DSGVO oder Gesetz 1.565? Was monegassische Unternehmen wirklich einhalten müssen

Zwei Regelwerke, ein Unternehmen

Die meisten Unternehmerinnen und Unternehmer in Monaco, mit denen wir sprechen, gehen davon aus, dass für sie die DSGVO gilt. Das ist nicht automatisch der Fall. Monaco ist kein EU-Mitgliedstaat, die DSGVO ist eine EU-Verordnung, und das Fürstentum hat ein eigenes Datenschutzgesetz: das Gesetz Nr. 1.565 vom 3. Dezember 2024, das von der APDP (Autorité de Protection des Données Personnelles) überwacht wird.

Doch die Sache ist komplexer. Viele monegassische Unternehmen müssen das Gesetz 1.565 und die DSGVO gleichzeitig anwenden — auf unterschiedliche Teile derselben Geschäftstätigkeit. Wer an Kunden in Frankreich verkauft, eine mehrsprachige Website auf Italien ausrichtet oder Daten bei einem französischen Cloud-Anbieter speichert, befindet sich im Geltungsbereich des EU-Rechts — ob bewusst oder nicht.

Dieser Artikel zeigt praxisnah, welches Regelwerk wann gilt und welche Konsequenzen sich daraus für Website, CRM und digitale Abläufe ergeben.

Wann das Gesetz 1.565 allein gilt

Das Gesetz 1.565 regelt die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten, die in Monaco niedergelassen sind. Wenn Ihr Unternehmen ausschließlich im Fürstentum tätig ist — Kunden in Monaco, in Monaco ansässige Mitarbeitende, in Monaco gehostete Infrastruktur und keinerlei Marketing für EU-Ansässige —, dann ist das Gesetz 1.565 Ihre Hauptpflicht und die APDP Ihre Aufsichtsbehörde.

Der Rahmen ist von europäischen Standards inspiriert. Er regelt die Rechtsgrundlage der Verarbeitung, die Rechte der Betroffenen, das Verzeichnis von Verarbeitungstätigkeiten, die Meldung von Datenpannen und die Bestellung eines Datenschutzbeauftragten für bestimmte Unternehmenskategorien. Wer mit der DSGVO vertraut ist, erkennt die Struktur sofort wieder.

Was nicht identisch ist, ist die Zuständigkeit. Die APDP setzt monegassisches Recht in Monaco durch. Beschwerden von in Monaco ansässigen Personen werden bei der APDP eingereicht, nicht bei einer französischen, italienischen oder deutschen Behörde. Ihre interne Dokumentation — Datenschutzhinweise, Einwilligungsnachweise, Verarbeitungsverzeichnis — muss das Gesetz 1.565 und die APDP nennen, nicht die DSGVO.

Wann die DSGVO zusätzlich zum Gesetz 1.565 gilt

Die DSGVO hat eine extraterritoriale Reichweite. Artikel 3 macht sie auf Unternehmen außerhalb der EU anwendbar, sobald diese:

• Personen in der EU Waren oder Dienstleistungen anbieten — auch kostenlos und auch ohne Bezahlung.
• Das Verhalten von Personen in der EU beobachten — typischerweise durch Analytics, Retargeting oder Profiling.

Für monegassische Unternehmen sind beide Tatbestände extrem häufig. Ein Restaurant in Monaco, das über seine Website Reservierungen von Gästen aus Frankreich annimmt, bietet eine Dienstleistung an Personen in der EU an. Ein Online-Shop, der nach Italien versendet, bietet Waren an. Eine Immobilienagentur, die Meta-Retargeting-Kampagnen auf europäische Käufer ausrichtet, beobachtet deren Verhalten.

Greift die DSGVO extraterritorial, müssen Sie sie zusätzlich zum Gesetz 1.565 erfüllen — und gegebenenfalls einen Vertreter in der EU nach Artikel 27 benennen. Das ist eine eigene Rechtsrolle, getrennt vom Datenschutzbeauftragten. Viele Unternehmen in Monaco haben das schlicht nicht eingerichtet, weil sie sich außerhalb des EU-Geltungsbereichs verorten.

In der Praxis beginnt das mit einer Datenschutz-Compliance und einer Prüfung sämtlicher Formulare, Tags und Drittanbieter-Integrationen Ihrer Website.

Grenzüberschreitende Datenübermittlungen: das stille Risiko

Selbst rein lokal arbeitende monegassische Unternehmen übertragen am Ende personenbezogene Daten über die Grenze hinaus. Die häufigsten Routen:

• Cloud- oder SaaS-Anbieter aus der EU — viele CRMs, E-Mail-Plattformen, Hosting-Dienste und Analytics-Werkzeuge werden aus Frankreich, Deutschland, Irland oder den Niederlanden betrieben.
• Grenzüberschreitendes Marketing — Meta, Google und LinkedIn verarbeiten Werbedaten über EU- und US-Infrastruktur.
• Zahlungsdienstleister — die meisten von monegassischen Händlern genutzten Anbieter operieren aus der EU oder dem EWR.

Das Gesetz 1.565 regelt internationale Datenübermittlungen, insbesondere in Länder ohne angemessenes Schutzniveau. Ohne Datenflusskarte lässt sich die Einhaltung dieser Regeln nicht nachweisen. Eine saubere Digitalstrategie behandelt diese Kartierung als Aufgabe der ersten Monate, nicht als jährliche Pflichtübung.

Auch Ihre Verträge spielen eine Rolle. Wenn Sie eine Drittanbieter-Plattform nutzen, die in Ihrem Auftrag personenbezogene Daten verarbeitet — CRM, Buchungssystem, E-Mail-Tool — brauchen Sie in der Regel einen Auftragsverarbeitungsvertrag und, je nach Übermittlungsweg, zusätzliche Garantien.

E-Commerce und mehrsprachige Websites: der Kipppunkt

E-Commerce ist der Bereich, in dem monegassische Unternehmen am häufigsten in den EU-Geltungsbereich rutschen. Wer nach Frankreich, Italien oder Deutschland liefert, unterliegt für diese Kundengeschäfte mit hoher Wahrscheinlichkeit sowohl dem Gesetz 1.565 als auch der DSGVO.

Das hat konkrete Folgen:

• Ihre Datenschutzerklärung sollte beide Regelwerke abdecken, nicht so tun, als gäbe es nur eines.
• Ihr Cookie-Banner muss EU-Standards entsprechen, wenn Sie EU-Ansässige ansprechen — die Ablehnung nicht notwendiger Cookies muss so einfach sein wie die Zustimmung.
• Anfragen zu Betroffenenrechten können nach beiden Rahmenwerken kommen, und Ihr Antwortprozess muss beides abdecken.

Bei E-Commerce-Services und mehrsprachigen Websites gehört Compliance in den Bau hinein. Cookie-Banner und Datenschutzseiten nach dem Launch nachzurüsten, ist regelmäßig teurer, als es von Anfang an richtig zu machen.

Häufige Fehler

Einige Muster wiederholen sich in unseren Audits:

• Aus französischen Vorlagen kopierte Datenschutzerklärungen, die auf CNIL und DSGVO verweisen — aber das Gesetz 1.565 und die APDP nicht erwähnen.
• Cookie-Banner, die theoretisch korrekt sind, aber Analytics- und Werbe-Pixel beim ersten Seitenaufruf trotzdem auslösen.
• Veraltete Verweise auf die CCIN — den Vorgänger der APDP — in Dokumenten, die längst hätten aktualisiert sein müssen.
• Kein Verarbeitungsverzeichnis, obwohl die Tätigkeit eines erfordert.
• Kein Vertreter in der EU, obwohl Artikel 27 DSGVO klar anwendbar ist.

Nichts davon ist schwer zu beheben. Teuer wird es, wenn eine Beschwerde eingereicht wird oder eine Kundin Auskunft verlangt und das Unternehmen keinen dokumentierten Prozess hat.

Hinweis zur Rechtsberatung

Dieser Artikel ist eine praktische Orientierung, keine Rechtsberatung. Das Gesetz 1.565 ist jung, die APDP baut ihre Praxis erst auf, und das Zusammenspiel mit der DSGVO hängt von Ihrer konkreten Situation ab. Für verbindliche Aussagen wenden Sie sich an eine qualifizierte Anwaltskanzlei mit Kenntnissen im monegassischen Recht und im EU-Datenschutz. Unsere Aufgabe ist es, Website, CRM und digitale Berührungspunkte in einen Zustand zu bringen, in dem Compliance operativ möglich ist — die rechtliche Auslegung gehört in juristische Hand.

Wo anfangen

Wenn Sie nicht sicher sind, ob Ihr Unternehmen nur dem Gesetz 1.565 oder zusätzlich der DSGVO unterliegt, ist der schnellste Weg ein Datenfluss-Audit: Listen Sie jedes digitale Werkzeug, das personenbezogene Daten berührt, prüfen Sie, wo jeweils verarbeitet und gespeichert wird, und sehen Sie sich die zugrunde liegenden Verträge an. Auf dieser Grundlage lassen sich Datenschutzerklärung, Cookie-Banner und DPO-Setup an der Realität ausrichten — nicht an Vermutungen.

BSS Digital Agency unterstützt monegassische Unternehmen dabei, Websites, E-Commerce-Plattformen und Marketingoperationen in einen Zustand zu bringen, in dem Compliance praktikabel und belegbar ist. Für eine strukturierte Bestandsaufnahme nehmen Sie Kontakt auf und wir setzen den Rahmen gemeinsam mit Ihnen.