Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

Erfahren Sie mehr
Weltkarte
Lisa

Lisa Figas | Marketing Manager

@meet_lisa

Datenschutz International: Verarbeitung personenbezogener Daten

Die Europäische Union hat mit der DSGVO den Standard gesetzt. Der Rest der Welt folgt. Unternehmen, die international tätig sind, müssen sich an die Bestimmungen der Datenschutz-Gesetze im Vereinigten Königreich, in Kalifornien, in Singapur, Indien, Brasilien und China halten. Wir geben Ihnen einen Überblick.

Inhalt

Datenschutzgesetze setzen einheitliche Standards, die für das jeweilige Land oder für eine bestimmte Industrie gelten. Sie sind die Handlungsgrundlage für Datenschutzbeauftragte und all jene, die personenbezogene Daten verarbeiten. Vor allem geben Datenschutzgesetze aber denjenigen Sicherheit, deren persönliche Informationen verarbeitet, gespeichert und verwaltet werden. Darüber hinaus sind Datenschutzgesetze die Grundlage für Beschwerden, Klagen und Bußgelder. Kurz, sie legen die Spielregeln fest.

Europäische Union: Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist eine Verordnung der Europäischen Union, die nach einer zweijährigen Übergangsphase am 25. Mai 2018 in Kraft getreten ist. Dazu musste die DSGVO in allen Mitgliedsstaaten in nationales Recht übertragen werden. In Deutschland ist so das neue Bundesdatenschutzgesetz (BDSG-neu) entstanden.

Der Zweck der Verordnung ist es, den Datenschutz und das Recht auf Privatsphäre aller europäischer Bürgern zu stärken. Sie zielt außerdem darauf ab, Datenschutzgesetze in der EU zu vereinheitlichen. Der Fokus liegt darauf, wie Unternehmen und Organisationen Daten von Individuen schützen müssen. Der Begriff „personenbezogene Daten“ wurde durch die DSGVO erstmals in der breiten Öffentlichkeit bekannt.

Wichtig: Der Sinn der DSGVO ist der Schutz von Daten, die EU-Bürgern und -Anwohnern gehören. Das Gesetz gilt daher für Organisationen, die solche Daten verarbeiten, unabhängig davon, ob sie in der EU ansässig sind oder nicht.

Vereinigtes Königreich

Data Protection Act 2018 (DPA 2018)

Der Data Protection Act ist die nationale Gesetzgebung für den Datenschutz im Vereinigten Königreich. Durch den Austritt Großbritanniens aus der EU (Brexit) fallen die Bürger und Bürgerinnen Englands, Schottlands, Wales‘ und Nordirlands nicht mehr in den Wirkbereich der EU-DSGVO. Dennoch hat das Parlament eine Regulierung geschaffen, die sich sehr eng an der Europäischen Verordnung orientiert. Umgangssprachlich wird auch die Bezeichnung UK-GDPR verwendet.

Wichtig: Unternehmen müssen einen Vertreter für das Vereinigte Königreich benennen, wenn sie ihren Sitz außerhalb des Landes haben und das Verhalten von im Vereinigten Königreich ansässigen Personen überwachen und/oder ihnen Waren oder Dienstleistungen anbieten. Weitere Informationen finden Sie hier.

Geplante Reform der britischen Datenschutzpolitik

Im August 2021 hat Großbritannien bekannt gegeben, ein eigenständiges Datenschutzrecht verabschieden zu wollen, das sich von den Vorgaben der DSGVO lösen soll. Die wichtigsten Punkte sind die mögliche Abschaffung der Cookie-Banner und sogenannte Datenpartnerschaften mit Ländern, die einen hohen Datenschutzstandard haben. Wann genau diese Änderungen in Kraft treten sollen ist zu jetzigem Zeitpunkt noch nicht bekannt.

Kalifornien: California Consumer Privacy Act (CCPA)

Der California Consumer Privacy Act (CCPA) ist das erste große Datenschutzgesetz in den USA. Mit seinem Inkrafttreten haben die kalifornischen Bürger und Bürgerinnen fünf neue Rechte bekommen, die ihnen mehr Macht über die Verwendung ihrer persönlichen Informationen geben. So können sie Auskunft anfordern, erhalten auf Wunsch eine Kopie der Daten, die sie betreffen, können die Löschung der Informationen beantragen und dem Verkauf personenbezogener Daten widersprechen. Ganz wichtig ist auch das Recht darauf, nicht diskriminiert zu werden. Ein Aspekt, dem im Hinblick auf die automatisierte Datenverarbeitung durch Algorithmen immer mehr Bedeutung zukommt.

Wichtig: Unternehmen, die Daten von mehr als 50.000 Kaliforniern verarbeiten, müssen Abläufe und Ansprechpartner für die kalifornischen Bürgerinnen und Bürger, die ihre neuen Rechte wahrnehmen wollen, zur Verfügung stellen. Weitere Details zum CCPA (und dem CPRA) haben wir hier für Sie zusammengestellt.

Übrigens: In den USA arbeiten weitere Bundesstaaten an der Umsetzung von Datenschutzgesetzen nach Vorbild der DSGVO und dem CCPA, darunter Hawaii, Maryland, Massachusetts, Mississippi, New Mexico, New York, North Dakota und Rhode Island.

Brasilien: Lei Geral de Proteção de Dados (LGPD)

Auch Brasilien hat sich die DSGVO zum Vorbild genommen und ein eigenes, sehr ähnliches Gesetz geschaffen.

Zitat: Das LGPD ist am 18.09.2020 in Kraft getreten, die Verwaltungssanktionen der zuständigen Behörde (ANPD) gelten aber erst ab August 2021. Unabhängig davon kann jeder, der sich geschädigt sieht, seit Inkrafttreten des Gesetzes seine Rechte gerichtlich geltend machen, einschließlich Organisationen, Behörden, wenn sie der Auffassung sind, dass das Gesetz nicht eingehalten wurde. Maria Lúcia Menezes Gadotti, Fachanwältin für Datenschutz

Genau wie die DSGVO regelt auch das LGPD den Umgang mit personenbezogenen Daten. So wird eine Zustimmung zur Datenerhebung verlangt (mit ähnlichen Ausnahmen wie bei der DSGVO). Die betroffenen Personen haben nun die Möglichkeit, ihre Daten einzusehen, eine Korrektur zu verlangen und die Informationen zu anderen Diensten umzuziehen. Außerdem verlangt das LGPD, dass so wenig Daten wie möglich gesammelt werden.

Wichtig: Gemäß Artikel 3 ist das LGPD auf jegliche Form der Verarbeitung personenbezogener Daten durch eine natürliche oder juristische Person unabhängig vom Mittel, Land des Sitzes bzw. Wohnsitzes bzw. des Landes, an dem sich die Daten befinden, anwendbar, soweit (1.) die Operation der Datenverarbeitung in Brasilien durchgeführt wird, (2.) der Zweck der Aktivität im Angebot oder in der Lieferung von Gütern oder Dienstleistungen oder in der Verarbeitung von Daten von Personen in Brasilien besteht, oder (3.) die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in Brasilien gesammelt wurden.

Singapur: Singapore Personal Data Protection Act (PDPA)

Auch der Singapore Personal Date Protection Act (PDPA) befasst sich hauptsächlich mit dem Schutz personenbezogener Daten. Darüber hinaus ermöglicht er jedem Singapurer die Registrierung bei einer sogenannten „Do Not Call“-Datenbank. Mit einem Eintrag meldet man sich von jeglichen unerwünschten Telemarketing-Anrufen ab.

Wichtig: Das Gesetz gilt für Unternehmen, die personenbezogene Daten in Singapur sammeln, nutzen oder offenlegen, unabhängig davon, ob sie selbst eine physische Präsenz in Singapur haben oder ob das Unternehmen in Singapur registriert ist.

Indien: Personal Data Protection Bill (PDPB)

Die Verabschiedung des India Personal Data Protection Bill wurde durch die Corona-Pandemie verzögert. Einen Termin für das Inkrafttreten gibt es bisher noch nicht. Die Inhalte des Gesetzes sind aber weitgehend beschlossen.

Das PDPB wird dafür kritisiert, Indien zu einem Überwachungsstaat zu machen. Der Schutz personenbezogener Daten ist zwar der offizielle Anlass für das Gesetz, zentrale Punkte wie das Recht auf Vergessenwerden wurden aber nicht berücksichtigt (bzw. durch „weichere“ Formulierungen abgeschwächt und sind nur möglich, wenn man triftige Gründe vorbringt).

Eine Einwilligung in die Datenverarbeitung durch die betroffene Person wird zwar grundsätzlich verlangt, es gibt aber Ausnahmen für medizinische Notfälle, Gerichtsverfahren und Strafverfolgung sowie für Dienste und Leistungen, die von der Regierung für individuelle Personen (bspw. Führerschein) bereitgestellt werden.

Diese Ausnahmen führen zu verschiedenen Problemen. So würde beispielsweise die staatliche Krankenversicherung nicht unter das PDPB fallen, ein privates Versicherungsunternehmen, das dieselben Leistungen anbietet, aber schon. Datenschützer zeigen sich außerdem irritiert darüber, dass die Datentreuhänder einen gewissen Spielraum dabei haben, ob ein Datenschutzverstoß an die Aufsichtsbehörde gemeldet werden muss oder nicht.

https://youtu.be/oL28bRyqwws

Wichtig: Gemäß PDPB gibt es 3 Arten von Shareholdern. Der „Data Principal“ ist die Person, um deren Daten es geht (in der DSGVO als „Betroffene“ bezeichnet). „Data Fuduciary“ sind die Datentreuhänder, also diejenigen Organisationen, die Daten speichern (beispielsweise Konzerne wie Facebook oder Google). „Data Processor“ sind die Unternehmen, welche die Daten nutzen (beispielsweise Versicherungsunternehmen).

China: Personal Information Protection Law (PIPL)

In China wurde ein neues Datenschutzgesetz verabschiedet, das zum 1. November 2021 in Kraft treten soll. Auch hier lassen sich Ähnlichkeiten zur DSGVO finden.

In erster Linie soll das Gesetz das Sammeln von Daten einschränken. Nutzerinnen und Nutzer müssen über die Verwendung ihrer Daten umfassend informiert werden und es dürfen nicht zu viele Daten gesammelt werden. Außerdem haben sie nun erstmalig das Recht, automatisierten Informationen und Marketingaktionen zu widersprechen.

Auch die Preisdiskriminierung soll in Zukunft verboten werden. Bisher war es in China erlaubt, Nutzerinnen und Nutzern unterschiedliche Preise anzubieten – abhängig von Konsumverhalten und Einkommensniveau.

Obwohl die chinesische Regierung das PIPL als „strengstes Gesetz der Welt“ bezeichnet, gibt es Kritik: So werden jetzt zwar digitale Unternehmen stärker reguliert, der chinesische Staatsapparat kann jedoch weiterhin ohne Einschränkung mitlesen und mithören.

Wichtig: Genau wie bei der DSGVO gilt das neue Gesetz auch für Unternehmen außerhalb Chinas, welche personenbezogene Daten von chinesischen Bürgerinnen und Bürgern verarbeiten. Sollte dies der Fall sein, muss ein Vertreter in China benannt werden, der für Fragen im Zusammenhang mit der Datenverarbeitung zuständig ist.

Schweiz: revidiertes Datenschutzgesetz (revDSG)

Auch in der Schweiz wurde ein neues Datenschutzgesetz beschlossen. In Kraft treten soll es in der zweiten Jahreshälfte 2022.

Grundsätzlich orientiert sich auch die Schweiz an der DSGVO. In manchen Bereichen ist das revDSG allerdings etwas strenger. Zum Beispiel sollen in Zukunft Tätigkeiten zur Datenbearbeitung in einem Verzeichnis festgehalten werden. Eine Ausnahme, für wen diese Pflicht nicht gelten soll, wird noch präzisiert. Falls Daten ins Ausland transferiert werden, müssen die Empfänger-Staaten verpflichten genannt werden. An dieser Stelle ist das revDSG strenger als die DSGVO. Geplant ist auch eine Informationspflicht für Entscheidungen, die automatisiert (zum Beispiel von Algorithmen) getroffen werden.

Wichtig: Das Gesetz umfasst nur noch natürliche und keine juristischen Personen mehr. Weil das revDSG keine Daten von juristischen Personen mehr erfasst, schließt es diese somit von seinem Schutz aus.

Verschlüsselung nach Stand der Technik

Allen vorgestellten Gesetzen ist gemein, dass Organisationen, die personenbezogene Daten erheben, speichern oder verarbeiten, diese Informationen in besonderem Maße schützen müssen. Die beste Methode dafür ist die Ende-zu-Ende-Verschlüsselung. Dieses Verfahren garantiert, dass ausschließlich diejenigen Personen Zugriff auf die entschlüsselten Daten erhalten, die auch dazu berechtigt sind. Wenn unbefugte Dritte an eine verschlüsselte Datei gelangen, sehen sie nur eine sinnlose Aneinanderreihung unterschiedlicher Schriftzeichen.

Unsere Verschlüsselungssoftware Boxcryptor nutzt eine Kombination aus AES-256 – einem der meistverbreiteten und sichersten Verschlüsselungsstandards – und RSA-Verschlüsselung. Diese Verschlüsselungsstandards sind mit heute verfügbaren Rechenleistungen nicht zu knacken.

Für die Unterstützung bei der Recherche bedanken wir uns bei der Anwältin Maria Lúcia Menezes Gadotti und dem Anwalt Charles Wowk von der Kanzlei STÜSSI-NEVES ADVOGADOS

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.