Mehr Gemeinsamkeiten als Trennendes Wie andere Staaten den Datenschutz regeln

Ein Gastbeitrag von Andreas Walbrodt*

Geht es um den Datenschutz, gibt es zwischen den einzelnen Ländern eine Reihe von Gemeinsamkeiten, auch wenn das auf den ersten Blick nicht jeder erwarten würde. Wir betrachten hier die Überschneidungen zwischen gesetzlichen Vorgaben in der EU, USA, UK und anderen Ländern.

Anbieter zum Thema

EU ist Vorreiter beim Datenschutz; andere Staaten orientieren sich daran und ziehen mit eigenen Regelungen nach.
EU ist Vorreiter beim Datenschutz; andere Staaten orientieren sich daran und ziehen mit eigenen Regelungen nach.
(Bild: © Blue Planet Studio - stock.adobe.com)

Seitdem die EU die DSGVO/GDPR beschlossen hat, haben andere Länder weltweit im Datenschutz nachgezogen und Regeln geschaffen, die für Unternehmen im jeweiligen Land gelten und den Datenverkehr von personenbezogenen Daten betreffen. Die Regeln entsprechen zu großen Teilen den Vorschriften der DSGVO/GDPR.

Beispiele dafür sind der California Consumer Privacy Act (CCPA) in den Vereinigten Staaten, das brasilianische Lei Geral de Proteção de Dados Pessoais (LGPD) und der Protection of Personal Information Act (POPIA) in Südafrika. In Australien gibt es ebenfalls verschiedene Datenschutzgesetze, die ähnliche Vorschriften setzen, allerdings nicht einheitlich geregelt sind.

International tätige Managed Security Service Provider (MSSP) und Anbieter von Managed Detection & Response-Lösungen sollten darauf achten, welche Gesetzgebung in den einzelnen Ländern bezüglich des Datenschutzes gilt. Häufig lassen sich Überschneidungen nutzen, durch die sichergestellt ist, dass zumindest grundlegende Sicherheit für die Daten erreicht wird. Dennoch gilt es einiges zu beachten, da sonst empfindliche Strafen drohen. Gerade darin sind sich die meisten Länder nämlich einig.

Datenschutz ist global

Große Einigkeit herrscht beim Geltungsbereich der Gesetze. Die DSGVO, der CCPA und auch das LGPD gelten global für alle Unternehmen mit Sitz im jeweiligen Land. Ebenfalls einig sind sich die verschiedenen Länder darin, dass Bürger und Unternehmen im jeweiligen Land das Recht haben zu erfahren, welche personenbezogenen Daten ein Unternehmen oder eine Organisation über einen Bürger sammeln. Ein Data Subject Access Request (DSAR) ist der Antrag eines Bürgers auf Einsicht in die über ihn gespeicherten Daten eines Unternehmens. Diesen gibt es in der DSGVO/GDRP, CCPA und auch der LGPD.

Kommt es zu einem Datenleck müssen Unternehmen die Betroffenen darüber informieren. Das gilt für DSGVO/GDPR, CCPA, LGPD und auch für POPIA. Kommt es hier zu Verstößen müssen Unternehmen in allen diesen Ländern mit empfindlichen Strafen rechnen.

Datenschutz in den USA: Geregelt, aber nicht einheitlich

Auch in den USA gibt es umfangreiche Datenschutzgesetze, zum Beispiel den California Privacy Act. Im Gegensatz zur EU ist der Datenschutz aber nicht einheitlich geregelt. Was allerdings in den USA einheitlich geregelt ist, das ist der US Cloud Act, der es US-Behörden gestattet, auf Daten in der Cloud zuzugreifen, wenn ein Unternehmen seinen Sitz in den USA hat. Das geht generell auch ohne richterliche Anordnungen. Dabei spielt es keine Rolle, ob die Daten außerhalb der USA gespeichert sind, der US Cloud Act richtet sich nach dem Sitz des Unternehmens.

Eine weitere Gemeinsamkeit beim Datenschutz zwischen den verschiedenen Ländern betreffen die Selbstverpflichtungen der Unternehmen. Microsoft bietet für seine Kunden zum Beispiel durchaus umfassenden Datenschutz, der international verpflichtend ist. Das Unternehmen gibt keine Daten leichtfertig an die US-Behörden, sondern hat sich verpflichtet allen Anfragen juristisch entgegenzutreten.

Wenn dennoch Daten herausgegeben werden müssen, will Microsoft die betroffenen Unternehmen darüber informieren und auch entschädigen. Das gilt für alle Länder und Kunden von Microsoft, die Daten in der Microsoft-Cloud speichern. Solche Versprechungen gibt nicht nur Microsoft ab. In den vereinigten Staaten sind diese Datenschutzversprechen rechtlich bindend, das heißt Unternehmen können juristisch belangt werden, wenn sie sich nicht an die eigenen Vorgaben halten.

Parallel dazu gibt es in den USA branchenspezifische Regeln, in denen der Schutz der Daten gewährleistet ist. Dieser Schutz gilt für Wirtschaft und Handel genauso wie im Gesundheitswesen. Hier kann die jeweilige Aufsichtsbehörde, genauso wie in der EU eingreifen und die Umsetzung der Vorschriften erzwingen. In diesem Zusammenhang können die Regulierungsbehörden auf beiden Seiten des Atlantiks die Umsetzung der Richtlinien kontrollieren und hohe Strafen durchsetzen.

Datenschutz ist ein Recht – in den USA und der EU

Der Schutz der persönlichen Daten ist in den USA ein Rechtsobjekt. Während der Datenschutz in der EU ein Grundrecht darstellt, ist er in den USA Teil des Verbraucherschutzrechtes. Die Herangehensweisen sind zwar unterschiedlich, dennoch haben Verbrauche Rechte, die durch Aufsichtsbehörden kontrolliert und umgesetzt werden können.

In den USA ist das die Federal Trade Commission (FTC). Eingriffe von anderen Unternehmen gibt es generell weder in den USA noch in der EU. Der Staat darf allerdings auf die Daten zugreifen. An dieser Stelle unterscheide sich die Herangehensweise in den USA deutlich von den Ansätzen in der EU und den damit verbundenen Gesetzen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Datenschutz in Großbritannien

Als die europäische Union die DSGVO/GDPR beschlossen hat, war Großbritannien noch Mitglied der EU. In diesem Zusammenhang hat das vereinigte Königreich die Vorschriften in die eigene Gesetzgebung übernommen. Diese trägt die Bezeichnung „UK GDPR“. Parallel dazu gilt in Großbritannien noch der UK Data Protection Act of 2018 (DPA). Durch das Handelsabkommen zwischen Großbritannien und der EU haben die Gesetze weiterhin Gültigkeit und sind weitgehend identisch. Allerdings kann es jederzeit seitens des UK zu Änderungen kommen.

Hier sollten Unternehmen entsprechend aufmerksam sein, da sich der Datenschutz im Vereinigten Königreich sicherlich anders als in der EU entwickeln wird. Aktuell sind die Vorgaben weitgehend identisch. Seit dem Brexit ist aber nicht mehr der Europäische Datenschutzausschuss für die Durchsetzung des Datenschutzes verantwortlich. Jetzt ist das Information Commissioners Office (ICO) die oberste Aufsichtsbehörde für die Durchsetzung der Datenschutzvorschriften im Vereinigten Königreich.

Allerdings zeigt Großbritannien durch erste Änderungen beim Datenschutz, dass dieser auch zukünftig eine große Rolle in UK spielen wird. So wurde das Alter für die Einwilligung in die Verarbeitung personenbezogener Daten in Großbritannien auf 13 Jahre herabgesetzt, während nach der DSGVO in der EU ein Alter von 16 Jahre festgelegt ist.

Das Versenden von Daten aus UK in die EU und umgekehrt unterliegt in beiden Regionen strengen Regeln. Während die EU aus Sicht des vereinigten Königreiches als sicheres Drittland gilt, ist das umgekehrt derzeit nicht so. Es gibt aber auf beiden Seiten Möglichkeiten und auch Regeln, welche den Datenaustausch steuern. UK hat bereits im Oktober 2019 ein Abkommen für das Austauschen von personenbezogenen Daten mit den USA abgeschlossen. Das ist aktuell einer der Gründe, warum die EU Großbritannien derzeit noch nicht als sicheres Drittland eingestuft hat. Die einzelnen Garantien in diesem Abkommen sind innerhalb der EU umstritten und nicht mit der DSGVO vereinbar.

Benennung von Datenschutzbeauftragten

Sowohl in der EU als auch in Großbritannien müssen Unternehmen und Organisationen unter bestimmten Bedingungen einen Datenschutzbeauftragten benennen. Dieser Beauftragte hat in der EU und in UK die Aufgabe die Verarbeitung der personenbezogenen Daten zu überwachen. Er muss auch Zugang zu den verarbeitenden Systemen erhalten. Auch das gilt der EU und in UK. In Brasilien und auch in Südafrika muss es ebenfalls einen Datenschutzbeauftragten geben. Allerdings sieht das CCPA keinen Datenschutzbeauftragten vor.

CCPA – Datenschutz für Kalifornier

Der CCPA gilt für Kalifornien, dem größten Bundesland der Vereinigten Staaten und hat generelle Ähnlichkeit zur DSGVO/GDPR. Das Gesetz schützt alle Personen, die in Kalifornien Steuern zahlen, unabhängig von der US-Bürgerschaft.

Es ist zu erwarten, dass dieses Gesetz aus 2020 in Zukunft als Vorlage für andere Gesetze in anderen Bundesländern der USA gelten wird. Wie bei der DSGVO/GDRP erhalten Kalifornier durch den CCPA Kontrolle über ihre persönlichen Daten und Unternehmen müssen mehr Transparenz über die Daten, die sie über Verbraucher sammeln und speichern umsetzen.

LGPD – Die brasilianische DSGVO

Mit dem „Lei Geral de Proteção de Dados Pessoais“ (LGPD) gilt auch in Brasilien ein Datenschutzgesetz, das auf Basis der DSGVO/GDPR erstellt wurde. Genauso wie die DSGVO ist auch das LGPD einheitlich für ganz Brasilien gültig und ersetzt einzelne Vorschriften in Branchen und Bundesländern. Viele Vorschriften sind mit der DSGVO weitgehend identisch. Genauso wie bei der DSGVO gilt die LGPD für alle Bürger und Unternehmen von Brasilien, unabhängig vom aktuellen Standort und Speicherort der Daten. Das Gesetz ist global gültig.

Die LGPD enthält eine Liste von rechtmäßigen Gründen personenbezogene Daten zu verarbeiten. Auch hier müssen die Bürger ihr Einverständnis geben. Darüber hinaus verpflichtet das LGPD die Unternehmen dazu, geeignete Maßnahmen für den Schutz personenbezogener Daten zu ergreifen. Die brasilianische Datenschutzbehörde National Data Protection Authority (ANPD) kann die Umsetzung kontrollieren und Strafen verhängen. Die LGPD regelt die Übermittlung personenbezogener Daten aus dem brasilianischen Territorium genauso wie die DSGVO/GDPR und bietet ein starkes gesetzliches Datenschutzniveau.

Wie bei der DSGVO/GDPR ist es sinnvoll, die Zustimmung einer Person zum Erhalt von Marketing-E-Mails und Textnachrichten einzuholen, da diese Aktivität wahrscheinlich eine Form der Datenverarbeitung darstellt, die eine Einwilligung erfordert. Das ist in der DSGVO/GDPR eindeutiger geregelt, aber nach Meinung vieler Experten für die LGPD gültig. Der LGPD-Ansatz ist dem der DSGVO/GDPR sehr ähnlich.

Datenschutz in Südafrika mit POPIA

Der Datenschutz in Südafrika folgt an vielen Stellen ebenfalls der DSGVO/GDPR, einschließlich von Rechenschaftspflicht, Transparenz, Sicherheit, Datenminimierung, Zweckbindung und Rechte der betroffenen Personen. Der „Protection of Personal Information Act“ (POPIA) gilt vor allem für Unternehmen mit Sitz in Südafrika, die personenbezogene Daten innerhalb der südafrikanischen Grenzen verarbeiten. Das ist deshalb für Unternehmen relevant, da die Cloud-Infrastruktur zu einem entscheidenden Faktor werden kann. Sowohl AWS als auch Microsoft Azure betreiben Clouds in Südafrika. Unternehmen mit Standort in Südafrika müssen die Vorgaben beachten, wenn die Daten in Südafrika gespeichert und verarbeitet werden.

eBook zum Thema

Cloud-Datenschutz

eBook Cloud-Datenschutz
(Bildquelle: CloudComputing-Insider)

Viele Unternehmen haben Daten während der Pandemiezeit kurzfristig in die Cloud migriert. Dabei sind Datenschutz und Datensicherheit mitunter in den Hintergrund gerückt, ein Umstand, der sich schnell ändern muss. Dieses eBook zeigt den aktuellen Status Quo beim Cloud-Datenschutz:

  • Datenschutz für den Weg in die Cloud
  • Die Verschlüsselung gehört zum Cloud-Datenschutz
  • Die Frage nach Nachweisen im Cloud-Datenschutz

Drittlandtransfer von Daten bleibt unsicher

Die länderweit unterschiedlichen Datenschutzgesetze ähneln stark der DSGVO/GDPR. Es gibt etliche Gemeinsamkeiten, sodass man den Datenschutz bei international tätigen Unternehmen sehr genau im Auge behalten muss. In Zukunft ist zu erwarten, dass sich in den USA andere Bundesstaaten an den Vorschriften des CCPA orientieren werden. Daher lohnt es sich die Feinheiten zu kennen und zu prüfen, inwiefern Unternehmen hier nacharbeiten müssen.

Da immer mehr Dienste in die Cloud ausgelagert werden, spielt die Datenverarbeitung bei großen Dienstleistern eine wesentliche Rolle, vor allem in Südafrika, wo der Ort der Verarbeitung relevant ist, nicht der Sitz des Unternehmens. Verantwortliche in Unternehmen gehen nicht selten davon aus, dass es strengen Datenschutz nur in der EU gibt. Die Gemeinsamkeiten zwischen den verschiedenen internationalen Verordnungen zeigen aber etwas anderes. Zudem geht der Trend eindeutig in Richtung weiterer Verschärfungen beim Datenschutz.

Seit „Schrems II“-Urteil des EuGHs aus dem Jahr 2020 ist die Übermittlung von personenbezogenen Daten in Drittländer und insbesondere die Inanspruchnahme von Dienstleistern mit US-Muttergesellschaft mit erheblichen Hürden verbunden und in manchen Fällen ausgeschlossen. Im Juni 2021 wurden von der Europäischen Kommission zwar neue Standardvertragsklauseln (SCC) für Drittlandtransfers veröffentlicht. Trotzdem sind viele Fragen zum Drittlandtransfer weiterhin umstritten und längst nicht abschließend geklärt.

Andreas Walbrodt, Obrela Security Industries.
Andreas Walbrodt, Obrela Security Industries.
(Bild: Obrela Security)

Im Juli 2021 haben nun auch die deutschen Aufsichtsbehörden damit begonnen, intensiv die Nutzung von Anbietern aus Drittländern zu untersuchen. Hier kommen noch einige Herausforderungen auf Unternehmen zu. Aber die Zusammenarbeit mit Dienstleistern, die in der EU verankert sind, erlaubt es auch international agierenden Unternehmen, die Souveränität über ihre Informationen besser zu steuern und lokale Regularien wo notwendig zu inkludieren.

* Der Autor Andreas Walbrodt ist CCO bei Obrela Security Industries.

(ID:48089512)