Georgien: Änderungen im Datenschutzgesetz

Am 14. Juni 2023 verabschiedete das Parlament Georgiens das Gesetz „Über den Schutz personenbezogener Daten“ („Gesetz“ oder „Neues Gesetz“). Das Gesetz tritt am 1. März 2024 und seine einzelnen Bestimmungen am 1. Juni 2024 und 1. Januar 2025 in Kraft.

Das Gesetz führt eine Reihe zusätzlicher Pflichten für Personen ein, die an der Verarbeitung personenbezogener Daten beteiligt sind. Die Regelungen des neuen Gesetzes zum Privatsektor basieren weitgehend auf der EU-Datenschutz-Grundverordnung (DSGVO).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Unter Verarbeitung versteht man jede mit Daten durchgeführte Aktion, einschließlich der Erhebung, des Abrufs, des Zugriffs, der Speicherung und der Offenlegung. Derzeit verarbeiten die meisten Organisationen personenbezogene Daten von Mitarbeitern oder Kunden. Somit gelten die im neuen Gesetz vorgesehenen Pflichten für die meisten Wirtschaftsvertreter in Georgien. Die Einhaltung des Gesetzes erfordert die Entwicklung verschiedener schriftlicher Richtlinien und Verfahren, die Ernennung eines Datenschutzbeauftragten, die Schulung der an der Datenverarbeitung beteiligten Mitarbeiter, die Unterzeichnung von Datenschutzvereinbarungen mit Dienstleistern und andere Maßnahmen.

Die Haftung für Verstöße gegen gesetzliche Bestimmungen wird verschärft. Das Bußgeld variiert je nach Art des Verstoßes und liegt normalerweise zwischen GEL 1.000 und GEL 6.000. Die genaue Höhe des Bußgeldes hängt von der Höhe des jährlichen Einkommens der Person und dem Vorliegen erschwerender Umstände wie wiederholte Verstöße, Verstöße zum Zweck der Diskriminierung und anderen ab.

Nachfolgend sind die wichtigsten durch das Gesetz geregelten Fragen und die wesentlichen Neuerungen aufgeführt, die den an der Datenverarbeitung beteiligten Personen zusätzliche Pflichten auferlegen und daher erhebliche Auswirkungen auf die Wirtschaft haben.

Die neuen Pflichten gelten für:

• Verantwortliche für die Datenverarbeitung,
• Datenverarbeiter.

Der Verantwortliche bestimmt die Zwecke und Mittel der Datenverarbeitung und führt die Datenverarbeitung direkt oder durch eine zur Datenverarbeitung berechtigte Person durch. Zu den Verantwortlichen zählen Arbeitgeber (für Mitarbeiterdaten), Kliniken (für Patientendaten), Hotels (für Gästedaten), Banken (für Kundendaten) und andere.

Der Datenverarbeiter ist ein Auftragnehmer des Verantwortlichen und handelt in dessen Interesse bzw. in seinem Auftrag gemäß den Bestimmungen des abgeschlossenen Vertrages. Wenn ein Unternehmen beispielsweise Callcenter-Dienste für einen Gesundheitsdienstleister bereitstellt, ist dieser Dienstleister für die Verarbeitung von Patientendaten verantwortlich und das Callcenter ist die Stelle, die die Daten verarbeitet.

Datenschutzbeauftragte Mitarbeiter

Mit dem neuen Gesetz wurde die Position des datenschutzbeauftragten Mitarbeiters eingeführt. Zu den Rechten und Pflichten eines solchen Mitarbeiters gehört es, den Datenverantwortlichen, den Datenverarbeiter und deren Mitarbeiter über die Datenverarbeitung zu informieren und zu beraten; Ansprüche und Beschwerden bezüglich der Datenverarbeitung zu prüfen; Interessen der genannten Personen vor dem Datenschutzdienst zu vertreten etc.

Das Gesetz legt ausdrücklich fest, welche natürlichen und juristischen Personen zur Einstellung Datenschutzbeauftragter verpflichtet sind, und zwar:

• Versicherungsgesellschaften
• Kommerzbanken
• medizinische Einrichtungen
• Mikrofinanzorganisationen
• Anbieter elektronischer Kommunikationsdienste
• Fluggesellschaften
• Flughäfen
• Kreditauskunfteien
• öffentliche Organisationen
• Personen, die Daten einer großen Anzahl betroffener Personen (mindestens 3 % der Bevölkerung Georgiens) verarbeiten oder eine große Datenmenge systematisch überwachen.

Die oben genannten Funktionen können von einem Mitarbeiter oder einem Dritten aufgrund des Dienstleistungsvertrags wahrgenommen werden. Das Gesetz sieht auch die Bestellung eines gemeinsamen Datenschutzbeauftragte für mehrere natürliche oder juristische Personen vor.

Neben der Einführung Datenschutzbeauftragter legt das Gesetz wichtige Bestimmungen in folgenden Bereichen fest:

• Pflicht zur Aufzeichnung von Informationen
• Schadensbewertung in Bezug auf personenbezogene Daten
• Datenprofilierung
• Verstoßmeldung
• Audio- und Videoüberwachung
• Grenzüberschreitende Datenübertragung
• Sonstiges.