Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. Artificial Intelligence and Data Protection: LDI NRW Highlights New Challenges for Businesses
  • Data Protection

Artificial Intelligence and Data Protection: LDI NRW Highlights New Challenges for Businesses

The 30th Activity Report by the State Commissioner for Data Protection and Freedom of Information of North Rhine-Westphalia (LDI NRW) sheds light on the current challenges companies face when using artificial intelligence (AI). The report focuses on ensuring compliance with data protection regulations while deploying generative AI systems and critically examines the use of emotion recognition software.

Generative AI Models: A Legal Minefield for Data Protection

The LDI NRW emphasizes that generative AI systems—such as large language models (LLMs)—often process vast amounts of personal data, frequently without the data subjects' knowledge. This often occurs through the automated collection of publicly available web content. While companies may rely on the “legitimate interest” basis under Article 6(1)(f) of the GDPR, the LDI NRW makes it clear that a careful balancing of interests is absolutely essential. Simply making data publicly available online does not automatically justify its use for training AI models.

According to the report, a particularly problematic issue is the risk of so-called inference errors: AI systems can generate false or misleading information about individuals, where the origin and truthfulness of such data is often no longer traceable. Deleting or correcting personal data is technically complex and, with generative models, remains an unsolved problem in many cases—it often requires retraining the entire model.

Emotion Recognition Software: Strong Criticism and Clear Boundaries

A serious case highlighted: A company in a call center used AI-based emotion recognition software to analyze the moods of employees and customers based on voice data—without informed consent and without performing a data protection impact assessment. The LDI NRW regards this as a severe intrusion on personal rights and therefore banned further use. A sanction is also being considered.

Obligations for Companies: Clear Rules for the Use of AI

The report underscores that data protection remains non-negotiable in the age of artificial intelligence. Companies developing or deploying AI systems are required to:

  • Establish a clear legal basis for every processing of personal data,
  • Effectively implement data subject rights such as access, rectification, and erasure,
  • Conduct data protection impact assessments (DPIA) at an early stage.

Especially for generative AI systems, principles such as “privacy by design” and “privacy by default” must be upheld. In case of doubt, seeking advice from specialized legal counsel is recommended.

Conclusion

The activity report makes it clear: Artificial intelligence must not pose a risk to the rights and freedoms of individuals. For businesses, this means data protection is mandatory—it is essential to avoid fines and to sustainably maintain the trust of customers and staff.

Zurück
© 2011–2025 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo