Datenschutz in Monaco: Was Unternehmen jetzt nach Gesetz Nr. 1.565 tun müssen

Monaco hat sein eigenes Datenschutzrecht — und die Fristen laufen

Monaco ist kein EU-Mitgliedstaat und daher nicht direkt der DSGVO unterworfen. Das bedeutet jedoch nicht, dass Unternehmen im Fürstentum ihre datenschutzrechtlichen Pflichten ignorieren können.

Am 3. Dezember 2024 verabschiedete Monaco das Gesetz Nr. 1.565 zum Schutz personenbezogener Daten — ein umfassendes Regelwerk, das sich an europäischen Standards orientiert, aber auf monegassischem Recht basiert. Die zuständige Aufsichtsbehörde ist nun die APDP (Autorité Protectrice des Données Personnelles), die die bisherige CCIN abgelöst hat.

Wenn Ihr Unternehmen in Monaco personenbezogene Daten erhebt, speichert oder verarbeitet — Kundendaten, Zahlungsinformationen, Website-Analysen, Personalakten — gilt dieses Gesetz für Sie. Die Übergangsfristen zur Compliance laufen gerade ab.

Was Gesetz Nr. 1.565 vorschreibt

Das Gesetz begründet ein Pflichtenprogramm, das strukturell der DSGVO ähnelt, jedoch unter monegassischer Rechtshoheit steht:

• Rechtsgrundlage der Verarbeitung: Jede Art von Datenerhebung benötigt eine gültige rechtliche Basis.
• Verarbeitungsverzeichnis: Sie müssen ein Verzeichnis aller Datenverarbeitungstätigkeiten Ihres Unternehmens führen.
• Rechte der betroffenen Personen: Einzelpersonen haben das Recht auf Auskunft, Berichtigung und in bestimmten Fällen auf Löschung ihrer Daten.
• Sicherheitspflichten: Es müssen angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden.
• Meldepflicht bei Datenpannen: Datenschutzverletzungen müssen der APDP innerhalb festgelegter Fristen gemeldet werden.
• Datenschutzbeauftragter: Für bestimmte Unternehmenskategorien ist die Benennung eines DSB (DPO) verpflichtend.

Die APDP kann bei schwerwiegenden Verstößen Bußgelder von bis zu 10 Millionen Euro verhängen — in einem Fürstentum der Größe Monacos keine symbolische Summe.

Die wichtigsten Übergangsfristen

Das Gesetz sieht Übergangsregelungen für Unternehmen vor, die bereits vor Inkrafttreten des Gesetzes Daten verarbeiteten:

• Ein Jahr Übergangszeit: Bestehende Verarbeitungstätigkeiten müssen in der Regel innerhalb eines Jahres ab Inkrafttreten in Compliance gebracht werden. Für viele Unternehmen endet dieses Fenster in 2025–2026.
• Drei Jahre: Für risikoreiche Verarbeitungen, die eine Datenschutz-Folgenabschätzung (DSFA) erfordern, gilt eine dreijährige Übergangsfrist.

Wer seine Datenpraktiken noch nicht überprüft oder seine Datenschutzdokumentation noch nicht aktualisiert hat, sollte jetzt handeln. Unternehmen, die nach Inkrafttreten des Gesetzes mit der Datenverarbeitung begonnen haben, profitieren von keiner Übergangsfrist.

Bei konkreten Rechtsfragen wenden Sie sich an einen Rechtsanwalt mit Kenntnissen im monegassischen Recht. Unser Datenschutz-Compliance-Service hilft Ihnen dabei, Ihre digitalen Kontaktpunkte zu bewerten — für formelle Rechtsberatung benötigen Sie jedoch einen zugelassenen Fachmann.

Wo Unternehmen in Monaco am stärksten exponiert sind

Viele Unternehmer gehen davon aus, dass ihre Exposition auf große Datenbanken oder sensible Daten beschränkt ist. In der Praxis entstehen Datenschutzpflichten aus dem alltäglichen digitalen Betrieb:

• Ihre Website: Kontaktformulare, Analyse-Cookies, Newsletter-Anmeldungen und Live-Chat-Tools verarbeiten alle personenbezogene Daten. Ihre Datenschutzerklärung muss widerspiegeln, was Sie tatsächlich erheben und warum.
• E-Mail-Marketing und CRM: Jede Abonnentenliste, jede automatisierte Sequenz und jeder Kundendatensatz unterliegt den Anforderungen des Gesetzes.
• Drittanbieter-Tools: Wenn Sie ein CRM, eine Buchungsplattform oder einen Zahlungsdienstleister nutzen, der Daten in Ihrem Auftrag verarbeitet, benötigen Sie wahrscheinlich einen Auftragsverarbeitungsvertrag.
• Online-Werbung: Retargeting-Pixel und Ad-Plattform-Integrationen, die das Nutzerverhalten tracken, fallen ebenfalls in den Anwendungsbereich.

Besonders relevant ist dies für Unternehmen, die zuletzt KI-Tools oder Automatisierungslösungen eingeführt haben — Daten, die in KI-Systeme fließen, bleiben personenbezogene Daten und unterliegen denselben Schutzpflichten.

Was jetzt zu tun ist

Ein praxisorientierter Einstieg für die meisten Unternehmen:

1. Datenflüsse erfassen: Dokumentieren Sie, welche Daten Sie erheben, wohin sie fließen und wer darauf Zugriff hat. Das ist die Grundlage Ihres Verarbeitungsverzeichnisses.
2. Website überprüfen: Stellen Sie sicher, dass Ihre Datenschutzerklärung, Cookie-Hinweise und Einwilligungsmechanismen aktuell und korrekt sind. Wurde Ihre Website vor Dezember 2024 erstellt, ist eine Aktualisierung wahrscheinlich erforderlich.
3. Verträge prüfen: Stellen Sie sicher, dass Ihre Vereinbarungen mit Drittanbietern entsprechende Datenschutzklauseln enthalten.
4. DSB-Pflicht klären: Prüfen Sie, ob Ihre Branche die Benennung eines Datenschutzbeauftragten vorschreibt.
5. Alles dokumentieren: Nach Gesetz Nr. 1.565 ist es ebenso wichtig, Compliance nachweisen zu können, wie sie tatsächlich umzusetzen.

Eine durchdachte digitale Strategie integriert Datenschutz und Compliance von Anfang an in Ihre digitale Infrastruktur — statt sie nachträglich anzuflicken.

APDP statt CCIN: Was sich geändert hat

Die APDP hat die CCIN (Commission de Contrôle des Informations Nominatives) als Datenschutzaufsichtsbehörde abgelöst. Die APDP verfügt über ein erweitertes Mandat und stärkere Durchsetzungsbefugnisse. Sie ist zuständig für die Entgegennahme von Datenpannenmeldungen, die Bearbeitung von Beschwerden und die Durchsetzung des Gesetzes Nr. 1.565.

Aktualisieren Sie alle internen Dokumente oder Datenschutzhinweise, die noch die CCIN als Aufsichtsbehörde aufführen — diese Angabe ist überholt.

Monaco ist nicht die EU — aber die Standards sind vergleichbar

Für international tätige Unternehmen: Das neue Gesetz orientiert sich an der DSGVO, ist aber nicht die DSGVO. Monaco ist kein EU-Mitgliedstaat, und EU-Verordnungen gelten nicht automatisch im Fürstentum. Die DSGVO kann jedoch für Ihr Unternehmen relevant sein, wenn Sie von Monaco aus EU-Bürger ansprechen — etwa über einen Online-Shop, der Kunden in Frankreich oder Italien bedient.

Wenn Sie sowohl in Monaco als auch in EU-Märkten tätig sind, müssen Sie möglicherweise beiden Regelwerken genügen. Das ist eine Rechtsfrage, die professionelle Beratung erfordert.

Für Ihr Webdesign bedeutet das praktisch: Bauen Sie Datenschutz-Compliance von Anfang an in Ihre Website ein — nicht erst nachträglich.

Digitale Compliance angehen

BSS Digital Agency unterstützt Unternehmen in Monaco dabei, ihre digitale Präsenz zu überprüfen, zu modernisieren und zukunftssicher zu machen — einschließlich der Datenschutz- und Compliance-Aspekte, die heute nicht mehr optional sind.

Wenn Ihre Website, Ihr CRM oder Ihre Marketing-Aktivitäten einer Überprüfung bedürfen, nehmen Sie Kontakt auf — wir analysieren gemeinsam, was angepasst werden muss.