Datenschutz in anderen Ländern – ein kurzer Einblick

Datenschutz ist längst kein rein europäisches Thema mehr. Weltweit setzen Regierungen neue Gesetze durch, um den Schutz personenbezogener Daten zu stärken. In diesem Beitrag werfen wir einen genaueren Blick auf die Datenschutzentwicklungen in vier wichtigen Ländern: China, Indien, Australien und den USA. Jedes dieser Länder geht eigene Wege, um den Herausforderungen der digitalen Welt zu begegnen. Welche datenschutzrechtlichen Regelungen gelten dort und welche Auswirkungen haben sie für Unternehmen und Verbraucher?

China hat mit dem Personal Information Protection Law (PIPL) ein Datenschutzgesetz eingeführt, das viele Ähnlichkeiten zur DSGVO aufweist. Es regelt Informationspflichten, Zweckbindung und Beschränkung der Datenerhebung. Zudem gelten Vorgaben zu Einwilligungen, dem Schutz sensibler Daten und Datentransfers ins Ausland.

Allerdings bleibt die staatliche Überwachung unangetastet, was ein zentraler Kritikpunkt ist. Zudem wird die Umsetzung des Gesetzes als fragwürdig angesehen, da unabhängige Kontrollen fehlen. Unternehmen, die in China tätig sind, müssen Datenschutzvertreter benennen und sich an neue Berichtspflichten halten. Besonders Social-Media-Plattformen unterliegen strengen Auflagen.

Darüber hinaus müssen ausländische Unternehmen, die chinesische Daten verarbeiten, nachweisen, dass sie hohe Datenschutzstandards erfüllen. Zudem sind umfangreiche Compliance-Maßnahmen erforderlich, darunter regelmäßige Prüfungen und Risikobewertungen. Ein weiteres zentrales Element ist das geplante Standardvertragsmodell für internationale Datenübermittlungen, das Unternehmen zwingt, ihre bestehenden Vereinbarungen zu überarbeiten.

Indien hat am 11. August 2023 den Digital Personal Data Protection Act 2023 (DPDP-Act) verabschiedet. Dieses Gesetz regelt den Schutz personenbezogener Daten in digitaler Form und betrifft sowohl in Indien erhobene Daten als auch bestimmte grenzüberschreitende Datenverarbeitungen.

Der DPDP-Act gilt für alle digital erfassten personenbezogenen Daten sowie nachträglich digitalisierte Informationen. Öffentliche Daten sind jedoch ausgenommen, was die Frage aufwirft, inwieweit diese ohne Zustimmung genutzt werden dürfen. Auch Unternehmen außerhalb Indiens fallen unter das Gesetz, wenn sie Waren oder Dienstleistungen für Personen in Indien anbieten.

Verantwortliche benötigen nun eine Einwilligung für die Verarbeitung personenbezogener Daten. Betroffene müssen umfassend informiert werden, unter anderem über die Art der Datenverarbeitung, Widerrufsmöglichkeiten und Beschwerdeverfahren. Besondere Pflichten gelten für als „wichtige Daten-Verantwortliche“ eingestufte Organisationen, die u. a. einen Datenschutzbeauftragten benennen müssen. Zudem müssen Unternehmen organisatorische und technische Maßnahmen zur Datensicherheit umsetzen, darunter Verschlüsselung, Pseudonymisierung und regelmäßige Datenschutz-Audits. Sie sind verpflichtet, Datenschutzverletzungen zu melden und veraltete Daten zu löschen. Die Datenschutzaufsichtsbehörde kann bei Verstößen Bußgelder verhängen. In gravierenden Fällen kann sogar der Zugang zu Plattformen gesperrt werden.

Mit dem DPDP-Act etabliert Indien einen umfassenden Datenschutzrahmen, der Unternehmen klare Vorgaben für den Umgang mit personenbezogenen Daten macht und den Schutz der Betroffenen stärkt.

Australien hat mit dem Privacy Act 1988 ein Datenschutzgesetz geschaffen, das den Umgang mit personenbezogenen Daten regelt. In den letzten Jahren wurde dieses Gesetz mehrfach überarbeitet, um den wachsenden Herausforderungen der digitalen Welt gerecht zu werden. Besonders die Einführung der Australian Privacy Principles (APPs) im Jahr 2014 hat den Datenschutz in Australien maßgeblich verändert. Diese Prinzipien legen fest, wie Unternehmen und Behörden mit personenbezogenen Daten umgehen müssen.

Aktuell hat Australien mit dem neuesten Privacy and Other Legislation Amendment Act 2024 eine umfassende Reform eingeführt. Die Änderungen, die am 10. Dezember 2024 in Kraft getreten sind, sollen den Schutz personenbezogener Daten stärken und Unternehmen zu mehr Transparenz und Sicherheit verpflichten. Diese Reform stellt die bedeutendste Überarbeitung des Privacy Act 1988 dar und bringt Australien in Einklang mit internationalen Datenschutzstandards.

Eine der wichtigsten Neuerungen ist die Einführung einer neuen unerlaubten Handlung für schwerwiegende Eingriffe in die Privatsphäre. Erstmals haben Privatpersonen nun das Recht, Unternehmen zu verklagen, wenn ihre personenbezogenen Daten in erheblichem Maße missbraucht oder offengelegt wurden. Dies könnte dazu führen, dass Unternehmen mit Schadensersatzforderungen konfrontiert werden, wenn sie nicht sorgfältig mit sensiblen Daten umgehen.

Gleichzeitig wurden die Befugnisse der Datenschutzbehörde, der Office of the Australian Information Commissioner (OAIC), erheblich erweitert. Die Behörde kann Datenschutzverstöße nun strenger verfolgen und höhere Strafen verhängen. Unternehmen sind daher gut beraten, ihre Datenschutzrichtlinien und Sicherheitsmaßnahmen frühzeitig anzupassen, um potenzielle Sanktionen zu vermeiden.

Ein weiterer zentraler Aspekt der Reform betrifft die Transparenzanforderungen für automatisierte Entscheidungsfindung. Ab 2026 müssen Unternehmen offenlegen, wenn sie automatisierte Systeme einsetzen, die erhebliche Auswirkungen auf die Rechte oder Interessen von Betroffenen haben. Dies betrifft insbesondere den Finanz und Versicherungssektor, aber auch Unternehmen, die künstliche Intelligenz für Bewerbung oder Kundenbewertungsprozesse nutzen.

Auch die Regulierung internationaler Datenübermittlungen wurde verschärft. Ähnlich wie die Angemessenheitsbeschlüsse der EU plant Australien die Einführung einer „Whitelist“ von Ländern, die als sicher für die Verarbeitung personenbezogener Daten gelten. Unternehmen, die Daten in unsichere Drittstaaten übermitteln, müssen künftig strengere Datenschutzmaßnahmen ergreifen, um den neuen Anforderungen gerecht zu werden.

Neben diesen strukturellen Änderungen führt die Reform zudem eine Pflicht zur Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen ein. Unternehmen müssen nicht nur ihre IT-Sicherheitsvorkehrungen optimieren, sondern auch interne Schulungen und klare Datenschutzrichtlinien für ihre Mitarbeiter implementieren.

In den USA gibt es kein einheitliches Datenschutzgesetz wie die DSGVO. Stattdessen existieren verschiedene bundesstaatliche Regelungen, die den Schutz personenbezogener Daten regeln. Der Datenschutz fällt dort in den Bereich des Verbraucherschutzes und wird von der Federal Trade Commission (FTC) überwacht.

Während Datenschutz in der EU als Grundrecht gilt, wird er in den USA als Teil des Verbraucherschutzes betrachtet. Die Regulierung erfolgt durch eine Kombination aus nationalen, sektoralen und einzelstaatlichen Gesetzen. In den meisten Bundesstaaten gibt es zudem kein Privatklagerecht. Verstöße werden in der Regel von den Generalstaatsanwälten der Bundesstaaten verfolgt.

Mehrere US-Bundesstaaten haben in den letzten Jahren Datenschutzgesetze verabschiedet. Diese unterscheiden sich in Details, folgen aber ähnlichen Grundprinzipien wie Datensicherheit, Transparenz und Verbraucherschutz.

Der California Consumer Privacy Act (CCPA) in Kalifornien ist eines der strengsten Datenschutzgesetze in den USA. Es gewährt Verbrauchern weitreichende Rechte, darunter das Recht auf Datenlöschung und Datenberichtigung. Unternehmen müssen zudem ihre Datenschutzrichtlinien offenlegen und auf Anfragen zu personenbezogenen Daten reagieren.

Der Virginia Consumer Data Protection Act in Virginia richtet sich an Unternehmen, die entweder große Mengen personenbezogener Daten verarbeiten oder einen wesentlichen Teil ihres Umsatzes durch den Verkauf von Daten erzielen. Verbraucher haben das Recht zu erfahren, welche Daten erhoben werden und können eine Löschung beantragen.

Der Colorado Privacy Act in Colorado (CPA) ähnelt den Gesetzen in Kalifornien und Virginia. Es gewährt Verbrauchern mehr Kontrolle über ihre Daten, beispielsweise ein Recht auf Löschung und verpflichtet Unternehmen zu klaren Datenschutzrichtlinien.

Texas und Florida haben 2024 neue Datenschutzgesetze eingeführt. Die Florida Digital Bill of Rights soll den Schutz persönlicher Daten stärken, während der Texas Data Privacy and Security Act strengere Vorgaben für Unternehmen setzt.

Auf Bundesebene wird derzeit der American Privacy Rights Act (APRA) diskutiert. Dieses Gesetz könnte eine einheitliche Datenschutzregelung schaffen und Vorrang vor den einzelstaatlichen Gesetzen haben. Sollte APRA verabschiedet werden, würde es in vielen Bereichen der DSGVO ähneln und von der Federal Trade Commission (FTC) durchgesetzt werden.

Weltweit verschärfen Länder ihre Datenschutzgesetze, doch die Ansätze unterscheiden sich stark. Während China und Indien strenge Vorschriften erlassen, bleibt deren Durchsetzung fraglich. Australien setzt mit seiner neuen Datenschutzreform ein klares Zeichen: Höhere Strafen, mehr Transparenzpflichten und erstmals ein Klagerecht für Betroffene bringen das Land näher an internationale Standards. In den USA könnte mit dem geplanten American Privacy Rights Act (APRA) bald eine einheitliche Regelung kommen. Unternehmen müssen sich auf ein immer strengeres Datenschutzumfeld einstellen. Wer nicht mitzieht, riskiert hohe Strafen und Vertrauensverluste.