ALLES GUTE ZUM 2. JAHRESTAG, DSGVO!

Willkommen zur schönen neuen Welt von verbesserten Datenschutzrechten weltweit

Vor zwei Jahren, bevor die Datenschutzgrundverordnung (DSGVO) EU-weit in Kraft trat, spekulierten Datenschutzprofis über das Potenzial von grenzüberschreitenden Effekten der verbesserten EU-Datenschutzgrundverordung. Wir hatten die Hoffnung, dass die DSGVO EU-Bürgern dabei helfen würde, sich ihrer Rechte besser bewusst zu werden und dass dies zu einem Katalysator für differenzierteres Präzendenzrecht werden würde – um das Bewusstsein weiterhin zu stärken. Die extraterritoriale Auswirkung der DSGVO war ebenfalls ein heißes Thema: Viele unter uns fragten sich, ob die DSGVO auch im Falle von Drittstaatsunternehmen effektiv Anwendung finden würde.

Im Rückblick auf die Evolution von Datenschutz zwischen 2018 und 2020 können wir eins mit Sicherheit sagen: Privatpersonen haben damit begonnen, ihre digitalen Datenschutzrechte zurückzufordern – nicht nur innerhalb der EU, sondern rund um den Globus. Es scheint, als hat die DSGVO Datenschutzregelungen weltweit einen mächtigen Aufschwung gegeben. Auch wenn Datenschutz als Institution bereits in den 1970er Jahren ein Thema war, hat das Zeitalter der DSGVO neue Perspektiven und höhere Standards im Bereich Datenschutz mit sich gebracht.

In einigen Ländern greifen bereits örtliche Datenschutzverordnungen, aber die Länder möchten diese in Übereinstimmung mit der DSGVO bringen, wohingegen andere Länder gerade erst mit der Einführung eines umfassenden Schutzes von individuellen Datenschutzrechten auf gesetzlicher Ebene begonnen haben. Am zweiten Jahrestag der DSGVO macht es Sinn sich einmal umzuschauen und in die Datenschutzverordnungen rund um die Welt einzutauchen – die von der DSGVO inspiriert wurden.

Hier werfen wir einen Blick auf vier Länder, die bereits Datenschutzverordnungen implementiert haben oder im Begriff sind vergleichbare Regelungen zu verabschieden:

1. USA

Bis vor kurzem haben sich die USA auf branchenspezifische Rechtsvorschriften und/oder Gesetzgebung auf Bundesstaatsebene verlassen, wie z.B. den HIPAA-Standard, der Gesundheitsorganisationen vorschreibt, die Sicherheit von Gesundheitsdaten zu gewährleisten. Kalifornien war der erste Bundesstaat, der eine allgemeine (und wahrscheinlich die strengste) Regelung von individuellen Datenschutzrechten umsetzte. Der California Consumer Privacy Act trat im Jahr 2020 in Kraft und gesteht kalifornischen Verbrauchern ähnliche Rechte wie die DSGVO zu. Gemäß dem CCPA haben Verbraucher das Recht zu wissen, ob Unternehmen ihre personenbezogenen Daten sammeln oder verkaufen, und sie können Zugriff auf ihre Daten oder deren Löschung verlangen. Die größte Neuheit des CCPA ist jedoch die Ermächtigung des Verbrauchers eine Zivilklage einreichen zu können, wenn unverschlüsselte personenbezogene Daten des Verbrauchers durch unbefugten Zugriff kompromittiert wurden.

New York folgte schon bald dem Beispiel Kaliforniens und verabschiedete den Stop Hacks and Improve Electronic Data Security Act, auch als SHIELD Act bekannt, als Reaktion auf die maßgeblichen Datenschutzverletzungen der vergangenen Jahre. Um noch einen Schritt weiterzugehen wurde ein neues Datenschutzgesetz mit dem Namen New York Privacy Act entworfen, welches nun dem Senatsausschuss vorgelegt wurde. Dieses Gesetz sieht vor, den Einwohnern von New York Rechte in Übereinstimmung mit der DSGVO und dem CCPA zuzugestehen.

2. Neuseeland

Neuseeland hat sich dazu entschlossen, seine fast 30 Jahre alte Datenschutzverordnung zu reformieren. Nun ist ein neuer Gesetzentwurf in Vorbereitung, der Ende 2020 verabschiedet werden soll. Gemäß dem neuseeländischen Datenschutzbeauftragten wird Compliance mit dem Datenschutzgesetz Organisationen einen großen Schritt in Richtung Compliance mit der DSGVO bringen. Es gibt einige Entsprechungen zwischen den beiden Verordnungen, wie z.B. die Verpflichtung eines Datenschutzbeauftragten (das neuseeländische Pendant zum “DPO” der DSGVO). Die gesetzliche Auflage, dass schwerwiegende Datenschutzverletzungen gemeldet werden müssen, ist ebenfalls vorgesehen – momentan wartet das neue Gesetz auf die Verabschiedung durch das neuseeländische Parlament.

3. Brasilien

In Brasilien hat ein Vereinheitlichungsprozess stattgefunden, im Zuge dessen der brasilianische Senat das brasilianische Datenschutzgesetz am 3. April 2020 verabschiedete, das sogenannte Lei Geral de Proteção de Dados. In Bezug auf dessen Inhalt wurde die Verordnung eindeutig von der DSGVO inspiriert: So erweitert sie beispielsweise ihren Einflussbereich über die Grenzen von Brasilien hinaus, um so viele brasilienbezogene Daten wie möglich zu schützen. Das LGPD stellt Rechte für Betroffene Personen auf, die der DSGVO sehr ähnlich sind, und das LGPD verlangt ebenfalls eine Meldung von Datenschutzverletzungen.


4. Thailand

Thailands neues Datenschutzgesetz, das 2019 verabschiedet wurde, wird im Mai in Kraft treten. Es hat sich eindeutig ein Beispiel an der DSGVO genommen, besonders was den extraterritorialen Geltungsbereich und die Forderung nach einer gültigen Rechtsgrundlage für Datenverarbeitung angeht. Die potenziellen Sanktionen für die Nichteinhaltung der Verordnung sind ebenfalls bedeutsam. Zusätzlich zu Verwaltungsstrafen und strafrechtlichen Sanktionen ermächtigt der Personal Data Protection Act of Thailand thailändische Staatsbürger und Einwohner dazu Sammelklagen einzureichen.

Datenschutzverordnungen schießen gerade wie Unkraut aus dem Boden, so dass es sich hier eher um eine Evolution als eine Revolution handelt. Es gibt keinen Zweifel, dass die DSGVO inzwischen den Standard für Datenschutzgesetze weltweit vorgibt. Die von der EU geforderten hohen Sicherheitslevels genießen rund um den Globus hohes Ansehen und werden auch in anderen Ländern befolgt. Falls Sie sich also im Dschungel der Gesetzgebungen von verschiedenen Gerichtsbarkeiten verirrt haben, ist Compliance mit der DSGVO stets ein guter Ausgangspunkt, da dies Ihnen helfen wird, Datenschutzauflagen in den meisten Fällen zu erfüllen.