Das Jahr 2020 brachte einige wichtige Entwicklungen in der Welt der Datenschutzgesetzgebung. Vor allem der California Consumer Privacy Act (CCPA) trat im Januar in den USA in Kraft und der Gerichtshof der Europäischen Union (EuGH) entschied in der Rechtssache Schrems II, dass die Angemessenheitsentscheidung der Europäischen Kommission in Bezug auf das EU-US-Privacy Shield ungültig ist, was dem freien Datenverkehr zwischen den USA und der EU effektiv ein Ende setzt.
Auf dem Weg ins Jahr 2021 liegt der Schatten dieser wichtigen Entwicklungen groß über der Datenschutzlandschaft, da das Schrems-II-Urteil des EuGH gezeigt hat, dass die Legitimierung von Übertragungen sensibler personenbezogener Daten außerhalb der EU nicht nur eine Papierarbeit ist.
In der Zwischenzeit wird China in diesem Jahr seine erste Omnibus-Datenschutzgesetzgebung verabschieden, wobei einer der Hauptschwerpunkte ebenfalls auf grenzüberschreitenden Übertragungen liegt. Mehrere andere Länder werden ihre Datenschutzgesetze im Jahr 2021 in Kraft setzen oder überarbeiten, und Großbritannien hat seine Privilegien für den freien Datenfluss in Europa verloren. Werfen wir einen genaueren Blick auf diese Entwicklungen und was wir davon im neuen Jahr erwarten können.
Neue SCCs für grenzüberschreitende EU-Transfers im Jahr 2021
Die Standardisierung und Regulierung von grenzüberschreitenden Datentransfers gemäß der EU-Datenschutzgrundverordnung (DSGVO) scheint auf der Agenda vieler europäischer Institutionen zu stehen.
Im November 2020 veröffentlichte der Europäische Datenschutzausschuss (EDPB) einen Entwurf für Empfehlungen zu den Regeln, die Unternehmen befolgen sollten, um sensible personenbezogene Daten rechtmäßig aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR zu übertragen. Basierend auf den EDPB-Empfehlungen hat die Europäische Kommission einen Entwurf für neue Standardvertragsklauseln (SCCs) und einen Entwurf zur Umsetzung der Entscheidung veröffentlicht, wobei wichtige Aktualisierungen am Text der Klauseln vorgenommen wurden, um sie mit der DSGVO in Einklang zu bringen.
Diese Änderungen werden sich zusammen mit dem Schrems II-Urteil auf viele internationale Unternehmen auswirken, die personenbezogene Daten von EU-Bürgern sammeln und verarbeiten, und strengere Compliance-Anforderungen für grenzüberschreitende Datenübertragungen mit sich bringen.
Chinas Antwort auf die DSGVO
Chinas Ständiger Ausschuss des Nationalen Volkskongresses hat am 21. Oktober 2020 den ersten Entwurf des Personal Information Protection Law (PIPL) zur öffentlichen Stellungnahme veröffentlicht. Das PIPL vereinigt bestehende chinesische Datenschutzgesetze unter einem Dach und fügt dem Schutz personenbezogener Daten in China einige bedeutende Neuerungen hinzu. Dazu gehören hohe Bußgelder, extraterritoriale Anwendbarkeit, die Notwendigkeit von Datenschutzbeauftragten und neue Regeln für grenzüberschreitende Transfers.
Das PIPL stärkt die neuen Rechte der in China ansässigen Betroffenen, unabhängig von ihrer Nationalität, wie z.B. das Recht auf Löschung und das Recht auf Widerruf der Zustimmung zur Datenerhebung. Unternehmen, die eine große Menge an personenbezogenen Daten verarbeiten, werden außerdem verpflichtet, einen Datenschutzbeauftragten zu benennen, der für die Verarbeitung personenbezogener Daten verantwortlich ist. Die grenzüberschreitende Verarbeitung sensibler personenbezogener Daten unterliegt nach dem PIPL einem Schwellenwert. Sollte ein Unternehmen diesen überschreiten, wird es seine Datenverarbeitungsaktivitäten lokalisieren müssen.
Obwohl das PIPL nach den öffentlichen Kommentaren wahrscheinlich noch weiter überarbeitet wird, ist es klar, dass China entschlossen ist, in die Fußstapfen der DSGVO zu treten und eine umfassende neue Datenschutzgesetzgebung zu erlassen, die in erster Linie den Betroffenen zugutekommt.
Schutz der Privatsphäre in Großbritannien nach dem Brexit
Ende 2020 endete die Übergangsfrist für den Austritt des Vereinigten Königreichs aus der Europäischen Union und damit auch die Anwendung der DSGVO im Land und der freie Fluss personenbezogener Daten aus dem Vereinigten Königreich nach Europa. Doch auch wenn die DSGVO nicht mehr gilt, wurden ihre Anforderungen 2018 durch das Datenschutzgesetz (Data Protection Act, DPA) in die nationale Gesetzgebung des Vereinigten Königreichs übernommen.
Die wichtigste Folge des Brexit ist, dass das Vereinigte Königreich offiziell ein Drittland für alle Mitgliedsstaaten des EWR wurde, was bedeutet, dass es einen Angemessenheitsbeschluss bei der Europäischen Kommission beantragen muss, bevor Daten wieder frei über die Grenzen hinweg übertragen werden können. Unabhängig davon, ob dies ein reibungsloser Prozess sein wird oder das Vereinigte Königreich einen Angemessenheitsbeschluss nicht erhalten wird, müssen die Unternehmen im Land sicherstellen, dass 2021 geeignete Mechanismen für den Datentransfer zwischen den EWR-Mitgliedstaaten und dem Vereinigten Königreich vorhanden sind.
Neue Datenschutzgesetze treten ab 2021 in Kraft
Eine Reihe neuer Datenschutzgesetze auf der ganzen Welt wird ab 2021 in Kraft treten. Nach einer Reihe von Rückschlägen und Verzögerungen trat im September 2020 überraschend das brasilianische Lei Geral de Proteção de Dados (LGPD), Lateinamerikas erstes großes Datenschutzgesetz, in Kraft. Seine administrativen Sanktionen werden jedoch voraussichtlich erst im August 2021 von den Aufsichtsbehörden durchgesetzt werden. Da sich brasilianische Unternehmen und Dienstleister, die sensible Daten brasilianischer Betroffener verarbeiten, um die Einhaltung des Gesetzes bemühen, wird das Jahr 2021 das Testfeld dafür sein, wie die brasilianische Datenschutzbehörde, die Autoridade Nacional de Proteção de Dados (ANPD), das LGPD durchsetzen wird.
Ende 2020 änderte Singapur seinen Personal Data Protection Act (PDPA) und führte unter anderem verpflichtende Benachrichtigungen bei Datenschutzverletzungen, eine Erweiterung des Rahmens für die fiktive Einwilligung, Ausnahmen von der Einwilligung bei berechtigten Interessen und höhere Strafen bei Nichteinhaltung ein. 2021 werden diese Änderungen in der Praxis angewendet.
Überarbeitung der Datenschutzgesetze im Jahr 2021
Eine umfassende Überprüfung des australischen Datenschutzgesetzes (Privacy Act 1988) wird voraussichtlich im Jahr 2021 abgeschlossen sein. Als Reaktion auf den Untersuchungsbericht der australischen Wettbewerbs- und Verbraucherkommission (Australian Competition and Consumer Commission, ACCC) zu digitalen Plattformen kündigte die australische Regierung am 12. Dezember 2019 an, dass sie eine Überprüfung des Privacy Act durchführen wird. Bislang hat sie ein Themenpapier veröffentlicht, in dem sie den Privacy Act sowie andere australische Gesetze zum Schutz personenbezogener Daten umreißt und um Feedback bittet. Die Einreichungsfrist endete Ende November, der erste Entwurf der Überprüfung soll 2021 veröffentlicht werden.
Am 17. November 2020 wurde der Digital Charter Implementation Act (DCIA) vom kanadischen Minister für Information, Wissenschaft und wirtschaftliche Entwicklung vorgestellt. Sollte er verabschiedet werden, wird der DCIA Kanadas aktuelles Datenschutzgesetz für den privaten Sektor, den Personal Information Protection and Electronic Documents Act (PIPEDA), ersetzen. Der DCIA würde mehrere interessante Entwicklungen für die Datenschutzgesetzgebung in Kanada bringen, darunter ein privates Klagerecht und Bußgelder, die die der General Data Protection Regulation übersteigen könnten. Im Jahr 2021 wird der DCIA von Ausschüssen überprüft und voraussichtlich Konsultationen und Anhörungen von Interessengruppen unterzogen.
In den Vereinigten Staaten haben die kalifornischen Wähler im November 2020 den California Privacy Rights Act (CPRA) durch eine Abstimmungsmaßnahme angenommen. Das CPRA wird das CCPA abändern und den Einwohnern Kaliforniens zusätzliche Kontrolle über ihre persönlichen Daten geben sowie Unternehmen, die unter das CCPA fallen, weitere Verpflichtungen auferlegen. Obwohl die meisten Bestimmungen des CPRA erst ab Juli 2023 in Kraft treten werden, wird erwartet, dass die Verabschiedung des Gesetzes eine neue Welle von Gesetzesmaßnahmen in anderen Bundesstaaten oder auf Bundesebene auslösen wird.
Zusammengefasst
Das Jahr 2021 wird ein spannendes Jahr für die Datenschutzgesetzgebung, da mehrere bemerkenswerte Datenschutzgesetze in Kraft treten werden und einige andere sich an den neuen internationalen Standard der DSGVO anpassen werden. Grenzüberschreitende Übertragungen werden wahrscheinlich eines der großen Compliance-Themen sein, mit denen sich Gesetzgeber und Datenschutzbehörden befassen werden, um eine Regulierung und Normalisierung von Datenübertragungen zwischen Ländern sicherzustellen.
