Website besuchen
← Zurück zum Blog

Datenschutzrichtlinien Bosnien: Anleitung 2026

4. Juni 2026
Datenschutzrichtlinien Bosnien: Anleitung 2026

TL;DR:

  • Das bosnische Datenschutzgesetz ist seit März 2025 in Kraft und basiert weitgehend auf der EU-DSGVO. Es fordert Unternehmen zu umfangreicher Dokumentation, der Benennung eines funktionalen DPO sowie der Einhaltung lokaler Formalitäten auf. Verstöße können mit bis zu 40 Millionen KM oder 4 % des Umsatzes sanktioniert werden.

Das bosnische Datenschutzgesetz (Law on the Protection of Personal Data of BiH) ist am 8. März 2025 in Kraft getreten und verpflichtet internationale Unternehmen zur sofortigen Anpassung ihrer Prozesse, Dokumentation und Datenschutzpolitik. Wer als Compliance-Manager oder Unternehmer die Datenschutzrichtlinien Bosnien Anleitung sucht, muss verstehen: Das Gesetz orientiert sich weitgehend an der EU-DSGVO, enthält aber spezifische lokale Formvorschriften, die eine bloße Kopie europäischer Vorlagen unzureichend machen. Bußgelder reichen bis zu 40 Millionen KM oder 4 % des Jahresumsatzes. Das macht Datenschutz-Compliance in Bosnien und Herzegowina zu einer geschäftskritischen Priorität.

Welche gesetzlichen Grundlagen gelten für Datenschutz in Bosnien?

Das neue Datenschutzgesetz BiH wurde am 30. Januar 2025 verabschiedet und im Amtsblatt unter der Nummer 12/25 veröffentlicht. Es trat am 8. März 2025 in Kraft und ersetzt das bisherige Datenschutzrecht vollständig. Für internationale Unternehmen bedeutet das: Alle bestehenden Datenschutzprozesse müssen auf die neuen Anforderungen geprüft und angepasst werden.

Das Gesetz stärkt die Verantwortlichkeit und Transparenz der Datenschutzbehörde in Bosnien erheblich. Die Aufsichtsbehörde erhält erweiterte Durchsetzungsbefugnisse, einschließlich des Rechts auf Vor-Ort-Prüfungen und der Verhängung empfindlicher Sanktionen. Diese Erweiterung ist kein formales Detail, sondern ein klares Signal, dass die Behörde aktiv kontrollieren wird.

Die zentralen Pflichten für Unternehmen umfassen folgende Bereiche:

  • Datenschutzpolitik: Veröffentlichung einer vollständigen Datenschutzerklärung auf der Website, mit Nennung des Verantwortlichen, Datenkategorien, Speicherdauern und Datenübermittlungen
  • Datenschutzbeauftragter (DPO): Benennung einer Funktion als Kontaktstelle, nicht zwingend einer namentlich genannten Person
  • Verarbeitungsverzeichnis: Dokumentation aller Datenverarbeitungsvorgänge mit Rechtsgrundlage und Zweck
  • Betroffenenrechte: Einrichtung von Prozessen für Auskunft, Berichtigung, Löschung und Datenübertragbarkeit
  • Datenpannen: Meldepflicht bei Sicherheitsvorfällen gegenüber der Behörde und betroffenen Personen

Betroffene Personen erhalten durch das neue Gesetz deutlich gestärkte Rechte. Sie können Auskunft über gespeicherte Daten verlangen, Widerspruch einlegen und bei Verstößen direkt Beschwerde bei der Datenschutzbehörde einreichen. Für Unternehmen bedeutet das: Reaktionsprozesse müssen klar definiert und innerhalb gesetzlicher Fristen umsetzbar sein.

Wie setze ich die Datenschutzrichtlinien in Bosnien praktisch um?

Die operative Umsetzung der DSGVO-Logik in BiH erfordert standardisierte Sicherheitsmaßnahmen, Prozesse und Verzeichnisse. Eine strukturierte Vorgehensweise verhindert, dass Unternehmen wichtige Pflichten übersehen und später mit Nachbesserungen unter Zeitdruck arbeiten müssen. Vucic empfiehlt folgenden Schritt-für-Schritt-Ansatz:

Das Team bespricht gemeinsam die Richtlinien zum Datenschutz.

Schritt 1: Datenschutzpolitik erstellen und veröffentlichen

Die Datenschutzerklärung muss auf der Unternehmenswebsite gut sichtbar zugänglich sein. Sie enthält den vollständigen Namen und die Kontaktdaten des Verantwortlichen, eine präzise Beschreibung der verarbeiteten Datenkategorien, die jeweiligen Rechtsgrundlagen, Speicherdauern sowie Angaben zu Datenübermittlungen ins Ausland. Eine DSGVO-konforme Vorlage aus Deutschland oder Österreich reicht nicht aus, da BiH-spezifische Formalitäten zusätzliche Pflichtangaben verlangen.

Schritt 2: Datenschutzbeauftragten benennen

Organisationen müssen eine DPO-Funktion benennen, wobei die Funktion, nicht der Name der Person, öffentlich kommuniziert wird. Das schützt die Kontinuität bei Personalwechseln. Praktisch bedeutet das: Eine dedizierte E-Mail-Adresse wie datenschutz@unternehmen.ba wird eingerichtet, und alle internen Prozesse sind an diese Funktion geknüpft, nicht an eine Einzelperson.

Schritt 3: Verarbeitungsverzeichnis führen

Das Verzeichnis dokumentiert jeden Verarbeitungsvorgang mit Zweck, Rechtsgrundlage, Datenkategorien, Empfängern und Speicherdauer. Dieses Dokument ist das zentrale Nachweisinstrument gegenüber der Behörde. Unternehmen, die bereits ein DSGVO-Verzeichnis führen, können dieses als Ausgangspunkt nutzen, müssen es aber auf BiH-Anforderungen anpassen.

Schritt 4: Prozesse für Betroffenenrechte einrichten

Schritt-für-Schritt-Anleitung als Infografik: Fünf praktische Etappen zur Umsetzung

Betroffene können Auskunftsanfragen, Löschanträge oder Widersprüche einreichen. Unternehmen brauchen klare interne Abläufe, wer diese Anfragen entgegennimmt, bearbeitet und innerhalb welcher Frist antwortet. Ohne definierte Prozesse entstehen Verzögerungen, die direkt zu Beschwerden bei der Behörde führen.

Schritt 5: Datenpannen-Management aufbauen

Bei einem Sicherheitsvorfall gilt eine gesetzliche Meldepflicht. Unternehmen müssen intern festlegen, wer einen Vorfall erkennt, bewertet und meldet. Ein einfaches Protokoll, das Erkennung, Bewertung, Meldung und Dokumentation abdeckt, reicht für die meisten mittelgroßen Unternehmen aus.

Profi-Tipp: Richten Sie eine funktionsbezogene E-Mail-Adresse für den Datenschutzbeauftragten ein und verknüpfen Sie alle DPO-Prozesse mit dieser Adresse. So bleibt die Compliance-Kontinuität auch bei Personalwechseln gewährleistet, ohne dass die Datenschutzerklärung jedes Mal aktualisiert werden muss.

Der gesamte Datenschutzprozess umfasst End-to-End-Umsetzung von Prinzipien über Governance bis zu Maßnahmen bei Datenschutzverletzungen. Unternehmen, die diesen Prozess als einmaligen Aufwand betrachten, unterschätzen den laufenden Pflegebedarf.

Welche Compliance-Risiken und häufigen Fehler sollten Unternehmen vermeiden?

Die größten Risiken entstehen nicht durch bösen Willen, sondern durch strukturelle Lücken in der Umsetzung. Vucic beobachtet in der Praxis wiederkehrende Fehler, die internationale Unternehmen besonders häufig machen:

  • Unvollständige Datenschutzerklärungen: Fehlende Angaben zu Speicherdauern, Datenübermittlungen oder Rechtsgrundlagen sind der häufigste Mangel. Die Behörde prüft diese Dokumente aktiv.
  • DPO als Namensnennungsfehler: Unternehmen nennen den Namen einer Person statt der Funktion. Bei Personalwechsel entsteht sofort eine Compliance-Lücke, die Bußgelder auslösen kann.
  • Fehlende Regelungen für grenzüberschreitende Transfers: Beim IT-Outsourcing nach Bosnien müssen Standardvertragsklauseln und strikte Datenschutzvorgaben dokumentiert werden. Viele Unternehmen übersehen diese Pflicht bei Cloud-Diensten oder externen Dienstleistern.
  • Mangelhafte Behandlung sensibler Daten: Biometrische Daten, Gesundheitsdaten und andere besondere Datenkategorien unterliegen erhöhten Anforderungen. Unternehmen, die solche Daten verarbeiten, ohne eine Datenschutz-Folgenabschätzung durchzuführen, riskieren empfindliche Sanktionen.
  • Kein funktionierendes Datenpannen-Management: Ohne definierten Prozess wird ein Sicherheitsvorfall zu spät erkannt oder zu spät gemeldet. Beide Fehler sind meldepflichtig und sanktionierbar.

„Die hoch angesetzten Bußgelder bis 40 Millionen KM nutzen die DSGVO als Vorbild. Deshalb ist systematische Compliance-Dokumentation keine Option, sondern Pflicht."

Ein weiteres unterschätztes Risiko ist die Reaktionszeit bei Betroffenenanfragen. Unternehmen, die keine klaren Zuständigkeiten definiert haben, überschreiten gesetzliche Fristen. Das löst Beschwerden aus, die die Behörde dann formal prüfen muss. Die direkte Kommunikation mit dem Verantwortlichen vor einer Behördenbeschwerde ist oft der schnellere und effektivere Weg zur Problemlösung. Das setzt aber voraus, dass Unternehmen erreichbar und reaktionsfähig sind.

Wie unterscheiden sich die Datenschutzvorgaben in Bosnien von der EU-DSGVO?

Das neue Datenschutzgesetz BiH adaptiert weitgehend die DSGVO, verlangt aber besondere lokale Formalitäten und Dokumentationspflichten, die internationale Unternehmen gesondert berücksichtigen müssen. Wer bereits DSGVO-konform aufgestellt ist, hat einen klaren Vorteil, aber keinen vollständigen Freifahrtschein.

BereichEU-DSGVODatenschutzgesetz BiH
GrundprinzipienZweckbindung, Datensparsamkeit, TransparenzIdentisch, vollständig übernommen
DPO-BenennungPflicht für bestimmte KategorienPflicht mit Fokus auf Funktion, nicht Person
BußgelderBis 20 Mio. EUR oder 4 % UmsatzBis 40 Mio. KM oder 4 % Umsatz
Lokale FormvorschriftenStandardisiert in der EUSpezifische BiH-Pflichtangaben in Datenschutzerklärungen
AufsichtsbehördeNationale DatenschutzbehördenAgencija za zaštitu ličnih podataka BiH
Grenzüberschreitende TransfersStandardvertragsklauseln, AngemessenheitsbeschlüsseStandardvertragsklauseln, strenge Dokumentationspflicht

Der entscheidende Unterschied liegt in den lokalen Formvorschriften. Eine DSGVO-konforme Datenschutzerklärung erfüllt die inhaltlichen Anforderungen, aber nicht zwingend die spezifischen Bekanntmachungspflichten nach bosnischem Recht. Unternehmen müssen ihre bestehenden Dokumente gezielt auf BiH-Anforderungen prüfen und anpassen. Weitere regulatorische Anforderungen für 2026 zeigen, dass Datenschutz nur ein Teil eines umfassenderen Compliance-Rahmens ist.

Für grenzüberschreitende Datenverarbeitung gilt: Bosnien ist kein EU-Mitgliedstaat, weshalb Datentransfers aus der EU nach Bosnien gesondert abgesichert werden müssen. Standardvertragsklauseln sind das gängige Instrument, müssen aber vollständig dokumentiert und im Verarbeitungsverzeichnis erfasst sein. Unternehmen, die Cloud-Dienste nutzen oder Daten zwischen EU-Standorten und Bosnien übertragen, sollten diese Transfers systematisch erfassen und rechtlich absichern.

Wichtigste Erkenntnisse

Das bosnische Datenschutzgesetz 2025 verlangt von internationalen Unternehmen eine strukturierte Umsetzung aus Datenschutzpolitik, DPO-Funktion, Verarbeitungsverzeichnis und Meldeprozessen, wobei DSGVO-Konformität allein nicht ausreicht.

PunktDetails
Gesetz seit März 2025Das BiH-Datenschutzgesetz gilt seit dem 8. März 2025 und ersetzt das bisherige Recht vollständig.
Bußgelder bis 40 Mio. KMSanktionen reichen bis zu 40 Millionen KM oder 4 % des Jahresumsatzes bei schweren Verstößen.
DPO als Funktion benennenDie Kontaktstelle ist als Funktion zu kommunizieren, nicht als namentliche Person, um Kontinuität zu sichern.
DSGVO-Basis reicht nicht ausLokale BiH-Formvorschriften erfordern gezielte Anpassungen bestehender DSGVO-Dokumente.
Grenzüberschreitende Transfers absichernDatentransfers zwischen EU und Bosnien müssen durch Standardvertragsklauseln und Dokumentation abgesichert sein.

Datenschutz in Bosnien: Was ich nach Jahren Beratungspraxis gelernt habe

Viele internationale Unternehmen kommen zu uns mit einer fertigen DSGVO-Dokumentation und der Erwartung, dass diese in Bosnien einfach übernommen werden kann. Das ist verständlich, aber falsch. Das bosnische Datenschutzgesetz ist strukturell der DSGVO sehr ähnlich, aber die lokalen Formalitäten sind keine Kleinigkeit. Eine fehlende Pflichtangabe in der Datenschutzerklärung oder eine falsch konfigurierte DPO-Funktion kann direkt zu einer Beschwerde bei der Agencija za zaštitu ličnih podataka BiH führen.

Was ich in der Praxis immer wieder beobachte: Unternehmen unterschätzen den Dokumentationsaufwand. Das Verarbeitungsverzeichnis wird als lästige Pflicht behandelt, nicht als strategisches Instrument. Dabei ist es das erste Dokument, das eine Behörde bei einer Prüfung anfordert. Wer es nicht hat oder es unvollständig führt, signalisiert der Behörde sofort, dass die gesamte Compliance-Struktur fragwürdig ist.

Mein klarer Rat: Behandeln Sie Datenschutz-Compliance als laufenden Prozess, nicht als einmaliges Projekt. Gesetze ändern sich, Behördenerwartungen entwickeln sich, und Ihr Unternehmen wächst. Was heute ausreicht, kann in zwei Jahren unvollständig sein. Wer jetzt eine solide Grundstruktur aufbaut, hat bei zukünftigen Anpassungen deutlich weniger Aufwand. Und wer die Zusammenarbeit mit der lokalen Datenschutzbehörde proaktiv sucht, statt sie zu vermeiden, schafft Vertrauen, das im Ernstfall zählt.

Mehr zu den Pflichten und Chancen für Unternehmen beim Datenschutz in Bosnien finden Sie in unserem ausführlichen Überblick.

— Franjo

Vucic unterstützt internationale Unternehmen und Compliance-Manager bei der vollständigen Umsetzung des bosnischen Datenschutzgesetzes. Das umfasst die Erstellung und Anpassung von Datenschutzerklärungen nach BiH-Anforderungen, die rechtskonforme Einrichtung der DPO-Funktion, die Strukturierung von Verarbeitungsverzeichnissen sowie die Absicherung grenzüberschreitender Datentransfers durch Standardvertragsklauseln.

https://vucic.legal

Unternehmen, die bereits DSGVO-konform aufgestellt sind, profitieren von einer gezielten Gap-Analyse, die genau zeigt, wo lokale BiH-Anforderungen zusätzliche Maßnahmen erfordern. Vucic bietet spezialisierte Rechtsberatung für Unternehmen, die in Bosnien und Herzegowina tätig sind oder den Markteintritt planen. Für grenzüberschreitende Datenfragen steht auch die Beratung zu Cross-Border-Themen zur Verfügung.

FAQ

Was ist das Datenschutzgesetz in Bosnien und Herzegowina?

Das bosnische Datenschutzgesetz (Law on the Protection of Personal Data of BiH) trat am 8. März 2025 in Kraft und orientiert sich strukturell an der EU-DSGVO. Es regelt die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden in Bosnien und Herzegowina.

Wie hoch sind die Bußgelder bei Datenschutzverstößen in Bosnien?

Bußgelder reichen von 10.000 bis zu 40 Millionen KM oder 4 % des Jahresumsatzes, je nach Schwere des Verstoßes. Diese Sanktionshöhe entspricht dem DSGVO-Modell und macht Datenschutz-Compliance geschäftskritisch.

Muss ein Unternehmen in Bosnien einen Datenschutzbeauftragten benennen?

Ja, Unternehmen müssen eine DPO-Funktion benennen und die Kontaktdaten dieser Funktion in der Datenschutzerklärung veröffentlichen. Der Name der verantwortlichen Person muss dabei nicht öffentlich genannt werden.

Reicht eine DSGVO-konforme Datenschutzerklärung für Bosnien aus?

Nein. Das bosnische Datenschutzgesetz enthält spezifische lokale Formvorschriften und Pflichtangaben, die über die DSGVO-Anforderungen hinausgehen. Bestehende DSGVO-Dokumente müssen gezielt auf BiH-Anforderungen geprüft und angepasst werden.

Was gilt bei grenzüberschreitenden Datentransfers zwischen der EU und Bosnien?

Da Bosnien kein EU-Mitgliedstaat ist, müssen Datentransfers aus der EU nach Bosnien durch Standardvertragsklauseln abgesichert und vollständig dokumentiert werden. Fehlende Dokumentation gilt als Verstoß und kann Bußgelder auslösen.

Empfehlung