DSGVO-konform: Welche Länder sind datenschutzkonform? | Infografik + Podcast

___STEADY_PAYWALL___

Für den Austausch personenbezogener Daten außerhalb der Europäischen Union gibt es den sogenannten Angemessenheitsbeschluss. Dieser regelt, welche Nicht-EU-Länder einen EU-adäquaten (oder sogar besseren?) Datenschutz umsetzen. Für welche Länder gilt das aber?

  • Juni 2021: Südkorea ganz normal sicher und UK wieder sicher, aber mit Verfallsdatum 2025 (Grund: Brexit)
  • USA unsicher seit Mitte 2020: Privacy Shield ist tot
  • Podcast-Kommentar zum Geschehen und aktuellen Stand des Datenschutz (folgend zum Anhören und Download)

Angemessenheitsbeschluss: Wann ist ein Land sicher?

Was muss alles erfüllt sein, damit die Europäische Kommission einen Angemessenheitsbeschluss (engl. adequacy decision) ausstellt?

  1. ein Vorschlag durch die Europäische Kommission
  2. ein Gutachten durch den Europäischen Datenschutzausschuss (European Data Protection Board)
  3. Zustimmung durch Vertreter der EU-Mitgliedsländer
  4. Umsetzung des Beschlusses durch die Europäische Kommission

Datenschutz mit der EU: Welche Länder sind sichere Länder?

Für den Austausch personenbezogener Daten außerhalb der Europäischen Union gibt es den sogenannten Angemessenheitsbeschluss. Dieser regelt, welche Nicht-EU-Länder einen EU-adäquaten Datenschutz umsetzen.

Nach dem Angemessenheitsbeschluss der Europäischen Kommission (engl. adequacy decision) sind das:

  • Andorra,
  • Argentinien,
  • Kanada (nur kommerzielle Organisationen),
  • Färöer-Inseln,
  • Guernsey,
  • Israel,
  • Isle of Man,
  • Japan,
  • Jersey (Insel),
  • Neuseeland,
  • Schweiz,
  • Südkorea,
  • Uruguay,
  • Vereinigtes Königreich (befristet bis 2025),
  • Vereinigte Staaten von Amerika (nur für Mitglieder des Privacy-Shield-Abkommens) (seit Juli 2020 nicht mehr)

Aufgrund ihres Status als Teil des Europäischen Wirtschaftsraums (EWR) sind die folgenden Länder automatisch sichere Länder beim Datenschutz:

  • Norwegen,
  • Liechtenstein,
  • Island
  • (die Schweiz, in gewissen Umfang)

Eine aktuelle Übersicht findet sich hier:

Infografik Social Media Statistik zum Thema datenschutz europaeische union adequacy decision

Chronik sicherer und unsicherer Länder:

Juni 2021: Südkorea jetzt dabei

Die EU-Kommission gab am 30. März bekannt, dass die Gespräche mit Südkorea abgeschlossen seien und Europäische Kommission nun das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten wird.

Dazu muss sie eine Stellungnahme des Europäischen Datenschutzausschusses (EDPB) und grünes Licht von einem Ausschuss einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Sobald dieses Verfahren abgeschlossen ist, wird die Kommission den Angemessenheitsbeschluss für die Republik Korea erlassen. Das ist im Juni 2021 passiert – Südkorea gilt jetzt als sicheres Datenschutzland gemäßg Angemessenheitsbeschluss der EU-Kommission.

Juni 2021: Vereinigtes Königreich wieder sicher, aber mit Verfallsdatum?

Seit Juni 2021 gilt UK wieder als sicher, aber nur für vier Jahre. Jeglicher Datenaustausch mit dem Vereinigten Königreich ist aktuell nur sicher bis Juni 2025.

Die Europäische Kommission hat zuvor, im Februar 2021 einen Entwurf für einen Angemessenheitsbeschluss veröffentlicht, nach dem personenbezogene Daten im Vereinigten Königreich einen mit dem Europäischen Datenschutzrecht vergleichbaren Schutz genießen.

Damit soll der Datenaustausch zwischen der EU und dem Vereinigten Königreich künftig ohne weitere Genehmigungen möglich werden. Der Entscheidungsentwurf bedarf noch der Zustimmung durch die Mitgliedstaaten der Europäischen Union.

Ohne diesen Beschluss würde ein Datenstau mit massiven wirtschaftlichen Folgen drohen. Die Kooperationen zwischen EU-Unternehmen und Unternehmen im Vereinigten Königreich sind essenziell für die internationale Datenökonomie und die Wettbewerbsfähigkeit europäischer Unternehmen. Großkonzerne, Mittelständler und Startups in Deutschland und Europa gleichermaßen tauschen Daten mit Standorten auf der Insel aus. Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzen viele Unternehmen aus der EU auf britische Dienstleister.

2020: USA haben keinen sicheren Datenschutz

Bereits 2015 hat Max Schrems vor Gericht nachgewiesen, dass die USA kein sicheres Drittland für den Datenschutz sind. Der damalige Jura-Student aus Österreich hat vor dem Europäischen Gerichtshof (EuGH) geklagt und damit erwirkt, dass das Safe-Harbor-Abkommen gekippt wird (Schrems I).

2020, fünf Jahre später, hat der jetzt fertig studierte Anwalt und Datenschutzaktivist Max Schrems das neue Abkommen Privacy Shield ebenfalls erfolgreich vom EuGH kassieren lassen (Schrems II), denn:

  • Privacy Shield benachteilige europäische Nutzer, so der EuGH
  • Überwachungsgesetze (Patriot Act etc.), die nach dem 11. September 2001 erlassen wurden, erlauben Spionage von europäischen Nutzern
  • Der Ombudsmannmechanismus, durch den US-Organisationen greifbar werden sollen für europäische Nutzer, funktioniert nicht gut genug
    uvm.

Deswegen sind Datenübertragungen in die USA seit Mitte 2020 eigentlich illegal – doch die rechtliche Situation ist in der Praxis sehr unsicher. Die meisten Unternehmen und auch einige Behörden machen bislang, um es salopp zu formulieren, einfach weiter wie gehabt. Es herrscht einiges an Unsicherheit.

2019: Japan sicheres Drittland im Datenschutz

Seit 23. Januar 2019 zählt Japan zu den sicheren Drittländern. Will ein Unternehmen, Behörde, öffentliche Stelle oder sonstige Organisation also Daten mit einer Organisation in Japan austauschen, sind keine umständlichen Verträge und Prüfungen mehr nötig (empfehlen tue ich sie dennoch!).

Nicht-EU: Welche Länder haben sich an Europa orientiert?

Hier ist es schwierig andere Länder in Einklang zu bringen, denn obwohl vielleicht die Datenschutzgesetze ähnlich sind, können die grundlegenden Rechtstraditionen komplett andere sein. Auch gilt für keines dieser Länder ein Angemessenheitsbeschluss der EU.

Die wichtigsten und mit der DSGVO vergleichbaren Gesetze in Ländern außerhalb der EU sind:

Island, Liechtenstein und Norwegen: DSGVO/GDPR

Nicht wundern: Die DSGVO (engl. GDPR für General Data Protection Regulation) gilt auch in Nicht-EU-Staaten, die aber zum Europäischen Wirtschaftsraum (EWR; engl. EEA für European Economic Area) gehören.

Diese Länder sind:

  • Island,
  • Liechtenstein und
  • Norwegen

Kalifornien: CCPA

Der California Consumer Privacy Act (CCPA; übersetzt: Gesetz zur Verbraucher-Privatsphäre in Kalifornien) legt einen Fokus auf Verbraucherrechte. Gültig seit 1. Januar 2020 wird er durch die kalifornische Staatsanwaltschaft umgesetzt und reguliert, wie mit den persönlichen Daten von Menschen (Cookies, IP-Adressen, biometrische Informationen etc.) umgegangen werden soll.

Der CCPA wird häufig als fast vergleichbar mit der DSGVO eingeordnet; ist jedoch nur ein Bundesstaatengesetz und kann von der US-Bundesverwaltung überstimmt werden. Damit ist Kalifornien schlussendlich leider kein sicherer Staat als die gesamten USA.

Brasilien: LGPD

Das Allgemeine Gesetz zum Datenschutz LGPD (portugiesisch: Lei Geral de Proteção de Dados; engl. Brazilian General Data Protection Act) ist seit 2020 in Kraft reguliert die LGPD sowohl private (Unternehmen) als auch öffentliche (Behörden) Datenverarbeitung. Die Rolle gemäß dem LGPD als Verantwortlicher oder Auftragsverarbeiter ist dieselbe wie gemäß der DSGVO.

Die LGPD ist sehr vergleichbar mit der DSGVO, was ihre Inhalte angeht. Strafzahlungen werden in Brasilien erst ab August 2021 durchgeführt.

Weitere Informationen: Brasilien macht jetzt in DSGVO: Was Sie wissen müssen zur LGPD

Japan (APPI), Südafrika (POPI), Australien etc.

Das japanische Datenschutzgesetz APPI (engl. Act on the Protection of Personal Information; deutsch: Gesetz zum Schutz persönlicher Informationen) trat 2004 in Kraft und wurde zuletzt 2015 reformiert und gilt mit den Änderungen seit 2017 (Download als PDF). Durch den Angemessenheitsbeschluss der EU von 2019 gilt das japanische APPI als vergleichbar zum Datenschutz in der EU, also als vergleichbar mit der DSGVO.

Im Protection of Personal Information Act (POPI) in Südafrika (unterzeichnet 2013) werden Datenschutzverstöße geahndet. Die meisten Teile des Gesetzes sind seit 1. Juli 2020 gültig; die restlichen Teile werden nach dem 30. Juni 2021 gültig.

In Australien gibt es verschiedene Datenschutzgesetzt und -Standards. Der Privacy Act von 1988 markierte den Start und wurde mehrmals aktualisiert und erweitert; darunter auch 2018 im Licht der DSGVO. Seit 2018 müssen manche Unternehmen nach dem sog. „Notifiable Data Breaches“-Schema Meldung machen, seit 2017 gilt außerdem das „Consumer Data Right“ (CDR; deutsch: Verbrauche-Daten-Recht), welches in etwa dem europäischen Recht auf Datenherausgabe laut DSGVO entspricht. Jeder Nutzer kann also jederzeit seine bei einem Anbieter gespeicherten Daten abfragen und erhalten. Verstöße werden von der Australian Competition and Consumer Commission (ACCC; deutsch: Australische Wettbewerbs- und Verbraucher-Kommission) untersucht und können Strafen bis zu 10 Millionen AUD (australische Dollar) nach sich ziehen. Der australische Datenschutzbeauftragte – Office of the Australian Information Commissioner (OAIC) – ist für die generelle Aufsicht zuständig.

Datenschutz vs. Datensicherheit im Ausland

So ein Vergleich ist immer schwierig, denn unabhängig vom Datenschutz muss ein Unternehmen auch Datensicherheit bieten. Der Unterschied ist recht simpel: Datenschutz ist rechtlich, Datensicherheit ist technisch.

Für den technischen Schutz (also Verschlüsselungsalgorithmen für Software, Bewachung oder sonstige Sicherung von physischen Server-Zentren) gibt es keinen allgemeinen Standard. Die ISO/IEC 27001 kommt am ehesten an einen gültigen Datensicherheitsstandard heran. Die ISO-Norm beschäftigt sich damit, wie Informationssicherheit und ein Managementsystem zur Informationssicherheit aufgestellt werden muss.

Internationale Verträge, Abkommen oder Gesetze zur Datensicherheit existieren jedoch nicht – zumindest nicht in der gleichen Form wie zum Datenschutz.

Hören & Download

(Hinweis: Dieser Inhalt erschien zuerst bei Datenschutz-ePrivacy.de)

📊 Unterstützt die Zukunft von #SoMeStats!

Wir machen gern, was wir tun. Aber wir können es finanziell nicht mehr leisten. Steigende Kosten bei sinkenden Einnahmen - auch durch die aktuelle Situation. Wir machen alles rein ehrenamtlich und in unserer Freizeit. Damit wir #SoMeStats für euch fortsetzen können, brauchen wir eure Hilfe. Dafür haben wir zusammen mit Steady das #SoMeStats-Crowdfunding 📊 ins Leben gerufen. Als Mitglieder unterstützt ihr das Projekt und bekommt für euren Beitrag:

✅ In deinem E-Mail-Posteingang: unser #2minuten Newsletter-Briefing mit vertiefender Analyse und exklusiven Whitepaper
✅ Werbefläche im Newsletter-Briefing
✅ Bestimme unsere Themen mit: wir machen Analysen für dich!
✅ Monatlich Infografiken
✅ Analysen zu Social Media, Statistiken und Studien
✅ Verschenke eine weitere Mitgliedschaft
✅ Gutes Karma obendrauf!

Wenn ihr bei uns mitmachen wollt, dann geht das auch über Steady oder direkt hier.

Mitglied werden  

Falls der Button nicht angezeigt wird: Auf unserer Steady-Seite Mitglied werden.

Back to Top