IHK-Global Business Ausgabe 3/2024

DRITTSTAATEN

Das Gesetz tritt erst in Kraft, wenn seine 44 Bestim- mungen (notifications) durch die Zentralregierung ver- abschiedet wurden. Erst danach kann die EU über einen Angemessenheitsbeschluss entscheiden. Wann dies der Fall sein wird, kann derzeit nicht gesagt werden. Einige Tochtergesellschaften deutscher Unternehmen haben aber bereits damit begonnen, ihre Dokumentation und Prozesse zu überprüfen und zu aktualisieren, um nach Inkrafttreten die Umsetzung zu erleichtern. Das neue Datenschutzgesetz steht auf der Website des indischen Ministry of Electronics & Information Technology (MEITY) zum Download zur Verfügung:

meity.gov.in/data-protection-framework

UK: Alles safe – aber wie lange noch?

Nach dem Brexit am 31. Januar 2020 blieben zunächst die meisten rechtlichen Rahmenbedingun- gen für den Datenschutz in Großbritannien unverändert, da der „EU Withdrawal Act“ die bestehenden Regelungen in nationales Recht überführte. Doch schon bald zeichne- ten sich unterschiedliche Vorstellungen ab. Am 8. März 2023 legte die britische Regierung daher mit der zweiten Version des „Data Protection and Digital Information (No.2) Bill“ einen Vorschlag für eine Daten- schutzreform vor. Der Gesetzentwurf befindet sich derzeit zur Beratung im britischen Parlament. Nach Zustimmung des Unterhauses (House of Commons) muss er noch alle Schritte im Oberhaus (House of Lords) durchlaufen. Wann das Gesetz beschlossen und in Kraft treten wird, ist derzeit noch nicht absehbar. Ein wichtiger Aspekt im neuen Gesetz betrifft die inter- nationale Datenübermittlung. Demnach sollen Unter- nehmen künftig mehr Spielraum erhalten, um selbst zu entscheiden, ob die Datenschutzstandards im Zielland mit denen des Vereinigten Königreichs übereinstimmen. Zusätzlich beinhaltet der Gesetzentwurf Änderungen an der ePrivacy-Richtlinie, die sich auf die Anforderungen bezüglich Cookies und die Regeln für E-Mail-Marketing auswirken. Die ePrivacy-Richtlinie dient als Ergänzung zur britischen Datenschutzgrundverordnung (UK-GDPR). Sie zielt darauf ab, die Vertraulichkeit der Kommunikation zu gewährleisten, das Tracking zu beschränken und die Men- ge an Spam zu reduzieren. Dank eines Angemessenheitsbeschlusses der EU-Kom- mission können deutsche Unternehmen noch bis Juni 2025 beim Transfer von personenbezogenen Daten nach Großbritannien auf ein angemessenes Datenschutz- niveau vertrauen. Wie es danach weitergeht, ist noch unbestimmt. Der Entwurf des neuen Datenschutzgesetzes und der Stand des Gesetzgebungsprozesses kann auf der Website des House of Commons eingesehen werden:

Videokonferenzen mit Kollegen oder Geschäftspartnern auf der ganzen Welt gehören heute zum Arbeitsalltag. Persönliche Daten werden dabei auf Server übertragen und gespeichert, die oft außerhalb der EU stehen.

Indien: Erstes Datenschutzgesetz auf dem Weg

In Indien gibt es noch kein einheitliches Datenschutz- gesetz, das den Umgang mit personenbezogenen Daten regelt. Bisherige Rechtsgrundlagen im Datenschutz- bereich sind der Information Technology Act, 2000 (speziell dessen Sec. 43A) sowie die Information Technology (Reasonable Security Practices and Procedures and Sensiti- ve Personal Data or Information) Rules, 2011. Aus europäi- scher Sicht gilt Indien daher noch als „unsicherer Dritt- staat“. Unternehmen müssen daher vor der Übertragung personenbezogener Daten nach Indien notwendige Garan- tien von den Datenempfängern einfordern, etwa über die EU-Standardvertragsklauseln und weitere Vereinbarungen. Mögliche Erleichterungen sind aber in Sicht. In den letz- ten Jahren hat die indische Regierung intensiv an einem ersten Datenschutzgesetz gearbeitet, das in vielen Punkten der DSGVO ähnelt und dem von der EU geforderten Daten- schutzniveau entsprechen könnte. Nach einigen Über- arbeitungen hat Indiens Präsidentin Draupadi Murmu schließlich am 11. August 2023 den „Digital Personal Data Protection Act, 2023 (DPDP Act)“ unterzeichnet. Das Gesetz betrifft die Verarbeitung digitaler personen- bezogener Daten in Indien, wenn diese in digitaler Form gesammelt oder nachträglich digitalisiert werden. Wenn digitale persönliche Daten außerhalb Indiens verarbeitet werden, um Personen in Indien Waren oder Dienstleistun- gen anzubieten, ist eine extraterritoriale Anwendbarkeit gegeben. Durch entsprechende Bekanntmachung kann die Zentralregierung aber den Transfer von persönlichen Daten in bestimmte Länder außerhalb Indiens beschränken. Zu- dem sieht das Gesetz die Einrichtung eines Data Protection Board of India (DPBI) als Aufsichtsbehörde vor. Diese ist be- fugt, Verstöße festzustellen und Sanktionen zu verhängen.

commonslibrary.parliament.uk/research-briefings/ cbp-9803

6

IHK Global Business 03/2024

ihk.de/rhein-neckar

Made with FlippingBook Learn more on our blog