Skip to main content Skip to page footer
main logo
main logo
Suchen
    /
  • Aktuelles
  • / Ähnlich wie die GDPR-Datenschutzbestimmungen. Pt. 1

AKTUELLES

Ähnlich wie die GDPR-Datenschutzbestimmungen. Pt. 1

Die Datenschutz-Grundverordnung hat viele Länder dazu inspiriert, ihre Vorschriften zu verschärfen und diente als Maßstab.

In den letzten Jahren sind viele verschiedene Datenschutzgesetze entstanden. Der Stein, der in diesem Bereich einen massiven Welleneffekt auslöste, war die GDPR - General Data Protection Regulation - die EU-Verordnung, die zum Maßstab für alle Mitgliedsstaaten und über die EU hinaus wurde.

Es ist erwähnenswert, dass die GDPR auch im Europäischen Wirtschaftsraum (EWR) gilt, zu dem neben den EU-Mitgliedstaaten auch Island, Liechtenstein und Norwegen gehören. Diese Länder setzen die GDPR als Teil ihrer EWR-Verpflichtungen vollständig um und sorgen für nahtlose Datenschutzvorschriften und den freien Fluss personenbezogener Daten innerhalb des EWR.

Die Europäische Kommission erkennt den Datenschutz in Andorra, Argentinien, Kanada (kommerzielle Organisationen), den Färöer-Inseln, Guernsey, Israel, der Isle of Man, Japan, Jersey, Neuseeland, der Republik Korea, der Schweiz, dem Vereinigten Königreich, den USA (kommerzielle Organisationen, die am EU-US-Datenschutzrahmen teilnehmen) und Uruguay als angemessen an (die Datenschutz-Grundverordnung verlangt von diesen Ländern beispielsweise keine Anpassung der Datenschutzgarantien im Falle einer Datenübermittlung).

Die Datenschutzregelungen in den Angemessenheitsländern können entweder Zwillinge der GDPR sein oder sich erheblich davon unterscheiden.

Das Schweizer Pendant zur GDPR ist das Bundesgesetz über den Datenschutz (DSG), dessen revidierte Fassung mit der GDPR übereinstimmt. Sie unterscheiden sich jedoch aufgrund einiger Auslegungen und Unterschiede in den Verwaltungssystemen der Schweiz und der Europäischen Union. Einen Vergleich finden Sie in unserem Artikel.

Es gibt viele andere Länder, die sehr ähnliche Vorschriften wie die GDPR eingeführt haben, was den weltweiten Trend zu strengeren Datenschutzgesetzen widerspiegelt, die von der GDPR inspiriert sind, aber jedes Land hat einzigartige Elemente, die auf sein Rechtssystem und seinen kulturellen Kontext zugeschnitten sind. Zu den wichtigsten Unterschieden gehören häufig der Anwendungsbereich, die Definitionen personenbezogener Daten, die Durchsetzungsmechanismen und die spezifischen Verpflichtungen für Organisationen.

Heute werden wir uns mit der ersten Gruppe von Verordnungen befassen, nämlich:

1. Angemessener Datenschutz und sehr ähnlich wie die GDPR

Schweiz

Verordnung: Bundesgesetz über den Datenschutz (DSG) 

Ähnlichkeiten:

Das schweizerische DSG lehnt sich eng an die Grundsätze der GDPR an, indem es die Zustimmung zur Datenverarbeitung verlangt und die Rechte der betroffenen Personen wie Zugang, Berichtigung und Löschung personenbezogener Daten schützt. Wie die GDPR sieht auch sie strenge Beschränkungen für grenzüberschreitende Datenübertragungen vor, um sicherzustellen, dass personenbezogene Daten, die ins Ausland übermittelt werden, angemessen geschützt sind. Darüber hinaus betont das DSG die Rechenschaftspflicht* und verlangt von den Organisationen, Sicherheitsmaßnahmen zu ergreifen und die Einhaltung der Datenschutzgesetze zu gewährleisten.

Rechenschaftspflicht im Rahmen der GDPR bedeutet, dass Organisationen (für die Datenverarbeitung Verantwortliche) für die Einhaltung der Grundsätze der GDPR für die Verarbeitung personenbezogener Daten verantwortlich sind und in der Lage sein müssen, ihre Einhaltung nachzuweisen. Sie übernehmen die Verantwortung für den Datenschutz, indem sie den Schutz der Privatsphäre in ihrer Kultur und ihren Arbeitsabläufen verankern.

Unterschiede:

Im Gegensatz zur GDPR, die einen breiten extraterritorialen Geltungsbereich hat, der die Datenverarbeitung von in der EU ansässigen Personen weltweit abdeckt, konzentriert sich das DSG in erster Linie auf Datenverarbeitungsaktivitäten innerhalb der Schweiz. Dies bedeutet, dass die Reichweite für ausländische Unternehmen geringer ist. Außerdem sind die Strafen bei Nichteinhaltung der DSGV weniger streng (bis zu 250 000 CHF) als die hohen Bußgelder der GDPR, die bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes betragen können.

Vereinigtes Königreich 

Verordnung: UK GDPR und Data Protection Act 2018 

Ähnlichkeiten: 

Die britische Datenschutz-Grundverordnung ist nahezu identisch mit der EU-Grundverordnung und enthält dieselben Grundprinzipien wie die Rechte der betroffenen Personen (z. B. Auskunft, Berichtigung und Löschung), Rechenschaftspflicht und Sicherheitsmaßnahmen. Sie setzt strenge Anforderungen an die Einwilligung durch und gewährleistet, dass die Datenverarbeitung rechtmäßig und transparent ist. Die Transparenzverpflichtungen bleiben ein Eckpfeiler und erfordern klare Datenschutzhinweise, die den Einzelnen darüber informieren, wie seine Daten verwendet und geschützt werden. 

Unterschiede: 

Nach dem Brexit gilt die britische Datenschutz-Grundverordnung nun als eigenständiger Rahmen unter britischer Rechtsprechung, obwohl sie ursprünglich eine direkte Kopie der EU-Grundverordnung war. Künftige Aktualisierungen oder politische Entscheidungen könnten zu Abweichungen führen, insbesondere wenn die britische Regierung Datenschutzreformen in Erwägung zieht, die den Befolgungsaufwand für Unternehmen verringern sollen. Darüber hinaus werden die Angemessenheitsbeschlüsse der EU regelmäßig überprüft, was sich auf die Datenströme auswirken könnte, wenn wesentliche Änderungen an der britischen Datenschutz-Grundverordnung vorgenommen werden.

Japan 

Verordnung: Gesetz über den Schutz personenbezogener Daten (Act on the Protection of Personal Information, APPI) 

Ähnlichkeiten: 

Japans APPI hat viele Grundsätze mit der GDPR gemeinsam, insbesondere in Bereichen wie der Datenminimierung, die Organisationen dazu verpflichtet, nur die für einen bestimmten Zweck erforderlichen Daten zu erheben und zu verarbeiten. Sie schreibt vor, dass erhebliche Datenschutzverletzungen gemeldet werden müssen, um Rechenschaftspflicht und Transparenz bei der Behandlung von Vorfällen zu gewährleisten. Die APPI schützt auch die Rechte der betroffenen Personen, wie z. B. das Recht auf Auskunft, Berichtigung und Löschung personenbezogener Daten, was mit der Betonung der GDPR auf der Befähigung des Einzelnen übereinstimmt.

Unterschiede: 

APPI definiert sensible Daten enger als die GDPR und konzentriert sich in erster Linie auf bestimmte Kategorien wie Gesundheit, Strafregister und sozialer Status, während die GDPR eine breitere Definition hat. Die Strafen im Rahmen des APPI sind vergleichsweise geringer, wobei Geldstrafen oder Reputationsschäden als primäre Durchsetzungsmechanismen dienen. Anders als die GDPR enthält die APPI keine strengen Bestimmungen für die Ernennung von Datenschutzbeauftragten (DSB) und hat weniger strenge Anforderungen für die Aufbewahrung von Aufzeichnungen über Verarbeitungstätigkeiten.

Neuseeland

Verordnung: Datenschutzgesetz (Privacy Act) 2020 

Ähnlichkeiten: 

Das neuseeländische Datenschutzgesetz 2020 ähnelt der Datenschutz-Grundverordnung (GDPR), da es den Schwerpunkt auf die Rechenschaftspflicht legt und von Organisationen verlangt, die Verantwortung für die sichere und rechtmäßige Verwaltung personenbezogener Daten zu übernehmen. Es schreibt Benachrichtigungen über Datenschutzverletzungen vor und stellt sicher, dass Einzelpersonen und Behörden über erhebliche Datenschutzverletzungen informiert werden. Außerdem werden Beschränkungen für die grenzüberschreitende Datenübermittlung eingeführt, so dass Organisationen sicherstellen müssen, dass personenbezogene Daten, die ins Ausland übermittelt werden, angemessen geschützt sind. Transparenz und „eingebauter Datenschutz“ sind Kernprinzipien, die Organisationen dazu ermutigen, Datenschutzaspekte in ihre Abläufe und ihre Kommunikation einzubeziehen.   

Unterschiede: 

Das Datenschutzgesetz hat einen engeren Anwendungsbereich als die Datenschutz-Grundverordnung und gilt in erster Linie für Organisationen, die in Neuseeland ansässig oder dort tätig sind. Es bietet den betroffenen Personen keine spezifischen Rechte, wie z. B. das Recht auf Datenübertragbarkeit oder das Recht auf Vergessenwerden, die integrale Bestandteile der Datenschutz-Grundverordnung sind. Darüber hinaus sind die Strafen im Rahmen des Privacy Act mit maximal 10.000 NZD (ca. 5.500 €) wesentlich geringer, so dass die Durchsetzung im Vergleich zu den hohen Geldstrafen der GDPR weniger streng ist.

Israel

Verordnung: Gesetz zum Schutz der Privatsphäre (Privacy Protection Law , PPL) & Datenschutzbestimmungen (Privacy Protection Regulations) 

Ähnlichkeiten: 

Das israelische Datenschutzgesetz und seine Verordnungen teilen die Verpflichtung der Datenschutz-Grundverordnung zum Schutz personenbezogener Daten gemeinsam, indem sie von Organisationen verlangen, technische und organisatorische Maßnahmen zum Schutz dieser Daten zu ergreifen. Das Gesetz betont, wie wichtig es ist, eine informierte Zustimmung zur Datenverarbeitung einzuholen, um sicherzustellen, dass der Einzelne weiß, wie seine personenbezogenen Daten verwendet werden, und dass er dem zustimmt. Grenzüberschreitende Datenübertragungen sind streng geregelt und dürfen nur in Länder mit angemessenen Datenschutzmaßnahmen oder unter besonderen rechtlichen Garantien erfolgen. Die Rechenschaftspflicht ist ein zentrales Prinzip, das von den Organisationen verlangt, die Einhaltung der Datenschutzgesetze zu dokumentieren und nachzuweisen.   

Unterschiede: 

In der Datenschutz-Grundverordnung werden sensible Daten enger definiert als in der Datenschutz-Grundverordnung, wobei der Schwerpunkt auf Informationen wie Gesundheit, genetische Daten und Strafregisterauszüge gelegt wird, während die Datenschutz-Grundverordnung ein breiteres Spektrum an Datenkategorien umfasst, wie z. B. politische Meinungen und biometrische Daten. Anders als die GDPR verlangt die PPL nicht, dass Organisationen Datenschutzbeauftragte (DSB) ernennen, was den Regelungsaufwand verringert, aber auch die Aufsicht einschränken kann. Darüber hinaus sind die Durchsetzungsmechanismen und Sanktionen der PPL im Allgemeinen weniger streng als die hohen Geldstrafen und strengen Compliance-Anforderungen der Datenschutz-Grundverordnung.

Republik Korea (Südkorea)

Verordnung: Gesetz zum Schutz persönlicher Daten (Personal Information Protection Act, PIPA) 

Ähnlichkeiten: 

Das PIPA der Republik Korea ist eines der strengsten Datenschutzgesetze der Welt, das sich an den Grundsätzen der GDPR orientiert, wie z. B. der Einholung der ausdrücklichen Zustimmung zur Verarbeitung personenbezogener Daten, dem Schutz sensibler Daten und der Pflicht zur Meldung von Datenschutzverletzungen. Es setzt auch strenge Regeln für den grenzüberschreitenden Datentransfer durch, die von Empfängern in anderen Ländern einen mit dem PIPA vergleichbaren Schutz verlangen. Diese Maßnahmen unterstreichen das Engagement für einen soliden Datenschutz. 

Unterschiede: 

Das PIPA stellt strengere Anforderungen an die Lokalisierung bestimmter Datenkategorien, wie z. B. Finanzdaten, die im Land verbleiben müssen. Darüber hinaus sind die Strafen für Verstöße zwar erheblich, unterscheiden sich aber in Umfang und Schwere von den globalen, umsatzabhängigen Geldbußen der GDPR und spiegeln einen stärker lokalisierten Ansatz bei der Durchsetzung wider.

 

Die Angemessenheitsbeschlüsse der Europäischen Kommission stellen sicher, dass der Datenschutzrahmen eines Landes einen mit der GDPR vergleichbaren Schutz bietet. Datenübermittlungen in diese Länder erfordern keine zusätzlichen Maßnahmen wie Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR).

Im nächsten Artikel werden wir uns mit den folgenden Gruppen von Vorschriften befassen: Angemessener Datenschutz, aber anders als die GDPR und Nicht angemessener Datenschutz, aber ähnlich wie die GDPR.

 

Quellen:

GDPR

Adequacy decisions

DSG

UK GDPR: Link 1Link 2

 Japanisches  APPI

 Südkoreanisches PIPA

NZ Datenschutzgesetz

Israelische PPL: link 1link 2