Datenschutz in Montenegro – Alles was Sie zur Reform wissen müssen!
Der Artikel bietet einen umfassenden Überblick über den Datenschutz in Montenegro und die angestrebten Reformen im Zuge des geplanten EU-Beitritts. Sie erfahren warum diese Reformen für Unternehmen, Investoren und Bürger von großer Bedeutung sind. Zudem werden die aktuellen Datenschutzregelungen in Montenegro erläutert und deren Unterschiede zur DSGVO aufgezeigt. Mit praktischen Tips, für Unternehmen zum Thema Datenschutz.
Reformen für den EU-Beitritt
Montenegro strebt seit einiger Zeit den Beitritt in die EU an. Neben anderen Integrationsmaßnahmen, wie zum Beispiel der Integration des Landes in SEPA, befindet sich Montenegro auch in einem Reformprozess, um seine Datenschutzregelung an europäische Standards anzupassen. Denn, für den EU-Beitritt müssen bestimmte Bedingungen erfüllt werden.
Derzeit gilt in Montenegro noch das „Personal Data Protection Law“ (PDPL), welches sich ursprünglich an einer alten EU-Datenschutzrichtlinie orientiert hatte. Da diese Richtlinie 2018 durch die Datenschutz-Grundverordnung (DSGVO) ersetzt wurde, bemüht sich die Gesetzgebung in Montenegro, die eigenen Datenschutzvorschriften an die “neue” DSGVO anzupassen.
Ein Entwurf dieses neuen Datenschutzgesetzes liegt seit März 2024 vor und ist weitgehend an die DSGVO angelehnt. Er wurde bereits öffentlich diskutiert und von der zuständigen Datenschutzbehörde Montenegros, der „Agency for Personal Data Protection and Free Access to Information“ (AZLP), begutachtet.
Die Verabschiedung des Gesetzes wird voraussichtlich 2025 erfolgen, sofern die Europäische Kommission den Entwurf im Rahmen der EU-Beitrittsverhandlungen Montenegros positiv bewertet.
Warum ist Datenschutz für Montenegro wichtig?
Unternehmen aus Deutschland und anderen EU-Ländern legen großen Wert darauf, dass Dienstleister in Montenegro und anderen Ländern des Balkans hohe Standards im Umgang mit personenbezogenen Daten erfüllen. Dies nicht nur, weil es schlicht gesetzlich vorgeschrieben ist – die DSGVO endet nicht automatisch an der Grenze der EU, sondern auch, weil immer mehr Kunden, Geschäftspartner und Endnutzer für den Schutz ihrer Daten sensibilisiert sind und dementsprechend hohe Sicherheitsstandards und Transparenz einfordern.
Dabei geht es sowohl um rechtliche Anforderungen, als auch um praktische Aspekte, wie sichere IT-Infrastruktur, geschulte Mitarbeiter und vertragliche Absicherungen (z.B. Auftragsverarbeitungsverträge).
Eine sichere IT-Infrastruktur besteht z.B. aus festgelegten Zugangskontrollen und einem entsprechenden Berechtigungsmanagement, außerdem aus einer eingerichteten Verschlüsselung, Anonymisierung oder Pseudonymisierung von Daten, um nur ein paar Maßnahmen zu nennen.
Als organisatorische Maßnahmen gelten z.B. verbindliche interne Richtlinien zur Umsetzung des Datenschutzes (Clean-Desk-Policy, Richtlinie zum Umgang mit Datenschutzverletzungen etc.), eine klare Definition von Zuständigkeiten und Verantwortlichkeiten (z. B. Benennung eines Datenschutzbeauftragten) und die regelmäßige Sensibilisierung und Schulung der Mitarbeiter (z. B. zu Datenschutzgrundlagen oder spezielleren Themen wie Phishing- und Social-Engineering-Risiken).
Verarbeitet ein Unternehmen personenbezogene Daten im Auftrag eines anderen (Auftragsverarbeiter), so sind diese Vorkehrungen Teil der sogenannten technischen und organisatorischen Maßnahmen (TOM) und sind dem Auftraggeber in der Regel in einem Auftragsverarbeitungsvertrag zu garantieren. Der Abschluss eines solchen Vertrags ist gesetzlich vorgeschrieben.
Für Montenegro ist ein moderner Datenschutzrahmen daher auch abseits der formalen Voraussetzung für den EU-Betritt ein wichtiger Standortfaktor: Internationale Investoren, Geschäftspartner und auch Touristen achten zunehmend darauf, wie seriös man im Lande mit den sensiblen Informationen umgeht. Ein klar geregeltes und gut durchgesetztes Datenschutzrecht kann zudem das Vertrauen der eigenen Bürger in die Behörden und Unternehmen vor Ort stärken.
Für Unternehmen geht es hierbei außer um den Schutz von personenbezogenen Daten auch um Themen wie Geschäftsgeheimnis, Informationssicherheit und Patentschutz.
Welche Datenschutzanforderungen gelten derzeit in Montenegro?
Das aktuelle „Personal Data Protection Law“ von Montenegro (mehrfach angepasst und zuletzt 2017 aktualisiert) regelt, wie mit personenbezogenen Daten im Allgemeinen umgegangen werden muss.
Da sich das Gesetz bereits an den Vorgaben der EU orientiert, sind die Grundsätze, Definitionen und Pflichten ähnlich wie in der DSGVO.
Wesentliche Abweichungen sind allerdings die Folgenden:
- Das aktuelle Gesetz sieht vor, dass Unternehmen in der Regel einen Datenschutzbeauftragten (oder eine “verantwortliche Person für Datenschutz”) benennen müssen, sobald mehr als zehn Beschäftigte mit der Verarbeitung von personenbezogenen Daten betraut sind. Zum Vergleich: In Deutschland liegt diese Schwelle nach Bundesdatenschutzgesetz (BDSG) bei 20. Die DSGVO macht diese Pflicht nicht von der Mitarbeiteranzahl abhängig, sondern sieht sie nur bei bestimmten Kernaktivitäten eines Unternehmens vor.
- Auch eine offizielle Meldung über das geplante Anlegen einer Datenbank bei der zuständigen Datenschutzbehörde kann in Montenegro erforderlich sein, insbesondere wenn Daten in großem Stil oder für sensible Zwecke verarbeitet werden.
- Bei grenzüberschreitender Datenübermittlung vor allem in Länder, die nicht dem Europäischen Wirtschaftsraum angehören, oder für die kein Angemessenheitsbeschluss vorliegt besteht in der Regel eine Genehmigungspflicht. Datentransfers in sogenannte Drittländer müssen also streng genommen bei der montenegrinischen Datenschutzbehörde (AZLP) angemeldet werden.
Daneben gibt es weitere branchenspezifische Gesetze, die den Datenschutz in Montenegro in bestimmten Bereichen genauer definieren, zum Beispiel im Gesundheitswesen, in der elektronischen Kommunikation, im Versicherungswesen, in der Bildung und im Arbeitsrecht.
Liste weiterer relevanter Gesetze für den Datenschutz in Montenegro:
Wer kümmert sich in Montenegro um den Datenschutz?
In Montenegro ist die Agency for Personal Data Protection and Free Access to Information (AZLP) die zentrale Aufsichtsbehörde. Sie hat weitreichende Befugnisse, um Datenschutzverstöße zu untersuchen und Unternehmen oder Behörden anzuweisen, Missstände zu beheben.
Zu den Aufgaben der AZLP gehören unter anderem:
- Überwachung der Einhaltung von Datenschutzvorschriften
- Prüfung und Genehmigung geplanter Datenverarbeitungen
- Entscheidung über Beschwerden von Personen, deren Daten unrechtmäßig verwendet wurden
- Verhängung von Bußgeldern bei Verstößen
Die montenegrinische Datenschutzbehörde hat beispielsweise in folgenden prominenten Fällen Verstöße geahndet. Ob ein Bußgeld verhängt wurde und wie hoch dieses war, ist nicht öffentlich einsehbar:
- 19. April 2024
Die Behörde stellte fest, dass ein klinisches Zentrum keine ausreichenden organisatorischen Maßnahmen implementiert hatte, um den Zugriff auf die elektronische Patientendatenbank zu kontrollieren. Konkret wurden Patientendaten durch den Direktor des Zentrums für die Verwendung in einem Gerichtsverfahren „herausgezogen“ (also offenbar unzulässig verwendet).
- 26. Oktober 2023
Ein Arbeitgeber verarbeitete Daten zum psychologischen Profil eines Mitarbeiters in dessen Personalakte. Außerdem wurde ein externer Dienstleister (Auftragsverarbeiter) eingeschaltet, ohne dass dazu ein angemessener Vertrag (Auftragsverarbeitungsvertrag) abgeschlossen wurde. Darüber hinaus wurden die personenbezogenen Daten des Mitarbeiters an einen Verarbeiter in Serbien übermittelt, ohne die erforderliche Genehmigung durch die AZLP einzuholen (für Datenübermittlungen in ein sogenanntes „Drittland“).
Bei solchen und ähnlichen Verstößen gegen die Gesetzgebung kann die Datenschutzbehörde Bußgelder verhängen. Je nach Schwere und Art des Verstoßes können diese Bußgelder für Unternehmen bis zu 20.000 Euro betragen.
Damit liegt die Bußgeldregelung noch weit unter den Millionenbeträgen, wie sie in der DSGVO vorgesehen sind. Auch Verantwortliche in Behörden oder Unternehmen können persönlich zur Rechenschaft gezogen werden und bei besonders schweren Verstößen kommt eine strafrechtliche Verfolgung in Betracht.
Ausblick
Montenegro steht kurz vor einem großen Schritt in Richtung EU-Integration: Das überarbeitete Gesetz soll nicht nur formale Vorgaben für den Datenschutz in Montenegro erfüllen, sondern dem Land auch handfeste Vorteile bringen – von mehr Vertrauen seitens internationaler Investoren bis zu einem verbesserten Schutz der Privatsphäre für die Bürgerinnen und Bürger. Für Interessierte aus dem DACH-Raum lohnt es sich daher, die weiteren Entwicklungen genau im Blick zu behalten. So kann man nicht nur von Montenegros wirtschaftlichem Aufschwung profitieren, sondern erlebt auch ein Land, das im modernen Europa selbstbewusst mitspielt.
Personenbezogene Daten schützen und die Vorschriften einhalten – Was Sie heute schon tun können!
Bestellen Sie einen Datenschutzbeauftragten, welcher die notwendige Fachkunde dafür hat und statten Sie ihn mit den nötigen Ressourcen aus. Einen Datenschutzbeauftragten kann man auch extern beauftragen. Diese Lösung kann günstiger und effizienter sein als ein interner Datenschutzbeauftragter.
Prüfen Sie, ob für Sie eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht.
Evaluieren Sie, bevor Sie eine Datenbank anlegen, ob Sie dafür einen Antrag bei der zuständigen Behörde stellen müssen. Bei der Kommunikation mit der Behörde unterstützt auch ein Datenschutzbeauftragter.
Bevor Sie Daten an ein Land außerhalb der EU übermitteln, prüfen Sie, ob mit diesem Land ein Angemessenheitsbeschluss vorliegt, oder andere Garantien eine Übermittlung rechtskonform zulassen.
Bei Fragen rund um das Thema Montenegro, wenden Sie sich gerne an RC Montenegro Consulting.
Über den Autor:
Malte Rowe ist zertifizierter Datenschutzbeauftragter (TÜV, CIPP/E) und seit über 5 Jahren europaweit im Datenschutz tätig. Er hilft deutschen und internationalen Firmen bei der Implementierung und Einhaltung von Datenschutzanforderungen und der Verhinderung von Bußgeldern.
Photo by Towfiqu barbhuiya on Unsplash
