Seitdem die EU die DSGVO (Europäische Datenschutz-Grundverordnung) beschlossen hat, haben andere Länder weltweit im Datenschutz nachgezogen und Regeln geschaffen, die für Unternehmen im jeweiligen Land gelten und den Datenverkehr von personenbezogenen Daten betreffen. Im heutigen Blogbeitrag beleuchten wir den Datenschutz in Asien

Datenschutz in Asien: Wie sieht es in den einzelnen Ländern aus?

Im Folgenden geht es um den Datenschutz in Asien in den einzelnen Ländern und Regionen Asiens. Wir geben Ihnen einen Überblick über die dortigen Gesetze und wie es um den Datenschutz in Asien bestellt ist.

China: Personal Information Protection Law (PIPL)

In China wurde ein neues Datenschutzgesetz verabschiedet, das zum 1. November 2021 in Kraft trat. Hier lassen sich Ähnlichkeiten zur DSGVO finden. Überraschenderweise werden Datenverarbeitungen grundsätzlich als unzulässig betrachtet, es sei denn, es gibt einen legitimen Erlaubnistatbestand.
In erster Linie soll das Gesetz das Sammeln von Daten einschränken. Nutzerinnen und Nutzer müssen über die Verwendung ihrer Daten umfassend informiert werden und es dürfen nicht zu viele Daten gesammelt werden. Außerdem haben sie nun erstmalig das Recht, automatisierten Informationen und Marketingaktionen zu widersprechen.
Auch die Preisdiskriminierung soll in Zukunft verboten werden. Bisher war es in China erlaubt, Nutzerinnen und Nutzern unterschiedliche Preise anzubieten – abhängig von Konsumverhalten und Einkommensniveau.

Obwohl die chinesische Regierung das PIPL als „strengstes Datenschutz-Gesetz der Welt“ bezeichnet, sicherlich aufgrund des hohen Bußgeldrahmens gibt es berechtigte Kritik: So werden jetzt zwar digitale Unternehmen stärker reguliert, der chinesische Staatsapparat kann jedoch weiterhin ohne Einschränkung mitlesen und mithören.

Wichtig: Genau wie bei der DSGVO gilt das neue Gesetz auch für Unternehmen außerhalb Chinas, welche personenbezogene Daten von chinesischen Bürgerinnen und Bürgern verarbeiten. Sollte dies der Fall sein, muss ein Vertreter in China benannt werden, der für Fragen im Zusammenhang mit der Datenverarbeitung zuständig ist.

Thailand: Personal Data Protection Act (PDPA)

Am 1. Juni 2022 trat Thailands erstes Gesetz zum Schutz personenbezogener Daten in Kraft. Das sogenannte Personal Data Protection Act (PDPA) wurde ursprünglich im Jahr 2019 unterzeichnet, sein Inkrafttreten wurde jedoch aufgrund der Pandemie zweimal verschoben und auf den 1. Juni 2022 datiert. Das Gesetz beschreibt die Verpflichtungen von Unternehmen in Bezug auf die Erhebung und Verarbeitung personenbezogener Daten. Das PDPA definiert personenbezogene Daten als Informationen, die eine lebende Person identifizieren.

Nach dem Gesetz bedarf es für jede Datenverarbeitung einer Rechtsgrundlage und Verstöße gegen das Gesetzt werden sanktioniert, wobei die Strafen deutlich härter sind, als im EU-Recht. Im schlimmsten Falle können sogar Freiheitsstrafen von bis zu einem Jahr drohen.
Die Vorgaben gelten unter anderem nicht für staatliche Organe und Massenmedien.

Singapur: Singapore Personal Data Protection Act (PDPA)

Der Singapore Personal Data Protection Act wurde erst im November 2020 angepasst. Es weist Überschneidungen zur DSGVO auf, vor allem in Bezug auf Anwendung und Geltungsbereich, aber er konzentriert sich grundlegend eher auf Compliance. Dort, wo die DSGVO auf Vorschriften beruht, wendet Singapur den PDPA als eine Reihe von Checkboxen an. Eine Entscheidung, die insbesondere die Bemühungen um die Rechenschaftspflicht bei Verstößen in den Vordergrund rückt.

Singapur hat eigene Aufsichtsbehörde eingerichtet, die Personal Data Protection Commission. Sie ist direkt damit beauftragt, Unternehmen für den Missbrauch personenbezogener Daten zur Rechenschaft zu ziehen und die strengen Vorgaben für die Behandlung von Data Breaches zu überprüfen.

Die letzte Änderung am PDPA trat am 1. Oktober 2022 in Kraft. Sie betrifft den erhöhten Bußgeldrahmen in bestimmten Fällen von bis zu 10% des Jahresumsatzes in Singapore.
Aus seinem Haushalt für das Jahr 2020 hat das Land 1 Milliarde Dollar für einen Zeitraum von drei Jahren bereitgestellt, um die Regierung bei Cyber- und Datensicherheitstechnik auf den neuesten Stand zu bringen.

Die Bestimmungen gelten für alle Arten von personenbezogenen Daten, anhand derer eine Person identifiziert werden kann. Sie schließen allerdings geschäftliche Kontaktinformationen aus, solange diese für einen rein geschäftlichen Zweck zur Verfügung gestellt werden.

Darüber hinaus legt der PDPA eine „Do Not Call“-Regel fest: Im Falle einer nicht ausdrücklich erteilten Einwilligung müssen Unternehmen, die Telefonnummern in Singapur anrufen oder eine SMS versenden, das DNC-Register überprüfen und sicherstellen, dass die Nachricht den Absender eindeutig identifiziert und dass sie Einzelheiten zu Opt-out-Möglichkeiten enthält.

Indien: Personal Data Protection Bill (PDPB)

In Indien befindet sich seit mehreren Jahren ein Datenschutzgesetz im Entstehungsprozess. Am 3. August 2022 hat die Regierung nun den bisherigen Entwurf zurückgenommen. Nach der Rücknahme des Entwurfs soll nun ein ganz neuer Entwurf eines Datenschutzgesetzes erarbeitet werden.

Der indische Minister für Eisenbahnen, Kommunikation und Elektronik und Informationstechnologie, Ashwini Vaishnaw, gab an, dass ein neues Datenschutzgesetz bald zur öffentlichen Kommentierung veröffentlicht und hoffentlich während der Haushaltssitzung des indischen Parlaments im Januar 2023 vorgelegt werde. Vaishnaw sagte, das Gesetz werde modernes Denken widerspiegeln rund um den Datenschutz und fügte hinzu, dass „es nicht so sein sollte, als würden wir versuchen, ein Papiersystem für eine digitale Welt zu schaffen“.

Indien wird einen schwierigen Weg vor sich haben, wenn die Interessen der Zivilgesellschaft und der Tech-Konzerne ausgewogen zu berücksichtigt werden sollen.

Japan: Act on the Protection of Personal Information (APPI)

Das japanische Datenschutzgesetz APPI (engl. Act on the Protection of Personal Information; deutsch: Gesetz zum Schutz persönlicher Informationen) trat 2004 in Kraft und wurde zuletzt 2015 reformiert und gilt mit den Änderungen seit 2017. In 2019 erhielt Japan einen Angemessenheitsbeschluss der EU.

Im April 2022 ist in Japan eine weitere Änderung des Gesetzes über den Schutz personenbezogener Daten in Kraft getreten. Damit nähert sich das innerjapanische Datenschutzniveau noch weiter der europäischen Datenschutzgrundverordnung (DSGVO) an. Es bringt nun auch einige Änderungen mit sich, die insbesondere für ausländische Unternehmen mit Tochtergesellschaften in Japan von Bedeutung sind.

Im Fall einer Übermittlung personenbezogener Daten an Dritte außerhalb Japans (darunter fallen auch nicht japanische Gruppengesellschaften) müssen bei Einholung der dafür erforderlichen Einwilligung der betroffenen Person fortan erweiterte Informationen zur Verfügung gestellt werden. Sie müssen insbesondere das Land des Empfängers, die dort zum Schutz personenbezogener Daten vorhandenen Regelungen und die vom Empfänger zum Schutz personenbezogener Daten getroffenen Maßnahmen umfassen.

Weiterhin ist der Übermittler der Daten für regelmäßigen Überprüfung der rechtmäßigen Verarbeitungen Auftragsverarbeitern verpflichtet. Es muss deshalb darauf geachtet werden, dass auch gruppeninterne Datenübermittlungen den neuen japanischen Anforderungen gerecht und Datenschutzhinweise und Einwilligungserklärungen entsprechend angepasst werden.

Südkorea: Personal Information Protection Act (PIPA)

Maßgebliche Rechtsvorschrift für die Verarbeitung von personenbezogenen Daten in der Republik Korea ist das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Act – PIPA). Es sieht ähnliche Grundsätze, Garantien, individuelle Rechte und Pflichten wie das EU-Recht vor. Am 5. August 2020 trat die neue Fassung des PIPA in Kraft. Durch die Reform wurde die zentrale Bedeutung einer unabhängigen Datenschutzbehörde bestätigt, die mit wirksamen Befugnissen ausgestattet ist und als zentraler Bestandteil eines modernen Datenschutzsystems sowie als Schlüsselelement der zunehmenden internationalen Angleichung der Datenschutzstandards fungiert.

Nach Verhandlungen und Gesprächen mit der der EU-Kommission erhielt Südkorea am 17.Dezember 2021 einen Angemessenheitsbeschluss und gilt somit als sicheres Drittland.
Ein wichtiger Schritt in den Angemessenheitsgesprächen war die im August 2020 in Kraft getretene Reform des PIPA, mit der die Ermittlungs- und Durchsetzungsbefugnisse der unabhängigen Datenschutzkommission der Republik Korea (Personal Information Protection Commission – PIPC) gestärkt wurden.

Pakistan: in Progress

Das Ministerium für Informationstechnologie und Telekommunikation (MOITT – Ministry of Information Technology and Telecommunications) hat einen Gesetzentwurf für ein Datenschutzrecht („Personal Data Protection Bill 2021“) eingebracht, der noch verkündet werden muss.

Der Gesetzentwurf wird nach seiner Verabschiedung das wichtigste Gesetz zur Regelung der für die Verarbeitung personenbezogener Daten Verantwortlichen und der Auftragsverarbeiter in Pakistan sein. Er soll für alle Personen gelten, die personenbezogene Daten verarbeiten, die Kontrolle darüber haben oder die Verarbeitung genehmigen. Die Voraussetzung ist, dass die betroffene Person, der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter (entweder im Inland oder im Ausland) in Pakistan ansässig ist.

Als grundlegende Rechtfertigung für eine Verarbeitung gilt, nach aktuellem Stand, die Einwilligung.

Das Gesetz tritt spätestens zwei Jahre nach seiner Verkündung in Kraft. Ein genauer Zeitplan über weitere Beratungen ist nicht bekannt.

Fazit

Es tut sich was. Immer mehr Länder nähern sich den Vorgaben aus der DSGVO an. Somit hat das angekündigte Ziel der Harmonisierung des Datenschutzes über EU-Grenzen hinaus bereits erste Früchte getragen, wie das Beispiel Südkorea zeigt. Es bleibt weiter spannend, welche Länder sich als attraktive Diensteanbieter weiter positionieren können. Haben Sie weitere Fragen zu dem Thema? Kontaktieren Sie uns gerne.

 

UPDATE

China PIPL – Neue Standardvertragsklauseln

Am 1. November 2021 trat das chinesische Gesetz zum Schutz personenbezogener Daten (PIPL) offiziell in Kraft und legte einen allgemeinen Rahmen dafür fest, wie Unternehmen weltweit – sowohl innerhalb als auch außerhalb der Volksrepublik China – personenbezogene Daten erheben, verarbeiten und übermitteln müssen.

Am 24. Februar 2023 wurden die Maßnahmen zum Standardvertrag für die grenzüberschreitende Übermittlung personenbezogener Daten von der Cyberspace Administration of China (CAC) zusammen mit dem Standardvertrag für die grenzüberschreitende Übermittlung personenbezogener Daten (CN SCCs) als Anhang veröffentlicht. Die Maßnahmen treten am 1. Juni 2023 in Kraft und sollten bis zum 30. November 2023 von Unternehmen umgesetzt werden.

Aber wie funktionieren die neuen PIPL SCCs?

• Anwendbarkeit

In Übereinstimmung mit Artikel 38 des PIPL hat das CAC Leitlinien zur Regelung der Datenübermittlung herausgegeben. Nach Angaben des CAC dürfen Organisationen die SCCs für die Übermittlung von China-Daten ins Ausland übernehmen, wenn alle vier der folgenden Bedingungen erfüllt sind:

• • Der Datenexporteur ist kein Betreiber kritischer Informationsinfrastrukturen (CIIO), der weit gefasst ist, um Unternehmen in den Bereichen Finanzen, Energie, Telekommunikation, öffentliche Versorgungsunternehmen, Gesundheitswesen, Transport, E-Government und andere Sektoren abzudecken, die sich um die nationale Sicherheit und das öffentliche Interesse Chinas kümmern.
  • Der Datenexporteur hat keine personenbezogenen Daten verarbeitet, die mehr als 1 Million Personen betragen.
  • Der Datenexporteur hat seit dem 1. Januar des Vorjahres keine aggregierten Übermittlungen personenbezogener Daten von mehr als 100.000 Personen vorgenommen.
  • Der Datenexporteur hat seit dem 1. Januar des Vorjahres keine aggregierten Übertragungen von sensiblen personenbezogenen Daten (z. B. biometrische Daten, Informationen über religiöse Überzeugungen oder bestimmte Identitäten, medizinische Gesundheit, Finanzkonten und personenbezogene Daten von Minderjährigen unter 14 Jahren) von mehr als 10.000 Personen vorgenommen.

• Folgenabschätzung

  • Wie bei den EU-SCCs und IDTA (International Data Transfer Agreement UK) verpflichtet der PIPL-Mustervertrag die exportierende Partei, vor der Ausführung der PIPL-SCCs eine Folgenabschätzung zum Schutz personenbezogener Daten (PIPIA) durchzuführen. Es wird erwartet, dass sich der PIPIA-Bericht mit Fragen befasst, die sich auf die Sicherheit personenbezogener Daten auswirken könnten, die ins Ausland übertragen werden. Es wird erwartet, dass sich das PIPIA mit Folgendem befasst: 1. der Rechtmäßigkeit, Rechtmäßigkeit und Notwendigkeit des Zwecks, des Umfangs und der Methode der Verarbeitung personenbezogener Daten durch den Datenverantwortlichen und den Empfänger im Ausland; 2. das Volumen, den Umfang, die Kategorie und die Sensibilität der personenbezogenen Daten, die ins Ausland übertragen werden sollen; 3. die Risiken für die Rechte und Interessen der betroffenen Personen; und 4. die Auswirkungen der Richtlinien und Vorschriften zum Schutz personenbezogener Daten in dem Herkunftsland, in dem sich der Empfänger im Ausland befindet.

• Module

  • Die PIPL-SCCs verwenden keinen modularen Ansatz wie die EU-SCCs. Dies ist positiv für die exportierenden Parteien, da die PIPL-SCCs unabhängig von der Rolle und Funktion der Parteien als universelle Vorlage fungieren werden.

• Änderung

  • Ähnlich wie bei den meisten Standardvertragsklauseln ist die Änderung der Klauseln verboten. Zusätzliche Formulierungen, die nicht im Mustervertrag enthalten sind, können jedoch hinzugefügt werden, sofern diese Bedingungen nicht im Widerspruch zu den PIPL-SCCs stehen. Die PIPL SCCs, die auf der CAC-Website vorgestellt werden, sind nur in Mandarin verfügbar. Die PIPL-SCCs diskutieren nicht über Übersetzungen, aber wir gehen davon aus, dass die Verwaltung dies in den nächsten Monaten in Betracht ziehen wird. Die Übersetzung der SCCs wird eine wichtige Änderung/Ergänzung für US-Unternehmen sein.

 

Fazit

Die 6-monatige Frist für den Nachbesserungsprozess ist relativ kurz, so dass es für Unternehmen empfehlenswert ist, gegebenenfalls schnell Maßnahmen zu ergreifen. Außerdem muss der Standardvertrag innerhalb von 10 Werktagen zusammen mit einem Bericht über die Folgenabschätzung zum Schutz personenbezogener Daten (PIPIA) beim lokalen CAC registriert werden. Unternehmen, für die die Leitlinien gelten, sind verpflichtet, innerhalb der 6 Monate alle Berichtigungen vorzunehmen, die für ihre grenzüberschreitende Verarbeitung personenbezogener Daten erforderlich sind.