Das Datenschutzgesetz in Ruanda bringt das Land nun in Einklang mit internationalen Datenschutzstandards. Diese sind für moderne digitale Volkswirtschaften, die durch E-Commerce, internationale Finanztransaktionen und verschiedene Online-Dienste angetrieben werden, von entscheidender Bedeutung. Sind Sie bereit, die Standards einzuhalten?
Das ruandische Datenschutzgesetz (Gesetz Nr. 058/2021 vom 13. Oktober 2021) schafft einen umfassenden Rechtsrahmen für die Erhebung, Verarbeitung, Übermittlung und den Schutz personenbezogener Daten. Einer der Grundsätze des ruandischen Datenschutzgesetzes ist die Anforderung, die klare und eindeutige Zustimmung einer Person zur Erhebung, Speicherung und Verarbeitung ihrer personenbezogenen Daten einzuholen – ein Grundrecht.
Um die gesetzlichen Bestimmungen in Ruanda einzuhalten, müssen Unternehmen eine Reihe von Prozessen durchlaufen. Dazu gehören:
Registrieren:
Registrierung bei der NCSA als Datenverantwortlicher oder -verarbeiter innerhalb von 30 Arbeitstagen
Benennen Sie einen Datenschutzbeauftragten:
Ernennung eines Datenschutzbeauftragten (DSB), wenn die Verarbeitung umfangreich ist oder sensible Daten betrifft
Führen Sie Aufzeichnungen:
Führen von Verarbeitungsaufzeichnungen, Durchführen von Datenschutz-Folgenabschätzungen für Hochrisikoaktivitäten und Implementieren von Sicherheitsmaßnahmen
Bei Verstößen benachrichtigen:
Benachrichtigen Sie die NCSA innerhalb von 48 Stunden über Verstöße sowie betroffene Personen, wenn eine Gefährdung ihrer Rechte besteht.
Datenschutzhinweise:
Veröffentlichung von Datenschutzhinweisen zur Offenlegung der Datennutzung, Datenspeicherung, Datenübermittlung ins Ausland und Betroffenenrechte
Einholung der Einwilligung, auch für Cookies, für nicht unbedingt erforderliche Verarbeitungen
Bewertung des grenzüberschreitenden Datentransfers
Das Gesetz gilt für:
Alle Datenverantwortlichen oder -verarbeiter in Ruanda (öffentlich oder privat)
Ausländische Unternehmen, die personenbezogene Daten ruandischer Staatsbürger verarbeiten oder Daten ins Ausland übermitteln
Dazu gehören KMU, NGOs, öffentliche Einrichtungen, Tech-Startups, Fintechs und E-Commerce-Plattformen – also alle Organisationen, die personenbezogene Daten ruandischer Staatsbürger verarbeiten.
Das DPPL Ruandas gewährt den Einwohnern eine Reihe von Datenschutzrechten, darunter:
Zugriff auf ihre persönlichen Daten anfordern
Fordern Sie Informationen dazu an, wie personenbezogene Daten erhoben und verwendet werden
Fordern Sie die Korrektur ungenauer, unvollständiger oder veralteter Informationen an
Unter bestimmten Umständen die Löschung ihrer personenbezogenen Daten verlangen
Antrag auf Widerspruch gegen die Verarbeitung ihrer Daten
Fordern Sie Daten in einem strukturierten, allgemein verwendeten Format an
Fordern Sie, dass Entscheidungen nicht ausschließlich auf der Grundlage automatisierter Verarbeitung getroffen werden
Organisationen müssen vor der Datenverarbeitung die Zustimmung des Verbrauchers einholen
Obwohl Cookies im Gesetz nicht ausdrücklich erwähnt werden, fällt die Verwendung von Cookies unter die Verarbeitung personenbezogener Daten (z. B. Online-Kennungen, Profiling). Die Einwilligung muss:
freiwillig, spezifisch, informiert und ausdrücklich erfolgen und unterschiedliche Zwecke abdecken (z. B. Analyse vs. Werbung)
jederzeit widerrufbar sein
Die Implementierung von Cookie-Bannern mit detaillierten Kontrollmöglichkeiten (Kategorien zum Annehmen/Ablehnen) und einem Präferenzzentrum – in Übereinstimmung mit den EU-Einwilligungsgrundsätzen – gilt als bewährte Vorgehensweise für in Ruanda tätige Unternehmen.
Das Gesetz sieht bei Verstößen verwaltungs- und strafrechtliche Sanktionen vor:
Verwaltungsstrafen (Artikel 53) umfassen:
Geldbußen zwischen 2 und 5 Millionen RWF (ca. 2.000–5.000 US-Dollar) oder bis zu 1 % des weltweiten Jahresumsatzes für Unternehmen.
Straftaten (Artikel 56–61) umfassen:
Vorsätzlicher Datenmissbrauch, unbefugte Reidentifizierung, falsche Angaben, Missbrauch sensibler Daten: 1–3 Jahre Haft und Geldbußen zwischen 7 und 10 Millionen RWF (bzw. 5 % des weltweiten Jahresumsatzes für Unternehmen).
Gerichte können außerdem Geschäftsschließungen anordnen oder Registrierungszertifikate widerrufen.
Die DPPL-Konformität ist durch die Umsetzung einer Reihe bewährter Verfahren zum Datenschutz erreichbar:
Führen Sie Daten- und Cookie-Audits durch:
Überprüfen Sie die aktuellen Datenpraktiken, um Bereiche zu identifizieren, die an die DPPL angepasst werden können.
Datenschutz- und Cookie-Richtlinien aktualisieren:
Überarbeiten Sie die Datenschutzhinweise, um den Umgang mit Daten, die Rechte der Verbraucher und die Ausübung dieser Rechte klar darzulegen.
Implementieren Sie das Einwilligungsmanagement:
Verwalten Sie die Verwendung und Zustimmung zu Cookies mit einer umfassenden Zustimmungsverwaltungsplattform wie CookieHub
Mitarbeiter schulen:
Schulen Sie Ihre Mitarbeiter über die Bedeutung der Einhaltung des DPPL
Implementieren Sie Prozesse bei Verstößen:
Sorgen Sie für klare Wege zur Benachrichtigung der Verbraucher über Datenschutzverletzungen
Benennen Sie einen Datenschutzbeauftragten:
Fügen Sie Ihrer Organisation einen Datenschutzbeauftragten hinzu, um die Einhaltung der Vorschriften zu verwalten
Eine Consent-Management-Plattform wie CookieHub kann die konforme Cookie-Einwilligung erleichtern, indem sie detaillierte Präferenzen verwaltet, Benutzerentscheidungen protokolliert, nicht unbedingt erforderliche Skripte bis zur Zustimmung automatisch blockiert und auditfähige Compliance-Aufzeichnungen erstellt.
Das Datenschutzgesetz (DPPL) in Ruanda regelt die Erhebung, Verarbeitung, Speicherung und Weitergabe personenbezogener Daten. Es gilt sowohl für öffentliche und private Einrichtungen, die personenbezogene Daten von Personen in Ruanda verarbeiten, als auch für Organisationen außerhalb Ruandas, die Daten von Einwohnern Ruandas verarbeiten. Das Gesetz stellt sicher, dass personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören unter anderem Namen, Identifikationsnummern, Standortdaten, Online-Kennungen und alle Daten, die eine Person direkt oder indirekt identifizieren können.
Sensible Daten sind eine besondere Kategorie personenbezogener Daten, die einen erhöhten Schutz erfordern. Dazu gehören Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, den Gesundheitszustand, genetische oder biometrische Daten, die sexuelle Orientierung oder die Gewerkschaftsmitgliedschaft.
Die für die Überwachung der Umsetzung und Durchsetzung des DPPL in Ruanda zuständige Regulierungsbehörde ist die National Cyber Security Authority (NCSA), insbesondere über ihr Datenschutzbüro.
Ausnahmen vom Datenschutzgesetz können in bestimmten Fällen gelten, beispielsweise bei der Verarbeitung für persönliche oder familiäre Zwecke, der nationalen Sicherheit, der Strafverfolgung, im öffentlichen Interesse oder zu Forschungs- und Statistikzwecken – sofern entsprechende Schutzmaßnahmen vorhanden sind. Spezifische Ausnahmen sind im Gesetz und den einschlägigen Vorschriften definiert.
Sie können auf den vollständigen Text des DPPL und der zugehörigen Richtlinien über die Website der National Cyber Security Authority (NCSA) zugreifen oder sich an Rechtsexperten wenden, die auf Datenschutz in Ruanda spezialisiert sind.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
