Israel gilt als wichtiger globaler Akteur und Vorreiter bei Innovationen im Bereich der Cybersicherheit, insbesondere in Bereichen wie KI-Sicherheit, Cloud-Schutz und Bedrohungsanalyse. Es war daher nur folgerichtig, dass Israel eine neue Phase seiner Datenschutzgesetze einleitet. Israel hat die Gesetz zum Schutz der Privatsphäre, 5741-1981, die eine vollständige Überarbeitung des Datenschutzrahmens darstellt. Die Reform unterstreicht Israels Engagement, sich an globale Datenschutznormen anzupassen und gleichzeitig seinen eigenständigen Regulierungsansatz mit einem verstärkten Schwerpunkt auf Cybersicherheit beizubehalten.
Am 5. August 2024 verabschiedete die Knesset den Änderungsantrag Nr. 13, dessen meisten Bestimmungen am 14. August 2025 in Kraft treten. Die Aktualisierung modernisiert Kerndefinitionen, fügt Governance-Verpflichtungen hinzu (wie die Ernennung eines Datenschutzbeauftragten in bestimmten Fällen), stärkt die Transparenz, führt Anforderungen an Datenbroker ein und erweitert die Befugnisse der Datenschutzbehörde (PPA) zu untersuchen, durchzusetzen und Geldbußen zu verhängen, was einen Wandel hin zu proaktivem Datenschutz und Governance im Einklang mit den gesetzlichen Anforderungen signalisiert.
Änderungsantrag 13 kommt zusammen mit einem separaten Europäischer Wirtschaftsraum (EWR) Datenübertragungsregelung, die ab 2025 für israelische Datenbanken gilt, die auch Daten aus dem EWR enthalten, und die diesen gemischten Datenbanken erweiterte Rechte und Pflichten auferlegt.
Bahnbrechende Datenschutzreform
Das israelische Datenschutzgesetz, das erstmals 1981 in Kraft trat, wurde über Jahrzehnte hinweg schrittweise geändert. Änderungsantrag 13 stellt die bislang umfassendste Reform dar. Er bringt frühere Aktualisierungen in Einklang, führt moderne Rechtsdefinitionen ein und schafft neue Mechanismen für proaktive Überwachung, Kontrolle und administrative Untersuchungen.
Die Gesetzgebung wurde in intensiven Konsultationen mit Rechtswissenschaftlern, der Zivilgesellschaft und führenden Vertretern der Branche erarbeitet. Das Ergebnis ist ein Rahmenwerk, das ein ausgewogenes Verhältnis zwischen Innovation und Schutz individueller Rechte schafft. Gleichzeitig soll die Datenschutzbehörde (PPA) mit dem Mandat und den Instrumenten ausgestattet werden, die Einhaltung der Vorschriften wirksamer als je zuvor durchzusetzen.
Neue Aktualisierungen durch Änderungsantrag 13
Umfassendere Datendefinitionen
personenbezogene Daten umfasst nun alle Daten über eine identifizierte oder identifizierbare Person (unter „angemessenem Aufwand“) und Verarbeitung ist weit gefasst (jeder Vorgang mit personenbezogenen Daten). Kategorien von besonders sensible Daten werden präzisiert und erweitert.
Pflicht zur Bestellung eines Datenschutzbeauftragten
Organisationen, die bestimmte Schwellenwerte erreichen – beispielsweise die Verarbeitung sensibler Daten im großen Stil, eine systematische Überwachung oder die Tätigkeit als Behörden oder Datenbroker – sind nun verpflichtet, einen qualifizierten Datenschutzbeauftragten (PPO) zu ernennen.
Diese Rolle muss unabhängig sein, direkt der Geschäftsleitung unterstellt sein und eine einzigartige Mischung aus Fachwissen mitbringen: juristisches Wissen, Kenntnisse in IT und Cybersicherheit sowie ein tiefes Verständnis der Abläufe im Unternehmen.
Das PPA hat die wichtigsten Erwartungen klargestellt: Personen mit Entscheidungsbefugnis können nicht als PPO fungieren, und die Rolle muss von der des Chief Information Security Officer getrennt bleiben, um Interessenkonflikte zu vermeiden.
Über die Aufsicht über die Datenverarbeitung hinaus muss der PPO aktiv in alle Angelegenheiten im Zusammenhang mit dem Datenschutz eingebunden werden und über einen garantierten Zugriff auf die Ressourcen verfügen, die er zur wirksamen Erfüllung seines Auftrags benötigt.
Erweiterte Transparenz und Hinweise
Organisationen sind verpflichtet, transparente und leicht verständliche Informationen darüber bereitzustellen, welche Daten erhoben werden, warum sie verarbeitet werden und wer Zugang Beim Umgang mit sensiblen Datenkategorien – insbesondere biometrischen Daten oder Informationen, die in KI-Systemen verwendet werden – gelten zusätzliche Offenlegungsregeln, um eine erhöhte Rechenschaftspflicht zu gewährleisten.
Die Einwilligung muss aussagekräftig sein: informiert, freiwillig und in den meisten Fällen ausdrücklich. Dies gilt insbesondere für die Verarbeitung sensibler Daten und Direktmarketing. Die Leitlinien des PPA machen deutlich, dass Organisationen detaillierte Einwilligungsoptionen anbieten, vage oder gebündelte Einwilligungen vermeiden und sicherstellen müssen, dass Einzelpersonen wirklich freie Entscheidungen treffen können.
Das PPA betont, dass diese Zustimmungsanforderungen verbindliche Verpflichtungen und keine Empfehlungen sind. Das bedeutet, dass Unternehmen klare Opt-in-Mechanismen implementieren, vollständige Transparenz über die Verwendung der Daten gewährleisten und überprüfbare Aufzeichnungen über die Einholung und Verwaltung der Zustimmung führen müssen.
Datenhändler unter der Lupe
Unternehmen, die Datenhandel betreiben oder Direktwerbung betreiben, sind verpflichtet, ihre Datenbanken formal zu registrieren und detaillierte Aufzeichnungen über Datenquellen und -übertragungen zu führen. Sie müssen außerdem Opt-out-Anfragen berücksichtigen, indem sie sicherstellen, dass alle Mitteilungen die Registrierungsnummer der Datenbank sowie klare Anweisungen zur Löschung enthalten.
Die Nichterfüllung dieser Anforderungen kann zu Verwaltungsmaßnahmen, einschließlich Verwarnungen oder Geldstrafen, führen.
KI und Datenschutzaufsicht
Das PPA macht deutlich, dass die Verarbeitung personenbezogener Daten durch künstliche Intelligenz nicht unreguliert bleiben wird. Von Organisationen wird erwartet, die Risiken automatisierter Entscheidungsfindung zu bewerten, Transparenz zu wahren und Schutzmaßnahmen zu schaffen, um Voreingenommenheit und Diskriminierung zu reduzieren. Diese Maßnahmen entsprechen internationalen Trends und unterstreichen Israels bewussten, aber zukunftsorientierten Ansatz. KI-Governance.
In seinen Leitlinien unterstreicht die Regulierungsbehörde die Grundsätze der Erklärbarkeit, Fairness und Rechenschaftspflicht bei algorithmischen Operationen. Um die Vorschriften einzuhalten, müssen Unternehmen ihre KI-Systeme dokumentieren. Folgenabschätzungen durchführenund proaktive Governance demonstrieren. Zusammen stellen diese Anforderungen einen entscheidenden Schritt zur Verankerung von Vertrauen und Verantwortung in KI-gesteuerte Verarbeitung.
Verwalten von Lieferantenrisiken
Bevor die Verantwortlichen externe Auftragsverarbeiter beauftragen, müssen sie ihre Datenschutz- und Cybersicherheitspraktiken bewerten, robuste Datenverarbeitungsvereinbarungen mit klaren Sicherheitsverpflichtungen abschließen und kontinuierlich überwachen Lieferantenkonformität. Auftragsverarbeiter sollten verpflichtet werden, jährliche Berichte über ihre Cybersicherheitsmaßnahmen und deren Umsetzung vorzulegen, um eine fortlaufende Rechenschaftspflicht und Risikominderung sicherzustellen.
Datenübertragungen und EWR
Gemäß den 2023 erlassenen Vorschriften zur Wahrung des Angemessenheitsstatus der Europäischen Kommission für israelische Datenschutzgesetze unterliegen personenbezogene Daten, die aus dem Europäischen Wirtschaftsraum (EWR) nach Israel übermittelt werden, zusätzlichen Compliance-Verpflichtungen. Verantwortliche müssen die Richtigkeit der Daten garantieren, strenge Aufbewahrungsfristen durchsetzenund klare Mechanismen für LöschanfragenBei Nichteinhaltung können Geldbußen verhängt werden, die individuell berechnet werden, wodurch sich die Risiken für Organisationen, die Daten aus dem EWR verarbeiten, deutlich erhöhen.
Verschärfte Sicherheits- und Compliance-Anforderungen
Organisationen, die große, sensible Datenbanken verwalten, sind verpflichtet, mindestens alle 18 Monate formelle Risikobewertungen und Penetrationstests durchzuführen. Die Ergebnisse müssen dokumentiert, die Sicherheitsverfahren aktualisiert und schwerwiegende Vorfälle umgehend der PPA gemeldet werden. Verstöße können zu Geldstrafen von bis zu 320.000 ILS pro Verstoß führen.
Die bestehenden Datenschutzbestimmungen (5777–2017) bleiben weiterhin uneingeschränkt anwendbar und werden in Kürze durch die erweiterten Durchsetzungsbefugnisse des PPA gemäß Änderung 13 verstärkt. Dies bedeutet, dass Unternehmen umfassende Sicherheitsvorkehrungen treffen müssen, darunter eine aktualisierte Dokumentation der Datenbankstruktur, detaillierte Zugriffskontrollprotokolle, Playbooks zur Reaktion auf Vorfälle, sichere Codierungspraktiken und eine starke Verschlüsselung sowohl für die Datenspeicherung als auch für die Datenübertragung.
Strengere Durchsetzung, Risiken und Strafen
Änderungsantrag 13 führt deutlich strengere Compliance-Regeln ein, deren Folgen weit über Reputationsschäden hinausgehen. Die israelische Datenschutzbehörde (PPA) erhält erweiterte Durchsetzungsbefugnisse und kann unter anderem Verwaltungsanordnungen erlassen, hohe Geldstrafen verhängen und Unterlassungsverfügungen erlassen. Die Geldstrafen können Millionen von Schekel erreichen, bei großen Datenbanken oder dem Umgang mit sensiblen Informationen sogar noch höher.
Unternehmen, die diesen Anforderungen nicht gerecht werden, müssen mit rechtlichen Konsequenzen auf mehreren Ebenen rechnen: Zivilklagen, Sammelklagen und sogar Strafanzeigen wegen Verstößen wie Vertraulichkeitsverletzungen, unbefugter Datenverarbeitung oder Irreführung von Aufsichtsbehörden. Gesetzliche Schadensersatzansprüche von bis zu 100.000 ILS können ohne Nachweis eines Schadens zugesprochen werden, und Gerichte können die Löschung unrechtmäßig erlangter Daten oder die Einschränkung der weiteren Verarbeitung anordnen. Compliance ist damit nicht nur eine gesetzliche Verpflichtung, sondern ein geschäftliches Gebot.
Benachrichtigung der PPA
Verantwortliche sind verpflichtet, die PPA über alle Datenbanken zu informieren, die sensible Daten von mehr als 100.000 Personen enthalten. Sie müssen außerdem ein formelles Datenbankdefinitionsdokument – das gesetzliche Äquivalent Israels zum Verzeichnis der Verarbeitungstätigkeiten der EU-DSGVO – sowie die Daten ihres ernannten Datenschutzbeauftragten (PPO) einreichen.
Auswirkungen im Alltag
Governance
Organisationen, die von Amendment 13 betroffen sind, müssen ihre internen Governance-Strukturen stärken. Dazu gehört die Ernennung eines Datenschutzbeauftragten (PPO), der unabhängig arbeitet, über ausreichend Budget verfügt und die Einhaltung der Vorschriften auf Führungsebene überwacht. Neben der Personalausstattung müssen Unternehmen betriebsinterne „Privacy-by-Design“-Praktiken verankern. Routinemäßige Richtlinien, Mitarbeiterschulungen und DPIA-ähnliche Überprüfungen werden zur Bewertung neuer Initiativen und Technologieimplementierungen obligatorisch.
Transparenz
Transparenzpflichten gehen weit über Standard-Datenschutzrichtlinien hinaus. Universitäten, Unternehmen und Start-ups müssen Datenerfassungsstellen, Anwendungen und Einwilligungsformulare mit klaren Angaben zu Zwecken der Datenverarbeitung, Rechten des Einzelnen, Datenempfängern und Aufbewahrungsfristen aktualisieren. Für sensible Daten, einschließlich Biometrie oder KI-gestützter Profilerstellung, gelten erweiterte Offenlegungsstandards. Dies erfordert von Unternehmen ein Umdenken im UX-Design und in der Kundenkommunikation, um sicherzustellen, dass Datenschutzinformationen sowohl zugänglich als auch umsetzbar sind.
Datenbroker-Compliance
Unternehmen, die im Datenhandel, der Profilanreicherung oder im Direktmailing tätig sind, werden verstärkt unter die Lupe genommen. Sie müssen möglicherweise Datenbanken registrieren, detaillierte Quell- und Übertragungsprotokolle führen und klare Opt-out- und Löschmechanismen bereitstellen. Von den Aufsichtsbehörden wird erwartet, dass sie Audits oder Inspektionen durchführen, um die Transparenz in der Datenlieferkette zu gewährleisten. Das bedeutet, dass sich Marketingteams, Listenanbieter und Drittanbieter-Aggregatoren auf ein Compliance-Regime einstellen müssen, das eher an die Finanz- oder Wertpapierregulierung erinnert, bei der eine vollständige Dokumentation nicht optional ist.
Regulatorisches Engagement
Die PPA erhält Durchsetzungsbefugnisse, die denen der großen europäischen Regulierungsbehörden entsprechen. Sie kann Bußgelder verhängen, Verarbeitungsaktivitäten aussetzen oder Unterlassungsverfügungen erlassen. Schwache interne Aufzeichnungen, mangelnde Transparenz sensibler Datenbanken oder die mangelnde Aktualität der Datenbankdokumentation bergen nun erhebliche finanzielle Risiken. Unternehmen, die Datenschutz bisher als rechtliche Formalität behandelten, müssen ein kontinuierliches operatives Monitoring aufbauen, um unerwartete Störungen zu vermeiden.
Rechtsstreitigkeiten
Über die Durchsetzung gesetzlicher Vorschriften hinaus sind Unternehmen einem wachsenden Risiko privater Rechtsstreitigkeiten ausgesetzt. Das Gesetz ermöglicht betroffenen Personen einfachere Entschädigungswege, darunter Schadensersatz ohne Schadensnachweis und erweiterte Sammelklagen. Zivilklagen, verbunden mit Reputationsschäden und steigenden Compliance-Kosten, machen Verstöße gegen die Compliance zu einem Multiplikatorrisiko statt zu einer Einzelstrafe. Unternehmen müssen sich auf das Prozessrisiko als zentralen Bestandteil ihrer Datenschutzstrategie vorbereiten, ähnlich wie die Produkthaftung in anderen Branchen.
Wie BigID bei den neuen Datenschutzupdates in Israel hilft
Die Novelle 13 des israelischen Datenschutzgesetzes führt umfassende Reformen in den Bereichen Governance, Rechenschaftspflicht, Sicherheit und Durchsetzung ein. Unternehmen müssen strengere Kontrollen für Datentransparenz, Datenschutz durch Technikgestaltung und Risikomanagement einführen. BigID bietet die Grundlage für Datenintelligenz, um diese Herausforderungen im großen Maßstab zu bewältigen.
Entdeckung und Klassifizierung von Daten
Das Gesetz verlangt von Organisationen eine klare Dokumentation ihrer Datenbanken, einschließlich sensibler Datenquellen, Verarbeitungszwecke und Aufbewahrung. BigID automatisch scannt, entdeckt und klassifiziert Persönliche und sensible Daten in strukturierten, unstrukturierten und Cloud-Umgebungen. Es erstellt genaue Dateninventare zur Unterstützung der PPA-Berichtsanforderungen, der Datenbankregistrierung und der Aufzeichnungen von Verarbeitungsaktivitäten.
Governance- und Datenschutzbeauftragte
Änderungsantrag 13 schreibt die Ernennung eines unabhängigen Datenschutzbeauftragten (PPO) vor, der die Aufsicht über alle Verarbeitungsaktivitäten übernimmt und Einblick in diese hat. BigID bietet ein Geschäftsglossar und Datenübersichts-Dashboard Dadurch steht PPOs eine zentrale Anlaufstelle zur Überwachung der Compliance, Durchsetzung von Richtlinien und Gewährleistung der Rechenschaftspflicht gegenüber der Geschäftsleitung zur Verfügung.
Zustimmung und Transparenz
Die Reform betont explizit, informierte Zustimmung, Transparenz der Hinweise und detaillierte Kontrolle über die Verwendung sensibler Daten. BigID verfolgt Betroffene Personen, Einwilligungsaufzeichnungen, Präferenzenund die Nutzung über verschiedene Anwendungen hinweg. Organisationen können eine Rechtsgrundlage für die Verarbeitung nachweisen, Opt-out-Anfragenund erstellen Sie offenlegungsreife Berichte, um die Transparenzanforderungen zu erfüllen.
Datensicherheit und Risikomanagement
Änderungsantrag 13 erfordert Risikobewertungen, Penetrationstests, Vorfallberichte und stärkere Sicherheitsvorkehrungen für sensible Daten. BigID bietet Risikobewertung und Richtlinienüberwachung, die anormale Zugriffe, die Offenlegung sensibler Daten oder Verstöße gegen Aufbewahrungsrichtlinien kennzeichnen. Die Integration mit SIEM/SOAR-Systemen verbessert die Reaktion auf Vorfälle und Bereitschaft zur Meldung von Verstößen.
Überwachung von Anbietern und Datenbrokern
Das Gesetz verpflichtet die Verantwortlichen, die Auftragsverarbeiter zu überprüfen, die Einhaltung der Vorschriften zu überwachen und sicherzustellen, dass die Datenhändler genaue Aufzeichnungen führen und Opt-outs respektieren. BigID liefert Einblicke in den Datenaustausch mit Drittanbietern und unterstützt Unternehmen überwachen, wer Zugriff auf welche Daten hat, erzwingen Sie Datenminimierung und stellen Sie den Aufsichtsbehörden überprüfbare Protokolle zur Verfügung.
Regulatorische Bereitschaft und Prozessverteidigung
Mit neuen Verwaltungsbefugnissen kann die PPA Geldbußen verhängen, die Bearbeitung aussetzen und Sammelklagen ermöglichen. BigID bietet sofort einsatzbereite Compliance-Berichte und Prüfpfade, wodurch regulatorische Unsicherheiten reduziert und im Falle eines Rechtsstreits Beweise bereitgestellt werden. Unternehmen können schnell Compliance-Dokumente erstellen, um Aufsichtsbehörden oder Gerichte zufriedenzustellen.
BigID unterstützt Sie bei der Einhaltung von Datenintelligenz und Automatisierung, die gesetzliche Verpflichtungen in wiederholbare Vorgänge umwandelt. Buchen Sie noch heute eine Demo!
Autor
