Belarus erhält eigene „DSGVO”: Worauf sich Unternehmen vorbereiten sollten

​veröffentlicht am 9. August 2019 | Lesedauer ca. 5 Minuten

 

Als die DSGVO in der EU in Kraft trat und plötzlich auch Unternehmen außerhalb ihrer Grenzen betraf, sah sich Belarus gezwungen, die eigenen Datenschutzvorschriften an das wirtschaftliche Umfeld anzupassen. Aus dem Grund arbeitet der belarussische Gesetzgeber bereits seit mehreren Jahren an einem Belarussischen Datenschutzgesetz (BDSG), das aktuell vom belarussischen Parlament geprüft wird. Das voraussichtliche Inkrafttreten ist frühestens für Mitte 2020 geplant. Es handelt sich dabei um das erste belarussische Gesetz, das sich speziell mit Fragen der Regulierung des Schutzes personenbezogener Daten befasst.

 

 

 

Bis heute gibt es in Belarus kein allgemeines Gesetz, das umfassend den Schutz personenbezogener Daten regelt. Es sind lediglich einzelne Regelungen, verteilt auf zahlreiche Gesetze, zu finden, wie dem Gesetz „Über Information und Informationsschutz”, was es bisher schwierig machte, den tatsächlichen Umfang aller Maßnahmen zu überblicken, die in Bezug auf solche sensiblen Daten zu ergreifen sind. Darüber hinaus gibt es nach belarussischem Recht bisher keine verbindlichen Anforderungen, Datenschutzverstöße entweder an die staatlichen Behörden oder an Personen, deren personenbezogene Daten betroffen sind, zu melden. Das belarussische Recht sieht bisher keine allgemeine Haftung für Datenschutzverletzungen vor.

 

Personenbezogene Daten

Nach der DSGVO sind personenbezogene Daten alle Informationen über eine identifizierte oder identifizierbare natürliche Person, die eine direkte oder indirekte Identifizierung der Person zulassen, insbesondere mittels einer Zuordnung zu einer Kennung, wie einen Namen, eine Identifikationsnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren Merkmalen, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind. Daher sind z.B. auch IP-Adressen personenbezogene Daten. Das belarussische Recht enthält im Wesentlichen den gleichen Ansatz: ein oder mehrere Merkmale, die es ermöglichen, eine Person direkt oder indirekt zu identifizieren.

 

Darüber hinaus unterscheidet das BDSG bestimmte Arten von personenbezogenen Daten, die Besonderheiten im Hinblick auf den Umgang mit ihnen aufweisen:

 

  • Biometrische personenbezogene Daten – Informationen, die die physiologischen und biologischen Eigenschaften einer Person beschreiben, anhand derer diese Person identifiziert werden kann (Fingerabdrücke, Handabdrücke, Gesichtsmerkmale, Bild usw.)
  • Genetische personenbezogene Daten – einzigartige und dauerhafte Informationen über das genetische Erbe und (oder) den menschlichen DNA-Code, auf deren Grundlage diese Person identifiziert werden kann
  • Besondere personenbezogene Daten – personenbezogene Daten in Bezug auf Rasse oder Nationalität, politische Meinungen, religiöse oder andere Überzeugungen, Gesundheit oder Sexualität, Strafregister sowie biometrische und genetische personenbezogene Daten

  

Verarbeitung personenbezogener Daten

Sowohl die DSGVO als auch das BDSG regeln die Erhebung, Speicherung, Verarbeitung, Verbreitung und Übermittlung personenbezogener Daten – auch automatisiert.

 

Die DSGVO legt sieben Grundprinzipien für die Verarbeitung personenbezogener Daten fest:

 

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz, d.h. die Verarbeitung von Daten erfordert eine Rechtsgrundlage. Die betroffene Person ist darüber zu informieren, was mit den Daten geschieht.
  • Zweckbindung, d.h. der Zweck der Datenverarbeitung muss bereits bei der Erhebung personenbezogener Daten festgelegt sowie eindeutig und legitim sein.
  • Datenminimierung, d.h. personenbezogene Daten müssen verhältnismäßig und zweckmäßig sein und sich auf das für die Zwecke der Verarbeitung erforderliche Maß beschränken. Das bedeutet beispielsweise, dass die Registrierung für einen Newsletter auf die E-Mail-Adresse und ggf. Geschlecht und Nachname als Pflichtfelder beschränkt sein muss.
  • Richtigkeit, d.h. die Daten müssen korrekt und auf dem neuesten Stand sein. Fehlerhafte Daten müssen sofort korrigiert oder gelöscht werden.
  • Speicherbegrenzung, d.h. Daten müssen gelöscht werden, wenn sie nicht mehr für die Zwecke der Verarbeitung benötigt werden.
  • Integrität und Vertraulichkeit (Sicherheit), d.h. Schutz vor unbefugter oder unsachgemäßer Verarbeitung, insbesondere Weitergabe an unbefugte Dritte, muss gewährleistet sein.
  • Rechenschaftspflicht, d.h. Unternehmen sind verpflichtet, den Aufsichtsbehörden den Nachweis über die Einhaltung der oben genannten Grundsätze zu erbringen.

  

Das BDSG folgt den gleichen Grundprinzipien, die auch die DSGVO festlegt.

 

Maßnahmen, die bei der Verarbeitung personenbezogener Daten zu ergreifen sind

Einige Instrumente aus der DSGVO wurden in ähnlicher Weise in das BDSG aufgenommen, z.B.:

 

  • Erfordernis der Zustimmung der betroffenen Person zur Datenverarbeitung
  • Meldepflicht im Falle einer Datenschutzverletzung
  • Besonders strenge Handhabung der grenzüberschreitenden Datenübermittlung
  • Verpflichtung des Unternehmens zur Ernennung eines Verantwortlichen für personenbezogene Daten (ähnlich dem DSGVO-Datenschutzbeauftragten)

 

Datenbetreiber

Das belarussische Recht unterscheidet nicht zwischen „Datenverarbeiter” und „Datenverantwortlichen” wie die DSGVO. Nach belarussischem Recht gibt es nur den sogenannten „Betreiber personenbezogener Daten”. Betreiber personenbezogener Daten können alle Unternehmen sein, einschließlich natürliche Personen, die mit personenbezogenen Daten umgehen und die somit der Compliance unterliegen. Das ist nicht auf einen Sitz in Belarus beschränkt, d.h. alle ausländischen Unternehmen, die personenbezogene Daten von belarussischen Bürgern verarbeiten, fallen unter diese Definition. Ausgenommen vom Geltungsbereich sind nur Privatpersonen, die mit personenbezogenen Daten für private, familiäre oder ähnliche Zwecke umgehen, ohne Bezug zu einer beruflichen oder unternehmerischen Tätigkeit. Daher müssen alle Unternehmen, vom Kleinbetrieb bis zum Großbetrieb, die Anforderungen der BDSG kennen und bereit sein, sie zu erfüllen. Neben belarussischen Unternehmen unterliegen auch ausländische Unternehmen, die Waren oder Dienstleistungen an belarussische Bürger vermarkten, unabhängig vom Unternehmenssitz, den belarussischen Datenschutzvorschriften.

 

Einwilligung: Opt-In erforderlich

Sowohl die DSGVO als auch das BDSG erfordern zwingend eine Opt-in-Einwilligung, die vorab eingeholt werden muss. Im Rahmen des Opt-in-Verfahrens muss die betroffene Person aktiv ihre Zustimmung zur Verarbeitung personenbezogener Daten erteilen. Das geschieht meist durch Ankreuzen eines Kontrollkästchens „Ja, ich stimme der Verarbeitung zu...” in einem Webformular. Opt-out hingegen funktioniert genau umgekehrt: Ein Unternehmen geht davon aus, dass eine Person der Verarbeitung zustimmt, es sei denn, es widerspricht diesem Verfahren ausdrücklich. Dann entfernt es das Häkchen.

Bisher sahen die belarussischen Vorschriften nur eine schriftliche Form der Zustimmung des Einzelnen vor, d.h. eine Zustimmung in Papierform. Das BDSG beschränkt die Zustimmung nun nicht mehr auf eine schriftliche Form, sondern ermöglicht vielerlei Arten moderner Zustimmungsmittel, vorausgesetzt, dass bei dieser Zustimmung ein klar positives Handeln erkennbar ist, das einen frei gegebenen, spezifischen, informierten und eindeutigen Hinweis auf die Zustimmung zur Verarbeitung personenbezogener Daten enthält.

 

Wichtigste Voraussetzungen für den „Umgang” mit personenbezogenen Daten

Der Betreiber muss angemessene rechtliche, organisatorische und technische Maßnahmen ergreifen, um den Schutz personenbezogener Daten vor unbefugtem oder versehentlichem Zugriff auf sie, Löschung, Änderung, Sperrung, Vervielfältigung, Bereitstellung, Verbreitung sowie vor anderen illegalen Handlungen in Bezug auf personenbezogene Daten zu gewährleisten. Neben diesen allgemeinen Formulierungen enthält das belarussische Recht zudem eine detaillierte Liste der verbindlichen Maßnahmen, die für den Schutz personenbezogener Daten zu ergreifen sind.

 

Zu den Maßnahmen gehört die Umsetzung von technischen und Verschlüsselungsmaßnahmen. Das kann dazu führen, dass ein spezielles Informationssystem für die Verarbeitung personenbezogener Daten implementiert und genutzt werden muss.

 

Das Informationssystem muss außerdem von speziell lizenzierten Unternehmen zertifiziert werden, die zur Durchführung von Zertifizierungsdiensten berechtigt sind, und wird vom Operativen Analysezentrum unter der Leitung des Präsidenten der Republik Belarus überwacht. Der Prozess kann sich als äußerst zeit- und kostenintensiv erweisen.

 

Für viele Unternehmen besteht der erste Schritt zur Einhaltung des BDSG darin, zu beurteilen, welches Bündel von Maßnahmen zur Errichtung eines Datenschutzsystems ergriffen werden muss, das geeignet ist, personenbezogene Daten zu schützen und damit den Anforderungen des Gesetzes zu entsprechen. Sobald die Anforderungen erfüllt sind, ist es wichtig, sich stets über Änderungen des Rechtsrahmens zu informieren, um die Maßnahmen an ihn anzupassen.

 

Wird der BDSG-Entwurf umgesetzt, wird er Unternehmen zwingen, eine natürliche Person zu benennen, die für die ordnungsgemäße Behandlung personenbezogener Daten verantwortlich ist. Auch wenn die Person auf den ersten Blick dem DSGVO-Datenschutzbeauftragten sehr ähnlich ist, hat sie jedoch deutlich geringere Befugnisse. Die Person ist hauptsächlich für die Koordination des Prozesses der Erhebung, Verarbeitung, Verbreitung und Übermittlung personenbezogener Daten verantwortlich. Zusammen mit diesem Verantwortlichen sind alle Mitarbeiter, die mit personenbezogenen Daten umgehen, zur Einhaltung verpflichtet und müssen allen anwendbaren Vorschriften, einschließlich der internen Dokumente des Unternehmens, Folge leisten.

 

Sofortige Benachrichtigung über Verstöße

Zum ersten Mal wird Mitteilungen über Datenschutzverletzungen eine große Bedeutung beigemessen. Das BDSG sieht vor, die zuständige Behörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden über Datenschutzverletzungen zu informieren.

 

Haftung bei Nichteinhaltung

Unternehmen, die nicht mit dem BDSG konform sind, werden mit Strafen und Bußgeldern belegt. Das BDSG selbst gibt keine Höhe der Geldbuße vor, sondern erwähnt lediglich die folgenden Haftungsmöglichkeiten:

 

  • Bußgeld gemäß den belarussischen Vorschriften
  • Ersatz von Verlusten und Schäden
  • Entschädigung des immateriellen Schadens, der dem Betroffenen durch die Verletzung von Rechten entsteht (die Entschädigung des immateriellen Schadens erfolgt unabhängig von der Entschädigung für Verluste und Schäden).

 

Bisher deuten sich für den datenschutzrechtlichen Bereich deutlich weniger gravierende Sanktionen an, als es nach den DSGVO-Vorschriften der Fall ist, bei denen die Höhe der Strafe je nach Art der Verletzung 20 Millionen Euro oder gar 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen kann. Im Falle der Nichteinhaltung setzen die Behörden in der Regel vor allem auf Sanktionsinstrumente wie Verwarnungen oder die Sperrung von nicht konformen Webseiten.

 

Obwohl die drohenden Sanktionen deutlich geringer ausfallen als im Falle der DSGVO, ist es unerlässlich, die Vorschriften zu beachten und entsprechende Maßnahmen zu ergreifen. Darüber hinaus schränkt der Verweis auf „Bußgeld gemäß den belarussischen Vorschriften” die Aufsichtsbehörden nicht hinsichtlich der Höhe der Bußgelder ein – sie richtet sich vielmehr nach den spezifischen Umständen und der Bedeutung des verursachten Schadens im Einzelfall.

 

Fazit

Das neue BDSG zeigt, dass Belarus eine weitreichende Harmonisierung seiner Datenschutzbestimmungen mit den bereits in der Europäischen Union geltenden Vorschriften anstrebt. Die DSGVO-Instrumente und -Ansätze finden im neuen BDSG durchaus ihre Pendants.

 

Angesichts der Tatsache, dass der Gesetzesentwurf umfangreich die Grundprinzipien und den Rahmen für den Umgang mit personenbezogenen Daten beschreibt, ist abzusehen, dass der Gesetzgeber mittelfristig weitere Instrumente einführen wird, die sich mit besonderen Fragen des Schutzes personenbezogener Daten befassen werden.

 

 Kontakt

Contact Person Picture

Yurij Kazakevitch

Zertifizierter Jurist (Belarus)

Associate Partner

+375 17 2094 284
+375 17 2094 285

Anfrage senden

Contact Person Picture

Alina Radkovitch

Zertifizierte Diplom-Juristin, Juristin

+375 17 2094 284
+375 17 2094 285

Anfrage senden

 Wir beraten Sie gern!

 Mehr lesen?

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu