Ukraine: Datenschutz und KI

Rechtlicher Rahmen und zentrale Begriffe

Die Verarbeitung personenbezogener Daten in der Ukraine wird in erster Linie durch das Gesetz über den Schutz personenbezogener Daten (Про захист персональних даних) geregelt. Dieses Gesetz legt fest, unter welchen Voraussetzungen Daten erhoben, gespeichert, genutzt und weitergegeben werden dürfen.

"Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen".

Der Verantwortliche (володілець персональних даних) ist die juristische oder natürliche Person, die über Zweck und Mittel der Verarbeitung entscheidet. Ein Auftragsverarbeiter handelt im Auftrag des Verantwortlichen.

Zu den Grundprinzipien gehören wie im europäischen Datenschutzrecht die Zweckbindung, Verhältnismäßigkeit, Datenminimierung und Richtigkeit. Die Daten dürfen nur für klar definierte und rechtmäßige Zwecke verarbeitet werden und nicht auf eine Art, die mit diesen Zwecken unvereinbar ist.

Die Abteilung für den Schutz personenbezogener Daten unter dem ukrainische Parlamentskommissar für Menschenrechte (Уповноважений Верховної Ради України з прав людини) fungiert als Datenschutzbehörde. Sie überwacht die Einhaltung der Datenschutzgesetze und nimmt Beschwerden entgegnen.

Rechtliche Voraussetzungen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist grundsätzlich nur zulässig, wenn eine Rechtsgrundlage vorliegt. In der Praxis sind insbesondere folgende Punkte relevant:

• Einwilligung der betroffenen Person;
• Erfüllung eines Vertrags;
• Gesetzliche Verpflichtung;
• Schutz lebenswichtiger Interessen;
• Wahrnehmung berechtigter Interessen. 

Die Einwilligung muss freiwillig, informiert und eindeutig erfolgen. Datenverarbeitende Unternehmen müssen Betroffene über den Zweck der Verarbeitung, die Empfänger der Daten sowie ihre Rechte informieren. Für besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten gelten strengere Anforderungen. Sie dürfen nur unter zusätzlichen Voraussetzungen verarbeitet werden.

Internationale Datenübermittlungen sind zulässig, wenn ein angemessenes Schutzniveau gewährleistet ist oder geeignete Garantien bestehen. In der Praxis erfordert dies oft vertragliche Absicherungen. 

Für die Ukraine gibt es aktuell keinen Angemessenheitsbeschluss der Europäischen Kommission. 

Die Übermittlung personenbezogener Daten aus der EU in die Ukraine ist daher nicht pauschal privilegiert, sondern es sind weiterhin spezifische Garantien gemäß Artikel 44 ff. DSGVO erforderlich.

Rechte der betroffenen Personen

Das ukrainische Datenschutzgesetz regelt die Rechte betroffener Personen umfassend. Ihnen stehen unter anderem folgende Rechte zu:

• Auskunft über gespeicherte Daten;
• Zugang zu und Kopien der Daten;
• Berichtigung unrichtiger Daten;
• Löschung oder Sperrung;
• Recht auf Widerspruch gegen die Verarbeitung.

Unternehmen müssen Verfahren einrichten, um diese Rechte fristgerecht zu erfüllen. Etwaige Versäumnisse können zu Sanktionen in Form von Geldbußen führen. 

Pflichten der Verantwortlichen

Unternehmen, die personenbezogene Daten verarbeiten, müssen insbesondere Folgendes tun:

• den Zweck und Umfang der Verarbeitung dokumentieren;
• geeignete technische und organisatorische Maßnahmen treffen;
• interne Datenschutzrichtlinien implementieren;
• unbefugten Zugriff verhindern;
• Daten nur so lange speichern, wie es erforderlich ist.

Eine Registrierung oder Benachrichtigung der Datenschutzbehörde vor der Verarbeitung personenbezogener Daten ist grundsätzlich nicht erforderlich. Allerdings muss der Ombudsmann innerhalb von 30 Tagen nach Beginn der Verarbeitung von Hochrisikodaten benachrichtigt werden. Aus diesem Grund ist die Schulung von Mitarbeitenden im Umgang mit personenbezogenen Daten wichtig.

Haftung und Sanktionen

Verstöße gegen Datenschutzvorschriften können sowohl zivilrechtliche, administrative und strafrechtliche Konsequenzen nach sich ziehen. So stellt beispielsweise Art. 182 des ukrainischen Strafgesetzbuches die rechtswidrige Erhebung, Speicherung, Nutzung oder Verbreitung personenbezogener Daten unter Freiheitsstrafe bis zu fünf Jahren. 

Das Datenschutzgesetz sieht als Sanktionen Geldstrafen, Einschränkungen der beruflichen Tätigkeit oder Freiheitsstrafen vor. Daneben bestehen administrative Bußgelder bei Verstößen gegen Melde-, Informations- oder Sicherheitspflichten. Dies kann zu einer Geldstrafe von circa 34.000 Hrywnja führen.  

Zudem können Betroffene bei immateriellen Schäden Schadensersatzansprüche geltend machen. Für Unternehmen entsteht damit ein erhebliches Haftungsrisiko, insbesondere bei systematischen Verstößen oder Datenpannen. 

Künstliche Intelligenz (KI)

Ein eigenständiges KI-Gesetz existiert in der Ukraine derzeit noch nicht. Die Nutzung von KI wird aktuell vor allem über die bestehende Gesetzgebung, insbesondere das Datenschutzrecht, das IT-Sicherheitsrecht sowie zivil- und haftungsrechtliche Vorschriften, geregelt. 

Gleichzeitig verfolgt die Ukraine das Ziel, ihre nationale Gesetzgebung schrittweise an die europäischen Standards, insbesondere an den europäischen AI Act anzupassen. 

Das zuständige Ministerium für digitale Transformation hat in 2024 einen Leitfaden zur KI-Regulierung erlassen. Dieser beschreibt detailliert die schrittweise Ausrichtung der KI-Regeln. Außerdem haben sich führende ukrainische Technologieunternehmen freiwillig verpflichtet, einheitliche ethische Grundsätze einzuhalten. Dazu gehören folgende Punkte:

• Transparenz,
• Fairness,
• Datenschutz,
• Sicherheit. 

Zudem sieht der Leitfaden die Einführung einer Methodik zur Bewertung der Auswirkungen von KI-Systemen auf Rechte vor. Diese orientiert sich am HUDERIA-Rahmen des Europarats und kategorisiert KI-Produkte nach ihrem Risikoniveau (niedrig, mittel, hoch). Es müssen entsprechende Risikomanagementsysteme umgesetzt werden, über deren Einhaltung dem Ministerium zu berichten ist. 

Rechtsatlas KI

Einen Überblick über die rechtlichen Entwicklungen zum Thema KI bietet die GTAI-Publikation Rechtsatlas KI:

Dieser Inhalt gehört zu