Datenschutzgesetze in Georgien
Datenschutzgesetze in Georgien
Datenschutzgesetze in Georgien sind seit 2024 deutlich moderner als viele ältere Übersichten vermuten lassen. Das Land hat sein Datenschutzrecht mit dem Gesetz On Personal Data Protection von 2023 neu gefasst, wesentliche Teile am 1. März 2024 in Kraft gesetzt und die praktische Umsetzung ab Juni 2024 erweitert. Inhaltlich nähert sich das Gesetz europäischen Datenschutzprinzipien an: Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung, Sicherheit, Betroffenenrechte, Regeln für besondere Datenkategorien, Folgenabschätzung bei Hochrisikoverarbeitung, Datenschutzbeauftragte, Video- und Audioüberwachung sowie behördliche Durchsetzung sind ausdrücklich geregelt.
Gleichzeitig ist Georgien kein Datenschutzraum, den man mit der EU gleichsetzen sollte. Die Europäische Kommission hat für Georgien keine Angemessenheitsentscheidung nach der DSGVO getroffen. Datenübermittlungen aus dem Europäischen Wirtschaftsraum nach Georgien brauchen daher weiterhin eine eigene Rechtsgrundlage und Schutzmechanismen, wenn sie unter EU-Recht fallen. Außerdem enthält das georgische Recht wichtige Ausnahmen für nationale Sicherheit, Verteidigung, Nachrichtendienste, operative Ermittlungen und Strafverfolgung. Genau diese Ausnahmen sind für Journalisten, NGOs, politische Akteure und Unternehmen mit sensiblen Daten der entscheidende Risikobereich.
Der wichtigste neue Punkt für 2026 ist institutionell: Der frühere Personal Data Protection Service wurde als eigenständige Behörde zum 2. März 2026 aufgehoben. Seine Aufgaben und Befugnisse wurden an das State Audit Office übertragen. Damit hat sich die Aufsichtsarchitektur kurz vor dem aktuellen Stand dieser Analyse grundlegend verändert. Das macht den Datenschutzrahmen nicht automatisch wirkungslos, aber es verschiebt die praktische Bewertung. Georgien hat inzwischen ein ernstzunehmendes Datenschutzgesetz; die offene Frage ist, wie unabhängig, spezialisiert, sichtbar und effektiv die Durchsetzung nach dem Behördenumbau tatsächlich bleibt.
Kurzurteil für Auswanderer
Für gewöhnliche Auswanderer, digitale Nomaden und Gründer ist der georgische Datenschutzrahmen im Alltag besser als sein Ruf, aber schwächer als ein EU-Setup. Wer eine Wohnung mietet, ein Bankkonto eröffnet, eine SIM-Karte kauft, Coworking nutzt oder eine georgische Firma anmeldet, trifft auf ein rechtliches System, das personenbezogene Daten grundsätzlich kennt und reguliert. Das ist ein Fortschritt gegenüber älteren Darstellungen, die Georgien nur als schwach regulierten Datenraum beschreiben. Banken, größere Arbeitgeber, Kliniken, Versicherer, Telekommunikationsunternehmen und öffentliche Stellen müssen mit personenbezogenen Daten nach formalen Regeln umgehen.
Die Vorsicht beginnt dort, wo sensible Daten, politische Tätigkeit oder grenzüberschreitende Datenflüsse ins Spiel kommen. Wer EU-Kundendaten verarbeitet, sollte Georgien nicht als automatisch sicheren Drittstaat behandeln. Wer Gesundheitsdaten, politische Meinungen, NGO-Mitgliedschaften, Aufenthaltsdaten, Standortdaten, biometrische Daten oder Daten von Minderjährigen verarbeitet, braucht ein belastbares Compliance-Konzept. Wer journalistisch oder zivilgesellschaftlich arbeitet, muss zusätzlich staatliche Zugriffsrechte, verdeckte Ermittlungsmaßnahmen und die politische Entwicklung seit 2024 in die Risikoanalyse einbeziehen.
Für die meisten privaten Nutzer lautet die pragmatische Empfehlung: keine Panik, aber keine Sorglosigkeit. Georgische Dienste sind nicht per se unsicher, und große Anbieter arbeiten professionell. Trotzdem sollten wichtige Konten mit Zwei-Faktor-Authentifizierung geschützt, sensible Dokumente verschlüsselt gespeichert, Cloud-Backups bewusst gewählt und berufliche Daten nicht wahllos bei lokalen Dienstleistern abgelegt werden. Wer selbst ein Unternehmen in Georgien betreibt, sollte Datenschutz nicht als spätere Formalie behandeln, sondern von Anfang an in Verträge, Formulare, HR-Prozesse, Kundenkommunikation und Website-Tracking einbauen.
So entsteht der Score
Der auf der Seite angezeigte Score 35 beruht hier nicht auf einem übernommenen Einzelwert einer externen 0-100-Skala. Für diesen Indikator ist in der aktuellen Nomadino-Datentabelle kein eigenständiger separater Rohwert hinterlegt. Der Score ist deshalb eine strukturierte redaktionelle Einordnung des georgischen Datenschutzrahmens.
Bewertet werden die im Artikel belegten Bausteine: modernes Datenschutzgesetz seit 2024, Definition personenbezogener und besonderer Daten, Betroffenenrechte, Pflichten für Verantwortliche und Auftragsverarbeiter, Datenschutz-Folgenabschätzungen, Datenschutzbeauftragte, internationale Datenübermittlungen, Aufsicht und Durchsetzung sowie die Ausnahmen für nationale Sicherheit, Strafverfolgung und Nachrichtendienste. Der Score fällt trotz moderner Gesetzesstruktur niedrig bis mittel aus, weil Georgien keine EU-Angemessenheitsentscheidung hat, die Aufsichtsarchitektur 2026 umgebaut wurde und staatliche Zugriffsausnahmen für sensible Fälle erheblich bleiben.
Was sich seit 2024 geändert hat
Die alte Fassung des georgischen Datenschutzgesetzes stammte aus dem Jahr 2011 und war bis zum 1. März 2024 in Kraft. Sie schuf eine erste Grundlage für personenbezogene Daten und eine spezialisierte Aufsicht, war aber im Vergleich zu modernen europäischen Standards lückenhaft. Das neue Gesetz wurde am 14. Juni 2023 verabschiedet und am 3. Juli 2023 veröffentlicht. Nach Angaben der damaligen Datenschutzaufsicht trat der Hauptteil am 1. März 2024 in Kraft; die praktische Umsetzung wurde bis Juni 2024 vollständig ausgeweitet.
Inhaltlich ist die Neufassung deutlich dichter. Sie definiert personenbezogene Daten, besondere Datenkategorien, Gesundheitsdaten, biometrische Daten, genetische Daten, Profiling, Videoüberwachung, Audioüberwachung, Datenpannen, Verantwortliche, Auftragsverarbeiter und besondere Vertreter. Sie enthält Grundsätze der Datenverarbeitung, Rechtsgrundlagen, Betroffenenrechte, Pflichten für Verantwortliche und Auftragsverarbeiter, Regeln für Datenschutz-Folgenabschätzungen, Datenschutzbeauftragte und internationale Übermittlungen. Für Unternehmen ist das keine bloße symbolische Modernisierung, sondern ein echtes Pflichtenprogramm.
Der zweite große Einschnitt kam Ende 2025. Das Parlament beschloss Änderungen, nach denen der Personal Data Protection Service zusammen mit dem Anti-Corruption Bureau zum 2. März 2026 aufgehoben und die Zuständigkeiten an das State Audit Office übertragen wurden. Offiziell wurde dies als institutionelle Konsolidierung und Stärkung durch eine verfassungsrechtlich unabhängige Kontrollstelle dargestellt. Kritisch betrachtet ist es aber ein Bruch mit der spezialisierten Datenschutzaufsicht, die den georgischen Datenschutzaufbau seit Jahren geprägt hatte. Für die Praxis bedeutet das: Die materiellen Regeln gelten weiter, aber die Durchsetzung muss sich unter neuer institutioneller Führung erst bewähren.
Rechtsgrundlage und Anwendungsbereich
Das geltende Gesetz On Personal Data Protection gilt für automatisierte und teilweise automatisierte Verarbeitung personenbezogener Daten auf dem Gebiet Georgiens sowie für nicht automatisierte Verarbeitung, wenn die Daten Teil eines strukturierten Ablagesystems sind oder werden sollen. Es kann auch Verantwortliche erfassen, die nicht in Georgien niedergelassen sind, aber technische Mittel in Georgien nutzen, sofern diese Mittel nicht nur zum bloßen Transit verwendet werden. Das ist für internationale Firmen, Plattformen, SaaS-Anbieter und Remote-Strukturen wichtig: Eine formale Auslandsniederlassung schützt nicht automatisch vor georgischen Pflichten, wenn in Georgien technisch oder organisatorisch verarbeitet wird.
Vom Gesetz ausgenommen sind rein persönliche oder häusliche Tätigkeiten. Wer privat Kontakte im Telefon speichert, Familienfotos teilt oder persönliche Nachrichten schreibt, fällt damit normalerweise nicht in den regulierten Unternehmensbereich. Anders ist es, wenn dieselben Werkzeuge beruflich genutzt werden: Kundenlisten, Bewerberdaten, Mitarbeiterakten, Buchungsdaten, Gesundheitsformulare, Newsletter, CRM-Systeme, Kameras in Geschäftsräumen, Coworking-Zutrittslogs und Website-Tracking sind keine private Haushaltsverarbeitung.
Besonders wichtig sind die Ausnahmen für nationale Sicherheit, Verteidigung, Nachrichtendienst- und Gegennachrichtendiensttätigkeit, operative Ermittlungen, Strafverfolgung, Gerichtsverfahren, Medienarbeit und akademische, künstlerische oder literarische Zwecke. Solche Ausnahmen sind auch in europäischen Rechtsordnungen bekannt, aber in Georgien müssen sie vor dem Hintergrund der Sicherheitsarchitektur gelesen werden. Das Datenschutzgesetz schützt Bürger und Ausländer nicht vollständig vor staatlichem Zugriff; es ordnet vielmehr den normalen Datenverkehr und setzt Grenzen, die in Sicherheits- und Strafverfolgungskontexten erheblich verschoben sein können.
Welche Daten geschützt sind
Personenbezogene Daten sind nach georgischem Recht alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Name, Nachname, Identifikationsnummer, Standortdaten, elektronische Kommunikationskennungen und sonstige Merkmale, die eine Person direkt oder indirekt identifizierbar machen. Für Auswanderer bedeutet das: Reisepasskopien, Aufenthaltsdokumente, Telefonnummern, E-Mail-Adressen, Bankdaten, Mietverträge, Steueridentifikation, IP-Adressen, App-Nutzungsdaten, Standortverläufe und Kundenkommunikation sind datenschutzrechtlich relevant.
Besondere Kategorien von Daten genießen höheren Schutz. Dazu gehören unter anderem Daten über ethnische Herkunft, politische Ansichten, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafrechtlichen Status, Opferstatus, biometrische Daten und genetische Daten, wenn sie zur eindeutigen Identifizierung verarbeitet werden. Diese Kategorie ist für NGOs, Kliniken, psychologische Beratungsangebote, Schulen, Arbeitgeber, Rechtsanwälte, Medien und politische Organisationen besonders relevant.
Die ausdrückliche Aufnahme von Video- und Audioüberwachung ist praktisch wichtig. Georgien ist ein Land, in dem Kameras in Banken, Wohnanlagen, Geschäften, Coworking-Spaces, Hotels, öffentlichen Gebäuden und Teilen des öffentlichen Raums alltäglich sind. Sobald Bilder oder Tonaufnahmen Menschen identifizierbar machen, handelt es sich nicht nur um Sicherheitsinfrastruktur, sondern um Datenverarbeitung. Das Gesetz verlangt dafür Zweck, Rechtfertigung, Transparenz, Begrenzung und angemessene Schutzmaßnahmen. In der Praxis ist die Umsetzung allerdings ungleich: Große Banken und internationale Unternehmen sind deutlich professioneller als kleine Vermieter, Bars, lokale Läden oder informelle Dienstleister.
Grundprinzipien der Verarbeitung
Das Gesetz enthält ein Set von Grundprinzipien, die stark an europäische Datenschutzlogik erinnern. Daten müssen rechtmäßig, fair und transparent verarbeitet werden. Sie dürfen nur für bestimmte, eindeutige und legitime Zwecke erhoben werden. Die Verarbeitung muss auf das notwendige Maß begrenzt sein. Daten müssen sachlich richtig und aktuell gehalten werden, soweit das für den jeweiligen Zweck erforderlich ist. Sie dürfen nur so lange gespeichert werden, wie der Zweck es verlangt. Außerdem müssen Verantwortliche technische und organisatorische Maßnahmen ergreifen, um unbefugte oder rechtswidrige Verarbeitung, Verlust, Zerstörung und Beschädigung zu verhindern.
Der letzte Punkt ist für Unternehmen entscheidend: Verantwortliche müssen ihre Einhaltung nicht nur behaupten, sondern nachweisen können. Wer in Georgien eine Firma betreibt, sollte daher keine losen Excel-Listen mit Kundendaten, Bewerberdaten oder Gesundheitsinformationen ohne Zugriffskontrolle herumliegen lassen. Einfache Maßnahmen wie rollenbasierte Zugriffe, Passwortmanager, Verschlüsselung, Löschfristen, Verarbeitungsverzeichnisse, Auftragsverarbeitungsverträge und klare Zuständigkeiten sind nicht nur EU-Formalismus, sondern praktische Risikoreduzierung.
Für Expats ist außerdem wichtig, dass das Gesetz eine Weiterverarbeitung für Strafverfolgung, öffentliche Sicherheit, operative Ermittlungen, Migration, Informationssicherheit, Cybersicherheit und vergleichbare Zwecke in bestimmten Konstellationen zulässt. Datenschutz bedeutet in Georgien also nicht: Daten dürfen niemals in staatliche Hände geraten. Es bedeutet eher: Normale Verarbeitung muss begründet und begrenzt sein, während Sicherheits- und Rechtsdurchsetzungsbereiche gesonderte gesetzliche Tore haben.
Rechtsgrundlagen und Einwilligung
Die Verarbeitung personenbezogener Daten ist zulässig, wenn eine Rechtsgrundlage vorliegt. Das Gesetz nennt unter anderem Einwilligung, Vertragserfüllung, gesetzliche Pflicht, Erfüllung öffentlicher Aufgaben, öffentlich verfügbare Daten, Schutz lebenswichtiger Interessen, erhebliche öffentliche Interessen, berechtigte Interessen und die Bearbeitung eines vom Betroffenen gestellten Antrags. Für Unternehmen ist besonders wichtig, dass Einwilligung nicht die einzige Rechtsgrundlage ist. Eine Bank braucht nicht für jede gesetzlich vorgeschriebene Identitätsprüfung eine separate Einwilligung; ein Arbeitgeber kann bestimmte Arbeitnehmerdaten verarbeiten, wenn dies für das Arbeitsverhältnis erforderlich ist; eine Klinik verarbeitet Gesundheitsdaten auf besonderer Grundlage.
Einwilligung bleibt trotzdem wichtig, vor allem bei Direktmarketing, optionalen Diensten, sensiblen Zusatzdaten, Fotos, Newslettern und bestimmten Online-Trackings. Das Gesetz verlangt eine freie und eindeutige Handlung nach Information des Betroffenen. Für besondere Kategorien kann schriftliche Einwilligung nötig werden, sofern keine andere gesetzliche Grundlage greift. Unternehmen sollten daher keine Sammelkästchen verwenden, die alles von Newsletter bis Standorttracking in einem Satz erledigen. Saubere Einwilligung ist zweckbezogen, dokumentiert und widerrufbar.
Direktmarketing wird ausdrücklich erfasst. Wer in Georgien Newsletter, SMS-Kampagnen, App-Pushs, Telefonmarketing oder E-Mail-Vertrieb betreibt, sollte Einwilligungen und Widersprüche dokumentieren. Das Gesetz verlangt, dass der Verantwortliche Datum und Tatsache der Einwilligung sowie den Widerruf für die Dauer des Direktmarketings und noch ein Jahr danach aufbewahrt. Das ist für lokale Start-ups und kleine Dienstleister ein oft übersehener Punkt. Wer ohne sauberes Opt-in Adressen aus Telegram-Gruppen, WhatsApp-Kontakten oder Coworking-Listen übernimmt, schafft ein unnötiges Risiko.
Besondere Datenkategorien
Besondere Datenkategorien sind in Georgien nicht verboten, aber strenger reguliert. Verarbeitung kann unter anderem möglich sein bei ausdrücklicher gesetzlicher Grundlage, schriftlicher Einwilligung, Gesundheitsversorgung, sozialer Sicherung, lebenswichtigen Interessen, arbeitsrechtlichen Pflichten, erheblichem öffentlichen Interesse, Archivierung oder Forschung unter Schutzmaßnahmen. Gleichzeitig lässt das Gesetz auch besondere Verarbeitungen für Strafverfolgung, öffentliche Sicherheit, operative Ermittlungen, Informationssicherheit und Cybersicherheit zu, wenn dies gesetzlich vorgesehen und verhältnismäßig ist.
Für normale Expats ist dieser Bereich vor allem bei medizinischen Daten, Versicherungen, Arbeitgeberunterlagen, Schulen, Visa- und Aufenthaltsprozessen relevant. Gesundheitsdaten sollten nicht in offenen Google-Drive-Ordnern, Messenger-Gruppen oder unverschlüsselten E-Mail-Anhängen gesammelt werden. Wer als Coach, Therapeut, Arzt, NGO-Berater, Schulbetreiber oder HR-Dienstleister in Georgien arbeitet, verarbeitet schnell sensible Daten. Dann reicht ein allgemeiner Datenschutzhinweis nicht aus; es braucht konkrete Zwecke, Zugriffsbeschränkungen, Speicherfristen und eine klare Information der Betroffenen.
Politische Meinungen und NGO-Bezüge sind ein besonderer Fall. Georgien ist seit 2024 politisch angespannter, und Organisationen mit ausländischer Finanzierung stehen stärker im Fokus. Wer Daten über Unterstützer, Teilnehmer, Spender, Mitglieder oder Aktivisten verarbeitet, sollte nicht nur an formales Datenschutzrecht denken, sondern an Schutz vor Einschüchterung, Datenabfluss und Zweckentfremdung. In solchen Fällen ist Datenminimierung ein Sicherheitsprinzip: Nur erheben, was wirklich gebraucht wird, und nur so lange speichern, wie es wirklich nötig ist.
Betroffenenrechte
Das georgische Recht gibt betroffenen Personen mehrere Ansprüche. Sie können Informationen über die Verarbeitung ihrer Daten verlangen, Zugang zu Daten erhalten, Berichtigung oder Aktualisierung unrichtiger Daten fordern, Löschung, Vernichtung oder Sperrung unter bestimmten Voraussetzungen verlangen und der Verarbeitung in bestimmten Situationen widersprechen. Die genaue Ausgestaltung hängt vom konkreten Artikel und Zweck ab, aber die Grundidee ist klar: Datenverarbeitung soll nicht unsichtbar und unkontrollierbar bleiben.
Für Ausländer ist die praktische Durchsetzung der spannendere Punkt. Wer bei einer Bank, einem Vermieter, einer Klinik oder einem Arbeitgeber wissen will, welche Daten gespeichert sind, sollte zunächst schriftlich und nachweisbar anfragen. Die Anfrage sollte konkrete Identifikation, betroffene Datenkategorie, Zeitraum und gewünschte Handlung nennen. Bei großen georgischen Unternehmen ist die Wahrscheinlichkeit einer strukturierten Antwort deutlich höher als bei kleinen Dienstleistern. Bei staatlichen Stellen kann die Antwort stärker von Zuständigkeit, Sprache und Sensibilität des Vorgangs abhängen.
Seit der Übertragung an das State Audit Office wird sich zeigen müssen, wie leicht Ausländer Beschwerden praktisch einreichen und verfolgen können. Die frühere Datenschutzaufsicht hatte eine spezialisierte Identität und veröffentlichte Berichte, Entscheidungen, Empfehlungen und Informationsmaterial. Das State Audit Office ist dagegen historisch vor allem als oberste Finanzkontrollinstitution bekannt. Das Gesetz überträgt die Befugnisse, aber institutionelle Spezialisierung entsteht nicht automatisch am ersten Tag. Für Betroffene heißt das: Rechte bestehen; die praktische Zugänglichkeit sollte im Einzelfall geprüft werden.
Pflichten für Unternehmen
Wer in Georgien ein Unternehmen betreibt, sollte Datenschutz als Teil der normalen Betriebsorganisation behandeln. Das gilt für georgische LLCs ebenso wie für Freelancer mit lokalen Kunden, Coworking-Betreiber, Gästehäuser, Kliniken, Sprachschulen, Immobilienvermittler, Online-Shops, App-Anbieter, SaaS-Start-ups und Agenturen. Typische Pflichten betreffen Datenschutzhinweise, Verarbeitungszwecke, Rechtsgrundlagen, Zugriffskontrollen, Löschfristen, Schutzmaßnahmen, Verträge mit Dienstleistern, Dokumentation von Einwilligungen und Verfahren zur Bearbeitung von Betroffenenanfragen.
Besonders häufig entstehen Risiken bei HR-Daten. Arbeitgeber sammeln Passkopien, Adressen, Bankdaten, Steuerdaten, Lebensläufe, Krankmeldungen, Urlaubsinformationen, Leistungsbewertungen und manchmal Fotos oder Videoaufzeichnungen. Diese Daten dürfen nicht einfach unbegrenzt in privaten Postfächern, alten Bewerbungsordnern oder Chatverläufen liegen. Bewerberdaten sollten nach Abschluss eines Verfahrens gelöscht oder nur mit belastbarer Grundlage weiter aufbewahrt werden. Mitarbeiterdaten brauchen klare Zugriffsrechte, und sensible Gesundheitsinformationen gehören getrennt von allgemeinen Personalakten behandelt.
Auch Website- und Marketingdaten sind relevant. Wer Cookies, Tracking-Pixel, Analytics, Newsletter, Kontaktformulare oder CRM-Tools nutzt, verarbeitet personenbezogene Daten. Internationale Tools wie Google Analytics, Meta Pixel, HubSpot, Mailchimp, Stripe oder Cloudflare können zusätzliche Fragen zu Drittlandsübermittlung und Auftragsverarbeitung auslösen. Eine georgische Website, die EU-Kunden anspricht, kann gleichzeitig georgischen und europäischen Pflichten unterliegen. Das ist kein exotischer Sonderfall, sondern bei Nomaden, Agenturen, Online-Shops und SaaS-Produkten sehr häufig.
Datenschutzbeauftragte und Folgenabschätzungen
Das georgische Gesetz kennt den Personal Data Protection Officer. Bestimmte Verantwortliche und Auftragsverarbeiter müssen eine solche Person benennen; andere können dies freiwillig tun. Der Datenschutzbeauftragte kann intern oder extern bestellt werden, muss angemessene Fachkenntnis haben, in wichtige Entscheidungen eingebunden sein, ausreichend Ressourcen erhalten und darf in seiner Tätigkeit nicht in einen Interessenkonflikt geraten. Die Kontaktdaten müssen veröffentlicht und der zuständigen Aufsicht mitgeteilt werden. Seit dem 2. März 2026 ist dafür nach Gesetzesänderung das State Audit Office relevant.
Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn neue Technologien, Datenkategorien, Umfang, Zwecke oder Mittel der Verarbeitung mit hoher Wahrscheinlichkeit Grundrechte gefährden können. Das Gesetz nennt ausdrücklich mehrere Pflichtfälle: vollautomatisierte Entscheidungen einschließlich Profiling mit rechtlichen, finanziellen oder sonst erheblichen Folgen; Verarbeitung besonderer Datenkategorien einer großen Zahl von Betroffenen; sowie systematische und großflächige Überwachung des Verhaltens von Betroffenen an öffentlich zugänglichen Orten. Als große Zahl nennt das Gesetz mindestens drei Prozent der Bevölkerung Georgiens, berechnet nach dem letzten Zensus.
Für die Praxis heißt das: Eine kleine Website mit Kontaktformular braucht nicht automatisch eine umfangreiche Folgenabschätzung. Ein Betreiber von Gesichtserkennung, großer Gesundheitsdatenplattform, Scoring-System, großflächigem Standorttracking, Kameraanalyse in einem Einkaufszentrum oder automatisierter Kreditentscheidung dagegen sehr wahrscheinlich schon. Wer solche Systeme in Georgien einsetzt, sollte vor dem Start dokumentieren, welche Daten verarbeitet werden, welche Risiken bestehen, welche Schutzmaßnahmen greifen und warum die Verarbeitung erforderlich ist.
Video, Audio und biometrische Daten
Videoüberwachung ist in Georgien ein besonders praktisches Thema. Wohnhäuser, Banken, Bürogebäude, Hotels, Läden, Schulen, Kliniken und Restaurants setzen Kameras ein. Das Gesetz definiert Videoüberwachung als Verarbeitung visueller Bilddaten mit technischen Mitteln in öffentlichen oder privaten Räumen, ausgenommen verdeckte Ermittlungsmaßnahmen. Audioüberwachung wird ebenfalls definiert. Das ist wichtig, weil Tonaufnahmen oft sensibler sind als Bilder. Ein Schild mit Kamerasymbol genügt nicht automatisch, wenn zusätzlich Gespräche aufgezeichnet werden.
Für Unternehmer ist die Faustregel: Kameras brauchen einen klaren Zweck, sichtbare Information, begrenzten Zugriff, angemessene Speicherfristen und eine vernünftige Positionierung. Kameras in Eingängen, Kassenbereichen oder Lagerzonen können gerechtfertigt sein. Kameras in Umkleiden, Sanitärbereichen, privaten Mitarbeiterzonen oder dauerhaft auf Arbeitsplätze gerichtet sind deutlich problematischer. Audioaufzeichnung sollte nur in sehr engen Fällen erwogen werden. Wer Kameras nutzt, sollte außerdem festlegen, wer Aufnahmen ansehen darf, wann sie gelöscht werden und wie Herausgaben an Polizei oder Dritte dokumentiert werden.
Biometrische Daten sind noch sensibler. Gesichtsbilder, Fingerabdrücke, Stimmenmerkmale und andere körperliche oder verhaltensbezogene Merkmale können eine Person eindeutig identifizieren. Das ist für Grenzkontrollen, Zugangssysteme, Banken, Mobilfunkregistrierung, Protestüberwachung und Sicherheitsanwendungen relevant. Gerade in Georgien überschneidet sich Datenschutz hier mit dem Thema staatliche Überwachung. Ein privates Unternehmen sollte biometrische Systeme nicht einführen, nur weil sie bequem sind. Wenn Schlüsselkarte, Passwort, QR-Code oder manuelle Kontrolle ausreichen, ist biometrische Erfassung oft schwerer zu rechtfertigen.
Internationale Datenübermittlungen
Georgien ist nicht Mitglied des Europäischen Wirtschaftsraums und wird von der Europäischen Kommission nicht als Land mit angemessenem Datenschutzniveau nach der DSGVO anerkannt. Das bedeutet: Wer personenbezogene Daten aus der EU oder dem EWR nach Georgien übermittelt und dabei unter die DSGVO fällt, kann sich nicht auf eine einfache Angemessenheitsentscheidung stützen. Typische Lösungen sind Standardvertragsklauseln, zusätzliche technische und organisatorische Maßnahmen, Transfer Impact Assessment, Verschlüsselung, Pseudonymisierung und klare Rollenverträge.
Das betrifft nicht nur große Konzerne. Ein deutscher Freelancer mit georgischer LLC, der EU-Kundendaten in einem georgischen CRM speichert, ein österreichischer Online-Shop mit georgischem Supportteam, eine georgische Agentur mit französischen Newsletterdaten oder ein SaaS-Anbieter mit Entwicklungsteam in Tiflis können alle in diese Konstellation geraten. Entscheidend ist nicht die Nationalität des Gründers, sondern welche Daten wessen Personen verarbeitet werden, von wo sie übertragen werden und welches Recht auf die Tätigkeit anwendbar ist.
Georgisches Recht kennt seinerseits Regeln für internationale Datenübermittlung. Der Gesetzestext sieht vor, dass Listen von Staaten und Organisationen mit ausreichenden Schutzgarantien durch eine normative Regelung bestimmt und regelmäßig überprüft werden. Nach der institutionellen Änderung liegt diese Zuständigkeit nicht mehr bei einer eigenständigen Datenschutzbehörde, sondern beim Auditor General beziehungsweise dem State Audit Office. Für Unternehmen ist wichtig: Man muss beide Richtungen prüfen. Eine Übermittlung aus Georgien heraus kann georgische Regeln auslösen; eine Übermittlung aus der EU nach Georgien löst zusätzlich EU-Regeln aus.
Durchsetzung: vom PDPS zum State Audit Office
Bis März 2026 war der Personal Data Protection Service die sichtbare Datenschutzaufsicht. Er veröffentlichte Jahresberichte, Informationsmaterial, Schulungen, Empfehlungen und statistische Angaben. Für 2024 meldete die Behörde 1.662 Eingaben und Benachrichtigungen, 265 Prüfungen zur Rechtmäßigkeit der Datenverarbeitung, 508 festgestellte Fälle unrechtmäßiger Verarbeitung, 794 Anweisungen und Empfehlungen, 11 gemeldete Datenschutzvorfälle und 16.462 Beratungen. Zusätzlich aktivierte sie in 92 Fällen einen Aussetzungsmechanismus im Zusammenhang mit verdecktem Abhören und Aufzeichnen von Telefonkommunikation.
Diese Zahlen zeigen zwei Dinge. Erstens: Datenschutzdurchsetzung war in Georgien nicht nur Theorie. Die frühere Aufsicht bearbeitete echte Fälle, kontrollierte private und öffentliche Stellen, stellte Verstöße fest und griff auch im sensiblen Bereich verdeckter Ermittlungsmaßnahmen ein. Zweitens: Das System war stark im Aufbau. Die Zahl der Verstöße und Beratungen zeigt, dass Unternehmen, Behörden und Bürger erst lernen mussten, was die neuen Regeln praktisch bedeuten.
Seit dem 2. März 2026 ist das State Audit Office zuständig. Offizielle Parlamentsmeldungen beschreiben die Übertragung als Delegation der Funktionen und Befugnisse an eine verfassungsrechtlich unabhängige Institution. Das State Audit Office ist traditionell die oberste Rechnungsprüfungs- und Kontrollinstitution Georgiens. Seine klassische Aufgabe liegt in der Kontrolle öffentlicher Mittel, der Prüfung von Budgetausführung und der Bewertung rechtmäßiger und effizienter Verwendung staatlicher Ressourcen. Datenschutzaufsicht ist ein anderes Fachgebiet. Die entscheidende Frage für 2026 und danach lautet daher, ob die Spezialisierung, öffentliche Sichtbarkeit und fallbezogene Durchsetzung des früheren Dienstes unter der neuen Struktur erhalten bleiben.
Bußgelder und Sanktionen
Das georgische Datenschutzrecht sieht administrative Sanktionen vor, darunter Warnungen und Geldbußen. Die Höhe ist im Vergleich zu DSGVO-Bußgeldern deutlich niedriger und wird im Gesetz nach Art des Verstoßes und teilweise nach Umsatzschwellen differenziert. Bei Verstößen gegen Betroffenenrechte nennt das Gesetz beispielsweise Bußgelder im Bereich von 1.000 bis 5.000 GEL, abhängig davon, ob eine oder mehrere Rechte verletzt wurden, ob erschwerende Umstände vorliegen und ob ein Unternehmen oberhalb einer bestimmten Umsatzgrenze liegt. Andere Verstöße können andere Beträge auslösen.
Für Unternehmen ist das ökonomische Risiko daher nicht nur die nominelle Geldbuße. Wichtiger können Anweisungen der Aufsicht, Unterbrechung problematischer Verarbeitung, Reputationsschäden, Kundenvertrauen, Vertragsrisiken mit EU-Kunden und Beweisprobleme in Streitfällen sein. Ein kleines georgisches Unternehmen mag eine einzelne Geldbuße verkraften, verliert aber möglicherweise einen europäischen Auftrag, wenn es keine sauberen Datenschutzprozesse vorweisen kann.
Für Betroffene bedeutet die moderate Bußgeldhöhe: Datenschutzrecht ist vorhanden, aber die Abschreckungswirkung ist schwächer als in der EU. Wer mit besonders sensiblen Daten arbeitet, sollte sich deshalb nicht darauf verlassen, dass hohe Strafandrohungen automatisch gute Praxis erzwingen. Vertragliche Schutzmaßnahmen, Auswahl seriöser Dienstleister und eigene technische Sicherungen bleiben wichtig.
Staatlicher Datenzugriff und Sicherheitsausnahmen
Der schwierigste Teil der Bewertung liegt nicht im normalen Unternehmensdatenschutz, sondern im Verhältnis zu Sicherheitsbehörden. Das Datenschutzgesetz nimmt nationale Sicherheit, Verteidigung, Nachrichtendienst- und Gegennachrichtendiensttätigkeit sowie bestimmte Strafverfolgungs- und operative Ermittlungszwecke ganz oder teilweise aus. Gleichzeitig verweisen andere Gesetze auf verdeckte Ermittlungsmaßnahmen, elektronische Kommunikationsdaten, Realzeitstandortdaten und technische Systeme der Operative-Technical Agency. Datenschutz und Überwachung sind in Georgien daher eng miteinander verbunden.
Für gewöhnliche Nutzer ist das meist kein unmittelbares Alltagsproblem. Für Journalisten, NGOs, politische Berater, Oppositionskontakte, Menschenrechtsanwälte, Exilaktivisten und Forscher zu Desinformation oder Sicherheitsstrukturen ist es dagegen zentral. Selbst ein gutes Datenschutzgesetz schützt nicht vollständig, wenn Daten über Sicherheitswege rechtmäßig oder in Graubereichen zugänglich werden. Das betrifft Telekommunikationsdaten, Standortdaten, Kameraaufnahmen, Plattformdaten, Bankinformationen, Vereinsdaten und Behördenregister.
Die frühere Datenschutzaufsicht hatte ausdrücklich auch Überwachungsfunktionen im Bereich verdeckter Ermittlungsmaßnahmen und der zentralen Datenbank elektronischer Kommunikationsidentifikationsdaten. Der 2024-Bericht mit 92 Aktivierungen eines Aussetzungsmechanismus zeigt, dass solche Kontrollen praktisch vorkamen. Nach der Übertragung an das State Audit Office muss sich zeigen, wie robust diese Kontrollfunktion weitergeführt wird. Für eine seriöse Standortentscheidung ist deshalb nicht nur die Textqualität des Datenschutzgesetzes relevant, sondern die Frage, wie stark Kontrolle, Gerichtsschutz und politische Zurückhaltung in sensiblen Fällen funktionieren.
Banken, Mobilfunk und digitale Alltagsdienste
Georgien ist für Expats besonders attraktiv, weil Bankkonten, Mobilfunk, digitale Apps und Alltagsdienste schnell funktionieren. Genau dadurch entstehen viele personenbezogene Daten. Banken verarbeiten Passdaten, Aufenthaltsinformationen, Steuerinformationen, Transaktionsdaten, Herkunft der Mittel, Geräteinformationen und Compliance-Daten. Mobilfunkanbieter registrieren Identität, Telefonnummern, Vertragsdaten und technische Nutzungsdaten. Taxi- und Lieferapps sammeln Standort- und Zahlungsdaten. Coworking-Spaces erfassen Buchungen, Zutritt, WLAN-Nutzung und manchmal Videoaufnahmen.
Große Banken wie TBC und Bank of Georgia verfügen über professionelle Compliance-Strukturen. Das bedeutet aber nicht, dass jede Datenverarbeitung für den Nutzer transparent ist. Kontoeröffnung und KYC können umfangreiche Informationen erfordern, und internationale Transfers können zusätzliche Prüfungen auslösen. Wer sensible geschäftliche oder politische Zahlungen tätigt, sollte Bankdaten nicht als privat im engeren Sinne behandeln. Finanzdaten sind in regulierten Systemen immer auch Prüf- und Meldeobjekte.
Bei Mobilfunk und Apps ist die beste Praxis Trennung. Private Nummer, Geschäftskontakte, Quellenkommunikation, Zwei-Faktor-Authentifizierung und öffentliche Profile sollten nicht unnötig in einer Identität zusammenlaufen. Für normale Nutzer ist das Komfortfrage; für Journalisten und NGO-Mitarbeiter kann es Schutzfrage sein. Wer in Georgien lebt und sensible Kommunikation führt, sollte prüfen, welche Dienste lokale Telefonnummern, Cloud-Backups oder Standortfreigaben verwenden.
Gesundheit, Vermietung und Arbeitgeber
Im Gesundheitsbereich entstehen besonders sensible Daten. Kliniken, Labore, Versicherer, Apotheken und private Ärzte verarbeiten Informationen über Diagnosen, Medikamente, Behandlungen, psychische Gesundheit, Tests und Zahlungsdaten. Größere medizinische Anbieter in Tiflis oder Batumi arbeiten oft formalisiert, aber kleine Praxen und informelle Anbieter können weniger Datenschutzroutine haben. Wer sensible Befunde digital teilt, sollte fragen, über welchen Kanal die Kommunikation läuft und wie lange Unterlagen gespeichert werden.
Bei Mietverhältnissen ist Datenschutz oft informell. Vermieter verlangen Passkopien, Telefonnummern, Bankdaten, Aufenthaltsstatus oder Arbeitsnachweise. Das kann für einen Mietvertrag praktisch erforderlich sein, aber nicht jede Weitergabe ist grenzenlos. Auswanderer sollten Passkopien mit Wasserzeichen versehen, nur notwendige Daten herausgeben und vermeiden, sensible Dokumente über ungesicherte Messenger dauerhaft in großen Gruppen zu teilen. Bei professionellen Immobilienagenturen ist die Dokumentation meist besser als bei rein privaten Vermietern.
Arbeitgeberdaten sind ein weiterer Risikobereich. Georgische Arbeitgeber können Bewerbungen, Arbeitsverträge, Steuerdaten, Bankdaten, Krankmeldungen, Leistungsbewertungen, Kameradaten und Zutrittsdaten verarbeiten. Internationale Arbeitgeber mit georgischem Team müssen zusätzlich prüfen, ob HR-Daten zwischen Georgien, EU, USA oder anderen Standorten fließen. Remote-Teams sollten klare interne Regeln haben: keine Personaldaten in privaten Chats, keine Bewerberlisten ohne Löschfrist, keine Krankeninformationen in offenen Projektmanagement-Tools und keine unnötige Überwachung von Mitarbeitenden.
Regionale Unterschiede
Datenschutz in Georgien ist nicht überall gleich praktisch erfahrbar. Tiflis ist der mit Abstand wichtigste Standort für Banken, Tech-Unternehmen, internationale Kanzleien, NGOs, Botschaften, Gerichte, Ministerien, Medien und größere Arbeitgeber. Dort ist die Wahrscheinlichkeit am höchsten, auf Unternehmen zu treffen, die Datenschutzprozesse kennen, englische Hinweise bereitstellen und formale Anfragen bearbeiten können. Gleichzeitig ist Tiflis auch der Ort mit der höchsten Dichte politischer Daten, Protestdaten, Kameras, Medienarbeit und Sicherheitsinteresse.
Batumi hat ein anderes Profil. Die Stadt ist touristisch, grenznah, immobilienlastig und saisonal international. Datenschutzfragen entstehen dort oft bei Hotels, Kurzzeitvermietung, Immobilienkäufen, Hafen- und Grenzbezügen, Glücksspiel, Gastronomie und ausländischen Besuchern. Für normale Expats ist der Alltag meist unkompliziert, aber die Datenspuren sind vielfältig: Passkopien bei Unterkünften, Zahlungssysteme, Kameras in Wohnanlagen und touristische Apps. Professionelle Anbieter sind eher formalisiert; kleine lokale Anbieter arbeiten häufig pragmatisch und weniger dokumentiert.
Kutaisi, Rustavi, Gori, Telavi und kleinere Städte haben weniger internationale Compliance-Infrastruktur. Dort sind persönliche Beziehungen, lokale Behördenkontakte und informelle Abläufe wichtiger. Datenschutzverletzungen entstehen nicht unbedingt durch komplexe Technik, sondern durch unbedachte Weitergabe, offene Papierakten, Messenger-Fotos von Dokumenten, Kameras ohne Information oder unklare Zuständigkeiten. In kleinen Gemeinden kann außerdem soziale Sichtbarkeit wichtiger sein als digitale Verarbeitung: Wenn jeder jeden kennt, schützt ein Gesetz allein nicht vor informeller Weitergabe sensibler Informationen.
Die besetzten Gebiete Abchasien und Südossetien müssen getrennt betrachtet werden. Sie stehen außerhalb der normalen georgischen Verwaltungsdurchsetzung. Wer dort Daten erhebt, kommuniziert, recherchiert oder reist, kann sich nicht auf denselben institutionellen Schutzrahmen verlassen. Für Journalisten, NGOs und Forscher gelten dort andere Sicherheits- und Datenschutzrisiken, einschließlich möglicher russischer oder lokaler Sicherheitsstrukturen.
EU-Bezug und DSGVO-Praxis
Viele Auswanderer in Georgien arbeiten für EU-Kunden oder betreiben Unternehmen mit EU-Bezug. Dann reicht die Frage, was georgisches Recht erlaubt, nicht aus. Die DSGVO kann anwendbar bleiben, wenn Waren oder Dienstleistungen Personen in der EU angeboten werden, wenn Verhalten von Personen in der EU beobachtet wird oder wenn ein EU-Unternehmen Daten an georgische Dienstleister übermittelt. Georgien ist dabei ein Drittland ohne Angemessenheitsentscheidung.
Ein Beispiel: Eine deutsche Agentur beschäftigt ein Team in Tiflis und gibt diesem Zugriff auf Kundendaten aus Deutschland. Dann braucht die Agentur eine Grundlage für den Drittlandzugriff, typischerweise Standardvertragsklauseln und zusätzliche Schutzmaßnahmen. Ein anderes Beispiel: Eine georgische LLC verkauft Online-Kurse an Kunden in Österreich und trackt deren Nutzung. Dann kann die DSGVO über das Angebot an EU-Personen relevant werden. Ein drittes Beispiel: Ein georgischer Freelancer verarbeitet nur Daten eines georgischen Kunden ohne EU-Bezug. Dann steht meist georgisches Recht im Vordergrund.
Praktisch sollten EU-bezogene Unternehmen ein Transfer-Setup dokumentieren: Welche Daten gehen nach Georgien? Wer hat Zugriff? Welche Dienste werden genutzt? Sind Daten verschlüsselt? Gibt es Auftragsverarbeitungsverträge? Gibt es Standardvertragsklauseln? Werden besonders sensible Daten verarbeitet? Können Daten in der EU bleiben und nur pseudonymisiert nach Georgien gehen? Diese Fragen klingen formal, verhindern aber reale Probleme bei Audits, Kundenprüfungen und Sicherheitsvorfällen.
Risikoprofile für Expats und Unternehmen
Niedriges Risiko haben die meisten privaten Expats, die Georgien zum Wohnen, Reisen oder für normale Remote-Arbeit nutzen und keine lokalen sensiblen Daten verarbeiten. Für diese Gruppe reichen solide digitale Grundregeln: Passwortmanager, Zwei-Faktor-Authentifizierung, Geräteverschlüsselung, sichere Messenger, vorsichtige Weitergabe von Passkopien und bewusste Cloud-Nutzung. Sie müssen nicht jedes Detail des georgischen Datenschutzrechts kennen, sollten aber vermeiden, wichtige Dokumente unkontrolliert zu verbreiten.
Mittleres Risiko haben Gründer, Freelancer, kleine Arbeitgeber, Vermieter, Coaches, Online-Shops, Agenturen und Dienstleister mit Kundendaten. Diese Gruppe braucht einfache, aber echte Datenschutzprozesse: Datenschutzhinweis, Einwilligungsmanagement, Löschfristen, sichere Ablage, klare Zuständigkeit, Verträge mit Dienstleistern und ein Verfahren für Auskunfts- und Löschanfragen. Wer EU-Kunden hat, braucht zusätzlich ein DSGVO-Transferkonzept.
Hohes Risiko haben Kliniken, psychologische Dienste, Bildungsanbieter für Minderjährige, politische Organisationen, Medien, NGOs, Wahlbeobachtung, Menschenrechtsarbeit, Forschung zu Sicherheitsbehörden, Unternehmen mit umfangreicher Videoüberwachung, große Plattformen, Fintechs und Anbieter, die automatisierte Entscheidungen oder Profiling einsetzen. Hier reichen Vorlagen nicht. Es braucht fachliche Beratung, Folgenabschätzung, Protokollierung, Rollen- und Rechtekonzepte, Notfallpläne und eine klare Trennung besonders sensibler Daten.
Sehr hohes Risiko entsteht, wenn besondere Datenkategorien, staatliche Aufmerksamkeit und internationale Transfers zusammenkommen. Beispiele sind Menschenrechts-NGOs mit EU-Finanzierung, journalistische Quellenlisten, Gesundheitsplattformen mit EU-Patienten, Exilaktivistendaten oder große Datenbanken mit biometrischen Informationen. In diesen Fällen ist Datensparsamkeit oft wichtiger als perfekte juristische Nachdokumentation. Was nicht erhoben wird, kann nicht abfließen, beschlagnahmt, gehackt oder zweckentfremdet werden.
Praktische Checkliste
Für private Auswanderer: Geben Sie Passkopien nur zweckbezogen heraus, versehen Sie Kopien nach Möglichkeit mit Zweckvermerk, speichern Sie wichtige Dokumente verschlüsselt, trennen Sie private und berufliche Kommunikationskanäle, nutzen Sie Zwei-Faktor-Authentifizierung und prüfen Sie Cloud-Backups. Bei sensiblen Themen sollten Sie nicht alle Dokumente, Kontakte und Chats auf einem einzigen ständig mitgeführten Gerät bündeln.
Für georgische Unternehmen: Erstellen Sie eine Übersicht der Datenverarbeitung. Klären Sie für jede Kategorie Zweck, Rechtsgrundlage, Speicherfrist, Zugriff, Dienstleister und Löschprozess. Veröffentlichen Sie einen verständlichen Datenschutzhinweis. Dokumentieren Sie Einwilligungen, besonders für Direktmarketing. Schließen Sie Verträge mit Auftragsverarbeitern. Schützen Sie HR- und Kundendaten technisch. Definieren Sie, wer Betroffenenanfragen beantwortet. Melden oder dokumentieren Sie Datenschutzvorfälle nach den geltenden Vorgaben.
Für EU-bezogene Unternehmen: Prüfen Sie zusätzlich DSGVO-Anwendbarkeit, Drittlandtransfer, Standardvertragsklauseln, zusätzliche Schutzmaßnahmen, Verschlüsselung, Pseudonymisierung und Kundenerwartungen. Wenn Sie europäische Unternehmensdaten nach Georgien auslagern, sollten Sie das gegenüber Kunden sauber erklären können. Datenschutz ist hier nicht nur Recht, sondern Vertrauenssignal.
Für Journalisten und NGOs: Minimieren Sie Kontaktlisten, trennen Sie Quellenkommunikation von Alltagskonten, vermeiden Sie unnötige zentrale Datenbanken, verschlüsseln Sie Datenträger, reduzieren Sie Cloud-Synchronisierung, legen Sie Löschroutinen fest und prüfen Sie, welche Daten bei Geräteverlust, Grenzkontrolle oder Accountkompromittierung sichtbar wären. Besonders sensible Kontakte sollten nicht in großen Messenger-Gruppen oder unverschlüsselten Tabellen geführt werden.
FAQ: Hat Georgien ein modernes Datenschutzgesetz?
Ja, Georgien hat seit 2024 ein deutlich modernisiertes Datenschutzgesetz. Es enthält viele Elemente, die auch aus europäischen Datenschutzsystemen bekannt sind: Grundsätze, Rechtsgrundlagen, Betroffenenrechte, besondere Datenkategorien, Datenschutzbeauftragte, Folgenabschätzung, Regeln für Video- und Audioüberwachung und Sanktionen. Der Schwachpunkt liegt weniger im Fehlen eines Gesetzes, sondern in Ausnahmen, Durchsetzung, institutioneller Umstellung und der Frage, wie Sicherheitsbehörden und staatliche Stellen praktisch begrenzt werden.
FAQ: Ist Georgien aus EU-Sicht ein sicheres Drittland?
Nein, nicht im technischen Sinn einer DSGVO-Angemessenheitsentscheidung. Die Europäische Kommission listet Georgien nicht unter den Staaten mit anerkannter Angemessenheit. Wer personenbezogene Daten aus der EU oder dem EWR nach Georgien übermittelt und unter die DSGVO fällt, braucht daher zusätzliche Mechanismen wie Standardvertragsklauseln und eine Transferprüfung. Das gilt unabhängig davon, dass Georgien sich rechtlich an europäische Standards annähert.
FAQ: Gibt es noch den Personal Data Protection Service?
Als eigenständige Behörde nicht mehr. Nach den Parlamentsbeschlüssen wurde der Personal Data Protection Service zum 2. März 2026 aufgehoben; seine Aufgaben und Befugnisse wurden an das State Audit Office übertragen. Historische Berichte und Statistiken des Dienstes bleiben für die Bewertung wichtig, weil sie zeigen, wie die Datenschutzaufsicht bis 2025 gearbeitet hat. Für aktuelle Zuständigkeiten ist jedoch die neue Struktur maßgeblich.
FAQ: Müssen kleine Firmen in Georgien Datenschutz ernst nehmen?
Ja. Kleine Firmen haben oft weniger komplexe Pflichten als große Plattformen, aber sie verarbeiten trotzdem Kundendaten, Mitarbeiterdaten, Zahlungsdaten, Bewerbungen, Website-Daten oder Kamerabilder. Ein einfaches, sauberes Setup reicht häufig: klare Datenschutzhinweise, keine unnötige Datensammlung, sichere Ablage, begrenzter Zugriff, dokumentierte Einwilligungen für Marketing und ein Löschprozess. Wer EU-Kunden bedient, muss zusätzlich EU-Anforderungen prüfen.
FAQ: Sind georgische Cloud- und IT-Dienstleister problematisch?
Nicht automatisch. Viele georgische IT-Dienstleister arbeiten professionell und international. Entscheidend sind Vertrag, Standort der Daten, Zugriffskontrolle, Verschlüsselung, Unterauftragnehmer, Backup-Standorte und Sicherheitsprozesse. Bei EU-Daten sollte klar sein, ob der Dienstleister nur aus Georgien zugreift oder Daten tatsächlich nach Georgien überträgt. Für sensible Daten ist eine technische Minimierung oft sinnvoll: Pseudonymisierung, getrennte Schlüssel, Zugriff nur nach Bedarf und Protokollierung.
FAQ: Was bedeutet das für Passkopien und Behördendokumente?
Passkopien sind in Georgien im Alltag häufig: Banken, Vermieter, Hotels, Mobilfunkanbieter und Dienstleister fragen danach. Das ist nicht automatisch rechtswidrig, aber es sollte zweckgebunden sein. Privatpersonen sollten Kopien möglichst mit Verwendungszweck versehen, keine unnötigen Zusatzdokumente senden und sensible Dateien nicht dauerhaft in ungesicherten Chats liegen lassen. Unternehmen sollten Passkopien nicht länger speichern, als der Zweck es verlangt, und den Zugriff begrenzen.
Fazit
Georgiens Datenschutzlage ist 2026 differenzierter als der alte Artikel erkennen ließ. Das materielle Recht wurde seit 2024 deutlich modernisiert und enthält viele ernsthafte Schutzmechanismen. Gleichzeitig bleibt das Land aus EU-Sicht ein Drittstaat ohne Angemessenheitsentscheidung, mit relevanten Sicherheitsausnahmen, politisch sensibler Lage und einer gerade erst umgebauten Aufsichtsstruktur. Für normale Auswanderer ist das meist beherrschbar. Für Unternehmen, EU-Daten, Gesundheitsdaten, politische Daten, NGO-Arbeit und journalistische Quellen ist es ein Standortthema, das aktiv gemanagt werden muss.
Die beste praktische Einordnung lautet: Georgien ist kein datenschutzfreier Raum, aber auch kein EU-Datenschutzraum. Wer das versteht, kann gut mit dem Land arbeiten. Wer die Rechtsmodernisierung ignoriert, riskiert Compliance-Probleme; wer die Durchsetzungs- und Sicherheitsrisiken ignoriert, unterschätzt den politischen Kontext. Solide Datenminimierung, saubere Verträge, verschlüsselte Speicherung und klare Prozesse sind daher keine übertriebene Vorsicht, sondern normale Standortdisziplin.
Quellen
- Matsne - Law of Georgia on Personal Data Protection
- Personal Data Protection Service - 2024 Activity Report presented to Parliament
- Personal Data Protection Service - 6-month activity report 2024
- Parliament of Georgia - Personal Data Protection Service to be annulled as of March 2, 2026
- Civil Georgia - Anti-Corruption Bureau and Personal Data Protection Service absorbed by State Audit Office
- Council of Europe - Georgia and data protection
- European Commission - Adequacy decisions under data protection law
- Freedom House - Freedom on the Net 2025: Georgia
- Freedom House - Freedom in the World 2026: Georgia
Dieser Artikel wurde erstellt am 9. Mai 2026
Datenschutzgesetze — Globales Ranking ↗
| # | Land | Score |
|---|---|---|
| 1 |  Finnland |
97 |
| 1 |  Dänemark |
97 |
| 1 |  Schweden |
97 |
| 1 |  Deutschland |
97 |
| 1 |  Belgien |
97 |
| … | ||
| 147 |  Laos |
35 |
| 147 |  Ruanda |
35 |
| 147 | Georgien |
35 |
| 147 |  Nicaragua |
35 |
| 153 |  Elfenbeinküste |
32 |
| … | ||
| 225 |  Turkmenistan |
5 |
| 225 |  Afghanistan |
5 |
| 225 |  Iran |
5 |