Wer fragt da? Lettlands DVI klärt Transparenzregeln für die öffentliche Datenerhebung

Haben Sie schon einmal durch Ihren Social-Media-Feed gescrollt und sind auf ein Gewinnspiel oder eine Veranstaltungsanmeldung gestoßen, die ein wenig zu vage erschien? Vielleicht war es ein lokaler Fotowettbewerb oder eine Verlosung für ein neues technisches Gerät, aber das Profil, das den Beitrag veröffentlichte, war anonym, oder der Name der Organisation war bis zur Unkenntlichkeit abgekürzt. Als Journalist, der seine Tage damit verbringt, das Kleingedruckte von Datenschutzrichtlinien zu analysieren, sind dies die Momente, in denen meine internen Alarmglocken schrillen. In der Welt des Datenschutzes ist eine Aufforderung zur Übermittlung personenbezogener Daten ohne eindeutige Identität nicht nur schlechtes Marketing – es ist ein regulatorisches Warnsignal.

Am 19. März 2026 befasste sich die lettische Datenschutzbehörde (DVI) genau mit diesem Thema. In einem neuen Leitfaden klärte die DVI die Transparenzpflichten für Organisationen, die öffentliche Bekanntmachungen herausgeben, in denen Einzelpersonen zur Übermittlung personenbezogener Daten aufgefordert werden. Dieser Schritt erfolgt als direkte Reaktion auf eine wachsende Zahl von Beschwerden von Personen, die das Gefühl hatten, dazu verleitet zu werden, ihre Informationen mit „Phantomen“ zu teilen. Aus Sicht der Compliance erinnert uns die DVI daran, dass die digitale Welt sich zwar flüchtig anfühlt, die Verantwortung für Daten jedoch dauerhaft ist.

Die Identitätskrise in öffentlichen Bekanntmachungen

Im Rahmen der Datenschutz-Grundverordnung (DSGVO) ist Transparenz kein bloßer Vorschlag; sie ist eine grundlegende Säule. Die Artikel 12, 13 und 14 schreiben vor, dass Einzelpersonen jederzeit wissen müssen, wer ihre Daten verarbeitet und wie sie diese Stelle erreichen können. Seltsamerweise agieren viele Organisationen immer noch unter der Annahme, dass ein auffälliges Poster oder eine eingängige Social-Media-Unterschrift sie von diesen strengen Anforderungen entbindet.

Die jüngsten Leitlinien der DVI räumen mit dieser Unklarheit auf. Die Behörde stellte fest, dass viele öffentliche Bekanntmachungen derzeit nicht konform sind, da ihnen grundlegende Identifikationsmerkmale fehlen. Sei es ein unvollständiger Name oder ein Beitrag von einem Profil ohne erkennbare Verbindung zu einer juristischen Person – diese Praktiken schaffen ein undurchsichtiges Umfeld, in dem die betroffene Person schutzlos bleibt. Um es anders auszudrücken: Nach Daten zu fragen, ohne sich zu identifizieren, ist so, als würde man jemanden bitten, seine Hausschlüssel einer Person mit Maske zu übergeben.

Welche Informationen sind tatsächlich erforderlich?

Eine der praktischsten Erkenntnisse aus der Mitteilung der DVI ist die Klarstellung, dass Organisationen in ihren öffentlichen Beiträgen nicht das spezifische Wort „Verantwortlicher“ verwenden müssen. Obwohl die DSGVO ein robustes juristisches Dokument ist, sollte ihre Anwendung in öffentlichkeitswirksamen Materialien nuanciert und zugänglich sein.

Anstelle einer starren Terminologie erwartet die DVI zwei konkrete Informationen, die deutlich sichtbar sein müssen:

1. Der vollständige offizielle Name: Die Organisation muss ihren vollständigen, offiziellen Namen angeben. Abkürzungen oder Handelsnamen, die nicht leicht zurückverfolgt werden können, sind unzureichend.
2. Kontaktdaten: Es muss ein klarer Weg für den Einzelnen bestehen, weitere Informationen zu erhalten. Dies könnte eine Registernummer, eine offizielle Adresse oder ein direkter Link zu einer umfassenden Datenschutzrichtlinie sein.

In meiner eigenen Arbeit als Redakteur wende ich oft ein Prinzip der digitalen Hygiene auf die von mir geprüften Materialien an. Wenn ich die Quelle einer Datenanfrage nicht innerhalb von drei Klicks verifizieren kann, ist die Anfrage grundlegend fehlerhaft. Organisationen können ihre Transparenzpflichten erfüllen, indem sie einen direkten Link zu den Veranstaltungsregeln oder eine datenschutzfreundliche Landingpage einfügen, die alle notwendigen Informationen vor der Erhebung enthält.

Die Gefahr der anonymen Datenerhebung

Die DVI hob mehrere unzulässige Praktiken hervor, die nun fest unter der regulatorischen Lupe stehen. Das Posten von einem anonymen Profil ist vielleicht das eklatanteste Beispiel. In einem regulatorischen Kontext fungiert ein anonymes Profil als Barriere für die Rechenschaftspflicht. Wenn es zu einer Datenschutzverletzung käme – die ich oft mit einer Ölpest vergleiche –, hätten die betroffenen Personen keine Möglichkeit zu wissen, wen sie zur Verantwortung ziehen oder wo sie ihr Recht auf Vergessenwerden ausüben können.

Ich erinnere mich an eine Untersuchung, die ich zu einer Reihe von „Pop-up“-Webinaren durchführte, bei denen berufliche Kontaktdaten gesammelt wurden. Viele dieser Organisatoren verwendeten generische Namen wie „Global Tech Insights“ ohne eine dahinterstehende juristische Person. Als ich tiefer grub, stellte ich fest, dass die Daten in einen Sekundärmarkt geschleust wurden. Deshalb ist die Position der DVI so wichtig: Sie zwingt den Datensammler dazu, vom ersten Kontaktpunkt an transparent zu sein.

Compliance als Kompass

Für Organisationen kann die Betrachtung von Compliance als Kompass statt als Hürde erheblichen Reputationsschaden verhindern. Wenn ein Unternehmen transparent über seine Identität informiert, schafft es eine Vertrauensbasis. Im Gegensatz dazu lässt Unklarheit darüber, wer hinter einer Datenerhebung steckt, die Organisation so aussehen, als hätte sie etwas zu verbergen. Im Wesentlichen verlangt die DVI das digitale Äquivalent einer Visitenkarte.

Ungeachtet der Komplexität internationaler Datentransfers oder extraterritorialer Reichweite ist der Kern dieser Leitlinien einfach: Seien Sie ehrlich darüber, wer Sie sind. Wenn Sie einen Wettbewerb in Riga oder eine Veranstaltung in Jurmala durchführen, verdient es Ihr Publikum zu wissen, in wessen Hände seine Daten genau gelangen.

Praktische Checkliste für Ihre nächste Bekanntmachung

Um sicherzustellen, dass Ihre Organisation auf der richtigen Seite der Erwartungen der DVI bleibt, ziehen Sie diesen methodischen Ansatz für Ihren nächsten öffentlichen Aufruf zur Datenerhebung in Betracht:

• Überprüfen Sie den Namen: Verwendet die Bekanntmachung den vollständigen offiziellen Namen, der im Unternehmensregister eingetragen ist?
• Testen Sie die Links: Wenn Sie einen Link zu einer Datenschutzrichtlinie verwenden, funktioniert dieser auf mobilen Geräten, auf denen das meiste Social-Media-Browsing stattfindet?
• Prüfen Sie das Profil: Ist das Social-Media-Konto verifiziert oder eindeutig mit Ihrer offiziellen Website verknüpft?
• Minimieren Sie die Abfrage: Wenden Sie Datenminimierung an. Benötigen Sie wirklich die Telefonnummer für eine Newsletter-Anmeldung, oder reicht eine E-Mail-Adresse aus?

Letztendlich dienen die Leitlinien der DVI als Erinnerung daran, dass Datenschutz ein grundlegendes Menschenrecht ist und kein Kontrollkästchen, das am Ende eines Projekts abgehakt wird. Durch die Bereitstellung einer klaren Identifikation entfernen sich Organisationen von prekären Datenpraktiken hin zu einem anspruchsvolleren, vertrauenswürdigen digitalen Ökosystem.

Quellen:

• Latvian State Data Inspectorate (Datu valsts inspekcija - DVI) Official Article, March 2026.
• General Data Protection Regulation (GDPR), Articles 12, 13, and 14.
• Official Guidance on Transparency and Controller Identification in Public Space.