Datenschutzgesetze weltweit – Eine Übersicht

Anzeige

Illustration: Absmeier, Joshua Sortino

Datenschutz ist die Komponente der Datensicherheit, die sich auf die konforme Verarbeitung von sensiblen oder personenbezogenen Daten konzentriert. Beide Bereiche sind untrennbar miteinander verbunden, und Regierungen auf der ganzen Welt haben Standards zum Schutz von sensiblen oder personenbezogenen Daten festgelegt.

 

Viele Länder haben bereits Gesetzte und Vorschriften erlassen. Trotzdem ist es für international tätige Unternehmen nicht immer ganz einfach, die Übersicht zu behalten und die Unterschiede zwischen den einzelnen lokalen Rechtsvorschriften zu berücksichtigen. Tatsächlich gibt es noch keinen weltweit gültigen Standard wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden sollten. Unternehmen kommen deshalb nicht umhin, sich in die Grundlagen der Vorschriften einzelner Regionen einzuarbeiten. Schon deshalb, weil bei Nichteinhaltung empfindliche Strafen drohen.

 

DSGVO (EU)

Seit dem Wirksamwerden der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 haben fast alle EU-Mitgliedstaaten eigene Ergänzungen zu den Vorschriften verabschiedet. Das Gesetzespaket ist nach wie vor ein Maßstab für die Länder, die derzeit bei der Gestaltung von Richtlinien zum Schutz personenbezogener Daten nachziehen.

Zu den maßgeblichen Neuerungen und Regelungen, die mit der DSGVO einhergehen, gehören:

  • Befähigung der Datenschutzbehörden (DPA), verbindliche Entscheidungen zu treffen und administrative Sanktionen wie Geldstrafen zu verhängen
  • Das Recht auf Einspruch gegen die Verarbeitung von Daten durch den für die Verarbeitung Verantwortlichen oder aufgrund von öffentlichen Interessen
  • Meldung von Sicherheitsverletzungen an die DPA und in einigen Fällen an die betroffenen Personen
  • Strengere Anforderungen an die Einwilligung
  • Einbeziehung biometrischer und/oder genetischer Daten in die Definition sensibler Daten
  • Einführung der Position eines Datenschutzbeauftragten (DSB) als obligatorische Rolle in einem Unternehmen im Falle bestimmter Arten der Verarbeitung personenbezogener Daten

Diese gesetzlichen Vorgaben erfordern eine komplexe Kette von Verantwortlichkeiten, die vom Datenschutzbeauftragten eines Unternehmens (oder einem von mehreren Unternehmen gemeinsam genutzten Datenschutzbeauftragten) überwacht werden. Er ist es auch, der im Wesentlichen das Programm zum Schutz der verarbeiteten Daten verwaltet und die korrekte Umsetzung überwacht. Jetzt, über zwei Jahre nach der Einführung, sind längst noch nicht alle Unternehmen konform im Sinne der DSGVO.

Wie bei nahezu allen Datenschutzprogrammen ist der Weg eines Unternehmens zur DSGVO-Compliance eher eine Reise als ein statisches Ziel. Unternehmen können durchaus den Anforderungen zur DSGVO-Compliance entsprechen.

Das Erreichte muss allerdings kontinuierlich gepflegt und überwacht werden. Schon, weil sich die Anforderungen im Laufe der Zeit ändern. An dieser Stelle kann der Datenschutzbeauftragte sicherstellen, dass alle Anforderungen im Rahmen der DSGVO tatsächlich erfüllt werden.

Das Wichtigste, das man sich in Sachen DSGVO merken sollte, ist aber nicht, was sie im Einzelnen abdeckt. Der wichtigste Punkt der Verordnung ist, dass sie die Datenverarbeitung mit einem extraterritorialen Fokus abdeckt. Das heißt, dass jeder, der Daten von in Europa ansässigen Personen verarbeitet oder Daten in Europa speichert, unter die DSGVO fällt und diese durchgesetzt wird.

 

California Consumer Privacy Act – CCPA (USA)

Der CCPA gilt für Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens, wie die von Kunden und Mitarbeitern, erheben. Er ist ähnlich einer klareren und vereinfachten DSGVO verfasst worden. Interessanterweise unterscheidet sich die Definition personenbezogener Daten hier, und abweichend von der DSGVO sind der Datenschutz für Geräte und Familien ebenfalls einbezogen.

Es handelt sich um ein weiteres extraterritoriales Gesetz, das versucht, die Lücken zu schließen, die die US-amerikanische Federal Trade Commission und die Datenschutzbestimmungen der HIPAA gelassen haben. Unternehmen müssen bestimmte Schwellenwerte erfüllen, um an den CCPA gebunden zu sein. Organisationen, die eines der folgenden Kriterien erfüllen, müssen CCPA-konform sein (wobei nirgendwo in diesem Gesetz steht, dass diese Zahlen nur für Einwohner des Staates Kalifornien gelten):

  • Unternehmen, die Informationen von mehr als 50.000 Personen, Geräten oder Familien erheben (IP-Adressen gelten als personenbezogene Daten, so dass Unternehmen, die Websites mit mehr als 50.000 Besuchern pro Jahr betreiben, unter dieses Kriterium fallen).
  • Der Jahresumsatz liegt über 25 Millionen Dollar.
  • Die Unternehmen 50 % oder mehr ihres Umsatzes aus dem Verkauf personenbezogener Daten von Kunden erzielen.

Der CCPA gewährt den Einwohnern Kaliforniens neue Datenschutzrechte, darunter das Recht auf Zugriff, Löschung, Ablehnung und das Recht zu erfahren, wie ein Unternehmen personenbezogene Daten in den letzten 12 Monaten erhoben und verarbeitet hat. Dazu gehören auch die personenbezogenen Daten der Mitarbeiter eines Unternehmens.

Es ist das erste größere staatliche Datenschutzgesetz, das in den USA in Kraft getreten ist. Der CCPA unterscheidet sich trotz allem noch stark von der DSGVO. Unternehmen, die bereits DSGVO-konform sind, sollten das deshalb nicht als Garantie ansehen, dass ihre Prozesse und Verfahren auch CCPA-konform sind. Zwar verschafft die DSGVO-Konformität sicherlich einen Vorsprung. Es ist aber dennoch nötig separat zu überprüfen, ob ein Unternehmen auch den Anforderungen des CCPA im Besonderen entspricht.

 

India Personal Data Protection Bill

Datum des Inkrafttretens: War für den Beginn des Jahres 2020 geplant

Das neue indische Datenschutzgesetz hat einige Kontroversen ausgelöst. Die umstrittenste Klausel: Das Gesetz erlaubt die Verarbeitung personenbezogener Daten im Interesse der staatlichen Sicherheit, wenn das genehmigt wird (die meisten anderen Datenschutzprogramme sind in dieser Hinsicht übrigens ganz ähnlich formuliert). Gestattet ist die Verarbeitung personenbezogener Daten auch zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von Straftaten – was fast zwangsläufig ein Bild von staatlicher Überwachung hervorruft. Es ist auf jeden Fall ein Gesetz, das wir im Auge behalten sollten, um zu bewerten wie es sich tatsächlich auf internationale Geschäftstätigkeiten auswirkt.

 

Singapore Personal Data Protection Act

Der Singapore Personal Data Protection Act befindet sich derzeit in der Entwicklung. Es weist Überschneidungen zur DSGVO auf, vor allem in Bezug auf Anwendung und Geltungsbereich, aber er konzentriert sich grundlegend anders auf die Compliance. Dort, wo die DSGVO auf Vorschriften beruht, wendet Singapur den PDPA als eine Reihe von Checkboxen an. Eine Entscheidung, die insbesondere die Bemühungen um die Rechenschaftspflicht bei Verstößen in den Vordergrund rückt.

Singapur hat eigens eine Abteilung eingerichtet, die Personal Data Protection Commission. Sie ist direkt damit beauftragt, Unternehmen für den Missbrauch personenbezogener Daten zur Rechenschaft zu ziehen. Aus seinem Haushalt für das Jahr 2020 hat das Land 1 Milliarde Dollar für einen Zeitraum von drei Jahren bereitgestellt, um die Regierung bei Cyber- und Datensicherheitstechnik auf den neuesten Stand zu bringen.

Die Bestimmungen gelten für alle Arten von personenbezogenen Daten, anhand derer eine Person identifiziert werden kann. Sie schließen allerdings geschäftliche Kontaktinformationen aus, solange diese für einen rein geschäftlichen Zweck zur Verfügung gestellt werden.

Darüber hinaus legt der PDPA eine »Do Not Call«-Regel fest: Im Falle einer nicht ausdrücklich erteilten Einwilligung müssen Unternehmen, die Telefonnummern in Singapur anrufen oder eine SMS versenden, das DNC-Register überprüfen und sicherstellen, dass die Nachricht den Absender eindeutig identifiziert und dass sie Einzelheiten zu Opt-out-Möglichkeiten enthält.

 

 

Die 10 allgemein anerkannten Datenschutzgrundsätze und ein Fazit

In der Welt des Datenschutzes gibt es eine Sammlung von 10 allgemein anerkannten Datenschutzgrundsätzen. Wenn Sie eine Datenschutzrichtlinie oder einen Datenschutzstandard erstellen, konzentrieren Sie sich immer auf Folgendes:

  1. Management: Wie werden Richtlinien, Standards und Verfahren für den Datenschutz gemanagt?
  2. Hinweispflicht: Welcher Hinweis wird zur Datenerhebung gegeben?
  3. Wahlmöglichkeit und Einwilligung: Es muss die Einwilligung derjenigen vorliegen, von denen Daten erhoben werden
  4. Erhebung: Welche Daten werden erhoben, und welche Daten sollten ausschließlich erhoben werden?
  5. Verwendung, Speicherung und Löschung: Wie sieht Ihr Datenlebenszyklus aus?
  6. Zugriff: Welche Zugriffskontrollen werden eingesetzt?
  7. Offenlegung gegenüber Dritten: Warum, wem und mit welcher Einwilligung werden Daten offengelegt
  8. Sicherheit für den Datenschutz: physischer oder technischer Schutz von Daten
  9. Qualität: So überprüfen Sie, ob Sie valide Daten vorhalten
  10. Überwachung und Durchsetzung: Entsprechen beide den Angaben, sind Maßnahmen zur Überwachung und Durchsetzung der geltenden Richtlinien umgesetzt?

Ganz gleich, welches Gesetz und welchen Vorschriften für Sie gerade gelten: Wer mit diesen 10 allgemein akzeptierten Datenschutzgrundsätzen beginnt, ist auf dem richtigen Weg. Die meisten Gesetze und Vorgaben benutzen sie als Ausgangspunkt. Von da an gilt es jedoch zu verstehen, dass ein Datenschutzgesetz ein Konzept ist, das sich entwickelt. Die sich weiter verändernde Sicherheitslandschaft fordert von Unternehmen zunehmend ein gewisses Maß an internem Fachwissen, um zumindest die Grundlagen für eine erfolgreiche und konforme Datenstrategie zu schaffen. Danach steht im Vordergrund, Compliance aufrechtzuerhalten und regelmäßige Überprüfungen durchzuführen.

Das gilt umso mehr angesichts des aktuellen Arbeitsumfelds aufgrund der Covid-19-Pandemie.  Nur weil sich die Welt teilweise verändert hat, heißt das noch lange nicht, dass die Datenschutzbestimmungen gelockert werden. Bei einer verstreut arbeitenden Belegschaft ist es wichtiger denn je, Compliance zu gewährleisten. Wir sollten die aktuelle Situation durchaus als Erinnerung betrachten, Compliance-Vorschriften auf den Prüfstein zu stellen. Welcher Art auch immer die viel zitierten »neue« Normalität sein wird, eines ist sicher: kein Unternehmen will aufgrund mangelnder Compliance Opfer von Datenschutzverletzungen werden und sich Strafen und schwerwiegenden Auswirkungen gleichermaßen ausgesetzt sehen.

Robert Meyers, FIP, Datenschutzexperte

 

2696 Artikel zu „Datenschutz“

Datenschutz und Covid-19-Tracking – ein Widerspruch?

Covid-19 bringt die Diskussionen um Datenschutz an einen entscheidenden Punkt, der unseren Umgang mit sensiblen Daten langfristig beeinflussen wird. Auf der einen Seite ist Datenschutz ein entscheidender Faktor für das Vertrauen der Menschen in ein Unternehmen. Auf der anderen Seite merken wir gerade, dass Datenschutz uns in einer Form die Hände bindet, wie wir es…

Datenschutz beim Website-Tracking

Das Tracking des Surfverhaltens gehört zum Alltag der Internetnutzung. Unternehmen verwenden es beispielsweise, um Werbeanzeigen auf die persönlichen Belange der potenziellen Kunden zuzuschneiden oder ihre Reichweite zu messen. Viele Anbieter von Trackingdiensten werben mit sicherem Datenschutz, indem sie die Datensätze generalisieren und so anonymisieren. Wie sicher dieses Verfahren ist, haben Informatikerinnen und Informatiker des Karlsruher…

Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse

Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.   Die DSGVO gibt…

Datenschutz im Home Office: 9 Handlungsempfehlungen

Das Home Office ist im Alltag von Millionen von Arbeitnehmern Thema der Stunde. In den offiziellen Richtlinien zum Datenschutz ist allerdings immer noch in leicht angestaubter Sprache vom »Telearbeitsplatz« die Rede. Nachdem im März 2020 angesichts der Corona-Pandemie Tausende kleiner, mittelständischer und großer Unternehmen ihre Angestellten praktisch ohne jede Vorbereitungszeit ins Home Office ziehen lassen…

Datenschutz: Deutsche vertrauen Hausbank am meisten

Deutsche Verbraucher vertrauen ihrer eigenen Hausbank am meisten, wenn es um ihre Finanzdaten geht. 78 Prozent würden auch am ehesten ihrer Bank erlauben, die eigenen Kontodaten gezielt auszuwerten. Mit 68 Prozent liegen die gesetzlichen Krankenkassen auf dem zweiten Platz und damit noch vor staatlichen Stellen wie den Finanz- und Sozialbehörden. Schlecht schneiden Vergleichsportale und Smartphone-Banken…

Schul-Cloud-Projekt: Schulen benötigen dringend eine sichere und datenschutzkonforme digitale Infrastruktur

Plötzlich wird digital unterrichtet: Lehrkräfte stellen Unterrichtsmaterialien und Aufgaben ins Netz und kommunizieren mit Schülerinnen und Schülern über Messenger- oder Videokonferenzdienste. Doch mangels landesweit einheitlicher Angebote und digitaler Infrastrukturen mussten in den letzten Wochen viele Schulen und Lehrkräfte in der Not sehr schnell eigene Lösungen finden. Oft nutzen Lehrkräfte innerhalb einer Klasse verschiedene Anwendungen –…

Datenschutz im Home Office: Macht Zero-Trust-Technologie die Cloud sicher?

Rund ein Viertel der Deutschen arbeitet derzeit von Zuhause aus [1]. Rosige Zeiten für Hacker: Sie nutzen die Krise um COVID-19 für gezielte Cyberangriffe. Sicherheitsforscher sprechen im Rahmen der Corona-Pandemie von einer der größten E-Mail-Kampagnen durch Cyberkriminelle, die jemals unter einem einzigen Thema durchgeführt wurde [2]. Auch die deutsche Verbraucherzentrale warnt explizit vor Malware und…

Benachrichtungspflicht und Veröffentlichungspflicht bei Verletzung des Datenschutzes

Die Datenschutzreform 2018 hat eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten eingeführt (Art. 33 Datenschutzgrundverordnung – DSGVO1). Unter bestimmten Voraussetzungen wird diese Meldepflicht um eine Pflicht zur Benachrichtigung betroffener Personen über eine Datenschutzverletzung ergänzt (Art. 34 DSGVO). Diese Vorgaben gelten grundsätzlich für Unternehmen und öffentliche Stellen gleichermaßen. Dabei haben sich die neuen Regelungen in…

Europäischer Datenschutztag: Softwareanwendungen erleichtern Umsetzung der Datenschutzgrundverordnung

Jedes zweite Unternehmen hat Softwaretools für DSGVO im Einsatz. Am 28. Januar ist Europäischer Datenschutztag.   Für die Einhaltung der Datenschutzgrundverordnung setzen viele Unternehmen auf technische Unterstützung. Fast jedes zweite Unternehmen (48 Prozent) hat für die Umsetzung spezielle Softwaretools genutzt. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen aus Deutschland [1].…

IT-Trends 2020: Daten-DNA, Datenschutz, Mikrorechenzentren, Backup-Strategien und Container

Fünf Trends drücken dem kommenden Jahr 2020 aus IT-Sicht einen Stempel auf. Sascha Oehl, Director Technical Sales bei Veritas Technologies, erläutert, inwiefern sich IT-Entscheider verstärkt mit maschinellem Lernen und künstlicher Intelligenz, der Daten-DNA sowie Edge-Computing und Containern auseinandersetzen müssen.   Automatismen für die Daten-DNA Es ist fast schon so universell gültig wie ein physikalisches Gesetz…

Datenschutz an Schulen – So kann’s funktionieren

Ein neues Faltblatt »Datenschutz an Schulen« zeigt, worauf zu achten ist, wenn digitale Werkzeuge im Schulkontext genutzt werden. Mit diesem Leitfaden kann jede Lehrkraft zu einer Art Datenschutz-Expertin werden.   An Schulen – dem Ort, den alle Kinder besuchen – ist Datenschutz noch immer ein leidiges Thema, denn es fehlen oft Fachkräfte, die sich mit…

Sicherheit und Datenschutz: IT-Prognosen für das Jahr 2020

Der Aufstieg der verwundbaren Maschinen Im Jahr 2020 wird die Robotik-Prozessautomatisierung (RPA) ihren umwälzenden Aufstieg weiter fortsetzen und sich noch stärker in unserem Alltag verankern. Bis Ende 2019 prognostiziert Gartner, dass der Umsatz mit der Robotik-Prozessautomatisierung die 1,3 Milliarden US-Dollar-Marke knacken wird. Für das neue Jahr wird sogar ein noch stärkeres Wachstum erwartet. Allerdings gibt…

Datenschutzkonformität: Schnell Klarheit zur EU DSGVO mit Self-Assessment

Ein neu entwickeltes, webbasiertes Self-Assessment von TÜV SÜD hilft Unternehmen bei der Einschätzung ihrer aktuellen Datenschutzkonformität gemäß der EU DSGVO. Die Online-Analyse wird ergänzt durch eine kostenlose Erstberatung und einen frei erhältlichen Praxisleitfaden, speziell für kleine und mittelständische Unternehmen (KMU). »Besonders kleine und mittelständische Unternehmen sind oft unsicher, ob sie die Anforderungen der mit Frist…

DSGVO steigert das Vertrauen der Mitarbeiter in die Datensicherheit – Datenschutz ist keine Einmalaufgabe

Seit Mai 2018 ist die DSGVO anzuwenden, um den Schutz der personenbezogenen Daten zu verbessern und die Privatsphäre der Menschen zu gewährleisten. Die Umsetzung der DSGVO zeitigt einen erheblichen Vertrauenszuwachs bei den Beschäftigten. Qualitätsorientierte Unternehmen streben eine Maximallösung an, um eine belastbare Datenverarbeitungsgrundlage für die Zukunft zu schaffen.

Enorme Wissenslücken von Anwendern in puncto Phishing und Datenschutz

Die Ergebnisse einer Sicherheitsstudie [1] zum Kenntnisstand von Endanwendern hinsichtlich einer Vielzahl verschiedener Themen aus dem Cybersecurity-Umfeld verdeutlichen die Notwendigkeit kontinuierlicher Schulungen für Mitarbeiter, da über alle Branchen hinweg das Wissen um Cyberbedrohungen noch immer erhebliche Lücken aufweist. Beispielsweise offenbarten sich im Branchenvergleich, vor allen im Bildungs- und Transportwesen sowie im Gastgewerbe, teils massive Schwächen.…

Aufklärung in Sachen Datenschutz: Datensammler, ihre Quellen und Gründe

»Ich habe nichts zu verbergen« ist eine häufige Argumentation beim Thema Datenschutz. Doch wenn Reisende mehr für einen Flug bezahlen als andere, weil sie aufgrund gesammelter Daten wie dem Wohnort oder dem Beruf als kaufkräftiger eingeschätzt werden, empfinden das viele als ungerecht. Wie, von wem und warum Daten gesammelt werden, erläutert Stefan Wehrhahn, Cyber-Security-Experte bei…

Datenschutz und Verschlüsselung im Gesundheitswesen siechen vor sich hin

Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) offenbart: Sensible Daten von Patientinnen und Patienten nicht ausreichend geschützt. Um den Datenschutz im Gesundheitswesen ist es schlecht bestellt: Eine neue Studie der GDV zeigt, dass Ärzte sowie Apotheken hierzulande nachlässig im Umgang mit Passwörtern sind. Hinzu kommt die Tatsache, dass viele auf Verschlüsselung verzichten – fatal, wenn…

Gesichtserkennung in San Francisco aus Datenschutzgründen verboten

Der San Francisco Board of Supervisors (Aufsichtsrat) hat die Verwendung von Gesichtserkennung durch städtische Regierungsbehörden verboten und ist damit die erste Stadt in den Vereinigten Staaten von Amerika, die dieses Tool blockiert, das von der Polizei oft verwendet wird, um nach Verdächtigen zu suchen und Kriminelle zu erkennen. An dieser Stelle können Sie vielleicht auf…

DSGVO: Ein Jahr Datenschutzgrundverordnung

Fast 150.000 Anfragen und Beschwerden mit DSGVO-Bezug sind seit Mai 2018 bei Datenschutzbehörden in Europa aufgelaufen – davon rund 90.000 Benachrichtigung über Datenschutzverletzungen. Zum ersten Jahrestag der neuen europäischen Datenschutzvorschriften ziehen Andrus Ansip, Vizepräsident der Kommission und Kommissar für den digitalen Binnenmarkt‚ und Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, eine positive Bilanz: »Durch…