Search

Datenschutz und Datensouveränität in der EU und den ASEAN Ländern’

TOP Beraten bedankt sich bei EUROCHAM und ACASIA für ihr sehr informatives Webinar zu Datensouveränität und Datenschutz in der EU und den ASEAN-Ländern. Zu diesem Thema waren die drei Experten Herr Teoh Aik Hong (Senior Director, Business IT bei DHL Express Malaysia und Brunei), Herr Ts. Syahrir Nizam Jalis (CEO bei ACASIA Communications Sdn Bhd) und Frau Liew Shi Ying (Partner bei Azrul, Liew & Co) eingeladen. Es war mir eine große Freude ihren fundierten Beiträgen zuzuhören. 

Die ersten beiden Referenten gaben einen Überblick über das Thema und Frau Liew Shi Yings Vortrag ging tiefer auf die EU-Datenschutz-Grundverordnung (DSGVO) und die unterschiedlichen Konzepte von personenbezogenen Daten und Datenschutz in den ASEAN-Ländern ein.

Der Schutz von persönlichen Daten ist ein hochaktuelles Thema. Aber auch Datensouveränität gewinnt an Bedeutung, da Länder die Notwendigkeit sehen, die persönlichen Daten ihrer Bürger zu schützen.

Unter Datensouveränität versteht man, dass ein Land oder eine Region gesetzlich vorgibt, wie die personenbezogenen Daten der Bürger dieser Region erhoben, gespeichert und verarbeitet werden dürfen. Dies ist wichtig, um zu verhindern, dass die Daten von anderen Ländern oder ausländischen Organisationen missbraucht werden.

Zu diesem Zeitpunkt haben jedoch viele Länder noch keine Vorschriften hierzu erlassen. 

Datensouveränität und Datenschutz in der EU 

Die Europäische Union ist mit der DSGVO, die 2018 in Kraft getreten ist, in Sachen Datensouveränität einer der Vorreiter. Die Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

Alle Organisationen, die personenbezogene Daten von EU-Bürgern erheben, speichern oder verarbeiten, müssen diese Verordnung einhalten. Bei Nichteinhaltung drohen Bußgelder bis zu 20 Mio. Euro oder 4 % des Weltumsatzes.

Die Daten müssen innerhalb der EU oder in einem Gebiet mit einem ähnlichen Datenschutzniveau gespeichert werden. Dazu gehören die Länder: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, Großbritannien und Südkorea. Eine Datenübermittlung in diese Länder ist zulässig.

Wie werden personenbezogene Daten in der DSGVO definiert? Es sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Informationen über Verstorbene, ordnungsgemäß anonymisierte Daten und Informationen über Behörden und Unternehmen sind nicht enthalten.

Die 7 Grundsätze der DSGVO sind:

∙       Rechtmäßigkeit, Fairness und Transparenz

Jede Organisation muss einen zulässigen Grund für die Verarbeitung personenbezogener Daten haben, zum Beispiel eine gesetzliche Verpflichtung. Darüber hinaus dürfen die erhobenen Daten nicht missbraucht werden und es muss transparent sein, wie die Daten verarbeitet und genutzt werden.

∙       Zweckbindung

Die Daten dürfen nur für explizit festgelegte und legitime Zwecke erhoben werden. Es muss klar kommuniziert werden, was der Zweck ist, und dann muss das Unternehmen, das die Daten sammelt, den angegebenen Zweck genau verfolgen.

∙       Datenminimierung

Das bedeutet, dass Organisationen nur die kleinste Datenmenge sammeln dürfen, die sie zur Erfüllung des Zwecks benötigen.

∙       Richtigkeit

Die erhobenen und gespeicherten Daten müssen korrekt sein und es müssen Maßnahmen ergriffen werden, um die fortdauernde Richtigkeit zu gewährleisten.

∙       Speicherbeschränkung

Die Dauer der Speicherung der Daten muss begründet werden und Daten müssen gelöscht oder anonymisiert werden, nachdem sie nicht mehr benötigt werden.

∙       Integrität und Vertraulichkeit

Die Daten müssen sicher vor internen und externen Bedrohungen gespeichert werden.

∙       Verantwortlichkeit

Eine Organisation muss in der Lage sein, geeignete Maßnahmen, Aufzeichnungen oder Dokumentation vorzulegen, um die Einhaltung der Verordnung nachzuweisen. 

Datensouveränität und Datenschutz in den ASEAN-Ländern

Länder in der ASEAN-Region mit umfassenden Gesetzen zum Schutz personenbezogener Daten sind Malaysia, Singapur, die Philippinen und Thailand.

Indonesien, Laos, Vietnam, Kambodscha, Myanmar und Brunei haben keine oder nur begrenzte Gesetze zum Schutz personenbezogener Daten, die nur für bestimmte Sektoren oder Medien gelten.

PDPA in Malaysia:

Das Datenschutzgesetz (Personal Data Protection Act) trat 2013 in Kraft. Personenbezogene Daten sind definiert als alle Informationen/Daten oder eine Kette von Informationen, die es ermöglichen, eine lebende Person zu identifizieren. 

Das Gesetz verlangt die Einholung einer Zustimmung der Endbenutzer zu der Verarbeitung personenbezogener Daten und es ist erforderlich die malaysischen Nutzer über die Details der Datenverarbeitung der Website zu informieren. Dies gilt für alle Webseiten, Unternehmen oder Organisationen mit Sitz in Malaysia. 

Also sind Organisationen außerhalb von Malaysia nicht an diese Regeln gebunden, selbst wenn diese die personenbezogenen Daten von Malaysiern verarbeiten. Dies ist einer der Hauptunterschiede zur DSGVO. 

Der Experte Teoh Aik Hong erwähnte, dass es in Malaysia noch keine Vorschriften oder rechtlichen Leitlinien zu Datensouveränität gibt. Die Vorschriften gelten ebenso nicht für Bundes- oder Landesregierungen oder für nicht-kommerzielle Transaktionen. 

PDPA in Singapur:

Singapurs Personal Data Protection Act trat 2014 in Kraft und wurde kürzlich im Jahr 2020 aktualisiert. Es regelt die Erhebung, Nutzung und Weitergabe personenbezogener Daten in Singapur sowie die Übermittlung jener Daten außerhalb Singapurs. Das Gesetz gilt für Unternehmen, Organisationen oder Webseiten von überall auf der Welt, wenn sie personenbezogene Daten aus Singapur verarbeiten.

DPA auf den Philippinen:

Der sogenannte Data Protection Act ist seit 2016 in Kraft. Personenbezogene Daten beziehen sich auf alle Informationen, aus denen die Identität einer Person hervorgeht, vernünftigerweise angenommen werden kann oder die zusammen mit anderen Informationen eine Person direkt und sicher identifizieren würden. Das Datenschutzgesetz hat auch extraterritoriale Anwendungen für philippinische Staatsbürger. Jedoch gilt es nicht für die Verarbeitung personenbezogener Daten auf den Philippinen, die rechtmäßig von Einwohnern einer ausländischen Gerichtsbarkeit erhoben wurden.

PDPA in Thailand:

Trat am 1. Juni 2022 in Kraft. Personenbezogene Daten sind definiert als Informationen über eine Person, die die Identifizierung dieser Person ermöglichen. Sie gilt für alle Organisationen, die personenbezogene Daten in Thailand oder von in Thailand ansässigen Personen erheben, verwenden oder offenlegen.

Für ein Unternehmen ist es daher wichtig zu wissen, wo sich die Kunden befinden, wo die gesammelten Daten gespeichert werden, und natürlich, welche Daten das Unternehmen sammelt. Dann können Datenschutzrichtlinien eingerichtet und Kontrollen und Maßnahmen ergriffen werden, um die Datenschutzbestimmungen einzuhalten, die unter Berücksichtigung der oben genannten Punkte in Kraft sind.

Recent Posts