DSGVO als weltweiter „Datenschutz-Gold-Standard“

Fachbeitrag

Heimische Unternehmen ärgern sich gerne über die Datenschutz-Grundverordnung (DSGVO). Dieser Artikel beleuchtet, wie die DSGVO außerhalb Europas wahrgenommen wird und welchen Einfluss sie auf den weltweiten Datenschutz hat.

Seltsame Blüten

Allgemeine Rechtsunsicherheit gemischt mit hohen Bußgeldandrohungen haben zuweilen seltsame Blüten hervorgebracht, von denen heise.de einige unter dem Begriff „DSGVO-Absurditätenkabinett“ lesenswert zusammengefasst hat. In Europa ist der Datenschutz-Grundverordnung sicher nicht nur grenzenlose Liebe entgegengeschlagen.

Der in Fachkreisen bekannte und geschätzte Münsteraner Informationsrechtler Thomas Hoeren bezeichnete die DSGVO gar als

„größte Katastrophe des 21. Jahrhunderts“

und nannte die Verordnung unter anderem „hirnlos“.

Jedoch zeichnet sich ab, dass entgegen aller Unkenrufe auf dem europäischen Kontinent die Datenschutz-Grundverordnung ein weltweites Erfolgsmodell werden könnte.

Einfluss auf die Welt

Nach Angaben der United Nations Conference on Trade and Development (UNCTAD) haben weltweit nur 57% aller Staaten Datenschutzgesetze, 10% bisher lediglich Gesetzesentwürfe, 21% noch keine Gesetzgebung und bei 12% liegen keine Daten diesbezüglich vor. Mit der Zeit werden alle „weißen Datenschutz-Flecken“ auf der Landkarte verschwinden.

Dabei finden sich viele Hinweise, die darauf hindeuten, dass die DSGVO die jeweiligen nationalen Gesetzgebungen außerhalb Europas beeinflusst.

  • Australien
    Ursprünglich hatte Australien schon mit dem Privacy Act von 1988 (Privacy Act) ein Datenschutzgesetz eingeführt, das durch die Privacy Regulation 2013 weiter ergänzt wurde. Mit dem neuesten Zusatz Privacy Amendment (Notifiable Data Breaches) Act 2017 wurde nun auch die – schon unter § 42a BDSG und nun unter Artt. 33, 34 DSGVO wohlbekannte – Meldepflicht von Sicherheitsverletzungen eingeführt. Hier zeigt sich, dass sich das australische und europäische Datenschutzrecht in dieselbe Richtung bewegen, auch wenn es im Detail noch Unterschiede gibt. So sind in Australien nur solche Unternehmen von der Meldepflicht betroffen, die einen Jahresumsatz von über 3 Millionen Australischen Dollar haben. Die Datenschutz-Grundverordnung macht hier keine Unterschiede: Jeder Verantwortliche ist bei einer Datenschutzverletzung, die ein Risiko für die Betroffenen birgt, in der Pflicht, und zwar unabhängig von der Höhe des Unternehmensumsatzes.
  • Kalifornien
    In Kaliforniern wurde dieses Jahr der California Consumer Privacy Act of 2018 verabschiedet, das sich ebenfalls den europäischen Datenschutz zum Vorbild nimmt.
  • Japan
    Auch Japan hat sein Datenschutzgesetz modernisiert, wir berichteten hierüber und stellten fest, das sich Japan in den letzten Jahren im Bereich Datenschutz immer weiter an Europa orientiert hat.
  • Brasilien
    Brasilien bekommt ab 2020 ein Datenschutz-Gesetz, das verblüffende Parallelen zur Datenschutz-Grundverordnung aufweist, die wir in diesem Artikel näher beschrieben haben.

Fließender Wirtschaftsverkehr

Wohin man schaut, entdeckt man in neueren Gesetzgebungen Parallelen und Ähnlichkeiten zur Datenschutz-Grundverordnung. Dies wird kein Zufall sein. Je größer die Nähe zur DSGVO, desto leichter dürfte die gegenseitige Anerkennung eines angemessenen Datenschutzniveaus durch die EU-Kommission und dem jeweiligen Drittland fallen und damit den Datentransfer zwischen den Regionen vereinfachen, was wiederum die Möglichkeit der Steigerung der wirtschaftlichen Prosperität mit sich bringt.

Vereinfachung durch strengen Datenschutz

Doch der Einfluss der DSGVO macht sich auch auf einer anderen Ebene bemerkbar:

Für Unternehmen, die gleichzeitig in Europa und Drittländern tätig sind, dürften es einen erheblichen Aufwand darstellen, für all die verschiedenen Regionen verschiedene Datenschutzstandards zu beachten. Unternehmen, die gezwungen sind, sich an die Datenschutz-Grundverordnung zu halten, werden die strengen europäischen Regelungen aus Gründen der Einfachheit als Gold-Standard übernehmen und auch in Ländern beibehalten, deren Gesetze weniger strenge Vorgaben treffen. Dies verringert zum einen den Verwaltungsaufwand. Es bringt jedoch einen weiteren Effekt mit sich: Die Datenschutzfreundlichkeit und der damit einhergehend gezeigte Respekt gegenüber den Rechten der eigenen Kunden stellen einen Imagegewinn für das Unternehmen im Drittland dar.

Auf diese Weise kommt die Datenschutz-Grundverordnung indirekt Menschen unabhängig von ihrem Wohnort zugute. Je mehr ausländische Unternehmen sich freiwillig am Datenschutzstandard der DSGVO orientieren, desto mehr ähnelt die DSGVO damit einem globalen Datenschutzstandard. Spannend wird die Frage, inwieweit die DSGVO auch das geplante amerikanische Bundesgesetz zum Datenschutz beeinflussen wird.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Vielen Dank für Ihre Einschätzung. Bei der Erwähnung des Prof. Hoeren sollte allerdings erwähnt werden, dass er regelmäßig abstruse, auf Krawall gebürstete Ansichten vertritt, um seinen Bekanntheitsgrad zu erhöhen. Auch im Urheberrecht ist er durch langwierige Grabenkämpfe aufgefallen, die schon fast egomane Züge aufweisen. Professoren sind leider oft wirklichkeitsfremd und durch ihren Beruf verblendet. Nassim Taleb prägte dazu schon den etwas zu polemischen Begriff „intellectuals yet idiots“. Ein wenig Praxiserfahrung täte gut.

  2. „Wirklichkeitsfremd“ ist wohl eher die DSGVO in Bezug auf KMU! Ich empfehle zur Lektüre:
    https://www.cr-online.de/blog/2018/05/23/21-thesen-zum-irrweg-der-ds-gvo/
    Insbesondere die Thesen 18 und 19 („Insgesamt sind kleine Internet-User mit eigenen Webauftritten und KMU als die wahrscheinlichen Kollateralschäden der DS-GVO anzusehen.“, „Es ist eine hemmungslose Überforderung von Privatpersonen und auch von vielen Unternehmen, diesen dieselben Rechtfertigungsanforderungen aufzuerlegen, die ursprünglich für die staatliche Datenverarbeitung konzipiert wurden.“).

  3. Vielleicht werden sich verantwortungsbewusste, international agierende Unternehmen bald aus freien Stücken nicht mehr bloß zu einer „CSR“ bekennen, sondern sogar zu einer „CSDR“ – corporate social and data responsibility.

  4. Sie berichten über Gesetze und erwähnen nicht den Anwendungs-/Durchsetzungs-Aspekt. Es ist schon innerhalb der EU bekanntlich so, dass Unternehmen in anderen Mitgliedstaaten die DSGVO nicht kennen und (folglich) nicht anwenden.
    Die DSGVO beansprucht Geltung auch in Klein- und Kleinst-Intitutionen und bietet dafür eine viel zu komplizierte Struktur. Bevor man dieses Modell ernsthaft exportiert, wären Verbesserungen wünschenswert. Welcher Bäcker kann bei einem Betriebssystem privacy by design durchsetzen? Oder auch nur die eigene EDV-Landschaft vollständig dokumentieren?

  5. Sehr geehrter Herr [Vorname gelöscht] Wagner, erneut legen Sie mit einer erstaunlichen Leichtig- und Gleichgültigkeit die gefährden von personenbezogenen Daten Anderer nahe, weil Ihnen deren Schutz zu lästig ist. Ich weiß zum Glück jetzt, welchen Immobilienmakler ich in Zukunft besser meiden werden, mir tun nur Ihre Kunden leid.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.