Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?

Zu Invest

Recht kompakt | Kasachstan | Datenschutz und KI

Kasachstan: Datenschutz und KI

Aktuelle Datenschutzregeln in Kasachstan: Von Einwilligung bis KI-Gesetz – die wichtigsten Aspekte kompakt erklärt. (Stand: 15.01.2026)

Von Yevgeniya Rozhyna | Bonn

Inhalt dieser Seite
Dieser Inhalt gehört zu

Das kasachische Datenschutzgesetz (Дербес деректер және оларды қорғау туралы) ist an die europäische Datenschutz-Grundverordnung (DSGVO) angelehnt. Es regelt die Erhebung, die Verarbeitung, die Sammlung und den Schutz von personenbezogenen Daten.

Was sind personenbezogene Daten?

Der nicht abschließend geregelte Begriff "personenbezogene Daten" ähnelt dem der DSGVO. Nach Art. 4 der DSGVO sind personenbezogene Daten:

"Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen."

Nach dem kasachischen Recht werden darunter personenbezogene Daten wie:

  • der Name einer Person,
  • Angaben zu ihrem Personalausweis (Reisepass),
  • ihr Geburtsdatum, ihre Adresse, ihre Familie, ihre Ausbildung,
  • ihr Beruf, ihr Einkommen

und andere Informationen, anhand derer die Person identifiziert und von anderen Personen unterschieden werden kann, umfasst.

Wie dürfen Daten verarbeitet werden?

Auch die Anforderungen an die Verarbeitung von "personenbezogenen Daten" sind an die DSGVO angelehnt:

"Personenbezogene Daten dürfen nur mit einer vorherigen schriftlichen Zustimmung der betroffenen Person erhoben, verarbeitet und weitergeben werden."

Die Zwecke der Verarbeitung und Weitergabe der Daten müssen vorher klar definiert werden. Wenn sich der Zweck ändert, so muss vorher eine Einwilligung der betroffenen Person zu der Änderung eingeholt werden.

Dabei muss die betroffene Person ihre Einwilligung jederzeit, ohne Angabe von Gründen widerrufen können. Hinzu kommt, dass die betroffene Person das Recht hat, jederzeit Zugang zu ihren personenbezogenen Daten zu verlangen. Möchte ein Unternehmen einem Dritten Zugang zu den erhobenen personenbezogenen Daten gewähren, so kann das nur im Rahmen der erteilten Zustimmung erfolgen.

Ein Unternehmen muss eine verantwortliche Person (Datenschutzbeauftragter) benennen, die für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich ist.

Daten ins Ausland? Nur unter strengen Bedingungen!

Unternehmen, die Daten der kasachischen Bevölkerung verarbeiten, müssen alle personenbezogenen Daten in Kasachstan speichern.

Eine Übertragung von personenbezogenen Daten ist nur dann in Länder außerhalb von Kasachstan möglich, wenn die Zielländer den Schutz personenbezogener Daten durch Rechtsvorschriften gewährleisten können. Das ist zum Beispiel bei Ländern der Fall, die dem Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten beigetreten sind. Dies gilt jedoch nicht für Mobilfunkdaten. Eine Übertragung von Mobilfunkdaten ins Ausland ist untersagt.

Zudem gelten seit 2025 strengere Kontrollmechanismen: Unternehmen müssen Anträge auf Datenübertragung detailliert begründen und Sicherheitsmaßnahmen (zum Beispiel Token-Systeme) einhalten.

Was passiert bei Verstößen und wo sind Datenpannen zu melden?

Die zuständige Behörde für die Überwachung und Ausführung der datenschutzrechtlichen Regeln ist das Ministerium für künstliche Intelligenz und digitale Entwicklung. Das Ministerium ist unter anderem dafür verantwortlich die Bußgelder bei Datenschutzverstößen festzulegen und durchzusetzen.

Im Falle eines Verlustes von Daten (Datenpanne) sind Unternehmen dazu verpflichtet das Ministerium darüber zu informieren. Hinzu kommt die Verpflichtung von Unternehmen, dem staatlichen technischen Dienst auf Anfrage Zugang zur Durchführung von Kontrollen zu gewähren.

Wenn ein Unternehmen gegen gesetzliche Regelungen verstößt, drohen Geld- oder Haftstrafe, gemäß Art. 79, 147 des Datenschutzgesetzes. Eine entsprechende gerichtliche Rechtsprechungspraxis hat sich noch nicht herausgebildet. Die ersten gerichtlichen Entscheidungen, die Unternehmen zur Zahlung von Bußgeldern verpflichtet haben, sind ersten Mal in den Jahren 2021 und 2022 ergangen. Auch 2025 blieb die Rechtsprechungspraxis überschaubar. Die Tendenz ist jedoch steigend. Insbesondere sind die staatlichen Kontrollen strenger geworden.

KI und Datenschutz

In das neue Gesetz über künstliche Intelligenz vom 17. November 2025 wurden Datenschutzprinzipien in die KI-Regulierung integriert:

  • Transparenzpflichten für KI-Systeme;
  • Schutz vor algorithmischer Diskriminierung;
  • Registrierungspflicht für KI-Dienste;
  • Haftung für Schäden durch KI-Systeme.

Weitere Einzelheiten und Auswirkungen für Unternehmen beleuchtet der GTAI-Bericht Kasachstan geht voran und erlässt ein ehrgeiziges KI-Gesetz.

Einen Überblick zu den rechtlichen Entwicklungen zum Thema KI bietet die GTAI-Publikation Rechtsatlas KI. 

Virtual Screen with Artificial intelligence AI, Justice Scales, and Judge's Gavel. Screen with Artificial intelligence AI, Justice Scales, and Judge's Gavel | © Alexander Sikov - gettyimages.com

04.12.2025 Ausländisches Wirtschaftsrecht | Künstliche Intelligenz
Rechtsatlas KI

Ein weltweiter Überblick über die Entwicklung der Gesetzeslage zum Thema künstliche Intelligenz - KI (Artificial intelligence - AI).

Dieser Inhalt gehört zu

Wirtschaftsrecht | Kasachstan
nach oben

Alle Rechte vorbehalten. Nachdruck – auch teilweise – nur mit vorheriger ausdrücklicher Genehmigung. Trotz größtmöglicher Sorgfalt keine Haftung für den Inhalt.

© 2026 Germany Trade & Invest

Gefördert vom Bundesministerium für Wirtschaft und Energie aufgrund eines Beschlusses des Deutschen Bundestages.

Feedback
Anmeldung

Bitte melden Sie sich auf dieser Seite mit Ihren Zugangsdaten an. Sollten Sie noch kein Benutzerkonto haben, so gelangen Sie über den Button "Neuen Account erstellen" zur kostenlosen Registrierung.

Passwort vergessen?
Neuen Account erstellen