Weltkarte
Lisa Figas. Marketing Manager bei Boxcryptor
Lisa Figas | Marketing Manager
@meet_lisa
Monday, July 5, 2021

Datenschutz International: Verarbeitung personenbezogener Daten

Die Europäische Union hat mit der DSGVO den Standard gesetzt, der Rest der Welt folgt. Unternehmen, die international tätig sind, müssen sich an die Bestimmungen der Datenschutz-Gesetze im Vereinigten Königreich, in Kalifornien, in Singapur, Indien und Brasilien halten. Wir geben Ihnen einen Überblick.

Inhalt

Europäische Union: Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist eine Verordnung der Europäischen Union, die nach einer zweijährigen Übergangsphase am 25. Mai 2018 in Kraft getreten ist. Dazu musste die DSGVO in allen Mitgliedsstaaten in nationales Recht übertragen werden. In Deutschland ist so das neue Bundesdatenschutzgesetz (BDSG-neu) entstanden.

Das Ziel der Verordnung ist es, den Datenschutz und das Recht auf Privatsphäre aller europäischer Bürgern zu stärken. Sie zielt außerdem darauf ab, Datenschutzgesetze in der EU zu vereinheitlichen. Der Fokus liegt darauf, wie Unternehmen und Organisationen Daten von Individuen schützen müssen. Der Begriff „personenbezogene Daten“ wurde durch die DSGVO erstmals in der breiten Öffentlichkeit bekannt.

Wichtig: Der Sinn der DSGVO ist der Schutz von Daten, die EU-Bürgern und -Anwohnern gehören. Das Gesetz gilt daher für Organisationen, die solche Daten verarbeiten, unabhängig davon, ob sie in der EU ansässig sind oder nicht.

Vereinigtes Königreich: Data Protection Act 2018 (DPA 2018)

Der Data Protection Act ist die nationale Gesetzgebung für den Datenschutz im Vereinigten Königreich. Durch den Austritt Großbritanniens aus der EU (Brexit) fallen die Bürger und Bürgerinnen Englands, Schottlands, Wales‘ und Nordirlands nicht mehr in den Wirkbereich der EU-DSGVO. Dennoch hat das Parlament eine Regulierung geschaffen, die sich sehr eng an der Europäischen Verordnung orientiert. Umgangssprachlich wird auch die Bezeichnung UK-GDPR verwendet.

Wichtig: Unternehmen müssen einen Vertreter für das Vereinigte Königreich benennen, wenn sie ihren Sitz außerhalb des Landes haben und das Verhalten von im Vereinigten Königreich ansässigen Personen überwachen und/oder ihnen Waren oder Dienstleistungen anbieten. Weitere Informationen finden Sie hier.

Kalifornien: California Consumer Privacy Act (CCPA)

Der California Consumer Privacy Act (CCPA) ist das erste große Datenschutzgesetz in den USA. Mit seinem Inkrafttreten haben die kalifornischen Bürger und Bürgerinnen fünf neue Rechte bekommen, die ihnen mehr Macht über die Verwendung ihrer persönlichen Informationen geben. So können sie Auskunft anfordern, erhalten auf Wunsch eine Kopie der Daten, die sie betreffen, können die Löschung der Informationen beantragen und dem Verkauf personenbezogener Daten widersprechen. Ganz wichtig ist auch das Recht darauf, nicht diskriminiert zu werden. Ein Aspekt, der im Hinblick auf die automatisierte Datenverarbeitung durch Algorithmen immer mehr Bedeutung zukommt.

Wichtig: Unternehmen, die Daten von mehr als 50.000 Kaliforniern verarbeiten, müssen Abläufe und Ansprechpartner für die kalifornischen Bürgerinnen und Bürger, die ihre neuen Rechte wahrnehmen wollen, zur Verfügung stellen. Weitere Details zum CCPA (und dem CPRA) haben wir hier für Sie zusammengestellt.

Übrigens: In den USA arbeiten weitere Bundesstaaten an der Umsetzung von Datenschutzgesetzen nach Vorbild der DSGVO und dem CCPA, darunter Hawaii, Maryland, Massachusetts, Mississippi, New Mexico, New York, North Dakota und Rhode Island.

Brasilien: Lei Geral de Proteção de Dados (LGPD)

Auch Brasilien hat sich die DSGVO zum Vorbild genommen und ein eigenes, sehr ähnliches Gesetz geschaffen.

Zitat: Das LGPD ist am 18.09.2020 in Kraft getreten, die Verwaltungssanktionen der zuständigen Behörde (ANPD) gelten aber erst ab August 2021. Unabhängig davon kann jeder, der sich geschädigt sieht, seit Inkrafttreten des Gesetzes seine Rechte gerichtlich geltend machen, einschließlich Organisationen, Behörden, wenn sie der Auffassung sind, dass das Gesetz nicht eingehalten wurde.
Maria Lúcia Menezes Gadotti, Fachanwältin für Datenschutz

Genau wie die DSGVO regelt auch das LGPD den Umgang mit personenbezogenen Daten. So wird eine Zustimmung zur Datenerhebung verlangt (mit ähnlichen Ausnahmen wie bei der DSGVO). Die betroffenen Personen haben außerdem die Möglichkeit, ihre Dateien einzusehen, eine Korrektur zu verlangen und die Daten zu anderen Diensten umzuziehen. Außerdem verlangt das LGPD, dass so wenig Daten wie möglich gesammelt werden.

Wichtig: Gemäß Artikel 3 ist das LGPD auf jegliche Form der Verarbeitung personenbezogener Daten durch eine natürliche oder juristische Person unabhängig vom Mittel, Land des Sitzes bzw. Wohnsitzes bzw. des Landes, an dem sich die Daten befinden, anwendbar, soweit (1.) die Operation der Datenverarbeitung in Brasilien durchgeführt wird, (2.) der Zweck der Aktivität im Angebot oder in der Lieferung von Gütern oder Dienstleistungen oder in der Verarbeitung von Daten von Personen in Brasilien besteht, oder (3.) die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in Brasilien gesammelt wurden.

Singapur: Singapore Personal Data Protection Act (PDPA)

Auch der Singapore Personal Date Protection Act (PDPA) befasst sich hauptsächlich mit dem Schutz personenbezogener Daten. Darüber hinaus ermöglicht er jedem Singapurer die Registrierung bei einer sogenannten „Do Not Call“-Datenbank. Mit einem Eintrag meldet man sich von jeglichen unerwünschten Telemarketing-Anrufen ab.

Wichtig: Das Gesetz gilt für Unternehmen, die personenbezogene Daten in Singapur sammeln, nutzen oder offenlegen, unabhängig davon, ob sie selbst eine physische Präsenz in Singapur haben oder ob das Unternehmen in Singapur registriert ist.

Indien: Personal Data Protection Bill (PDPB)

Die Verabschiedung des India Personal Data Protection Bill wurde durch die Corona-Pandemie verzögert. Einen Termin für das Inkrafttreten gibt es bisher noch nicht. Die Inhalte des Gesetzes sind aber weitgehend beschlossen.

Das PDPB wird dafür kritisiert, Indien zu einem Überwachungsstaat zu machen. Der Schutz personenbezogener Daten ist zwar der offizielle Anlass für das Gesetz, zentrale Punkte wie das Recht auf Vergessenwerden wurden aber nicht berücksichtigt (bzw. durch „weichere“ Formulierungen abgeschwächt und sind nur möglich, wenn man triftige Gründe vorbringt). Eine Einwilligung in die Datenverarbeitung durch die betroffene Person wird zwar grundsätzlich verlangt, es gibt aber Ausnahmen für medizinische Notfälle, Gerichtsverfahren und Strafverfolgung sowie für Dienste und Leistungen, die von der Regierung für individuelle Personen (bspw. Führerschein) bereitgestellt werden.

Diese Ausnahmen führen zu verschiedenen Problemen. So würde beispielsweise die staatliche Krankenversicherung nicht unter das PDPB fallen, ein privates Versicherungsunternehmen, das dieselben Leistungen anbietet, aber schon. Datenschützer zeigen sich außerdem irritiert darüber, dass die Datentreuhänder einen gewissen Spielraum dabei haben, ob ein Datenschutzverstoß an die Aufsichtsbehörde gemeldet werden muss oder nicht.

Zum Schutz Ihrer persönlichen Daten (Datenschutz) wird die Verbindung zu YouTube nicht ohne Ihre Zustimmung hergestellt. Durch Klicken auf den Play Button akzeptieren Sie die Cookies, die für die Wiedergabe des Videos von YouTube erforderlich sind. Lesen Sie mehr in unserer Datenschutzerklärung oder öffnen Sie die Cookie-Einstellungen.

Wichtig: Gemäß PDPB gibt es 3 Arten von Shareholdern. Der „Data Principal“ ist die Person, um deren Daten es geht (in der DSGVO als „Betroffene“ bezeichnet). „Data Fuduciary“ sind die Datentreuhänder, also diejenigen Organisationen, die Daten speichern (beispielsweise Konzerne wie Facebook oder Google). „Data Processor“ sind die Unternehmen, welche die Daten nutzen (beispielsweise Versicherungsunternehmen).

Verschlüsselung nach Stand der Technik

Allen vorgestellten Gesetzen ist gemein, dass Organisationen, die personenbezogene Daten erheben, speichern oder verarbeiten, diese Informationen in besonderem Maße schützen müssen. Die beste Methode dafür ist die Ende-zu-Ende-Verschlüsselung. Dieses Verfahren garantiert, dass ausschließlich diejenigen Personen Zugriff auf die entschlüsselten Daten erhalten, die auch dazu berechtigt sind. Wenn unbefugte Dritte an eine verschlüsselte Datei gelangen, sehen sie nur eine sinnlose Aneinanderreihung unterschiedlicher Schriftzeichen.

Unsere Verschlüsselungssoftware Boxcryptor nutzt eine Kombination aus AES-256 – einem der meistverbreiteten und sichersten Verschlüsselungsstandards – und RSA-Verschlüsselung. Diese Verschlüsselungsstandards sind mit heute verfügbaren Rechenleistungen nicht zu knacken.

Für die Unterstützung bei der Recherche bedanken wir uns bei der Anwältin Maria Lúcia Menezes Gadotti und dem Anwalt Charles Wowk von der Kanzlei STÜSSI-NEVES ADVOGADOS

Erfahren Sie mehr über Verschlüsselung und Datenschutz

In unserem Fachartikel über Boxcryptor und die DSGVO erfahren Sie mehr darüber, welchen wichtigen Anteil Ende-zu-Ende-Verschlüsselung in der Datenschutz-Strategie Ihres Unternehmen haben sollte.

JETZT WEITERLESEN
Beitrag teilen