Mit Amendment 13 hat Israel nun eine umfassende Reform seines Datenschutzrechts eingeleitet. Die Änderungen bringen eine deutliche Annäherung an internationale Standards wie die DSGVO und stärken die Rolle der Datenschutzbehörde erheblich. Die neuen Vorgaben betreffen nicht nur israelische Unternehmen, sondern sind auch für europäische Firmen mit Geschäftsbeziehungen nach Israel relevant. Gleichzeitig ist die Reform im Kontext internationaler Erwartungen und wirtschaftlicher Entwicklungen zu betrachten. Wir geben einen Überblick.
Der Inhalt im Überblick
Hintergrund: Datenschutz in Israel – mehr als nur Technik
Das israelische Datenschutzrecht basiert auf dem Protection of Privacy Law (PPL) von 1981. Lange Zeit galt es als solide, wurde aber zunehmend als veraltet wahrgenommen. Während Israel seit 2011 von der EU als Land mit angemessenem Datenschutzniveau anerkannt ist, entsprachen die bisherigen Bestimmungen nicht mehr vollständig den Anforderungen der digitalen Wirtschaft und internationalen Standards wie der DSGVO.
Mit dem Angemessenheitsbeschluss der EU von 2011 ist Israel offiziell als „sicherer Drittstaat“ im Sinne der DSGVO anerkannt. Dieser Status ermöglicht den freien Datenverkehr zwischen Israel und Europa. Die Grundlage dafür war ein funktionierendes, aber eher an klassischen Datenbanken orientiertes Datenschutzsystem. Angesichts künstlicher Intelligenz, Big Data und globaler Cloud-Infrastrukturen bestand jedoch Modernisierungsbedarf.
Neuer Kurs im israelischen Datenschutzgesetz
Mit der Verabschiedung von Amendment 13 am 14. August 2024 beginnt für Israel eine neue Phase im Datenschutzrecht. Die Reform modernisiert die gesetzlichen Verpflichtungen, erweitert die Befugnisse der Datenschutzbehörde und führt eine verstärkt proaktive Aufsicht ein. Auf das bestehende Fundament von Transparenzpflichten und Betroffenenrechten wird aufgebaut, ergänzt um strengere Dokumentations- und Rechenschaftspflichten.
Vergleich mit der DSGVO
Die israelische Datenschutzreform übernimmt zentrale Bausteine der DSGVO, ohne diese vollständig zu spiegeln. Besonders eng ist die Anlehnung bei:
- Datenschutzbeauftragten (Art. 37–39 DSGVO)
- Sicherheitsmaßnahmen (Art. 32 DSGVO)
- Meldepflichten bei Datenschutzverletzungen (Art. 33, 34 DSGVO)
- Informationspflichten bei Erhebung personenbezogener Daten (Art. 13, 14 DSGVO)
Unterschiede bestehen vor allem bei der Durchsetzung: Während die DSGVO einheitliche Sanktionen von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes vorsieht (Art. 83 DSGVO), bleiben die israelischen Bußgeldrahmen national begrenzt. Zudem setzt Amendment 13 einen deutlich stärkeren Fokus auf KI und algorithmische Systeme – ein Bereich, der in der DSGVO zwar angelegt ist (Art. 22), in Israel jedoch regulatorisch konkreter ausgestaltet wurde.
Zwar spiegelt Israel die europäischen Standards nicht vollständig wider, es nähert sich mit Amendment 13 aber klar diesen Standards – z. B. der DSGVO – an: Viele bekannte DSGVO-Pflichten werden wiedererkannt, gleichzeitig bestehen aber einige national geprägte Anpassungen, die bei der Umsetzung berücksichtigt werden müssen.
Die wichtigsten Neuerungen im Überblick
- Datenschutzbeauftragter: Unternehmen ab bestimmten Schwellenwerten müssen künftig einen unabhängigen DSB benennen. Dieser berichtet direkt an die Geschäftsleitung und darf nicht gleichzeitig Funktionen wie den Chief Information Security Officer ausüben, um Interessenkonflikte zu vermeiden (vgl. Art. 37–39 DSGVO).
- Technische und organisatorische Maßnahmen: Unternehmen müssen den Schutz personenbezogener Daten nachweisen. Für große sensible Datenbanken sind regelmäßige Sicherheitsbewertungen und Penetrationstests (mindestens alle 18 Monate) vorgeschrieben; Vorfälle müssen dokumentiert und gemeldet werden (vgl. Art. 32 DSGVO).
- Erweiterte Transparenz- und Einwilligungspflichten: Betroffene müssen klar über Zwecke, Empfänger und Art der Datenerhebung informiert werden. Für sensible Daten wie Biometrie oder KI gelten erhöhte Anforderungen. Einwilligungen müssen informiert, freiwillig und in der Regel ausdrücklich erfolgen (vgl. Art. 13, 14 DSGVO).
- Meldepflichten bei Datenschutzverletzungen: Neu sind klare Pflichten zur Meldung von Vorfällen an die Datenschutzbehörde – ein Schritt, der internationale Standards aufgreift (vgl. Art. 33, 34 DSGVO um das Vertrauen ausländischer Partner zu stärken sowie den Angemessenheitsstatus zu sichern.
- Stärkere Durchsetzung: Die Datenschutzbehörde kann Bußgelder in Millionenhöhe verhängen, Datenverarbeitung aussetzen und strafrechtliche Ermittlungen einleiten. Auch Zivilprozesse, Sammelklagen und Schadenersatz bis zu 100.000 ILS (≈ 25.000 EUR) ohne Schadensnachweis sind möglich. Es ist zu erwarten, dass die Behörde ihre zahlreichen quasi-legislativen Vorgaben künftig konsequenter durchsetzen wird. Diese Vorgaben sind zwar keine Gesetze, werden in der Praxis aber oft wie verbindliches Recht behandelt und ihre Missachtung kann zu Sanktionen führen.
- KI und automatisierte Entscheidungsprozesse: Die Datenschutzbehörde signalisiert, dass sie KI-Systeme, die personenbezogene Daten verarbeiten, regulieren wird. Unternehmen müssen die Auswirkungen automatisierter Entscheidungsfindung bewerten, Transparenz schaffen und Schutzmaßnahmen gegen Diskriminierung treffen.
- Gestärkte Betroffenenrechte: Die Rechte der Bürger – auf Auskunft, Berichtigung und Löschung – werden durch Amendment 13 konkretisiert und gestärkt: Unternehmen müssen Anfragen schneller und transparenter bearbeiten, umfassender informieren und Daten konsequenter löschen, wenn der Zweck entfällt. Die Möglichkeiten zur Beschwerde und Durchsetzung wurden ebenfalls verbessert.
Politische Dimension: Datenschutz im internationalen Kontext
Die Reform ist nicht nur eine Reaktion auf technische Entwicklungen, sondern steht auch im Kontext internationaler Erwartungen an den Datenschutz. Israel steht international unter Beobachtung – unter anderem wegen seiner Sicherheitsgesetze und der engen Verflechtung von Staat und IT-Branche. Die Modernisierung des Datenschutzrechts kann auch als Maßnahme verstanden werden, das internationale Image zu stärken und wirtschaftliche Nachteile durch mögliche Einschränkungen beim Datentransfer zu vermeiden. Die EU-Kommission überprüft zudem regelmäßig, ob das Datenschutzniveau in Drittstaaten wie Israel weiterhin als angemessen gilt. Durch die Reform verbessert Israel seine Chancen, diesen strategisch wichtigen Status langfristig zu sichern. So bleibt der Datentransfer nach Israel weiterhin ohne zusätzliche Hürden möglich und das Land positioniert sich zugleich als moderner, regelkonformer Wirtschaftsstandort. Für Unternehmen stellt dies ein deutliches Signal dar: Sie müssen sich künftig auf umfassendere Anforderungen einstellen, profitieren aber von der Rechtssicherheit im internationalen Datenverkehr.
Vergleich mit anderen internationalen Entwicklungen
Wie auch beim EU-US Data Privacy Framework oder dem früheren Privacy Shield zeigt sich: Die Ausgestaltung von Datenschutzgesetzen wird zunehmend von internationalen wirtschaftlichen und politischen Rahmenbedingungen beeinflusst. Staaten passen ihre Regelungen häufig an, um den Anforderungen des internationalen Datenverkehrs und den Erwartungen ihrer Handelspartner gerecht zu werden. Israel ist hier keine Ausnahme.
Datenschutzreform in Israel – was jetzt zählt
Mit Amendment 13 setzt Israel einen bedeutenden Schritt zur Modernisierung seines Datenschutzrechts. Die Reform hebt die nationalen Datenschutzstandards fortschrittlich an, stärkt die Rolle der Aufsichtsbehörde und führt für Unternehmen und Organisationen neue, praxisrelevante Pflichten ein. Wie sich die neuen Vorgaben in der Praxis bewähren und umgesetzt werden, bleibt abzuwarten. Für international tätige Unternehmen bleibt Israel ein relevanter Standort, der sich mit dieser Reform klar an globalen Datenschutzstandards orientiert und seine regulatorische Position weiterentwickelt.
Unternehmen, die personenbezogene Daten nach Israel übermitteln oder dort geschäftlich aktiv sind, sollten ihre Datenschutzprozesse und Vertragswerke zeitnah überprüfen und an die neuen gesetzlichen Anforderungen anpassen.
