Lettlands staatliche Dateninspektion veröffentlicht Bericht 2025: KI-Regulierung und Durchsetzung stehen im Mittelpunkt

Während sich die digitale Landschaft von der traditionellen Datenverarbeitung hin zur komplexen Welt der automatisierten Entscheidungsfindung verschiebt, hat Lettlands staatliche Dateninspektion (DVI) ihren umfassenden jährlichen Tätigkeitsbericht für 2025 veröffentlicht. Das Dokument zeichnet das Bild einer Aufsichtsbehörde im Wandel – eine Behörde, die ihre traditionelle Rolle als DSGVO-Wächter mit ihren neuen Verantwortlichkeiten als primäre Aufsichtsinstanz für das Gesetz über künstliche Intelligenz (KI-Gesetz) der Europäischen Union in Einklang bringt.

Für Unternehmen, die im Baltikum tätig sind, dient der Bericht als mehr als nur ein Rückblick; er ist ein Fahrplan für die Compliance in einer Ära, in der Datenschutz und algorithmische Rechenschaftspflicht untrennbar miteinander verbunden sind. Mit fast tausend durchgeführten Inspektionen im vergangenen Jahr signalisiert die DVI, dass die Ära der „sanften Durchsetzung“ endgültig der Vergangenheit angehört.

Durchsetzung in Zahlen: Ein gezielter Ansatz

Im Jahr 2025 verzeichnete die DVI eine signifikante Steigerung ihrer Aufsichtstätigkeiten. Die Behörde führte insgesamt 991 Inspektionen zur Verarbeitung personenbezogener Daten durch. Während diese Zahl eine breite Reichweite widerspiegelt, deuten die Ergebnisse eher auf eine fokussierte Durchsetzungsstrategie als auf ein Gießkannenprinzip hin. Aus diesen fast tausend Prüfungen identifizierte die DVI 178 spezifische Verstöße.

Vielleicht aussagekräftiger ist die Anwendung von 49 Korrekturmaßnahmen. Diese Maßnahmen umfassen häufig formelle Warnungen, Anordnungen zur Herstellung der Konformität von Verarbeitungsvorgängen oder die Verhängung vorübergehender oder endgültiger Beschränkungen der Verarbeitung. Für Organisationen deutet die Lücke zwischen der Anzahl der Verstöße und der Anzahl der Korrekturmaßnahmen darauf hin, dass die DVI weiterhin offen für den Dialog ist und Unternehmen oft die Möglichkeit gibt, geringfügige Probleme zu beheben, bevor sie zu formellen Sanktionen eskalieren. Die 178 Verstöße dienen jedoch als deutliche Erinnerung daran, dass die DVI systemische Mängel in der Data Governance erfolgreich identifiziert.

Die KI-Grenze: Das neue Mandat der DVI

Eine der bedeutendsten Entwicklungen im Bericht 2025 ist die formelle Benennung der DVI als lettische Aufsichtsbehörde für den Schutz personenbezogener Daten unter dem EU-KI-Gesetz. Dieser Schritt bringt Lettland in Einklang mit einem breiteren europäischen Trend zur Zentralisierung der digitalen Aufsicht innerhalb bestehender Datenschutzrahmen.

Die Logik hinter dieser Benennung ist klar: Die meisten Hochrisiko-KI-Systeme – ob sie nun bei der Personalrekrutierung, der Kreditwürdigkeitsprüfung oder in der Strafverfolgung eingesetzt werden – stützen sich stark auf die Verarbeitung personenbezogener Daten. Indem die KI-Aufsicht unter das Dach der DVI gestellt wird, möchte die lettische Regierung sicherstellen, dass die durch die DSGVO geschützten Grundrechte nicht durch die Undurchsichtigkeit von Modellen des maschinellen Lernens ausgehöhlt werden.

Für Technologieentwickler bedeutet dies, dass KI-Compliance kein separates Silo mehr ist. Die DVI wird KI-Systeme wahrscheinlich durch die Linse von „Privacy by Design“ bewerten und sicherstellen, dass Datenminimierung und Transparenz von der ersten Codezeile an in die Algorithmen integriert sind.

Bildung und der menschliche Faktor

In der Erkenntnis, dass Regulierung allein das digitale Ökosystem nicht sichern kann, investierte die DVI im Jahr 2025 massiv in das Humankapital. Ein Schwerpunkt lag auf der jüngeren Generation, die sich in der digitalen Welt oft mit hoher technischer Kompetenz, aber geringem Risikobewusstsein bewegt. Die DVI erreichte 30 Schulen in ganz Lettland mit einer gezielten Bildungskampagne, die darauf ausgerichtet war, Schülern etwas über digitale Fußabdrücke, Einwilligung und die langfristigen Auswirkungen der Datenfreigabe beizubringen.

Über die Jugendbildung hinaus wandte sich die DVI dem professionellen Sektor zu, indem sie drei Qualifizierungsprüfungen für Datenschutzbeauftragte (DSB) organisierte. Da die Nachfrage nach qualifizierten DSBs wächst – getrieben sowohl durch die DSGVO als auch durch die neuen Anforderungen des KI-Gesetzes – positioniert sich die DVI als Hüterin professioneller Standards in der Region.

Globale Zusammenarbeit in einer grenzenlosen Wirtschaft

Daten machen an der lettischen Grenze nicht halt, und das gilt auch für die Arbeit der DVI. Der Bericht 2025 hebt eine Zunahme der internationalen Zusammenarbeit hervor, insbesondere mit schwedischen und rumänischen Behörden. Diese Partnerschaften beinhalten oft gemeinsame Untersuchungen zu grenzüberschreitenden Datentransfers und den Austausch bewährter Verfahren zur Regulierung multinationaler Technologieplattformen.

Darüber hinaus setzte die DVI ihre aktive Teilnahme an Treffen der baltischen Staaten fort. Diese regionale Zusammenarbeit ist entscheidend für die Schaffung eines harmonisierten Regulierungsumfelds in Estland, Lettland und Litauen, was die baltische Region zu einem berechenbareren und stabileren Markt für internationale Investitionen macht.

Ausblick: 11 Prioritäten für 2026

Der Bericht schließt mit einer zukunftsorientierten Strategie und skizziert 11 Schlüsselprioritäten für 2026. Diese Ziele deuten auf eine Behörde hin, die sich auf eine höhere Arbeitsbelastung und komplexere technische Herausforderungen vorbereitet. Zu den wichtigsten Prioritäten gehören:

• Kapazitätsaufbau: Erhöhung der technischen Expertise des Personals zur Durchführung von KI-Audits und komplexer Forensik bei Datenschutzverletzungen.
• Regulierungsentwicklung: Unterstützung bei der Erstellung nationaler Rechtsakte, die die Lücke zwischen lettischem Recht und neuen digitalen EU-Vorschriften schließen.
• Öffentliches Bewusstsein: Ausweitung über Schulen hinaus, um die Datenschutzkompetenz in der allgemeinen Öffentlichkeit und bei Senioren zu fördern.

Praktische Erkenntnisse für Organisationen

Basierend auf der Leistung der DVI im Jahr 2025 und den Zielen für 2026 sollten Organisationen die folgenden Schritte unternehmen, um sicherzustellen, dass sie auf der richtigen Seite der Regulierungsbehörde bleiben:

1. KI-Systeme jetzt prüfen: Wenn Sie automatisierte Werkzeuge für die Entscheidungsfindung nutzen, bewerten Sie diese sofort anhand der Standards des EU-KI-Gesetzes. Die DVI wird auf Transparenz und Datengenauigkeit achten.
2. DSB-Qualifikationen überprüfen: Stellen Sie sicher, dass Ihr Datenschutzbeauftragter nicht nur zertifiziert ist, sondern auch über die neuesten DVI-Richtlinien und internationalen Präzedenzfälle informiert ist.
3. Alles dokumentieren: Die hohe Anzahl an Inspektionen im Jahr 2025 deutet darauf hin, dass eine klare Dokumentation Ihrer Datenverarbeitungsaktivitäten die beste Verteidigung bei einer Routineprüfung ist.
4. Mitarbeiterschulung priorisieren: Da die DVI den Fokus auf Bildung legt, wird sie wahrscheinlich von Unternehmen erwarten, dass sie robuste interne Schulungsprogramme für ihre eigenen Mitarbeiter haben.

Während die DVI in ihre Rolle als KI-Aufsichtsbehörde hineinwächst, ist die Botschaft für 2026 klar: Compliance ist keine einmalige Checkliste mehr, sondern ein kontinuierlicher Prozess technischer und ethischer Verfeinerung.

Quellen

• Datu valsts inspekcija (DVI) Official Website
• European Union AI Act Official Text
• Latvian Ministry of Justice - Data Protection Reports
• European Data Protection Board (EDPB) - National Reports