1. Die Europäische Union
Die EU-Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz zum Schutzpersonenbezogener Daten, das in den EU-Mitgliedstaaten insgesamt gültig ist. Die Geschichte der DSGVO begann am 24.10.1995 mit der Annahme und Umsetzung der „Data Protection Directive (DPD 95/46 EC).“ Da für die DPD eine Gesetzgebung bei den jeweiligen Mitgliedstaaten notwendig ist, entstanden Differenzen bei dem gesetzlichen Regulierungsgrad zwischen den Mitgliedstaaten.
Die DPD besteht aus sieben Artikeln, 72 Präambeln und 34 Texten; 2012 begannen Diskussionen über mögliche Gesetzesänderungen, die die neue Internettechnologie berücksichtigen sollten. Nach vier Jahren Diskussionen wurde am 24.5.2015 ein neues Gesetz zum Schutz personenbezogener Daten verabschiedet; das Gesetz wurde dann am 25.5.2016 umgesetzt.
Die DSGVO besteht aus elf Artikeln, 173 Präambeln und 99 Texten, in denen die Rechte der Datensubjekte und die Verantwortung der Unternehmen beschrieben werden. Sie gilt dabei nicht nur für Unternehmen, die innerhalb der EU Geschäfte betreiben, sondern auch für diejenigen, die unter anderem durch E-Commerce im Ausland Daten von EU-Bürgern verarbeiten; bei Verstößen werden Bußgelder verhängt. Im Fall eines allgemeinen Verstoßes beträgt das Bußgeld entweder 2 % des weltweiten Umsatzes oder 10 Millionen Euro (ca. 12,5 Milliarden Won) – je nachdem, was höher ist; im Falle eines schwerwiegenden Verstoßes beträgt es entweder 4 % des weltweiten Umsatzes oder 20 Millionen Euro (ca. 25 Milliarden Won) – auch je nachdem, was höher ist.
2. Die Vereinigten Staaten
Der Privacy Act von 1874, der 1974 einer Veränderung unterlag, gilt weltweit als erste staatliche Gesetzgebung, die die Verarbeitung der personenbezogenen Daten seitens der Regierung reguliert. Bei dem US-amerikanischen System handelt es sich jedoch um eine Selbstregulierung des Marktes; im Gegensatz zur DSGVO der EU oder zum Gesetz zum Schutz personenbezogener Daten in Korea besteht kein umfassendes Gesetz, das sowohl den öffentlichen als auch den privaten Bereich abdeckt. Zu den Bundesgesetzen gehören stattdessen Gesetze zum Schutz personenbezogener Daten in den jeweiligen Bereichen wie in der Öffentlichkeit, im Finanzwesen, in der Kommunikation, Bildung, Medizin, Videoüberwachung und in Arbeitsverhältnissen; auch in den jeweiligen Bundesstaaten besteht Gesetze zum Schutz der Privatsphäre.
Das Bundesgesetz hat ein auf Einzelgesetzen basierendes Gesetzessystem zum Schutz personenbezogener Daten; in den öffentlichen und privaten Bereich unterteilt, dient das Gesetz zum Schutz personenbezogener Daten, d. h., der „Federal Privacy Act (1974)“, über den die Bundesbehörde verfügt, im öffentlichen Bereich als Grundgesetz.
Im privaten Bereich werden Gesetze dann erlassen, wenn in den einzelnen Bereichen wie Finanzwesen oder Informationskommunikation die Notwendigkeit erkennbar wird; die „Federal Trade Commission (FTC)“, basierend auf dem „Federal Trade Commission Act (2006)“, untersucht Fälle, die mit dem öffentlichen Interesse zu tun haben oder bei denen das Unternehmensmonopol verhindert werden muss oder die Verbraucher geschützt werden müssen, darin eingeschlossen auch die personenbezogenen Daten der Verbraucher; damit wird dem FTC eine ähnliche Rolle wie zugeschrieben wie der Korean Consumer Agency, der Fair Trade Commission und der Commission for Mediation of Consumer Disputes.
In Korea steht jedoch die öffentliche Durchsetzung (public enforcement) im Fokus, z. B. mit Geldstrafen oder strafrechtlicher Verfolgung, während in den Vereinigten Staaten private Durchsetzung (private enforcement) üblich ist, z. B. mit Schadensersatzklagen oder Sammelklagen. Wenn durch einen bestimmten Fall viele Verbraucher kollektiv einen Schaden erleiden, reichen sie eine Sammelklage ein, um als Verbraucher entschädigt zu werden. Zusätzlich wird dem FTC zugeschrieben, über Gesetze zu forschen, Forschungen und Berichte zu veröffentlichen, Vorträge und Workshops zu veranstalten, im Parlament auszusagen, Stellung zu Gesetzen zu beziehen, und international (EU-US, Privacy Shield, APEC, CBPR) zusammenzuarbeiten.
Ähnlich wie bei dem Bundesgesetz besteht auch bei den Gesetzen der jeweiligen Bundesstaaten im Gegensatz zur DSGVO der EU oder zum Gesetz zum Schutz personenbezogener Daten in Korea kein allgemeines, alles umfassendes Gesetz; hier werden in den jeweiligen einzelnen Bereichen Gesetze zum Schutz personenbezogener Daten erlassen. Allerdings hat der Bundesstaat Kalifornien am 28.6.2018 „The California Consumer Privacy Act of 2018“ verabschiedet, bei dem es sich um das Recht von Verbrauchern und die Pflicht zum Schutz personenbezogener Daten handelt; das im Januar 2020 umgesetzte Gesetz kann im Unterschied zum vorherigen Regulierungssystem, das verschiedene Industrien einzeln regulierte, als das erste allgemeine Gesetz im privaten Bereich in den USA gesehen werden. Das Gesetz ist jedoch im Unterschied zur DSGVO der EU, die auch außerhalb der EU Anwendung findet, oder zum koreanischen Gesetz zum Schutz personenbezogener Daten nur für Bürgerinnen und Bürger innerhalb von Kalifornien gültig.
3. Deutschland
In Deutschland haben die Bundesregierung und Bundesländer auf der Basis der DSGVO Gesetze zum Schutz personenbezogener Daten verfasst und umgesetzt. Bei dem vollständig geänderten Neuen Bundesdatenschutzgesetz (BDSG) können die jeweiligen EU-Mitgliederstaaten bei der Umsetzung der DSGVO angesichts der Umstände in den individuellen Ländern Änderungen vornehmen, was durch die „Opening Clauses“ konkretisiert wird; vorher bestehende Gesetze werden ab 25.5.2018 im Einklang mit der DSGVO umgesetzt und die jeweiligen Gesetze zum Schluss personenbezogener Daten in den Bundesländern werden so überarbeitet, dass sie im Einklang mit der DSGVO stehen.
Das Bundesdatenschutzgesetz steht beim Datenschutzgesetz im Zentrum; es besteht aus vier Teilen, 19 Kapiteln, 2 Abschnitten und 85 Artikeln. Teil 1 enthält die allgemeinen Richtlinien; Teil 2 die Bestimmungen bei der Durchführung der DSGVO; Teil 3 die Bestimmungen bei der Durchführung der „Directive (EU) 2016/680“ im Strafrechtsverfahren der EU; Teil 4 die Sonderbestimmungen, die für Bereiche Anwendung finden, bei denen die DSGVO und die „Directive (EU) 2016/680“ nicht gültig sind.
In Bereichen, wo die DSGVO direkt Anwendung findet, findet das Bundesdatenschutzgesetz keine Anwendung; bei Besonderheiten bezüglich Beschäftigungsverhältnissen, Benennung des DPO (Data Protection Officer), Ausnahmen vom Grundsatz der Zweckbindung, rechtlichen Grundlagen für die Verarbeitung der sensiblen personenbezogenen Daten, Ausnahmen der Pflicht zur Datenschutzfolgenabschätzung, findet das Bundesdatenschutzgesetz nach Vorgabe der DSGVO vorrangig Anwendung.
4. Japan
Das öffentliche Interesse an und die Angst vor der Verarbeitung personenbezogener Daten in Japan hat sich verstärkt, nachdem personenbezogene Daten widerrechtlich verkauft und gehandelt wurden und Fragen nach dem Verstoß gegen die Privatsphäre aufgeworfen worden waren. Um eine Verletzung der Rechte und Pflichte der Bürgerinnen und Bürger zu verhindern, wurde im Mai 2003 das Gesetz zum Schutz personenbezogener Daten erlassen, das dann im April 2005 umgesetzt wurde.
Mit der Veränderung des Umfeldes der Informationengesellschaft wurden die Grenzen der freien Verwendung personenbezogener Daten unschärfer; der Umfang personenbezogener Daten, die es zu schützen galt, und die Prinzipien, die Unternehmen einhalten sollen, wurden ebenfalls immer unschärfer. Die Notwendigkeit einer Institution, die die Angst der Verbraucher beruhigen konnte, wurde immer größer. Dies führte dazu, dass für den Zweck des Schutzes personenbezogener Daten und der Entwicklung neuer Industrien am 9.9.2015 das Gesetz zum Schutz personenbezogener Daten im großen Umfang verändert und erlassen wurde; im Januar 2016 wurden Artikel wie die Errichtung einer Kommission für den Schutz personenbezogener Daten eingeführt. Am 30.5.2017 wurde das Gesetz im vollen Umfang eingeführt; am 5.6.2020 verstärkte das japanische Parlament den Schutz der Rechte der betroffenen Personen und die Aufsichtsbefugnisse der Kommission über in- und ausländische Unternehmen. Zugleich wurde ein Teil des „Gesetzes zum Schutz personenbezogener Daten“ überarbeitet, um die Verwendung von Daten in allen ökonomischen sowie gesellschaftlichen Bereichen zu fördern; in der ersten Hälfte von 2022 wurde das Gesetz umgesetzt.
Zum wichtigsten Inhalt der Überarbeitung gehören „Stärkung des Rechts des Einzelnen über die Verarbeitung personenbezogener Daten"; „Stärkung der Kontrolle und Transparenz über die Bereitstellung personenbezogener Daten an Dritte“, „Stärkung der Verantwortung von Unternehmen für die Weitergabe personenbezogener Daten“; „Förderung unabhängiger Aktivitäten seitens der Unternehmer, die personenbezogene Daten verarbeiten“, „Förderung und Erweiterung sicherer An- und Verwendung personenbezogener Daten", „Stärkung der Strafen bei Verstößen gegen das Gesetz zum Schutz personenbezogener Daten“, „Stärkung der Anwendung des Gesetzes zum Schutz personenbezogener Daten im Ausland und der Bestimmungen zur Übermittlung ins Ausland.“
Darüber hinaus erkannten die japanische Kommission zum Schutz personenbezogener Daten und die EU-Kommission am 23.1.2019 an, dass das japanische System zum Schutz personenbezogener Daten gegenüber der DSGVO gleichrangig ist; diese Anerkennung führte zum ersten Mal in der Welt zur gegenseitigen Angemessenheitsentscheidung (adequacy decision); Korea bestand am 30.3.2021 die erste Stufe der Angemessenheitsprüfung der EU-Kommission.
5. Singapur
Der Schutz personenbezogener Daten in Singapur wird durch den PDPA (Personal Data Protection Act) und „Info-communications Media Developmen Act“ geregelt; einzelne Regeln sowie Ausnahmeverordnungen und ergänzende Gesetzgebungen regulieren weitere einzelne Angelegenheiten.
Unter personenbezogenen Daten versteht man in Singapur Informationen, durch die Personen identifiziert werden können, oder Informationen, zu denen der Datenverarbeiter bereits Zugriff hatte oder haben könnte und mit denen Personen identifiziert werden können, unabhängig davon, ob sie wahr sind oder nicht. Das heißt, alle Daten, unabhängig davon, ob sie wahr sind oder nicht, ob sie elektronisch oder in einer anderen Form existiert, gelten als personenbezogen, wenn sie mit einer Person zu tun haben. Im Unterschied zum koreanischen Gesetz zum Schutz personenbezogener Daten (PIPA, Personal Information Protection Act) definiert das von Singapur sowohl lebende als auch verstorbene Individuen als Einzelpersonen. Obwohl der PDPA sowohl lebende als auch verstorbene Individuen als Einzelpersonen definiert und damit Daten von verstorbenen Personen zum Gegenstand des Schutzes macht, finden Daten von verstorbenen Personen eher begrenzte Anwendung.
Darüber hinaus ist kennzeichnend, dass sich eine Institution, die bezüglich der Sammlung und Verwendung der personenbezogenen Daten im Namen der öffentlichen Behörde handelt, nicht dem Gesetz zum Schutz der personenbezogenen Daten unterwerfen muss.
6. Kanada
In Kanada gibt es kein Grundgesetz zum Schutz der personenbezogenen Daten, das sowohl für den öffentlichen als auch für den privaten Bereich gilt; stattdessen werden in den beiden Bereichen jeweils eigene Gesetze verwendet.
Im öffentlichen Bereich findet der „Privacy Act“ Verwendung; bei der Sammlung, Verwendung, Weitergabe und Verwaltung personenbezogener Daten im privaten Bereich gelten dagegen das Bundesgesetz zum Schutz personenbezogener Daten, der PIPEDA (Personal Information Protection and Electronic Documents Act), PIPA Alberta (Alberta’s Personal Information Protection Act)), PIPA BC (British Columbia’s Personal Information Protection Act) und der Quebec Privacy Act, wobei diese zusammenfassend als „Canadian Privacy Statutes“ bezeichnet werden.
PIPEDA reguliert dabei die Sammlung, Verwendung, Weitergabe und Verwaltung der staatlichen und internationalen Daten; alle Organisationen, die in den jeweiligen Staaten zwecks kommerzieller Aktivitäten Daten sammeln, verwenden und weitergeben, unterliegen diesem Gesetz. Wenn in den jeweiligen Staaten Gesetze vorliegen, die den spezifischen Bereich regeln, dann finden sie vorrangig Verwendung und der PIPEDA wird nicht verwendet. Das heißt, zwischen dem Bundesrecht und Länderrecht wird der Status eines Sondergesetzes anerkannt; Ontario, New Brunswick, Neufundland gehören dazu.
In Kanada werden „Informationen, die die Einzelperson identifizieren können“, als personenbezogene Daten definiert; Namen, Positionen, Firmenadresse sowie Telefonnummer eines Arbeitnehmers sind dabei Ausnahmen. Der Begriff „persönliche Gesundheitsinformation“ wird spezifisch definiert, zu dem Informationen zur Gesundheit eines Einzelnen gehören, unabhängig davon, ob dieser noch lebt oder tot ist. Darin eingeschlossen sind: 1. Informationen über die körperliche sowie geistige Gesundheit der betroffenen Person, 2. Daten über medizinische Dienstleistungen, die die betroffene Person erhalten hat, 3. Informationen über die Spende von Körpergewebe oder über die körperliche Untersuchung, 4. Informationen, die im Laufe medizinischer Behandlungen der betroffenen Person gesammelt wurden, 5.Informationen, die im Laufe von Behandlungen der betroffenen Person zufällig gesammelt worden sind.
Quellen und Referenzen
KISA DSGVO Zentrum für Unterstützung (https://gdpr.kisa.or.kr)
Internationales Kooperationszentrum für den Schutz personenbezogener Daten (https://www.privacy.go.kr/pic)