU ansässiger Unterauftragsverarbeiter ist in der Liste zu finden.

Und wer führt die "Datenerhebung und -analyse" durch? Anthropic, OpenAI und Groqcloud. Drei KI-Unternehmen verarbeiten unsere Reisepass- und Selfiedaten. Mein von der Regierung ausgestelltes Ausweisdokument wird den Unternehmen zugeführt, die große Sprachmodelle und KI-Systeme entwickeln.

AWS übernimmt die "Bildverarbeitung". Das bedeutet, dass mein Gesicht durch die Infrastruktur von Amazon geleitet wird. Die "Geräteauswertung" übernimmt Fingerprint JS – ein Unternehmen, dessen Name buchstäblich auf das verweist, was es tut. Es erstellt einen Fingerabdruck meines Geräts, während Persona einen Fingerabdruck meines Gesichts erstellt.

In der Datenschutzerklärung steht, dass Daten in den "Vereinigten Staaten und Deutschland" gespeichert würden. Das mit Deutschland mag technisch gesehen wahr sein, vielleicht liegen dort einige Daten. Doch jedes der Unternehmen, das unsere Daten verarbeitet, ist amerikanisch. Der Cloud Act (PDF) gilt nicht nur für Persona, sondern auch für alle 16 US-Subunternehmer: https://www.govinfo.gov/content/pkg/PLAW-115publ141/pdf/PLAW-115publ141.pdf#page=867.

Persona unterhält Rechenzentren in den Vereinigten Staaten und in Deutschland. Wer in Europa lebt, denkt vielleicht: Prima, meine Daten befinden sich wahrscheinlich auf einem deutschen Server, sind durch die DSGVO geschützt und vor dem Zugriff durch die USA sicher. Doch das stimmt nicht.

Persona ist ein in Kalifornien eingetragenes US-Unternehmen und unterliegt folglich dem US-amerikanischen Cloud Act, dem Clarifying Lawful Overseas Use of Data Act, der 2018 unterzeichnet wurde. Einfach gesagt, ermöglicht es der Cloud Act den US-Strafverfolgungsbehörden, jedes in den USA ansässige Unternehmen zur Herausgabe von Daten zu zwingen, selbst wenn diese Daten auf einem Server außerhalb der Vereinigten Staaten gespeichert sind.

Auch wenn sich der Scan meines Reisepasses in einem Rechenzentrum in Frankfurt befindet: Sobald ein US-Gericht einen Durchsuchungsbefehl erlässt, muss Persona dem nachkommen. Es zählt nicht der physische Standort des Servers, sondern der juristische Sitz des Unternehmens.

Das bestätigt auch die Datenschutzerklärung von Persona, hier der Wortlaut: "Wir greifen auf personenbezogene Daten zu, geben sie weiter und bewahren sie auf, wenn wir der Ansicht sind, dass dies erforderlich ist, um geltendes Recht einzuhalten oder auf rechtmäßige Rechtsverfahren zu reagieren, einschließlich solcher von Strafverfolgungs-, nationalen Sicherheits- oder anderen staatlichen Behörden."

"Nationale Sicherheit." Diese zwei Wörter haben es in sich. Gemäß US-Recht können Anträge im Namen der nationalen Sicherheit – wie Fisa-Gerichtsbeschlüsse oder National Security Letters – mit Schweigegeboten verbunden sein. Persona dürfte mir nicht mitteilen, wenn es meine Daten weitergegeben hat, selbst wenn es wollte.

Ja, Persona gibt an, das EU-US-Data-Privacy-Framework (DPF: https://www.dataprivacyframework.gov/) einzuhalten. Das Unternehmen hat sich beim US-Handelsministerium zertifizieren lassen. Es hält sich an die Grundsätze, das Ganze wirkt sehr offiziell.

Die Sache mit dem DPF: https://www.golem.de/news/causa-facebook-vs-schrems-eugh-erklaert-privacy-shield-fuer-ungueltig-2007-149690.html ist die: Es ist der Ersatz für das Privacy Shield, das der Europäische Gerichtshof im Jahr 2020 für ungültig erklärt hat. Der Grund? Die US-Überwachungsgesetze machten es unmöglich, die Sicherheit europäischer Daten zu garantieren.

Das DPF existiert, weil die USA eine Executive Order (14086) unterzeichnet haben, in der sie Besserung geloben. Aber eine Executive Order ist kein Gesetz, sondern eine Entscheidung des Präsidenten und kann damit von jedem künftigen Präsidenten mit einem Federstrich geändert oder widerrufen werden.

Datenschutzaktivisten haben das DPF bereits angefochten, darunter Noyb, die Organisation hinter den ursprünglichen Schrems-Urteilen. Die Rechtsgrundlage, die unsere Daten schützen soll, ist bestenfalls vorübergehend.

Die Realität sieht also so aus:

Wir scannen unseren Reisepass in Madrid, Berlin oder Dublin. Persona speichert ihn, vielleicht in Deutschland, vielleicht in den USA. Der Cloud Act gewährt US-Behörden Zugriff, unabhängig vom Speicherort.

Der DPF soll uns schützen, ist aber auf Sand gebaut. Eine Anfrage aus Gründen der nationalen Sicherheit könnte unsere biometrischen Daten abgreifen, ohne dass wir es jemals erfahren. Zwischen unserem europäischen Reisepass und einem System der US-Regierung liegt also nichts als eine stille Vorladung.

Ich möchte darstellen, was hier unter "biometrischen Daten" zu verstehen ist. Persona extrahiert die mathematische Geometrie eines Gesichts aus dem Selfie und dem Passfoto. Dabei handelt es sich nicht nur um ein Bild, sondern um eine numerische Karte der Abstände zwischen den Augen, der Form des Kinns und der Geometrie der Gesichtszüge. Es sind Daten, die eine Person eindeutig identifizieren. Im Gegensatz zu einem Passwort kann man das Gesicht nicht ändern, wenn es kompromittiert wird.

In den Richtlinien von Persona heißt es, diese Scandaten würden "nach Abschluss der Verifizierung oder innerhalb von sechs Monaten nach Ihrer letzten Interaktion" vernichtet. Gut.

Aber es gibt eine Ausnahme: "... es sei denn, Persona ist gesetzlich oder aufgrund eines Rechtsverfahrens anderweitig verpflichtet, die Daten aufzubewahren".

Diese Ausnahme bedeutet in Verbindung mit dem Cloud Act, dass ein US-Gerichtsverfahren Persona zwingen könnte, die biometrischen Daten einer Person auf unbestimmte Zeit aufzubewahren. Die Sechsmonatsfrist wird unbedeutend, wenn ein Gericht sagt: "Bewahren Sie das auf."

Sprechen wir nun darüber, was passiert, wenn etwas schiefgeht. Nehmen wir an, es kommt zu einer Datenpanne und der Scan eines Reisepasses, die Gesichtsgeometrie und die zugehörige nationale Identifikationsnummer geraten in die falschen Hände.

Die Nutzungsbedingungen von Persona begrenzen die Haftung des Unternehmens auf 50 US-Dollar. Noch einmal: Dein Reisepass, dein Gesicht, deine biometrischen Daten, deine nationale Identifikationsnummer – 50 US-Dollar.

Die Nutzungsbedingungen beinhalten zudem ein obligatorisches, bindendes Schiedsverfahren: kein Gericht, keine Jury, keine Sammelklage. Man kann Ansprüche nur individuell geltend machen, und zwar über die American Arbitration Association, selbst wenn man in Europa sitzt und es um europäische Daten geht.

Für Einwohner der EU/des EWR gilt laut Nutzungsbedingungen irisches Recht für den Vertrag. Das klingt zunächst besser, bis man sich daran erinnert: Irisches Recht regelt den Vertrag, aber US-Recht regelt das Unternehmen. Dem Cloud Act ist es egal, was im Vertrag steht.

Was man tun sollte

Allen, die sich wie ich bereits verifiziert haben, empfehle ich Folgendes:

    Die eigenen Daten anfordern, und zwar per E-Mail an idv-privacy@withpersona.com oder privacy@withpersona.com. Gemäß der DSGVO muss innerhalb von 30 Tagen geantwortet werden.
    Die Löschung beantragen. Denn: Die Verifizierung ist abgeschlossen, Linkedin hat das Ergebnis bereits. Es gibt keinen Grund für Persona, den Pass-Scan und die Gesichtsgeometrie auf seinen Servern zu behalten.
    Sich an den Datenschutzbeauftragten wenden (dpo@withpersona.com). Er ist der richtige Ansprechpartner für einen Einspruch dagegen, dass die eigenen Dokumente unter dem Vorwand "berechtigter Interessen" als Trainingsdaten für KI verwendet werden.
    Künftig zweimal nachdenken, bevor man sich verifiziert. So ein blaues Abzeichen ist den Preis wohl nicht wert. Ein Häkchen ist nur Kosmetik, biometrische Daten bleiben für immer.

Drei Minuten

Der Verifizierungsprozess hat nur drei Minuten gedauert: Scan, Selfie, fertig. Zu verstehen, womit ich mich tatsächlich einverstanden erklärt habe, hat dagegen ein ganzes Wochenende in Anspruch genommen und die Lektüre von 34 Seiten juristischer Dokumente erfordert.

Ich habe einem US-Unternehmen meinen Reisepass, mein Gesicht und die mathematische Geometrie meines Schädels übergeben. Es hat mich mit Kreditauskunfteien und staatlichen Datenbanken abgeglichen und wird meine Daten nutzen, um KI zu trainieren. Und wenn die US-Regierung anklopft, wird es alles herausgeben, selbst, wenn die Daten in Europa gespeichert sind und ich Europäer bin – möglicherweise, ohne mir jemals davon zu erzählen.

Und das alles für ein kleines blaues Häkchen auf irgendeinem beruflichen Netzwerk. Ich will niemandem vorschreiben, die Verifizierung zu überspringen. Aber jeder sollte wissen, was er sich einhandelt. Persona weiß es. Linkedin weiß es. Der Einzige, der im Dunkeln tappt, ist derjenige, der seinen Reisepass vor die Kamera hält.

Übersetzt von Juliane Gunardono mit Unterstützung von DeepL

Der Autor veröffentlicht unter dem Pseudonym "rogi". Sein Name ist der Redaktion bekannt.

Aus: "Linkedin & Persona: In drei Minuten in den Datenschutz-Wahnsinn" rogi (31. März 2026)
Quelle: https://www.golem.de/news/linkedin-persona-in-drei-minuten-in-den-datenschutz-wahnsinn-2603-206707.html

LinkedIn mit Sitz in Sunnyvale, Kalifornien, USA, ist ein soziales Netzwerk zur Pflege bestehender Geschäftskontakte und zum Knüpfen von neuen geschäftlichen Verbindungen. LinkedIn ist in 26 Sprachen verfügbar und hat nach eigenen Angaben über 930 Millionen Anwender ...
https://de.wikipedia.org/wiki/LinkedIn

[Textaris(txt*bot)]

[...] NRW meldet Rekord an Datenschutzbeschwerden. Gesetze werden übereilt verabschiedet, Grundrechtsschutz bleibt oft auf der Strecke, heißt es im Tätigkeitsbericht.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Bettina Gayk, hat ihren 31. Tätigkeitsbericht für das Jahr 2025 vorgelegt – und schlägt deutliche Töne an. Im bevölkerungsreichsten Bundesland stiegen die Eingaben auf einen historischen Höchstwert, zugleich warnt Gayk vor einer schleichenden Aushöhlung der Grundrechte durch KI-Euphorie und übereilte Gesetzgebung. ,,Datennutzung ist in aller Munde und das neue Synonym für Fortschritt. Ich möchte aber davor warnen, die Gefahren ungezügelter Datennutzung zu ignorieren", so Gayk.

Laut Tätigkeitsbericht erreichten im Jahr 2025 insgesamt rund 18.060 Eingaben die Behörde – ein Plus von rund 45 Prozent gegenüber dem bisherigen Höchststand von 12.490 Eingaben im Vorjahr. Besonders auffällig ist der Anstieg bei den individuellen Datenschutzbeschwerden: Sie kletterten von 7.539 auf 12.592 Fälle, ein Zuwachs von mehr als 67 Prozent.

Für Gayk sind die Zahlen auch ein Beleg dafür, dass Datenschutz bei den Menschen angekommen ist: Die Bürgerinnen und Bürger wollten, dass auf ihre Rechte geachtet werde, ihnen seien die Arbeit und der Auftrag der Behörde wichtig.

Ein zentrales Thema des Berichts ist der Einsatz künstlicher Intelligenz durch Sicherheitsbehörden. Gayk übt scharfe Kritik am überarbeiteten Polizeigesetz und am neuen Verfassungsschutzgesetz NRW. In beiden Gesetzen seien unzureichende Regelungen zur Nutzung und zum Training von KI geschaffen worden, die weder die unterschiedlichen Auswirkungen der vielfältigen KI-Anwendungen noch die sich aus der Datenbasis ergebenden Probleme ausreichend würdigten.

Die Landesbeauftragte differenziert dabei klar: Es sei weniger kritisch, wenn KI zum Formulieren sprachlich verständlicher Schreiben genutzt werde. Sollten hingegen mittels KI die Wahrscheinlichkeit potenzieller Straftaten oder Anhaltspunkte für verfassungsfeindliche Tendenzen ermittelt werden, könne sich das ganz erheblich auf die Privatsphäre aller Bürgerinnen und Bürger auswirken. Besonders problematisch ist dabei, dass beide Gesetze die Nutzung behördlicher Datenbestände für KI-Training erlauben, auch die Nutzung personenbezogener Daten, wenn die Anonymisierung voraussichtlich mit einem hohen Aufwand verbunden ist. Gayk warnt, große Datenbestände seien fast nie aktuell, Fehler in den Ursprungsdaten könnten schlimmstenfalls zur Verfolgung Unschuldiger führen.

Dabei nimmt Gayk auch Bezug auf Palantirs Datenanalyse-Software – in NRW als DAR (Datenanalyse und Recherche) bekannt. Die LDI befürchtet, dass US-Behörden über den Cloud Act und den Foreign Intelligence Surveillance Act Zugriff auf Polizeidaten erhalten könnten.

Nach einer klaren Rüge des Bundesverfassungsgerichts hätte Nordrhein-Westfalen sein Polizeigesetz eigentlich präzisieren und grundrechtskonform nachschärfen müssen. Stattdessen habe die Landesregierung die Gelegenheit genutzt, die Befugnisse der Polizei zur Datenanalyse und zum Einsatz von Künstlicher Intelligenz deutlich auszuweiten – und dabei zentrale Kritikpunkte weitgehend ignoriert. Gayk warnt, dass einige Regelungen ,,dem Grundsatz der Verhältnismäßigkeit nicht ausreichend Rechnung tragen".

Die LDI NRW sieht darin einen massiven Eingriff: ,,Höchst eingriffsintensive Durchforstungen des polizeilichen Datenbestands" würden ermöglicht – bei gleichzeitig unzureichenden gesetzlichen Hürden. Besonders problematisch sei, dass damit der Grundsatz der Zweckbindung faktisch ausgehebelt werde: Bürger würden die Kontrolle darüber verlieren, wofür ihre einmal erhobenen Daten künftig verwendet werden.

Zwar sieht das Gesetz eine Anonymisierung vor, doch diese kann entfallen, wenn sie ,,voraussichtlich mit einem hohen Aufwand verbunden" ist. Denn gerade KI-Systeme sind darauf ausgelegt, versteckte Zusammenhänge in Daten zu erkennen – auch dann, wenn offensichtliche Identifikatoren entfernt wurden. ,,Eine Anonymisierung gestaltet sich damit generell schwierig", heißt es in der Bewertung. Das Risiko, dass Personen indirekt wieder identifizierbar werden, bleibt hoch – auch für Zeug*innen oder Opfer, deren Daten in polizeilichen Systemen gespeichert sind.

Auch bei der Speicherung von Daten bleibt das Gesetz hinter den verfassungsrechtlichen Anforderungen zurück. Die Neuregelung in NRW differenziert jedoch nicht ausreichend zwischen verschiedenen Speicherzwecken. So werden Daten zur Gefahrenabwehr, zur Dokumentation und zur späteren Nutzung ,,in einem Abwasch" geregelt – obwohl sie unterschiedlich stark in Grundrechte eingreifen. Die Folge: zu lange Speicherfristen, fehlende Nutzungsbeschränkungen und eine insgesamt unklare Rechtslage.

Besonders deutlich wird die Kritik der Datenschutzbeauftragten in einem Punkt: Ihre Einwände wurden im Gesetzgebungsverfahren vollständig ignoriert. ,,Leider konnte die LDI NRW keine Auseinandersetzung mit ihren Bedenken feststellen", heißt es im Fazit.

Beim neuen Verfassungsschutzgesetz kritisiert Gayk, dass im Wesentlichen unbeschränkt mögliches Web-Crawling möglich ist, außerdem die nicht näher eingegrenzte Nutzung von Datenanalysetools mittels KI, die Nutzung von Verfassungsschutzdaten zum KI-Training sowie neu eingeräumte Zugriffsmöglichkeiten auf private Videoüberwachungsanlagen. Die Stellungnahme der LDI NRW ist als Landtagsdrucksache 18/2863 abrufbar. Besonders der Kamera-Zugriff sorgte für Aufsehen. Der Sachverständige Prof. Mark A. Zöller nannte die Regelung ,,in einem Rechtsstaat vollkommen inakzeptabel".

Zudem enthält der Bericht auch drastische Einzelfälle, etwa das von 1N Telecom, einem Telekommunikationsunternehmen aus NRW. 1N Telecom erhielt Ende 2025 ein Bußgeld von 300.000 Euro. Über einen Zeitraum von nahezu zwei Jahren versandte das Unternehmen personalisierte Werbeschreiben, die dem Anschein nach aus der Feder eines bekannten großen Telekommunikationsunternehmens stammten. Trotz hunderter Beschwerden und klarer Datenschutzverstöße ignorierte das Unternehmen die Maßnahmen der LDI und änderte seine Geschäftspraktiken nicht.

Weitere Fälle betreffen den Gesundheitsbereich. Mehrfach sind Pflegekräfte aufgefallen, die Pflegebedürftige durch Reels oder Livestreams im Internet zur Schau gestellt hatten – teils über Snapchat, teils als Livestreams während Nachtschichten. In keinem der geprüften Fälle war das Vorgehen rechtlich zulässig. Eine Arztpraxis veröffentlichte ohne Einwilligung Bilder einer Patientin zur Brustvergrößerungssimulation – inklusive versehentlich lesbarem Klarnamen. Das Bild war zehn Stunden über den Instagram-Account mit mehreren tausend Followern abrufbar; die LDI leitete ein Bußgeldverfahren ein.

Ebenfalls mit Gesundheitsdaten befasste sich ein Verfahren rund um den Online-Verkauf von Arzneimitteln. Bereits 2019 hatte die LDI NRW mehr als zehn Apotheken in NRW überprüft und festgestellt, dass keine von ihnen beim Online-Verkauf apothekenpflichtiger Medikamente eine Einwilligung der Besteller in die Nutzung ihrer Daten einholte. Die Apotheken argumentierten, bei nicht verschreibungspflichtigen Mitteln ließen sich keine Rückschlüsse auf den Gesundheitszustand ziehen. Die LDI und die Gerichte sehen das anders: Auch Bestelldaten nicht verschreibungspflichtiger Arzneimittel seien in Kombination mit Name und Lieferadresse als Gesundheitsdaten im Sinne der DSGVO zu werten.

Ebenfalls für Aufsehen sorgte bei der LDI ein sogenanntes Versicherungs-,,Datenkartell": Knapp 40 Versicherer aus Deutschland und Liechtenstein tauschten zur Betrugserkennung Kundendaten über einen gemeinsamen E-Mail-Verteiler aus – darunter Gesundheitsdaten und Daten Minderjähriger. Und ein Onlinedienst-Anbieter hatte über Jahre rechtswidrig Standortdaten von Nutzerinnen und Nutzern an Dritte weitergeleitet; die Daten landeten schließlich bei einem US-Databroker.

Die Meldungen zu Datenpannen erreichten mit 2.844 Fällen ebenfalls einen neuen Rekord (2024 waren es 2.170). Mit 34 Prozent waren Cyberangriffe die häufigste Ursache, gefolgt von Fehlversand (24 Prozent) und unbefugter Weitergabe (20 Prozent). Bei einer Sonderprüfung von 33 Universitätskliniken und Krankenhäusern fiel auf: Zwölf Kliniken gaben an, dass ihnen 2023 und 2024 keine einzige Datenpanne bekannt wurde – was die LDI für unwahrscheinlich hält und auf lückenhafte interne Meldeprozesse hindeutet.

Im Schulbereich bleibt die iPad-Nutzung ein Dauerthema. Bedenken hinsichtlich der iCloud konnten bislang noch nicht vollständig ausgeräumt werden. Für Gayk ist eine Ende-zu-Ende-Verschlüsselung der in der iCloud gespeicherten Daten, bei der die Schlüssel nicht bei Apple liegen, die datenschutzrechtlich nachhaltigste Lösung. Bis zur vollständigen Klärung rät die LDI zum Verzicht auf die iCloud. Ergänzend begrüßt die Behörde das länderübergreifende Projekt ,,telli", das Schulen eine datenschutzkonforme Nutzung von KI-Sprachmodellen über pseudonymisierte Accounts ermöglichen soll.

Ein regelmäßiger Vorwurf der Wirtschaft, die Datenschutzaufsicht sei uneinheitlich, löste eine Diskussion über die Zentralisierung der Datenschutzaufsicht aus. Gayk hält diese Idee für abwegig. Wer eine faire und grundrechtekonforme Datenverarbeitung wolle, solle keine Hand an die föderale Datenschutzaufsicht legen, sondern einen ortsnahen Zugang zur Prüfung von Datenverarbeitungen aufrechterhalten.

Die NRW-Zahlen fügen sich nahtlos in ein bundesweites Bild ein. In Hessen meldete der Datenschutzbeauftragte Alexander Roßnagel einen Anstieg der Beschwerden um 58 Prozent auf 6.070 Fälle, in Baden-Württemberg verzeichnete Prof. Tobias Keber sogar ein Plus von über 90 Prozent auf 7.673 Beschwerden – ein Trend, den die Tätigkeitsberichte beider Länder ausführlich dokumentieren. Mehrere Landesbehörden nennen übereinstimmend KI als zentralen Treiber der Entwicklungen – sowohl weil sich Beschwerden inzwischen KI-gestützt formulieren lassen, als auch weil der Einsatz von KI-Systemen in Verwaltung, Polizei und Wirtschaft neue Datenschutzrisiken schafft. Gemeinsam ist den Berichten zudem die Sorge vor der wachsenden Abhängigkeit von Unternehmen aus den USA und China, die Forderung nach mehr digitaler Souveränität sowie die Warnung vor überhasteten Gesetzgebungsverfahren, die Grundrechte unzureichend berücksichtigen.

(mack)

Aus: "NRW-Datenschutzbeauftragte warnt vor Datennutzung um jeden Preis" Marie-Claire Koch (19.04.2026)
Quelle: https://www.heise.de/news/NRW-Datenschutzbeauftragte-warnt-vor-Datennutzung-um-jeden-Preis-11263297.html

https://www.ldi.nrw.de/system/files/media/document/file/31_bericht_2026.pdf

abacusX, 20.04.2026 00:30


Der Sonnenschutz schützt nicht die Sonne, der Datenschutz schützt nicht die Daten.

Der Datenschutz schützt die Menschen, ihre Würde und ihre gesetzlichen Grundrechte. Wer den Datenschutz bagatellisiert, diskreditiert, als Behinderung darstellt oder begreift, der schätzt die Menschen gering, respektiert nicht die Grundrechte seiner Mitmenschen, achtet nicht die rechtsstaatliche Freiheit und Demokratie.

Sehr oft ist weniger, mehr. Weniger Daten, mehr persönliche Vertraulichkeit, geachtete Würde, Sicherheit.

Gast (5d474d1b), Wulf Sobolewksky
19.04.2026 19:51

Ich frag mich immer wieder wie leben die Bürger in einem Land in dem es nicht diesen extremen Datenschutz gibt ?
Also ich kann nicht sehen das diese Bürger ausgebeutet, versklavt werden oder immense Nachteile haben

EGWpPW
19.04.2026 20:25

Re: Ich frag mich.....

Das dachte man damals auch, bis von den Nazis die Judenkartei angelegt wurde.

Es passiert so lange nichts, bis doch was passiert. Die Frage ist dann immer nur: Was ist Verhältnismäßig umzusetzen um dem Vorzubeugen, und was hätte man besser machen können?

Es geht schlicht niemanden was an, was ich kaufe, wann ich wo bin usw.
Die Frage müsste also sein: Warum ist das nicht der Standard? Wozu muss mein Staubsaugerroboter Videos filmen und ins Internet hochladen? Warum muss eine Pflegekraft im Pflegeheim ein Video von den Bewohnern im Internet hochladen?

Gast (5d474d1b), Wulf Sobolewksky
19.04.2026 20:29

    -100 Permalink Melden

Re: Ich frag mich.....

EGWpPW schrieb am 19.04.2026 20:25:

    Warum ist das nicht der Standard? Wozu muss mein Staubsaugerroboter Videos filmen und ins Internet hochladen? Warum muss eine Pflegekraft im Pflegeheim ein Video von den Bewohnern im Internet hochladen?

Dann kauf dir halt keinen Staubsaugerroboter, dann geh halt nichts in Pflegeheim.

Hackman
19.04.2026 21:33

Re: Ich frag mich.....

Gast (5d474d1b) schrieb am 19.04.2026 20:29:

    EGWpPW schrieb am 19.04.2026 20:25:

        Wozu muss mein Staubsaugerroboter Videos filmen und ins Internet hochladen? Warum muss eine Pflegekraft im Pflegeheim ein Video von den Bewohnern im Internet hochladen?

    "Dann kauf dir halt keinen Staubsaugerroboter, dann geh halt nichts in Pflegeheim."

Bei Dir finden sich Anzeichen von Schreib-Leseschwäche und vielleicht einer Störung der Impulskontrolle. Ich würde deswegen an Deiner Stelle speziell in Foren den Ball extrem flach halten, s. https://www.heise.de/hintergrund/Datenaustausch-aber-kein-zentrales-Register-bei-psychisch-kranken-Risikopersonen-11246696.html. Nicht, dass aus Versehen Dein Risikopotential falsch eingeschätzt wird.

Re: Ich frag mich.....

Gast (5d474d1b) schrieb am 19.04.2026 19:51:

    Ich frag mich immer wieder wie leben die Bürger in einem Land in dem es nicht diesen extremen Datenschutz gibt ?

Also Du meinst China? Den Iran? Nordkorea? Saudi Arabien? Die Türkei? Russland? Tja, wie leben da die Menschen wohl... Schick einfach mal eine E-Mail an Deinen iranischen Spezl und frag ihn. Oder besuch den Kumpel am Friedhof, der im Russland vom Balkon gestürzt ist, weil er gegen Putin gebloggt hat. Überlege, was passiert, falls Du in China oder Trumpistan wegen gewisser Verhaltensauffälligkeiten auf einer No-Fly- bzw. No-Travel-Liste stehst und immer mal wieder willkürlich jede Körperöffnung kontrolliert kriegst. Wenn Du in der Türkei als Regimefeind lebenslang einsitzt.

Aber hey - im Land der Unendlichkeitshaft (Bayern) kannst Du wegen Klimakleberei ein paar Monate in den Knast wandern - oder auch "einfach so", wenn Du z. B. Samuel Bosch heißt...

https://media.ccc.de/v/38c3-gefhrliche-meinung-wenn-wlder-brennen-und-klimaaktivist-innen-im-knast-sitzen
... und bis sich das Bundesverfassungsgericht einschaltet. Lass Dir einfach von Lisa Poettinger erklären, was passiert, wenn man "antikapitalistisch" eingestellt ist (https://taz.de/Repressionen-in-Bayern/!6062052/).

Weitere Antworten auf die Frage können Dir sicher die strammen Jungs der CxU, die das IFG abschaffen wollen (https://www.tagesschau.de/inland/informationsfreiheitsgesetz-union-100.html) geben und insbesondere die AFD-Bros. Denen sind rechtsstaatliche Prinzipien und Datenschutz nämlich generell ein Dorn im Auge.

Und oder
19.04.2026 23:44

Re: Ich frag mich.....

Deine Agenda ist Datenschutz schlechtreden, tatsächlichen und belegten Datenmissbrauch zu ignorieren und zu dementieren.
Wirst du bezahlt oder ist das echt deine "persönliche Meinung", die du so kräftig vertrittst?
https://www.heise.de/forum/heise-online/Kommentare/Digitaler-Ausweis-kommt-2027-Mehrheit-der-Deutschen-ahnungslos/Re-Fragt-doch-mal-nach-Wero/posting-46175655/show/

...