Thema: Datenschutz

Bosnien und Herzegowina hat Anfang 2025 ein neues Datenschutzgesetz verabschiedet, das im Oktober 2025 in Kraft getreten ist. Mit diesem Gesetz passt sich Bosnien und Herzegowina der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union an und folgt damit dem Beispiel von Kroatien und Serbien, die dies bereits zuvor getan haben.

Das neue Gesetz führt strengere Regeln für die Verarbeitung personenbezogener Daten ein, darunter:

  • Die obligatorische Benennung eines Datenschutzbeauftragten (DSB) in bestimmten Institutionen und Unternehmen,
  • Die Pflicht zur Meldung von Datenpannen innerhalb von 72 Stunden,
  • Erweiterte Bürgerrechte – einschließlich des Rechts auf Auskunft und Löschung von Daten,
  • Erhebliche Bußgelder bei Verstößen – bis zu 40 Millionen KM oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Darüber hinaus sind alle Personen, die auf irgendeine Weise personenbezogene Daten verarbeiten – sei es von Mitarbeitern, Gästen, Patienten ili anderen Personen –, verpflichtet, ihre Geschäftstätigkeit an das neue Datenschutzgesetz anzupassen. Dies umfasst die Verabschiedung einer Reihe von Rechtsakten zur Regelung des Umgangs mit personenbezogenen Daten sowie – im Falle der Verarbeitung großer Datenmengen – die Benennung eines Datenschutzbeauftragten.

Besondere Aufmerksamkeit sollten Unternehmen walten lassen, die große Mengen sensibler Daten verarbeiten, wie etwa private Gesundheitseinrichtungen, Apotheken, Buchhaltungsagenturen, Hotels und Ähnliches. Ein weiterer Schwerpunkt liegt auf Unternehmen mit Webshops, die über diesen Kanal Zugang zu personenbezogenen Daten und Nutzerpräferenzen erhalten.

Der Datenschutzbeauftragte kann entweder vom Verantwortlichen oder vom Auftragsverarbeiter angestellt sein oder seine Aufgaben auf vertraglicher Basis (z. B. im Rahmen eines Werkvertrags) wahrnehmen. Über die Benennung des Datenschutzbeauftragten muss die Agentur für den Schutz personenbezogener Daten in Bosnien und Herzegowina bzw. der Beauftragte für Informationen von öffentlicher Bedeutung und den Schutz personenbezogener Daten in der Republik Serbien informiert werden.

Alle dargelegten Punkte stehen im Einklang mit der Datenschutz-Grundverordnung (DSGVO). Hierbei handelt es sich um eine Reform des Schutzes personenbezogener Daten in der Europäischen Union, mit der der Umgang mit Daten an moderne Technologien und neue Verarbeitungswege angepasst wird. Das Hauptziel besteht darin, die Rechte der Bürger zu stärken und die Verantwortung derjenigen zu erhöhen, die deren Daten erheben und verarbeiten.

Die Verordnung definiert Begriffe wie biometrische und genetische Daten präziser, vereinfacht die administrativen Pflichten von Organisationen, erweitert jedoch gleichzeitig die Befugnisse der Aufsichtsbehörden, einschließlich der Möglichkeit, hohe Bußgelder zu verhängen.

Den Bürgern wird ein einfacherer Zugang zu den eigenen Daten sowie klare Informationen darüber ermöglicht, wie und warum ihre Daten verwendet werden. Zudem wird das sogenannte „Recht auf Vergessenwerden“ eingeführt, also die Möglichkeit für eine Person, die Löschung ihrer Daten zu verlangen, sofern kein rechtlicher Grund für deren Aufbewahrung besteht.

Miloš Davidović, Assistent an der Rechtswissenschaftlichen Fakultät in Sarajevo und
Tarik Velić, Rechtsanwalt aus Sarajevo