AKTUELLES

Im ersten Teil des Artikels haben wir erfahren, dass die Europäische Kommission den Datenschutz in Andorra, Argentinien, Kanada, den Färöer-Inseln, Guernsey, Israel, der Isle of Man, Japan, Jersey, Neuseeland, der Republik Korea, der Schweiz, dem Vereinigten Königreich, den Vereinigten Staaten und Uruguay als angemessen (gleichwertig mit der GDPR) anerkennt. Darüber hinaus haben wir die Regelungen untersucht, die der Datenschutz-Grundverordnung am ähnlichsten sind und in den von der EU-Kommission genehmigten Ländern umgesetzt wurden.

Heute sind die beiden anderen Gruppen von Vorschriften an der Reihe.

2. Angemessener Datenschutz, aber anders als die Datenschutz-Grundverordnung

Argentinien

Verordnung: Gesetz zum Schutz personenbezogener Daten (Personal Data Protection Act, PDPA) 

Ähnlichkeiten: 

Das argentinische PDPA lehnt sich eng an die GDPR an, indem es die ausdrückliche Zustimmung zur Verarbeitung personenbezogener Daten vorschreibt, um sicherzustellen, dass die Betroffenen informiert sind und die Kontrolle über ihre Daten haben. Das Gesetz legt auch strenge Bedingungen für grenzüberschreitende Datenübertragungen fest und erlaubt solche Übertragungen nur in Länder mit einem angemessenen Schutzniveau. Darüber hinaus garantiert das PDPA den betroffenen Personen grundlegende Rechte, wie z. B. das Recht auf Auskunft, Berichtigung und Löschung, und spiegelt damit den Schwerpunkt der Datenschutz-Grundverordnung auf die Stärkung der Rechte des Einzelnen wider. 

Unterschiede: 

Das PDPA sieht im Vergleich zu den hohen Bußgeldern der GDPR, die bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes betragen können, geringere Strafen für Verstöße vor. Der Anwendungsbereich ist enger gefasst und konzentriert sich in erster Linie auf die inländische Datenverarbeitung ohne die extraterritoriale Reichweite der Datenschutz-Grundverordnung. Darüber hinaus gewährleistet das PDPA zwar den Datenschutz, doch fehlen ihm einige der modernen Bestimmungen der Datenschutz-Grundverordnung, wie z. B. die detaillierten Anforderungen an die Rechenschaftspflicht und die Datenübertragbarkeit. Es werden Aktualisierungen erwogen, um das Gesetz besser mit der GDPR in Einklang zu bringen.

Kanada (Kommerzielle Organisationen) 

Verordnung: Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (Personal Information Protection and Electronic Documents Act, PIPEDA) 

Ähnlichkeiten: 

PIPEDA entspricht der GDPR, indem es die Rechte der betroffenen Personen sicherstellt, wie z. B. die Möglichkeit, auf personenbezogene Daten zuzugreifen und sie zu korrigieren. Der Schwerpunkt liegt auf der Rechenschaftspflicht, da Organisationen verpflichtet sind, Programme zum Datenschutzmanagement einzuführen und Personen zu benennen, die für die Einhaltung der Vorschriften verantwortlich sind. Transparenz ist ein zentrales Prinzip des PIPEDA, das klare Datenschutzrichtlinien und -hinweise vorschreibt, um Personen darüber zu informieren, wie ihre Daten erhoben, verwendet und weitergegeben werden. 

Unterschiede: 

Im Gegensatz zur GDPR gilt PIPEDA nur für kommerzielle Organisationen, öffentliche Einrichtungen und gemeinnützige Organisationen sind vom Anwendungsbereich ausgeschlossen. Bestimmte Rechte der GDPR, wie die Datenübertragbarkeit oder das Recht auf Vergessenwerden, sind nicht enthalten, was die Kontrolle des Einzelnen über seine Daten einschränkt. Die Strafen für die Nichteinhaltung von PIPEDA sind niedriger als die GDPR-Strafen und konzentrieren sich eher auf die Folgen für den Ruf und Korrekturmaßnahmen als auf hohe Geldstrafen.

Kalifornien (USA)

Verordnung: California Consumer Privacy Act (CCPA) & California Privacy Rights Act (CPRA) 

Ähnlichkeiten: 

Der CCPA und das CPRA in Kalifornien schützen die Rechte der Verbraucher, indem sie Einzelpersonen die Möglichkeit geben, auf personenbezogene Daten zuzugreifen, sie zu löschen und zu korrigieren, ähnlich wie die GDPR. Beide Gesetze schreiben Transparenz vor, d. h. Organisationen müssen Einzelpersonen darüber informieren, wie ihre Daten erhoben, verwendet und weitergegeben werden. Bei sensiblen personenbezogenen Daten müssen Organisationen die ausdrückliche Zustimmung einholen oder den Verbrauchern die Möglichkeit geben, die Nutzung einzuschränken, um eine zusätzliche Schutzebene zu gewährleisten. 

Unterschiede: 

Im Gegensatz zur GDPR konzentrieren sich die kalifornischen Vorschriften stark auf den Verkauf personenbezogener Daten und nicht auf umfassendere Verarbeitungstätigkeiten, so dass der Anwendungsbereich in mancher Hinsicht enger ist. Der Schutz ist auf in Kalifornien ansässige Personen beschränkt, während die Datenschutz-Grundverordnung für alle in der EU ansässigen Personen gilt und eine extraterritoriale Reichweite hat. Darüber hinaus führt CPRA Konzepte wie „Datenminimierung„ und „Zweckbindung“ ein, die jedoch nicht so umfassend durchgesetzt werden wie in der Datenschutz-Grundverordnung. Die Strafen in Kalifornien sind im Allgemeinen niedriger und die Durchsetzungsmechanismen sind weniger streng als der übergreifende Rahmen der GDPR.

3. Kein angemessener Datenschutz, aber ähnlich der GDPR

Brasilien

Verordnung: Allgemeines Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais - LGPD) 

Ähnlichkeiten: 

Das brasilianische LGPD spiegelt die GDPR wider, indem es klare Regeln für die Einholung der Zustimmung aufstellt und sicherstellt, dass die Betroffenen informiert sind und kontrollieren können, wie ihre Daten verarbeitet werden. Sie stärkt die Rechenschaftspflicht, indem sie von Organisationen verlangt, Governance-Programme einzuführen und gegebenenfalls einen Datenschutzbeauftragten (DSB) zu ernennen. Die LGPD schreibt auch Transparenz vor, indem sie klare Datenschutzrichtlinien und strenge Sicherheitsvorkehrungen für sensible Daten wie Gesundheitsdaten und biometrische Daten fordert, um die Privatsphäre des Einzelnen zu schützen. 

Unterschiede: 

Die LGPD sieht weniger Durchsetzungsmechanismen vor als die GDPR, da die Datenschutzbehörde ANPD (Nationale Datenschutzbehörde) nur über begrenzte Ermittlungs- und Strafbefugnisse verfügt. Die Strafen im Rahmen der LGPD sind auf 2 % des Umsatzes eines Unternehmens in Brasilien oder 50 Mio. R$ (ca. 8 Mio. €) begrenzt, was niedriger ist als die Höchststrafen im Rahmen der GDPR. Darüber hinaus bietet die LGPD umfassendere Ausnahmeregelungen für kleine Unternehmen und öffentliche Einrichtungen, wodurch die regulatorische Belastung für bestimmte Organisationen verringert wird. Anders als die Datenschutz-Grundverordnung enthält sie keine ausdrücklichen Bestimmungen zur Datenübertragbarkeit oder ein umfassendes Recht auf Vergessenwerden.

Die Republik Südafrika

Verordnung: Gesetz über den Schutz personenbezogener Daten (Protection of Personal Information Act, PoPIA) 

Ähnlichkeiten: 

Das südafrikanische Gesetz zum Schutz personenbezogener Daten (PoPIA) hat die gleichen Grundprinzipien wie die Datenschutz-Grundverordnung (GDPR), wobei der Schwerpunkt auf der rechtmäßigen Verarbeitung personenbezogener Daten liegt und Organisationen eine gültige Rechtsgrundlage für die Erhebung und Nutzung von Daten haben müssen. Es stärkt die Rechenschaftspflicht und verlangt von Organisationen, Maßnahmen zur Einhaltung der Vorschriften und zum Schutz personenbezogener Daten zu ergreifen. PoPIA regelt auch die grenzüberschreitende Datenübermittlung, die nur dann zulässig ist, wenn angemessene Garantien vorhanden sind. Darüber hinaus gewährleistet es die Rechte der betroffenen Personen, wie den Zugang zu personenbezogenen Daten und die Möglichkeit, Berichtigungen zu verlangen. 

Unterschiede: 

Die Strafen im Rahmen von PoPIA sind deutlich niedriger als die der Datenschutz-Grundverordnung (GDPR) und liegen bei maximal 10 Millionen ZAR (ca. 500.000 €) im Vergleich zur GDPR. Die PoPIA sieht auch mehr Ausnahmen für bestimmte Arten der Datenverarbeitung vor, z. B. für journalistische, künstlerische oder literarische Zwecke und für öffentliche Einrichtungen bei der Ausübung ihrer Aufgaben. Im Gegensatz zur GDPR enthält PoPIA kein umfassendes Recht auf Datenübertragbarkeit und legt weniger Wert auf strenge Vorschriften für die Meldung von Datenschutzverletzungen.

Australien 

Verordnung: Privacy Act 1988 

Ähnlichkeiten: 

Das australische Datenschutzgesetz von 1988 mit seinen Änderungen ähnelt der GDPR, indem es die Bedeutung der Zustimmung betont und von Organisationen verlangt, vor der Erhebung oder Verwendung personenbezogener Daten die Erlaubnis einzuholen. Transparenz ist ein zentrales Prinzip, das klare Datenschutzhinweise vorschreibt, die den Einzelnen darüber informieren, wie seine Daten verwendet werden. Das Gesetz stärkt auch die Rechenschaftspflicht, indem es von Organisationen verlangt, personenbezogene Daten durch angemessene Sicherheitsmaßnahmen zu schützen und erhebliche Datenschutzverletzungen sowohl den betroffenen Personen als auch dem Australian Information Commissioner zu melden. 

Unterschiede: 

Dem Privacy Act fehlen Rechte im Sinne der GDPR wie die Datenübertragbarkeit, das Recht auf Löschung (allgemein als Recht auf Vergessenwerden bezeichnet) und detaillierte Regeln für die automatisierte Entscheidungsfindung. Sein Geltungsbereich ist begrenzter, da er in erster Linie für australische Organisationen oder Unternehmen mit einem Jahresumsatz von mehr als 3 Mio. AUD (~ 1,8 Mio. €) gilt und viele kleinere Unternehmen ausschließt. Darüber hinaus gilt die Datenschutz-Grundverordnung extraterritorial für Organisationen, die Daten von in der EU ansässigen Personen verarbeiten, während der Privacy Act keine derartigen Bestimmungen enthält, was seine Reichweite außerhalb Australiens einschränkt.

Singapur 

Verordnung: Gesetz zum Schutz personenbezogener Daten (Personal Data Protection Act, PDPA) 

Ähnlichkeiten: 

Das singapurische PDPA stimmt mit der Datenschutz-Grundverordnung überein, indem es die Zustimmung als Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten hervorhebt und sicherstellt, dass der Einzelne die Kontrolle über seine Daten behält. Ein weiterer zentraler Grundsatz ist die Transparenz, die Organisationen dazu verpflichtet, klare Informationen über die Verwendung und Weitergabe personenbezogener Daten bereitzustellen. Das PDPA stärkt auch die Rechenschaftspflicht, indem es von Organisationen verlangt, einen Datenschutzbeauftragten (DSB) zu ernennen und Datenschutzrichtlinien umzusetzen, um die Einhaltung der Vorschriften zu gewährleisten. 

Unterschiede: 

Die Strafen im Rahmen des PDPA sind deutlich niedriger als im Rahmen der Datenschutz-Grundverordnung (GDPR), wobei die Bußgelder für die meisten Verstöße auf 1 Million SGD (~690.000 €) begrenzt sind, verglichen mit den Bußgeldern der GDPR. Darüber hinaus ist der Schutz sensibler Daten im PDPA enger gefasst, da er im Gegensatz zur GDPR sensible Daten wie Gesundheitsdaten oder biometrische Informationen nicht ausdrücklich kategorisiert oder schützt. Das Gesetz konzentriert sich eher auf den allgemeinen Datenschutz, anstatt umfassende Rechte wie die Datenübertragbarkeit oder das Recht auf Löschung zu gewähren.

Thailand 

Verordnung: Gesetz zum Schutz personenbezogener Daten (Personal Data Protection Act, PDPA) 

Ähnlichkeiten: 

Das thailändische PDPA ist stark von der Datenschutz-Grundverordnung (GDPR) beeinflusst und hat die gleichen Grundprinzipien, wie z. B. das Erfordernis der Zustimmung zur Erhebung und Verarbeitung personenbezogener Daten. Es setzt die Rechte der betroffenen Personen durch, einschließlich des Rechts auf Zugang, Berichtigung und Löschung personenbezogener Daten und stellt sicher, dass die Personen die Kontrolle über ihre Daten behalten. Das Gesetz schreibt auch die Benachrichtigung bei Datenschutzverletzungen vor und verpflichtet Organisationen, betroffene Personen und Behörden im Falle erheblicher Datenschutzverletzungen unverzüglich zu benachrichtigen, um Verantwortlichkeit und Transparenz zu fördern. 

Unterschiede: 

Die Durchsetzung des thailändischen PDPA ist noch nicht ganz ausgereift, wobei es zu Verzögerungen bei der Umsetzung kommt und einige Bestimmungen noch nicht vollständig umgesetzt sind. Die Strafen nach dem Gesetz sind niedriger als nach der Datenschutz-Grundverordnung (GDPR), wobei die Höchststrafen auf 5 Millionen THB (~ 130.000 €) begrenzt sind. Im Gegensatz zur GDPR bietet das PDPA noch nicht dasselbe Maß an Klarheit oder Einheitlichkeit bei der Durchsetzung, und bestimmte Elemente, wie etwa die Vorschriften für grenzüberschreitende Übermittlungen, sind noch in der Entwicklung begriffen. Auch fehlen Bestimmungen für weitergehende Rechte wie die Datenübertragbarkeit und ein detaillierter Schutz für die automatisierte Entscheidungsfindung.

Dieser Vergleich verdeutlicht die globalen Auswirkungen der Datenschutz-Grundverordnung sowie den anhaltenden Trend beim Schutz personenbezogener Daten. Diese Unterschiede und Gemeinsamkeiten zu kennen, ist für Unternehmen, die in verschiedenen Ländern tätig sind, ein Muss, da es ihnen hilft, alle notwendigen Vorkehrungen zu treffen, bevor sie Kunden akquirieren und Partnerschaften eingehen.

Quellen:

Südafrikanisches PoPIA

Kanadisches PIPEDA: Link 1, Link 2

Australisches Datenschutzgesetz: Link 1, Link 2

Kalifornien, USA: CPRA, CCPA

PDPA von Singapur 

Thailändisches PDPA: Link 1, Link 2

Argentinisches PDPA: Link 1, Link 2

Brasilianische LGPD