Datenschutz in Asien – Ein kurzer Überblick
Seitdem die EU die DSGVO (Europäische Datenschutz-Grundverordnung) beschlossen hat, haben andere Länder weltweit im Datenschutz nachgezogen und Regeln geschaffen, die für Unternehmen im jeweiligen Land gelten und den Datenverkehr von personenbezogenen Daten betreffen. Im heutigen Blogbeitrag beleuchten wir den Datenschutz in Asien
Datenschutz in Asien: Wie sieht es in den einzelnen Ländern aus?
Im Folgenden geht es um den Datenschutz in Asien in den einzelnen Ländern und Regionen Asiens. Wir geben Ihnen einen Überblick über die dortigen Gesetze und wie es um den Datenschutz in Asien bestellt ist.
China: Personal Information Protection Law (PIPL)
In China wurde ein neues Datenschutzgesetz verabschiedet, das zum 1. November 2021 in Kraft trat. Hier lassen sich Ähnlichkeiten zur DSGVO finden. Überraschenderweise werden Datenverarbeitungen grundsätzlich als unzulässig betrachtet, es sei denn, es gibt einen legitimen Erlaubnistatbestand.
In erster Linie soll das Gesetz das Sammeln von Daten einschränken. Nutzerinnen und Nutzer müssen über die Verwendung ihrer Daten umfassend informiert werden und es dürfen nicht zu viele Daten gesammelt werden. Außerdem haben sie nun erstmalig das Recht, automatisierten Informationen und Marketingaktionen zu widersprechen.
Auch die Preisdiskriminierung soll in Zukunft verboten werden. Bisher war es in China erlaubt, Nutzerinnen und Nutzern unterschiedliche Preise anzubieten – abhängig von Konsumverhalten und Einkommensniveau.
Obwohl die chinesische Regierung das PIPL als „strengstes Datenschutz-Gesetz der Welt“ bezeichnet, sicherlich aufgrund des hohen Bußgeldrahmens gibt es berechtigte Kritik: So werden jetzt zwar digitale Unternehmen stärker reguliert, der chinesische Staatsapparat kann jedoch weiterhin ohne Einschränkung mitlesen und mithören.
Wichtig: Genau wie bei der DSGVO gilt das neue Gesetz auch für Unternehmen außerhalb Chinas, welche personenbezogene Daten von chinesischen Bürgerinnen und Bürgern verarbeiten. Sollte dies der Fall sein, muss ein Vertreter in China benannt werden, der für Fragen im Zusammenhang mit der Datenverarbeitung zuständig ist.
Thailand: Personal Data Protection Act (PDPA)
Am 1. Juni 2022 trat Thailands erstes Gesetz zum Schutz personenbezogener Daten in Kraft. Das sogenannte Personal Data Protection Act (PDPA) wurde ursprünglich im Jahr 2019 unterzeichnet, sein Inkrafttreten wurde jedoch aufgrund der Pandemie zweimal verschoben und auf den 1. Juni 2022 datiert. Das Gesetz beschreibt die Verpflichtungen von Unternehmen in Bezug auf die Erhebung und Verarbeitung personenbezogener Daten. Das PDPA definiert personenbezogene Daten als Informationen, die eine lebende Person identifizieren.
Nach dem Gesetz bedarf es für jede Datenverarbeitung einer Rechtsgrundlage und Verstöße gegen das Gesetzt werden sanktioniert, wobei die Strafen deutlich härter sind, als im EU-Recht. Im schlimmsten Falle können sogar Freiheitsstrafen von bis zu einem Jahr drohen.
Die Vorgaben gelten unter anderem nicht für staatliche Organe und Massenmedien.
Singapur: Singapore Personal Data Protection Act (PDPA)
Der Singapore Personal Data Protection Act wurde erst im November 2020 angepasst. Es weist Überschneidungen zur DSGVO auf, vor allem in Bezug auf Anwendung und Geltungsbereich, aber er konzentriert sich grundlegend eher auf Compliance. Dort, wo die DSGVO auf Vorschriften beruht, wendet Singapur den PDPA als eine Reihe von Checkboxen an. Eine Entscheidung, die insbesondere die Bemühungen um die Rechenschaftspflicht bei Verstößen in den Vordergrund rückt.
Singapur hat eigene Aufsichtsbehörde eingerichtet, die Personal Data Protection Commission. Sie ist direkt damit beauftragt, Unternehmen für den Missbrauch personenbezogener Daten zur Rechenschaft zu ziehen und die strengen Vorgaben für die Behandlung von Data Breaches zu überprüfen.
Die letzte Änderung am PDPA trat am 1. Oktober 2022 in Kraft. Sie betrifft den erhöhten Bußgeldrahmen in bestimmten Fällen von bis zu 10% des Jahresumsatzes in Singapore.
Aus seinem Haushalt für das Jahr 2020 hat das Land 1 Milliarde Dollar für einen Zeitraum von drei Jahren bereitgestellt, um die Regierung bei Cyber- und Datensicherheitstechnik auf den neuesten Stand zu bringen.
Die Bestimmungen gelten für alle Arten von personenbezogenen Daten, anhand derer eine Person identifiziert werden kann. Sie schließen allerdings geschäftliche Kontaktinformationen aus, solange diese für einen rein geschäftlichen Zweck zur Verfügung gestellt werden.
Darüber hinaus legt der PDPA eine „Do Not Call“-Regel fest: Im Falle einer nicht ausdrücklich erteilten Einwilligung müssen Unternehmen, die Telefonnummern in Singapur anrufen oder eine SMS versenden, das DNC-Register überprüfen und sicherstellen, dass die Nachricht den Absender eindeutig identifiziert und dass sie Einzelheiten zu Opt-out-Möglichkeiten enthält.
Indien: Personal Data Protection Bill (PDPB)
In Indien befindet sich seit mehreren Jahren ein Datenschutzgesetz im Entstehungsprozess. Am 3. August 2022 hat die Regierung nun den bisherigen Entwurf zurückgenommen. Nach der Rücknahme des Entwurfs soll nun ein ganz neuer Entwurf eines Datenschutzgesetzes erarbeitet werden.
Der indische Minister für Eisenbahnen, Kommunikation und Elektronik und Informationstechnologie, Ashwini Vaishnaw, gab an, dass ein neues Datenschutzgesetz bald zur öffentlichen Kommentierung veröffentlicht und hoffentlich während der Haushaltssitzung des indischen Parlaments im Januar 2023 vorgelegt werde. Vaishnaw sagte, das Gesetz werde modernes Denken widerspiegeln rund um den Datenschutz und fügte hinzu, dass „es nicht so sein sollte, als würden wir versuchen, ein Papiersystem für eine digitale Welt zu schaffen“.
Indien wird einen schwierigen Weg vor sich haben, wenn die Interessen der Zivilgesellschaft und der Tech-Konzerne ausgewogen zu berücksichtigt werden sollen.
Japan: Act on the Protection of Personal Information (APPI)
Das japanische Datenschutzgesetz APPI (engl. Act on the Protection of Personal Information; deutsch: Gesetz zum Schutz persönlicher Informationen) trat 2004 in Kraft und wurde zuletzt 2015 reformiert und gilt mit den Änderungen seit 2017. In 2019 erhielt Japan einen Angemessenheitsbeschluss der EU.
Im April 2022 ist in Japan eine weitere Änderung des Gesetzes über den Schutz personenbezogener Daten in Kraft getreten. Damit nähert sich das innerjapanische Datenschutzniveau noch weiter der europäischen Datenschutzgrundverordnung (DSGVO) an. Es bringt nun auch einige Änderungen mit sich, die insbesondere für ausländische Unternehmen mit Tochtergesellschaften in Japan von Bedeutung sind.
Im Fall einer Übermittlung personenbezogener Daten an Dritte außerhalb Japans (darunter fallen auch nicht japanische Gruppengesellschaften) müssen bei Einholung der dafür erforderlichen Einwilligung der betroffenen Person fortan erweiterte Informationen zur Verfügung gestellt werden. Sie müssen insbesondere das Land des Empfängers, die dort zum Schutz personenbezogener Daten vorhandenen Regelungen und die vom Empfänger zum Schutz personenbezogener Daten getroffenen Maßnahmen umfassen.
Weiterhin ist der Übermittler der Daten für regelmäßigen Überprüfung der rechtmäßigen Verarbeitungen Auftragsverarbeitern verpflichtet. Es muss deshalb darauf geachtet werden, dass auch gruppeninterne Datenübermittlungen den neuen japanischen Anforderungen gerecht und Datenschutzhinweise und Einwilligungserklärungen entsprechend angepasst werden.
Südkorea: Personal Information Protection Act (PIPA)
Maßgebliche Rechtsvorschrift für die Verarbeitung von personenbezogenen Daten in der Republik Korea ist das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Act – PIPA). Es sieht ähnliche Grundsätze, Garantien, individuelle Rechte und Pflichten wie das EU-Recht vor. Am 5. August 2020 trat die neue Fassung des PIPA in Kraft. Durch die Reform wurde die zentrale Bedeutung einer unabhängigen Datenschutzbehörde bestätigt, die mit wirksamen Befugnissen ausgestattet ist und als zentraler Bestandteil eines modernen Datenschutzsystems sowie als Schlüsselelement der zunehmenden internationalen Angleichung der Datenschutzstandards fungiert.
Nach Verhandlungen und Gesprächen mit der der EU-Kommission erhielt Südkorea am 17.Dezember 2021 einen Angemessenheitsbeschluss und gilt somit als sicheres Drittland.
Ein wichtiger Schritt in den Angemessenheitsgesprächen war die im August 2020 in Kraft getretene Reform des PIPA, mit der die Ermittlungs- und Durchsetzungsbefugnisse der unabhängigen Datenschutzkommission der Republik Korea (Personal Information Protection Commission – PIPC) gestärkt wurden.
Pakistan: in Progress
Das Ministerium für Informationstechnologie und Telekommunikation (MOITT – Ministry of Information Technology and Telecommunications) hat einen Gesetzentwurf für ein Datenschutzrecht („Personal Data Protection Bill 2021“) eingebracht, der noch verkündet werden muss.
Der Gesetzentwurf wird nach seiner Verabschiedung das wichtigste Gesetz zur Regelung der für die Verarbeitung personenbezogener Daten Verantwortlichen und der Auftragsverarbeiter in Pakistan sein. Er soll für alle Personen gelten, die personenbezogene Daten verarbeiten, die Kontrolle darüber haben oder die Verarbeitung genehmigen. Die Voraussetzung ist, dass die betroffene Person, der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter (entweder im Inland oder im Ausland) in Pakistan ansässig ist.
Als grundlegende Rechtfertigung für eine Verarbeitung gilt, nach aktuellem Stand, die Einwilligung.
Das Gesetz tritt spätestens zwei Jahre nach seiner Verkündung in Kraft. Ein genauer Zeitplan über weitere Beratungen ist nicht bekannt.
Fazit
Es tut sich was. Immer mehr Länder nähern sich den Vorgaben aus der DSGVO an. Somit hat das angekündigte Ziel der Harmonisierung des Datenschutzes über EU-Grenzen hinaus bereits erste Früchte getragen, wie das Beispiel Südkorea zeigt. Es bleibt weiter spannend, welche Länder sich als attraktive Diensteanbieter weiter positionieren können. Haben Sie weitere Fragen zu dem Thema? Kontaktieren Sie uns gerne.