Datentransfer in asiatische Länder

29. Juli 2024

Der ostasiatische Raum beherbergt diverse bedeutende Wirtschaftspartner der EU und ist derzeit auf verschiedenen Ebenen Gegenstand datenschutzrechtlicher Kooperationen. So wurde für Japan im Rahmen eines umfassenden Handelsabkommens der erste Angemessenheitsbeschluss unter Geltung der DSGVO getroffen. Ergänzend werden derzeit weitere umfangreiche Bestimmungen zum grenzüberschreitenden Datenverkehr in ein Abkommen aufgenommen. Auch für Südkorea wurde durch die EU im Rahmen von Handelsabkommen ein Angemessenheitsbeschluss getroffen. Anlässlich des neuen Datenschutzgesetzes der Mongolei stellt der vorliegende Artikel das Datenschutzrecht verschiedener Länder kurz vor und stellt den Rahmen der Übermittlung personenbezogener Daten aus der EU dar.

Systematik des Datenaustauschs mit Drittstaaten außerhalb des Europäischen Wirtschaftsraums

Der Datentransfer in Länder außerhalb der EU unterliegt strengen Regularien, nur die Angemessenheitsbeschlüsse führen zu deutlichen Erleichterungen. Mit der breiteren Digitalisierung im internationalen Konzernumfeld und der zunehmenden Bedeutung etwa von Cloud-Computing-Diensten steigt die Notwendigkeit, personenbezogene Daten sicher und rechtskonform mit Unternehmen in asiatischen Staaten auszutauschen. Dies bringt zusätzliche Herausforderungen für den Datenschutz mit sich.

Hinzu kommen geopolitische Spannungen, insbesondere zwischen China und westlichen Ländern, die das Vertrauen in die Datensicherheit und die Compliance asiatischer Staaten mit europäischen Datenschutzstandards beeinträchtigen können. Unternehmen müssen daher nicht nur die rechtlichen Anforderungen der DSGVO erfüllen, sondern auch geopolitische Entwicklungen und insbesondere technische Sicherheitsaspekte berücksichtigen, um die Integrität und Sicherheit der übermittelten Daten zu gewährleisten.

Das neue mongolische Datenschutzrecht

Das Datenschutzrecht in der Mongolei ist vergleichsweise weniger tiefgehend als in anderen asiatischen Ländern. Erst seit dem 17.12.2021 und damit als letztes asiatisches Land verfügt die Mongolei über ein Datenschutzgesetz, das „Law on Personal Data Protection“. 1 Durch das Datenschutzgesetz wurde ein 1995 verabschiedetes mongolisches Gesetz abgelöst, das allein den Schutz persönlicher Geheimnisse gewährleistete. Das neue Gesetz enthält grundlegende Bestimmungen zum Datenschutz und bildet den Hauptrechtsrahmen für Datenschutz.

Zentrale Neuerung durch das Gesetz war, dass nunmehr auch personenbezogene Informationen geschützt wurden – statt nur personenbezogener vertraulicher Informationen (Art. 3). Nach dem mongolischen Datenschutzgesetz ist die Verarbeitung personenbezogener Daten auch ohne ausdrückliche Zustimmung des Betroffenen zulässig, wenn es um die Vermeidung von Schäden an den Rechten und legitimen Interessen anderer Personen, um die Erstellung historischer, wissenschaftlicher, künstlerischer und literarischer Werke geht oder Daten für journalistische Zwecke verarbeitet werden (Art. 6.2, 7.1.3, 11. und 13). Für besonders sensible personenbezogene Daten, wie etwa Informationen über Gesundheit, sexuelle und geschlechtliche Orientierung oder private Passwörter gelten spezielle Regelungen (Art. 4.1.12 und 9). Diese Daten dürfen nur von staatlichen Stellen und im Gesundheitssektor verarbeitet werden (Art. 9.2.). Der Transfer personenbezogener Daten ins Ausland ist nur unter bestimmten Bedingungen zulässig (Art. 14). Datenverantwortliche müssen sicherstellen, dass im Empfängerland ein angemessenes Datenschutzniveau besteht oder geeignete Schutzmaßnahmen, wie verbindliche Unternehmensregeln oder Standardvertragsklauseln, getroffen werden.

Obwohl das neue Gesetz den Datenschutz in der Mongolei deutlich verbessert hat, sind die Datenschutzpraktiken im Vergleich zu den Standards in vielen westlichen oder anderen asiatischen Staaten nach wie vor weniger streng. Es fehlt beispielsweise eine Regelung über die Maßnahmen, die bei datenschutzrechtlichen Verstößen zu ergreifen sind. Zudem sind die Strafen für Nichteinhaltung deutlich geringer als die der DSGVO – umgerechnet ca. 170 bis 10.000 EUR, was möglicherweise keine ausreichende Abschreckung für größere Unternehmen darstellt. Schließlich sieht das Gesetz keine strengen Vorgaben für die Berufung von Datenschutzbeauftragten in Unternehmen und Organisationen vor.

Zwischen der EU und der Mongolei besteht seit 2017 ein Rahmenabkommen, 2 in dem sich die Mongolei unter anderem verpflichtet, mit der Europäischen Union zusammenzuarbeiten, um ihr Datenschutzniveau stetig zu verbessern. Zwar steht das mongolische Datenschutzrecht noch am Anfang, es wird sich aber sicherlich in den nächsten Jahren noch weiterentwickeln.

Datenschutzrecht in Südkorea

Das koreanische Datenschutzrecht ist im Gesetz „Personal Information Protection Act“ (PIPA) verankert, das im Jahr 2011 in Kraft trat und zuletzt im Jahr 2020 reformiert wurde. Dieses Gesetz weist deutliche Parallelen zur europäischen Datenschutz-Grundverordnung (DSGVO) auf, wobei es auch einige wesentliche Unterschiede gibt. Eine Abweichung betrifft den Begriff der „personenbezogenen Daten“. Während die DSGVO personenbezogene Daten weiter definiert, versteht das südkoreanische PIPA diesen Begriff etwas enger.

Nach Art. 2 Nr. 1 lit. a. bis c. des PIPA werden personenbezogene Daten in drei Kategorien unterteilt:

  1. Informationen, die die Person direkt identifizieren können, z. B. der Name.
  2. Informationen, die in Kombination mit anderen Daten eine bestimmte Person identifizierbar machen, wobei hierbei Faktoren wie der Aufwand von Zeit und Kosten berücksichtigt werden müssen.
  3. „Pseudonymisierte Informationen“, d. h. Daten, die ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Diese pseudonymisierten Daten dürfen ohne die Einwilligung der betroffenen Person für wissenschaftliche Forschung oder statistische Zwecke genutzt werden, jedoch nicht für kommerzielle Zwecke.

Die zentrale und unabhängige Aufsichtsbehörde in Südkorea, die „Personal Information Protection Commission“ (PIPC), spielt die tragende Rolle bei der Durchsetzung des Datenschutzrechts. Im September 2021 erließ die PIPC die Notifizierung Nr. 2021-5, um sicherzustellen, dass die Interpretation des südkoreanischen Datenschutzgesetzes PIPA den europäischen Datenschutzstandards entspricht. Diese Notifizierung wurde von der EU-Kommission als materielles Recht anerkannt, was am 17.12.2021 zur Annahme eines Angemessenheitsbeschlusses für den internationalen Austausch personenbezogener Daten mit Südkorea führte.

Im Rahmen des PIPA wurden die Regelungen zur Übermittlung personenbezogener Daten ins Ausland dahingehend erweitert, dass keine Einwilligung der betroffenen Person notwendig ist, wenn die Daten in ein Land transferiert werden, das von der PIPC als gleichwertig eingestuft wurde. Dies erleichtert den internationalen Datentransfer erheblich, solange die Zielländer die Datenschutzstandards von Südkorea erfüllen.

Datenschutzrecht in Japan

Bereits 2003 wurde in Japan der „Act on the Protection of Personal Information“ (APPI) eingeführt, jedoch noch mit einem eingeschränkten Schutzniveau. Eine vollständige Überarbeitung des APPI und weiterer damit zusammenhängender Regelungen erfolgte im Rahmen des Wirtschaftspartnerschaftsabkommen mit der EU vom 1.2.2019. Diese Anpassungen zielten darauf ab, das Datenschutzrecht auf einen neuen Stand zu bringen und das Schutzniveau zu erhöhen.

Zusätzlich zum APPI enthalten die „Supplementary Rules under the APPI for the Handling of Personal Data Transferred from the EU based on an Adequacy Decision“ (sogenannte Supplementary Rules) Regelungen, um ein höheres Schutzniveau bei der Verarbeitung von aus der EU stammenden Daten in Japan zu gewährleisten. Dazu zählen die Zweck- festlegung und -bindung, Beschränkung der Weitergabe von personenbezogenen Daten an Dritte im Ausland sowie höhere Anforderungen an Anonymisierungen.

Die Aktualisierung des APPI führte zu erweiterten Rechten für Einzelpersonen in Japan, insbesondere ein Recht auf Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten. Darüber hinaus wurden die Verpflichtungen für Verantwortliche verschärft, einschließlich der Einführung strengerer Sicherheitsmaßnahmen zum Schutz personenbezogener Daten und der Meldepflichten bei Datenpannen. Ein weiterer wichtiger Aspekt des reformierten APPI ist die Einführung der Pflicht zur Ernennung eines Datenschutzbeauftragten für Unternehmen, die große Mengen personenbezogener Daten verarbeiten. Dies trägt dazu bei, die Einhaltung der Datenschutzvorschriften zu überwachen und sicherzustellen, dass die Datenschutzpraktiken der Unternehmen den gesetzlichen Anforderungen entsprechen. Insgesamt besteht in Japan nun ein ausgewogenes Datenschutzgesetz, das durch die Ergänzung der Supplementary Rules ein hohes Maß an Datenschutz und Datensicherheit gewährleistet. Die Reformen tragen nicht nur zum Schutz der Privatsphäre der Bürger:innen bei, sondern fördern auch das Vertrauen in Japan als zuverlässigen Partner für den internationalen Datentransfer.

Für Japan gilt seit dem 23.1.2019 ein Angemessenheitsbeschluss der EU-Kommission, der den internationalen Datenaustausch erleichtert. Dieser Beschluss erfüllt die zweite Stufe der Zulässigkeit des Datenaustauschs und erfordert die Berücksichtigung erweiterter Informationspflichten gemäß den Artikeln 13 ff. DSGVO, die Aufnahme dieser Informationen im Verarbeitungsverzeichnis und in bestimmten Fällen eine Datenschutzfolgenabschätzung. Zusätzlich soll das Freihandelsabkommen zwischen der EU und Japan um Bestimmungen zum grenzüberschreitenden Datenverkehr ergänzt werden.

Am 29.1.2024 unterzeichnete der belgische Ratsvorsitz im Namen der EU ein Protokoll, das Bestimmungen zum grenzüberschreitenden Datenverkehr in das Wirtschaftspartnerschaftsabkommen zwischen der EU und Japan aufnehmen soll. Ziel ist es, den Datenverkehr mit über den Angemessenheitsbeschluss aus 2019 hinausgehenden Regelungen noch weiter zu liberalisieren. So werden durch das Abkommen Anforderungen an die Datenlokalisierung abgeschafft. Bisher konnten die EU und Japan verlangen, dass Daten in Rechenzentren auf ihrem Gebiet gespeichert oder verarbeitet werden. Unternehmen sollen durch das Abkommen von der Verpflichtung befreit werden, ihre Daten physisch im jeweiligen Land zu speichern. Neben den beschriebenen datenschutzrechtlichen Liberalisierungen enthält das Abkommen auch Regelungen, die Datenschutz und Privatsphäre der Bürger:innen stärken sollen. Etwa sollen sich EU-Bürger:innen künftig bei der japanischen Datenschutzbehörde über Datenschutzverstöße beschweren können. Wünschenswert wäre hier, dass dazu entsprechende Online-Formulare bereitgestellt werden.

Insgesamt ist das japanische Datenschutzrecht also als weitgehend und vergleichbar zur DSGVO zu bewerten. Insbesondere die Durchsetzung des Rechts wird in den nächsten Jahren noch weitere Fortschritte machen.

Singapurischer Datenschutz

In Singapur wurde im November 2020 der „Singapore Personal Data Protection Act“ (PDPA) 4 reformiert und weist Überschneidungen zur DSGVO auf, vor allem in Bezug auf Anwendung und Geltungsbereich.

Der PDPA konzentriert sich jedoch grundlegend eher auf das Themengebiet der Compliance. Auch hat Singapur eine eigene Aufsichtsbehörde eingerichtet, die „Personal Data Protection Commission“, die direkt damit beauftragt ist, Unternehmen für den Missbrauch personenbezogener Daten zur Rechenschaft zu ziehen und die strengen Vorgaben für die Behandlung von Datenpannen zu überprüfen. Der PDPA formuliert verschiedene datenschutzrechtliche Pflichten und Grundsätze, darunter die Notwendigkeit, die Zustimmung der betroffenen Personen einzuholen, bevor personenbezogene Daten erhoben, verwendet oder weitergegeben werden. Es legt auch fest, dass Unternehmen geeignete Maßnahmen ergreifen müssen, um die Sicherheit der gesammelten Daten zu gewährleisten und das Risiko von Datenpannen zu minimieren. Informations- und Löschpflichten sind ebenfalls enthalten.

Die PDPC spielt eine zentrale Rolle bei der Durchsetzung des PDPA. Sie führt Untersuchungen durch, verhängt Geldbußen und bietet Richtlinien und Beratung für Unternehmen, um die Einhaltung der Datenschutzbestimmungen zu fördern. Die PDPC hat zudem die Befugnis, Anweisungen zur Behebung von Verstößen zu erteilen und Maßnahmen zur Minderung der Auswirkungen von Datenpannen zu ergreifen.

Im Kontext von Datentransfers zwischen Singapur und der EU ist Singapur nicht als „sicheres Drittland“ anerkannt, was aufgrund der dortigen Sicherheitsgesetze derzeit wohl auch nicht erreichbar sein dürfte. Jedoch wurden Mechanismen eingeführt, um den internationalen Datentransfer zu erleichtern. Unternehmen können beispielsweise Standardvertragsklauseln (SCC) verwenden oder Binding Corporate Rules implementieren, um den rechtmäßigen Transfer personenbezogener Daten in Übereinstimmung mit den Datenschutzvorschriften der EU sicherzustellen.

Fazit und Ausblick

Staaten weltweit haben erhebliche Fortschritte gemacht, um ihre Datenschutzgesetze an internationale Standards anzupassen und so den Datentransfer zu erleichtern. Die vorgestellten Beispiele aus dem asiatischen Raum zeigen, dass das gemeinsame Verständnis für den Schutz personenbezogener Daten die Grundlage für ein weiteres Zusammenwachsen datenschutzrechtlicher Standards weltweit legt.

Über den Autor

Dr. Matthias Lachenmann


ist Rechtsanwalt und Partner bei BHO Legal Part GmbH in Köln. Er promovierte zur „Datenübermittlung im Konzern“ und ist als Fachautor und Herausgeber des „Formularhandbuch Datenschutzrecht“ bekannt.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.