In Artikel 3 wird der territoriale Geltungsbereich der Datenschutz-Grundverordnung detailliert beschrieben, der zwei wichtige Fälle umfasst, in denen die Datenschutz-Grundverordnung außerhalb der EU Anwendung findet:
- Beim Angebot von Waren und Dienstleistungen an EU-Bürger und in der EU ansässige Personen
- Bei der Überwachung des Online-Verhaltens von EU-Bürgern und Gebietsansässigen
Abgesehen von diesen Ausnahmen gibt es auch in anderen Teilen der Welt ähnliche, oft von der DSGVO inspirierte, Rechtsvorschriften.
Welche anderen Länder haben eine DSGVO-ähnliche Datenschutzpolitik?
1. Kalifornien (Ja, wir wissen, es ist kein Land)
Das wahrscheinlich am meisten diskutierte DSGVO-ähnliche Datenschutzgesetz außerhalb der EU ist der California Consumer Privacy Act (CCPA).
Obwohl Kalifornien eindeutig ein Bundesstaat und kein Land ist, hat die Popularität dieses Gesetzes dazu geführt, dass eine Reihe anderer Bundesstaaten die Einführung ähnlicher Maßnahmen für 2022 planen.
In der Tat haben insgesamt 15 Staaten entweder bestätigt, dass die Ausarbeitung eines ähnlichen Gesetzes für dieses Jahr geplant ist, oder sie haben bereits ein ähnliches Gesetz in Arbeit.
Zu diesen Staaten gehören Maryland, Florida, Washington und Mississippi, während mehrere andere Staaten, die sich zwar nicht zu einer Einführung im Jahr 2022 verpflichtet haben, die Möglichkeit prüfen, diesem Beispiel zu folgen.
2. Schweden (das erste Datenschutzgesetz)
Schweden ist zwar Mitglied der Europäischen Union und fällt somit unter die Bestimmungen der DSGVO, aber es lohnt sich auch, einen Blick auf das erste nationale Datenschutzgesetz der Welt zu werfen.
Ja, ob Sie es glauben oder nicht, das Datenschutzrecht im digitalen Zeitalter nähert sich nun selbst seinem 50 Geburtstag.
Zusammen mit den Deutschen spielten die Schweden eine Schlüsselrolle bei der frühen Gesetzgebung zum Datenschutz. Dazu gehörte die Verabschiedung des ersten nationalen Datenschutzgesetzes, des Data Act, im Jahr 1973.
Es wurde entwickelt, um "Datendiebstahl zu kriminalisieren und den Betroffenen die Freiheit zu geben, auf ihre Daten zuzugreifen". Auslöser für die Schaffung des Datengesetzes war die digitale Verarbeitung von Volkszählungsdaten bereits im Jahr 1969.
Die frühe Einführung von Computern in öffentlichen Ämtern in Schweden und eine auf Transparenz und Offenheit aufgebaute Kultur ebneten den Weg für das Gesetz.
3. Kanada und PIPEDA
Der kanadische Personal Information Protection and Electronic Documents Act (PIPEDA) wird oft als das Datenschutzgesetz angesehen, das der DSGVO am nächsten kommt.
Tatsächlich wurde die Entwicklung des Gesetzes teilweise von dem Bestreben geleitet, die politischen Entscheidungsträger der EU zu besänftigen und den Datentransfer zwischen Kanada und der EU zu erleichtern.
Trotz der Ähnlichkeit mit der DSGVO gibt es einige wichtige Unterschiede, von denen einige dafür verantwortlich gemacht werden, dass PIPEDA international nicht so attraktiv ist.
Diese Unterschiede beziehen sich auf sieben Hauptbereiche:
- Kriterien für die Anwendbarkeit
- Extraterritorialität
- Einwilligung in die Datenverarbeitung
- Das Recht auf Vergessenwerden
- Datenübertragbarkeit
- Benachrichtigung bei Datenschutzverletzungen
- Geldbußen
Was den letzten Punkt betrifft, so ist die Höhe der Bußgelder im Zusammenhang mit Verstößen gegen die Datenschutzgrundverordnung (DSGVO) fast schon legendär und hat als wichtiger Katalysator für die Schaffung von DSGVO-konformen Softwarelösungen und Beratungsunternehmen für die Datenverarbeitung gewirkt.
Es besteht eine riesige Kluft zwischen den Geldbußen, die durch die DSGVO verhängt werden können - bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes - und den PIPEDA-Geldbußen, die auf 100.000 CAD$ (ca. 70.000 Euro) begrenzt sind.
PIPEDA stützt sich auf seine 10 Grundsätze für faire Informationen:
- Rechenschaftspflicht
- Identifizierung der Zwecke, für die personenbezogene Daten gesammelt werden
- Zustimmung des Einzelnen zur Erfassung, Verwendung oder Weitergabe von personenbezogenen Daten
- Beschränkung der Datenerfassung auf das für den von der Organisation angegebenen Zweck erforderliche Maß
- Begrenzung der Nutzung, Offenlegung und Aufbewahrung
- Korrektheit der personenbezogenen Daten
- Schutz personenbezogener Daten vor Verlust oder Diebstahl, unbefugtem Zugriff usw.
- Offenheit über Richtlinien und Praktiken im Zusammenhang mit dem Umgang mit personenbezogenen Daten
- Individueller Zugang auf Anfrage
- Anfechtung der Einhaltung der Grundsätze des PIPEDA
4. Israel
Wenn wir den Nahen Osten und Afrika als Ganzes betrachten, gibt es verschiedene Länder und Regionen, die Datenschutzgesetze eingeführt haben.
Die israelischen Datensicherheitsvorschriften gelten als die am stärksten an die Datenschutz-Grundverordnung angeglichenen, obwohl sie mehrere Merkmale - wie Vorschriften zu Passwörtern und Penetrationstests - enthalten, die im EU-Recht nicht enthalten sind.
Trotzdem werden die israelischen Datenschutzgesetze von der Europäischen Kommission als angemessen betrachtet und ermöglichen somit die Verarbeitung von in der EU ansässigen Daten.
Damit steht das Land neben nur 13 anderen "Drittländern", deren Datenschutzniveau von der EG bestätigt wurde. Zu den anderen gehören Neuseeland, Kanada (wie oben erwähnt), Südkorea und das Vereinigte Königreich.
In den letzten Jahren wurden diese Gesetze mehrfach aktualisiert. Erst im Januar 2022 wurde ein neuer Gesetzesentwurf veröffentlicht, der das etwas archaische Datenschutzgesetz an das digitale Zeitalter anpassen soll.
Neben Israel verfügen auch Bahrain, Katar und die Türkei über eine Art nationales Datenschutzgesetz - letzteres basiert weitgehend auf der Vor-2018-Version der DSGVO.
5. Kenia (und die Afrikanische Union)
Die Afrikanische Union (AU) verabschiedete 2014 das DSGVO-ähnliche Übereinkommen über Cybersicherheit und den Schutz personenbezogener Daten mit der Absicht, die einzelnen AU-Länder zu verpflichten, nationale Datenschutzgesetze zu erlassen.
Trotzdem ist die Initiative nur schleppend vorangekommen, da nur fünf Länder dem Beispiel gefolgt sind und eigene Datenschutzgesetze entwickelt und verabschiedet haben.
Dazu gehört das kenianische Datenschutzgesetz, das 2019 in Kraft trat und seither weiterentwickelt und verbessert wurde.
Zum Zeitpunkt der Verabschiedung erklärte Joe Mucheru, Kenias Minister für Information, Technologie und Kommunikation, dass "Kenia sich in Bezug auf die Datenschutzstandards der Weltgemeinschaft angeschlossen hat".
Zu den anderen afrikanischen Ländern, die eine Form von Datenschutzgesetz verabschiedet haben, gehören Nigeria, Mauritius, Südafrika und Uganda.
Andere nationale Datenschutzgesetze und was noch vor uns liegt
Neben diesen fünf Beispielen gibt es mehrere andere Länder, die Datenschutzgesetze ähnlich der DSGVO verabschiedet haben.
Wie bereits in diesem Artikel erwähnt, verfügen insgesamt 14 Drittländer über Standards, die mit der DSGVO kompatibel sind und mit ihr übereinstimmen.
Neben den bereits erwähnten Ländern haben auch Japan, Brasilien, Uruguay, die Schweiz, Andorra, die Färöer-Inseln, Guernsey, die Isle of Man, Jersey und Argentinien ähnliche Datenschutzgesetze erlassen.
Da das Thema digitaler Datenschutz und Privatsphäre ein zunehmend globales und breit diskutiertes Thema wird, ist es wahrscheinlich, dass weitere Länder in Kürze ähnliche Gesetze erlassen oder verbessern werden.