Datenschutz

LDI NRW: Datenschutz Nordrhein-Westfalen und Sanktionen

LDI NRW 2026: Volkswagen Bank, Polizei-Datenleak, Krankenhaus Spital Lippstadt — Aufsichtsbehörde Nordrhein-Westfalen in Detail.

TD
Dr. Thiébaut Devergranne
3. Juni 20263 min read

In einem Satz. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) mit Sitz in Düsseldorf ist die Aufsicht für das einwohnerstärkste Bundesland (~17,9 Mio. Einwohner), leitet seit 2018 Bettina Gayk, beschäftigt rund 80 Mitarbeiter und ist bekannt durch den Volkswagen Bank-Bescheid (€1,1 Mio.), das Krankenhaus-Spital Lippstadt-Verfahren und zahlreiche Wohnungsgesellschaft-Sanktionen.

NRW ist Industrieland mit RWE, Bayer, Henkel, Vodafone Deutschland, Deutsche Post, Telekom-Töchtern und einem der größten Mittelstandsdichten Deutschlands. Die LDI NRW hat entsprechend volles Programm — von Großkonzern bis Wohnungsgenossenschaft. Bettina Gayk gilt als pragmatisch und unternehmensfreundlicher als z.B. LfDI BaWü. Siehe BfDI.

Wichtige Punkte

  • LDI Bettina Gayk seit 2018, einzige weibliche Landesdatenschutzbeauftragte in dieser Spitzenstellung lange Zeit.
  • Sitz Düsseldorf, ~80 Mitarbeiter.
  • Volkswagen Bank 2020: €1,1 Mio. wegen mangelnder TOMs.
  • Vodafone Deutschland: €1,4 Mio. wegen Auftragsverarbeiter-Mängeln.
  • Wohnungsbau-Branche besonders im Fokus (Aufbewahrungsfristen).

1. Struktur und Organisation

Aspekt Wert
Sitz Kavalleriestraße 2-4, Düsseldorf
Leiterin Bettina Gayk (seit 2018)
Mitarbeiter ~80
Budget ~9 Mio. Euro
Zuständigkeit öffentliche und nicht-öffentliche Stellen NRW

2. Volkswagen Bank-Bescheid 2020

  • Sachverhalt: Mangelnde technische und organisatorische Maßnahmen
  • Sanktion: €1,1 Mio. (2020)
  • Volkswagen Bank akzeptierte, setzte Verbesserungsprogramm um
  • Bedeutung: Erstes größeres deutsches Bußgeld gegen Bankentochter

3. Vodafone Deutschland-Fall

  • Sachverhalt: Auftragsverarbeiter (Vermittler) nutzten Vodafone-Kundendaten unrechtmäßig
  • Verstoß: Unzureichende Kontrolle der Auftragsverarbeiter
  • Sanktion: €1,4 Mio. (2021)
  • Lehre: Art. 28 DSGVO-Pflichten sind Chefsache, nicht delegierbar

4. Weitere bedeutende Verfahren

Fall Bereich Sanktion
Spital Lippstadt (offener Zugang) Krankenhaus €30.000
Wohnungsgesellschaft (übermäßige Daten) Aufbewahrung €170.000
Privatversicherer (HIS-Falscheintrag) Versicherung €150.000
Bonner Unternehmen (Beschäftigtenüberwachung) HR €40.000
Großmakler (Interessenten-DB) Immobilien €50.000

5. Tätigkeitsbericht 2024

Kennzahlen 2024 (Bericht 2025):

  • ~9.000 Beschwerden eingegangen (höchste in DE)
  • ~5.000 abgeschlossene Verfahren
  • ~150 Bußgeldbescheide
  • Bußgeldsumme ~ 5 Mio. Euro

NRW hat als einwohnerstärkstes Bundesland mit ~17,9 Mio. Einwohnern auch die meisten Beschwerden absolut.

6. Schwerpunkte unter Bettina Gayk

  • Mittelstandsfreundliche Beratung
  • Mitarbeiterdatenschutz (DLD-NRW als Plattform)
  • KI-Anwendungen in der öffentlichen Verwaltung
  • Cookie-Banner und Tracking
  • Wohnungswirtschaft (Aufbewahrung)

7. Wohnungswirtschaft im Fokus

LDI NRW hat zahlreiche Wohnungsbau-Unternehmen sanktioniert:

  • Lange Aufbewahrung von Mietinteressenten-Daten
  • Überzogene Schufa-Abfragen
  • Datenweitergabe an Drittinkassi
  • Mieterselbstauskunft mit unzulässigen Fragen (siehe auch BlnBDI Deutsche Wohnen €14,5M)

8. Spital Lippstadt-Fall

  • Sachverhalt: Patientendaten über offenen Netzzugang erreichbar
  • Sanktion: €30.000
  • Bedeutung: Krankenhaus-IT-Sicherheit ist auch bei kleineren Einrichtungen Pflicht

9. LDI-Stellungnahmen

LDI NRW publiziert regelmäßig:

  • Praxisratgeber für KMU
  • Stellungnahmen zu KI-Anwendungen
  • Checklisten Cookie-Banner
  • Branchenspezifische Leitfäden (Wohnungswirtschaft, Vereine)

Alle frei verfügbar auf ldi.nrw.de.

10. Verfahren bei LDI NRW

Pragmatischer Ansatz:

  1. Beschwerde oder Datenpannenmeldung
  2. Erstes Schreiben oft mit Bitte um Stellungnahme + Aufklärung
  3. Bei Aufklärung und Behebung oft Verwarnung statt Bußgeld
  4. Bußgeld bei Strukturmängeln oder Vorsatz

Dauer: 6-18 Monate.

11. Tool-Unterstützung

Legiscope hilft NRW-Unternehmen mit VVT, Mitarbeiter-Compliance und Wohnungswirtschaft-spezifischen DSFA-Templates.

Fazit

LDI NRW ist pragmatisch, aber konsequent — wer mitspielt und Mängel behebt, kommt oft mit Verwarnung davon. Wer nicht, sieht das Bußgeld. NRW als Wirtschaftsschwergewicht hat die meisten Beschwerden — wer hier auffällt, wird auffällig.

FAQ

Wer ist die LDI NRW?

Bettina Gayk, seit 2018. Frühere Funktion: Vize-Präsidentin der LDI NRW unter Vorgänger Helga Block.

Was war der Volkswagen-Bank-Fall?

€1,1 Mio. Bußgeld 2020 wegen mangelnder TOMs — erstes größeres Bankentochter-Bußgeld in Deutschland.

Welche Themen prüft LDI NRW?

Mitarbeiterdatenschutz, Wohnungswirtschaft, KI, Cloud, Cookies. Stark fokussiert auf Mittelstandsfälle.

Wie viele Beschwerden gehen jährlich ein?

Etwa 9.000 — die höchste Zahl unter den deutschen Aufsichten, wegen Einwohnerzahl NRW.

Ist LDI für öffentliche und private Stellen zuständig?

Ja, eine Aufsicht für beide Bereiche. Anders als Bayern (BayLDA + BayLfD).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →