Ukrainisches Datenschutzrecht – worauf müssen Unternehmen eigentlich achten? - datenschutz notizen

Die Ukraine ist für immer mehr deutsche Unternehmen ein Handels- und Kooperationspartner. Sobald personenbezogene Daten verarbeitet werden, stellt sich auch immer wieder die Frage nach dem Datenschutzrecht. Seit dem 1. Januar 2011 gilt in der Ukraine das „Gesetz zum Schutz personenbezogener Daten“ (UKR-DSG), welches allerdings teilweise grundlegend überarbeitet worden ist.

Zur besseren Verständlichkeit werden zu Beginn die Begrifflichkeiten definiert.

Begriffsdefinition

Gemäß dem UKR-DSG sind folgende Begriffe von Bedeutung:

Personenbezogene Daten sind Daten oder aggregierte Daten über eine natürliche Person, die identifizierbar ist.
Datenbank mit personenbezogenen Daten – bezeichnet die Gesamtheit geordneter personenbezogener Daten, die in elektronischer Form und / oder in Form von Karteien vorliegt.
Inhaber personenbezogener Daten – die natürliche oder juristische Person, die den Zweck der Datenverarbeitung, den Datenumfang und die Verarbeitungsverfahren definiert, sofern nicht anders gesetzlich geregelt.
Verarbeitung personenbezogener Daten – jede Handlung, wie die Erhebung, Registrierung, Ansammlung, Speicherung, Anpassung, Änderung, Aktualisierung, Verwendung, Verteilung (Vertrieb, Verkauf, Übertragung), Anonymisierung, Vernichtung von personenbezogenen Daten auch durch automatisierte Systeme.
Auftragsverarbeiter einer personenbezogenen Datenbank – eine natürliche oder juristische Person, die aufgrund eines Auftrags vom Inhaber personenbezogener Daten oder aufgrund eines Gesetzes die Daten verarbeitet.

Ist-Zustand des Schutzes personenbezogener Daten in der Ukraine

Am 6. Juli 2010 hat die Ukraine das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ratifiziert und sich dadurch verpflichtet, die Rechte und Freiheiten des Menschen zu schützen.

Die Notwendigkeiten des Schutzes des Privatlebens sind auch in den Art. 31 und 32 der ukrainischen Verfassung festgeschrieben. Um diese Verfassungsanforderungen zu erfüllen, wurde eine Reihe von Gesetzen erlassen. Die Gesetzgebung kann wie folgt dargestellt werden:

Die Regelungen zum Umgang mit personenbezogenen Daten wurden im Gesetz zum Schutz personenbezogener Daten kodifiziert.

Die wesentlichen Änderungen zum UKR-DSG werden basierend auf den Erfahrungen mit dem Gesetz, die im Zeitraum 2011 – 2014 gesammelt wurden, weiter unten dargestellt.

Benachrichtigungspflicht für Datenbanken

Bis 2014 mussten alle Datenbanken, sowohl Kundendatenbanken als auch Personaldatenbanken, beim Staatlichen Dienst zum Schutz personenbezogener Daten angemeldet werden. Diese Pflicht bedeutete, dass ca. 2-3 Millionen Datenbanken registriert werden mussten. Tatsächlich wurden jedoch nur 30.000 Datenbanken registriert. Vor diesem Hintergrund wurde die Registrierungspflicht durch eine Benachrichtigungspflicht ersetzt.

Die Benachrichtigungspflicht greift nur, wenn personenbezogene Daten mit einem bestimmten Risiko für die Rechte und Freiheiten der Betroffenen verarbeitet werden. Zu diesen Daten gehören (Art. 1.2 des Verfahrens für die Meldung der Anordnung des Sekretariats des Bürgerbeauftragten Nr. 1/02-14):

Rasse oder ethnische Herkunft
Politische, religiöse oder weltanschauliche Meinungen bzw. Überzeugungen
Mitgliedschaft in politischen Parteien und Gewerkschaften
Gesundheit
Sexualleben
Biometrische und genetische Daten
Angaben zu Vorstrafen, etc.

Die Benachrichtigung soll gemäß Art. 9 Abs. 1, 3 UKR-DSG innerhalb von 30 Tagen nach Erstellung erfolgen. Bei Änderungen an der Datenbank, umfasst sind auch die Angaben über den Ansprechpartner (Person oder die verantwortliche Abteilung), den Ort, die Verfahren, das Ziel etc., sind diese innerhalb von zehn Tagen zu melden. Die Benachrichtigungspflicht fokussierte sich nur auf die Verarbeitung personenbezogener Daten mit einem bestimmten Risiko für die Rechte und Freiheiten der Betroffenen.

Es gibt allerdings Ausnahmen von der Benachrichtigungspflicht (Art. 2.1 des Verfahrens für die Meldung der Anordnung des Sekretariats des Bürgerbeauftragten Nr. 1/02-14), so z.B. wenn die Verarbeitung von Mitarbeiterdaten nach dem Arbeitsrecht nicht benachrichtigungspflichtig ist.

Die Benachrichtigung kann per Brief, E-Mail, Fax, sowie persönlich vor Ort beim Sekretariat des Bürgerbeauftragten abgegeben werden.

Änderung der zuständigen Aufsichtsbehörde

Seit dem 01. Januar 2014 ist das Sekretariat des Bürgerbeauftragten anstelle des Staatlichen Dienstes für den Schutz personenbezogener Daten zuständig. Die Rechte und Kompetenzen werden im Art. 23 UKR-DSG definiert. Eine besondere Aufmerksamkeit sollte auf die Möglichkeit verwendet werden, dass die Aufsichtsbehörde den Zugang zu allen personenbezogenen Daten im Rahmen der Kontrolle erhalten darf (Art. 23 Abs. 3 UKR-DSG).

Darüber hinaus kann die Aufsichtsbehörde die geplanten Kontrollen entsprechend der Übersicht auf der offiziellen Webseite sowie außerplanmäßige Überprüfungen, u.a. auf eigene Initiative durchführen. Den Rechtsrahmen für die Kontrollen hat das Sekretariat des Bürgerbeauftragten selbständig im Verfahren zur Kontrolle der Einhaltung von Rechtsvorschriften über den Schutz personenbezogener Daten (Anordnung des Sekretariats des Bürgerbeauftragten Nr. 1/02-14) definiert.

Das typische Verfahren für die Verarbeitung von personenbezogenen Daten

Gemäß Art. 3.4 des typischen Verfahrens für die Verarbeitung von personenbezogenen Daten der Anordnung des Sekretariats des Bürgerbeauftragten Nr. 1/02-14 sind Unternehmen bzw. der Verantwortliche verpflichtet,

eine Verfahrensbeschreibung für den Zugang zu personenbezogenen Daten der Mitarbeiter zu erstellen.
Tracking- und Protokollierungsmaßnahmen bzgl. personenbezogener Daten zu beschreiben.
Strategien für Fälle, wie den unberechtigten Zugriff auf personenbezogene Daten, technische Schäden, Notfälle, etc. zu entwickeln.
die Schulung der Mitarbeiter, die personenbezogene Daten verarbeiten, durchzuführen.

In den Fällen, in denen es keine rechtliche Grundlage für die Verarbeitung personenbezogener Daten gibt (Art. 2.9 des Verfahrens für die Verarbeitung von personenbezogenen Daten der Anordnung des Sekretariats des Bürgerbeauftragten Nr. 1/02-14), soll der Verantwortliche die betroffene Person über den Inhalt und Umfang personenbezogener Daten in der Datenbank, über Rechte der betroffenen Person, die Ziele der Verarbeitung personenbezogener Daten und über die Informationen zu Dritten, an die die personenbezogenen Daten übertragen werden, informieren (Art. 12 Abs. 2 UKR-DSG).

Erwähnenswert ist, dass die Aufsichtsbehörde auf Basis der durchzuführenden Kontrollen hauptsächlich die folgenden Verstöße bei der Verarbeitung personenbezogener Daten entdeckt hat:

Es wurden von Mitarbeitern Einwilligungen eingeholt, obwohl es hierfür im Arbeitsrecht gesetzliche Befugnisse gibt. Aus diesem Grund ist die Einwilligung im Rahmen der Arbeitsbeziehungen nicht erforderlich.
Darüber hinaus ist es auch häufig passiert, dass das Unternehmen mehr Daten als nötig sammelt.
Man behält die Daten länger, als diese entsprechend dem Ziel der Verarbeitung benötigt werden.

Die Ergebnisse der Prüfungen befinden sich hier.

Haftung und Strafen

Die Verstöße gegen datenschutzrechtliche Bestimmungen ziehen in der Ukraine nicht nur Bußgelder nach sich. In der folgenden Tabelle sind die Sanktionen bei Verstößen bzgl. der Verarbeitung personenbezogener Daten dargestellt (Link zum Zivilgesetzbuch; Link zum Strafgesetzbuch)

* Freibetrag = 17 Hrywnjas (~0.61 Euro).

Dr. Evgeniia Volokitina (Universität Sankt-Petersburg) | 8. Februar 2017 | Internationaler Datenschutz | Datenbanken, Datenschutzgesetz, Ukraine