Kasachstan: Datenschutzrecht

Das kasachische Datenschutzgesetz Gesetz Nr. 94-V vom 21. Mai 2013 "Über personenbezogene Daten und deren Schutz“ ("O personal'nykh dannykh i ikh zashchite")  ist an die europäische Datenschutz-Grundverordnung (DSGVO) angelehnt. Es regelt die Erhebung, die Verarbeitung, die Sammlung und den Schutz von personenbezogenen Daten.

Definition "personenbezogener Daten" 

Der nicht abschließend geregelte Begriff "personenbezogener Daten“ ähnelt dem der DSGVO. Demnach sind nach Art. 4 der DSGVO personenbezogene Daten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen”. Nach dem kasachischen Recht werden darunter personenbezogene Daten wie der Namen einer Person, Angaben zu ihrem Personalausweis (Reisepass), ihr Geburtsdatum, ihre Adresse, ihre Familie, ihre Ausbildung, ihren Beruf, ihr Einkommen und andere Informationen, anhand derer die Person identifiziert und von anderen Personen unterschieden werden kann, umfasst. 

Anforderungen an die Verarbeitung "personenbezogener Daten"

Auch die Anforderungen an die Verarbeitung von "personenbezogenen Daten" sind an die DSGVO angelehnt: Personenbezogene Daten dürfen nur mit einer vorherigen schriftlichen Zustimmung der betroffenen Person erhoben, verarbeitet und weitergeben werden. Die Zwecke der Verarbeitung und Weitergabe der Daten muss vorher klar definiert werden. Wenn sich dieser ändert, so muss vorher eine Einwilligung der betroffenen Person zu der Änderung eingeholt werden. Dabei muss die betroffene Person ihre Einwilligung jederzeit, ohne Angabe von Gründen widerrufen können. Hinzu kommt, dass die betroffene Person das Recht hat, jederzeit Zugang zu ihren personenbezogenen Daten zu verlangen. Möchte ein Unternehmen einem Dritten Zugang zu den erhobenen personenbezogenen Daten gewähren, so kann das nur im Rahmen der erteilten Zustimmung erfolgen. 

Ein Unternehmen muss eine verantwortliche Person (Datenschutzbeauftragter) benennen, die für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich ist. Unternehmen, die Daten von kasachischen Bevölkerung verarbeiten, müssen alle personenbezogenen Daten in Kasachstan speichern.

Übertragung "personenbezogenen Daten" ins Ausland

Eine Übertragung von personenbezogenen Daten ist nur dann in Länder außerhalb von Kasachstan möglich, wenn die Zielländer den Schutz personenbezogener Daten durch Rechtsvorschriften gewährleisten können. Das ist zum Beispiel bei Ländern der Fall, die dem Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten beigetreten sind. Dies gilt jedoch nicht für Mobilfunkdaten. Eine Übertragung von Mobilfunkdaten ins Ausland ist untersagt. 

Haftung bei Verstößen gegen Datenschutzvorschriften

Die zuständige Behörde für die Überwachung und Ausführung der datenschutzrechtlichen Regeln ist das Ministerium für digitale Entwicklung, Innovation und Luft- und Raumfahrtindustrie ("Ministerstvo tsifrovogo razvitiya, innovatsiy i aerokosmicheskoy promyshlennosti Respubliki Kazakhstan"). Das Ministerium ist unter anderem dafür verantwortlich, die Bußgelder bei Datenschutzverstößen festzulegen und durchzusetzten. Unternehmen sind dazu verpflichtet das Ministerium im Falle eines Verlustes von Daten das Ministerium zu informieren. Hinzu kommt die Verpflichtung von Unternehmen, dem staatlichen technischen Dienst auf Anfrage Zugang zur Durchführung von Kontrollen zu gewähren. 

Verstößt ein Unternehmen gegen gesetzliche Regelungen, so droht eine Geld- oder Haftstrafe, gem. Art. 79, 147 des Datenschutzgesetzes. Eine entsprechende gerichtliche Rechtsprechungspraxis existierte bisher noch nicht. Die ersten gerichtlichen Entscheidungen, die die Unternehmen zur Zahlung von Bußgeldern verpflichtet haben, sind zum ersten Mal in den Jahren 2021 und 2022 gefällt worden. Es bleibt abzuwarten, wie sich die Verfolgung von Datenschutzverstößen in der Praxis entwickelt. 

Dieser Inhalt gehört zu