Seitdem die EU die DSGVO (Europ\u00e4ische Datenschutz-Grundverordnung) beschlossen hat, haben andere L\u00e4nder weltweit im Datenschutz nachgezogen und Regeln geschaffen, die f\u00fcr Unternehmen im jeweiligen Land gelten und den Datenverkehr von personenbezogenen Daten betreffen. Im heutigen Blogbeitrag beleuchten wir den Datenschutz in Asien<\/p>\n
Im Folgenden geht es um den Datenschutz in Asien in den einzelnen L\u00e4ndern und Regionen Asiens. Wir geben Ihnen einen \u00dcberblick \u00fcber die dortigen Gesetze und wie es um den Datenschutz in Asien bestellt ist.<\/p>\n
In China wurde ein neues Datenschutzgesetz verabschiedet, das zum 1. November 2021 in Kraft trat. Hier lassen sich \u00c4hnlichkeiten zur DSGVO finden. \u00dcberraschenderweise werden Datenverarbeitungen grunds\u00e4tzlich als unzul\u00e4ssig betrachtet, es sei denn, es gibt einen legitimen Erlaubnistatbestand.
\nIn erster Linie soll das Gesetz das Sammeln von Daten einschr\u00e4nken. Nutzerinnen und Nutzer m\u00fcssen \u00fcber die Verwendung ihrer Daten umfassend informiert werden und es d\u00fcrfen nicht zu viele Daten gesammelt werden. Au\u00dferdem haben sie nun erstmalig das Recht, automatisierten Informationen und Marketingaktionen zu widersprechen.
\nAuch die Preisdiskriminierung soll in Zukunft verboten werden. Bisher war es in China erlaubt, Nutzerinnen und Nutzern unterschiedliche Preise anzubieten \u2013 abh\u00e4ngig von Konsumverhalten und Einkommensniveau.<\/p>\n
Obwohl die chinesische Regierung das PIPL als \u201estrengstes Datenschutz-Gesetz der Welt\u201c<\/strong> bezeichnet, sicherlich aufgrund des hohen Bu\u00dfgeldrahmens gibt es berechtigte Kritik: So werden jetzt zwar digitale Unternehmen st\u00e4rker reguliert, der chinesische Staatsapparat kann jedoch weiterhin ohne Einschr\u00e4nkung mitlesen und mith\u00f6ren.<\/p>\n Wichtig:<\/strong> Genau wie bei der DSGVO gilt das neue Gesetz auch f\u00fcr Unternehmen au\u00dferhalb Chinas, welche personenbezogene Daten von chinesischen B\u00fcrgerinnen und B\u00fcrgern verarbeiten. Sollte dies der Fall sein, muss ein Vertreter in China benannt werden, der f\u00fcr Fragen im Zusammenhang mit der Datenverarbeitung zust\u00e4ndig ist.<\/p>\n Am 1. Juni 2022 trat Thailands erstes Gesetz zum Schutz personenbezogener Daten in Kraft. Das sogenannte Personal Data Protection Act (PDPA)<\/strong> wurde urspr\u00fcnglich im Jahr 2019 unterzeichnet, sein Inkrafttreten wurde jedoch aufgrund der Pandemie zweimal verschoben und auf den 1. Juni 2022 datiert. Das Gesetz beschreibt die Verpflichtungen von Unternehmen in Bezug auf die Erhebung und Verarbeitung personenbezogener Daten. Das PDPA definiert personenbezogene Daten als Informationen, die eine lebende Person identifizieren.<\/p>\n Nach dem Gesetz bedarf es f\u00fcr jede Datenverarbeitung einer Rechtsgrundlage und Verst\u00f6\u00dfe gegen das Gesetzt werden sanktioniert, wobei die Strafen deutlich h\u00e4rter sind, als im EU-Recht. Im schlimmsten Falle k\u00f6nnen sogar Freiheitsstrafen von bis zu einem Jahr drohen. Der Singapore Personal Data Protection Act<\/strong> wurde erst im November 2020 angepasst. Es weist \u00dcberschneidungen zur DSGVO auf, vor allem in Bezug auf Anwendung und Geltungsbereich, aber er konzentriert sich grundlegend eher auf Compliance. Dort, wo die DSGVO auf Vorschriften beruht, wendet Singapur den PDPA als eine Reihe von Checkboxen an. Eine Entscheidung, die insbesondere die Bem\u00fchungen um die Rechenschaftspflicht bei Verst\u00f6\u00dfen in den Vordergrund r\u00fcckt.<\/p>\n Singapur hat eigene Aufsichtsbeh\u00f6rde eingerichtet, die Personal Data Protection Commission<\/strong>. Sie ist direkt damit beauftragt, Unternehmen f\u00fcr den Missbrauch personenbezogener Daten zur Rechenschaft zu ziehen und die strengen Vorgaben f\u00fcr die Behandlung von Data Breaches zu \u00fcberpr\u00fcfen.<\/p>\n Die letzte \u00c4nderung am PDPA trat am 1. Oktober 2022 in Kraft. Sie betrifft den erh\u00f6hten Bu\u00dfgeldrahmen in bestimmten F\u00e4llen von bis zu 10% des Jahresumsatzes in Singapore. Die Bestimmungen gelten f\u00fcr alle Arten von personenbezogenen Daten, anhand derer eine Person identifiziert werden kann. Sie schlie\u00dfen allerdings gesch\u00e4ftliche Kontaktinformationen aus, solange diese f\u00fcr einen rein gesch\u00e4ftlichen Zweck zur Verf\u00fcgung gestellt werden.<\/p>\n Dar\u00fcber hinaus legt der PDPA eine „Do Not Call“-Regel fest: Im Falle einer nicht ausdr\u00fccklich erteilten Einwilligung m\u00fcssen Unternehmen, die Telefonnummern in Singapur anrufen oder eine SMS versenden, das DNC-Register \u00fcberpr\u00fcfen und sicherstellen, dass die Nachricht den Absender eindeutig identifiziert und dass sie Einzelheiten zu Opt-out-M\u00f6glichkeiten enth\u00e4lt.<\/p>\n In Indien befindet sich seit mehreren Jahren ein Datenschutzgesetz im Entstehungsprozess. Am 3. August 2022 hat die Regierung nun den bisherigen Entwurf zur\u00fcckgenommen. Nach der R\u00fccknahme des Entwurfs soll nun ein ganz neuer Entwurf eines Datenschutzgesetzes erarbeitet werden.<\/p>\n Der indische Minister f\u00fcr Eisenbahnen, Kommunikation und Elektronik und Informationstechnologie, Ashwini Vaishnaw, gab an, dass ein neues Datenschutzgesetz bald zur \u00f6ffentlichen Kommentierung ver\u00f6ffentlicht und hoffentlich w\u00e4hrend der Haushaltssitzung des indischen Parlaments im Januar 2023 vorgelegt werde. Vaishnaw sagte, das Gesetz werde modernes Denken widerspiegeln rund um den Datenschutz und f\u00fcgte hinzu, dass „es nicht so sein sollte, als w\u00fcrden wir versuchen, ein Papiersystem f\u00fcr eine digitale Welt zu schaffen“.<\/p>\n Indien wird einen schwierigen Weg vor sich haben, wenn die Interessen der Zivilgesellschaft und der Tech-Konzerne ausgewogen zu ber\u00fccksichtigt werden sollen.<\/p>\n Das japanische Datenschutzgesetz APPI<\/strong> (engl. Act on the Protection of Personal Information; deutsch: Gesetz zum Schutz pers\u00f6nlicher Informationen) trat 2004 in Kraft und wurde zuletzt 2015 reformiert und gilt mit den \u00c4nderungen seit 2017. In 2019 erhielt Japan einen Angemessenheitsbeschluss der EU.<\/strong><\/p>\n Im April 2022 ist in Japan eine weitere \u00c4nderung des Gesetzes \u00fcber den Schutz personenbezogener Daten in Kraft getreten. Damit n\u00e4hert sich das innerjapanische Datenschutzniveau noch weiter der europ\u00e4ischen Datenschutzgrundverordnung (DSGVO) an. Es bringt nun auch einige \u00c4nderungen mit sich, die insbesondere f\u00fcr ausl\u00e4ndische Unternehmen mit Tochtergesellschaften in Japan von Bedeutung sind.<\/p>\n Im Fall einer \u00dcbermittlung personenbezogener Daten an Dritte au\u00dferhalb Japans (darunter fallen auch nicht japanische Gruppengesellschaften) m\u00fcssen bei Einholung der daf\u00fcr erforderlichen Einwilligung der betroffenen Person fortan erweiterte Informationen zur Verf\u00fcgung gestellt werden. Sie m\u00fcssen insbesondere das Land des Empf\u00e4ngers, die dort zum Schutz personenbezogener Daten vorhandenen Regelungen und die vom Empf\u00e4nger zum Schutz personenbezogener Daten getroffenen Ma\u00dfnahmen umfassen.<\/p>\n Weiterhin ist der \u00dcbermittler der Daten f\u00fcr regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung der rechtm\u00e4\u00dfigen Verarbeitungen Auftragsverarbeitern verpflichtet. Es muss deshalb darauf geachtet werden, dass auch gruppeninterne Daten\u00fcbermittlungen den neuen japanischen Anforderungen gerecht und Datenschutzhinweise und Einwilligungserkl\u00e4rungen entsprechend angepasst werden.<\/p>\n Ma\u00dfgebliche Rechtsvorschrift f\u00fcr die Verarbeitung von personenbezogenen Daten in der Republik Korea ist das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Act \u2013 PIPA). Es sieht \u00e4hnliche Grunds\u00e4tze, Garantien, individuelle Rechte und Pflichten wie das EU-Recht vor. Am 5. August 2020 trat die neue Fassung des PIPA in Kraft. Durch die Reform wurde die zentrale Bedeutung einer unabh\u00e4ngigen Datenschutzbeh\u00f6rde best\u00e4tigt, die mit wirksamen Befugnissen ausgestattet ist und als zentraler Bestandteil eines modernen Datenschutzsystems sowie als Schl\u00fcsselelement der zunehmenden internationalen Angleichung der Datenschutzstandards fungiert.<\/p>\n Nach Verhandlungen und Gespr\u00e4chen mit der der EU-Kommission erhielt S\u00fcdkorea am 17.Dezember 2021<\/strong> einen Angemessenheitsbeschluss<\/strong> und gilt somit als sicheres Drittland. Das Ministerium f\u00fcr Informationstechnologie und Telekommunikation (MOITT – Ministry of Information Technology and Telecommunications) hat einen Gesetzentwurf f\u00fcr ein Datenschutzrecht (\u201ePersonal Data Protection Bill 2021\u201c) eingebracht, der noch verk\u00fcndet werden muss.<\/p>\n Der Gesetzentwurf wird nach seiner Verabschiedung das wichtigste Gesetz zur Regelung der f\u00fcr die Verarbeitung personenbezogener Daten Verantwortlichen und der Auftragsverarbeiter in Pakistan sein. Er soll f\u00fcr alle Personen gelten, die personenbezogene Daten verarbeiten, die Kontrolle dar\u00fcber haben oder die Verarbeitung genehmigen. Die Voraussetzung ist, dass die betroffene Person, der f\u00fcr die Verarbeitung Verantwortliche oder der Auftragsverarbeiter (entweder im Inland oder im Ausland) in Pakistan ans\u00e4ssig ist.<\/p>\n Als grundlegende Rechtfertigung f\u00fcr eine Verarbeitung gilt, nach aktuellem Stand, die Einwilligung.<\/p>\n Das Gesetz tritt sp\u00e4testens zwei Jahre nach seiner Verk\u00fcndung in Kraft. Ein genauer Zeitplan \u00fcber weitere Beratungen ist nicht bekannt.<\/p>\nThailand: Personal Data Protection Act (PDPA)<\/h3>\n
\nDie Vorgaben gelten unter anderem nicht f\u00fcr staatliche Organe und Massenmedien.<\/p>\nSingapur: Singapore Personal Data Protection Act (PDPA)<\/h3>\n
\nAus seinem Haushalt f\u00fcr das Jahr 2020 hat das Land 1 Milliarde Dollar f\u00fcr einen Zeitraum von drei Jahren bereitgestellt, um die Regierung bei Cyber- und Datensicherheitstechnik auf den neuesten Stand zu bringen.<\/p>\nIndien: Personal Data Protection Bill (PDPB)<\/h3>\n
Japan: Act on the Protection of Personal Information (APPI)<\/h3>\n
S\u00fcdkorea: Personal Information Protection Act (PIPA)<\/h3>\n
\nEin wichtiger Schritt in den Angemessenheitsgespr\u00e4chen war die im August 2020 in Kraft getretene Reform des PIPA, mit der die Ermittlungs- und Durchsetzungsbefugnisse der unabh\u00e4ngigen Datenschutzkommission der Republik Korea (Personal Information Protection Commission \u2013 PIPC) gest\u00e4rkt wurden.<\/p>\nPakistan: in Progress<\/h3>\n
Fazit<\/h2>\n