Bis zum Jahr 2023 werden laut Gartner 65 % der Weltbevölkerung ihre persönlichen Daten unter moderne Datenschutzbestimmungen stellen.
Die Bemühungen der Gesetzgeber haben sich in den letzten zwei Jahren intensiviert, und es wurden zahlreiche Initiativen zum Datenschutz verabschiedet. Dieser Trend dürfte sich 2022 fortsetzen, wenn Regionen wie Europa, der Nahe Osten, die Vereinigten Staaten und der asiatisch-pazifische Raum Datenschutzgesetze einführen oder ändern.
Im Jahr 2021 folgten die US-Bundesstaaten Virginia und Colorado dem Beispiel Kaliforniens und verabschiedeten Datenschutzgesetze, die im Jahr 2023 in Kraft treten sollen. Kalifornien selbst unterzeichnete mehrere Änderungen des kalifornischen Verbraucherschutzgesetzes (CCPA), die sich unter anderem auf das Recht der Verbraucher beziehen, dem Verkauf ihrer persönlichen Daten zu widersprechen, sowie auf Anfragen von Bevollmächtigten nach Informationen über die persönlichen Daten der Verbraucher. Die Änderungen traten am selben Tag in Kraft, an dem sie verabschiedet wurden.
Am 20. August 2021 verabschiedete China außerdem sein erstes umfassendes Datenschutzgesetz, das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law – PIPL), das den Schutz personenbezogener Daten und deren Verarbeitung regeln soll. Es ist am 1. November 2021 in Kraft getreten.
Neue Standardvertragsklauseln unter DSGVO
Seit ihrer Verabschiedung im Jahr 2018 ist die Allgemeine Datenschutzverordnung der EU (DSGVO) zur Grundlage für eine Welle neuer Datenschutzgesetze geworden, die den ganzen Globus erfasst hat. Viele Gesetzgeber auf der ganzen Welt haben sich um Parität mit der DSGVO bemüht, in der Hoffnung auf eine positive Angemessenheitsentscheidung der Europäischen Kommission, die einen freien Datenfluss zwischen ihrem Land und dem europäischen Markt ermöglichen würde.
Wenn Unternehmen Daten in Länder übermitteln müssen, die nicht über eine Angemessenheitsentscheidung der Europäischen Kommission verfügen, sind sie verpflichtet, Standardvertragsklauseln (SCC) für Datenübermittlungen gemäß der DSGVO zu verwenden, um sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen in der EU berücksichtigt und gewahrt werden. Im Juni 2021 genehmigte die Europäische Kommission neue Standardvertragsklauseln (SCC). Die bisherigen Standardvertragsklauseln wurden mit Wirkung vom 27. September 2021 aufgehoben, was bedeutet, dass alle neuen Verträge, die nach diesem Datum abgeschlossen werden, die neuen Standardvertragsklauseln verwenden müssen.
Ab 2022 haben Unternehmen, die SCC verwenden, bis zum 27. Dezember Zeit, alle Verträge zu ersetzen, die die alten SCC enthalten. Dies dürfte für viele Unternehmen im kommenden Jahr eine große Herausforderung sein, da sie nicht nur die alten Klauseln durch die neuen ersetzen müssen, sondern auch feststellen müssen, welche Datenübertragungsverträge überprüft und ersetzt werden müssen.
Mehr US-Bundesstaaten werden voraussichtlich Datenschutzgesetze verabschieden
Im Jahr 2021 wurden in den USA in 38 Bundesstaaten mehr als 160 Gesetzentwürfe zum Verbraucherdatenschutz eingebracht, was das wachsende Interesse an der Verabschiedung von Gesetzen verdeutlicht, die den Schutz der persönlichen Daten der Verbraucher gewährleisten. Die Verabschiedung des Virginia Consumer Data Privacy Act (VCDPA) und des Colorado Privacy Act (CPA) im Jahr 2021 dürfte die Dynamik in anderen Bundesstaaten verstärken und dazu führen, dass im Jahr 2022 weitere Gesetze verabschiedet werden.
Mindestens zwölf Bundesstaaten werden 2022 eine umfassende Gesetzgebung zum Verbraucherdatenschutz in Erwägung ziehen. Florida und Oklahoma standen 2021 kurz vor der Verabschiedung eines Gesetzes, was bedeuten könnte, dass sie 2022 erfolgreich sein werden. Auch New York und Ohio stehen ganz oben auf der Liste der Staaten, in denen im kommenden Jahr Fortschritte bei der Verabschiedung von Datenschutzgesetzen zu erwarten sind. Washingtons Datenschutzgesetz wurde 2021 zum dritten Mal in Folge nicht verabschiedet, nachdem die Gesetzgeber keine Einigung über die Aufnahme eines privaten Klagerechts in den Gesetzentwurf erzielen konnten, aber 2022 könnte das Jahr sein, in dem es endlich verabschiedet wird.
Japans APPI-Änderungen treten in Kraft
Japan hat 2017 sein Gesetz über den Schutz personenbezogener Daten (APPI) modernisiert, um es näher an die europäischen Standards heranzuführen. Dank dieser Änderungen erhielt Japan die erste Angemessenheitsentscheidung der Europäischen Kommission im Rahmen der Datenschutz-Grundverordnung.
Weitere Änderungen des Gesetzes wurden am 12. Juni 2020 auf der Grundlage der Ergebnisse der Überprüfung durch die Kommission für den Schutz personenbezogener Daten (PPC) und der öffentlichen Konsultation in Kraft gesetzt. Die neuen Änderungen erweiterten unter anderem den Umfang der Rechte japanischer Betroffener, machten die Benachrichtigung über Datenschutzverletzungen zur Pflicht und schränkten den Umfang der personenbezogenen Daten ein, die an Dritte weitergegeben werden können. Auch die Strafen wurden erheblich verschärft: Unternehmen können nun bei Verstößen gegen die Anordnungen des PPC mit Geldstrafen von bis zu 100 Millionen Yen belegt werden.
Während die neuen Strafen bereits seit dem 12. Dezember 2020 gelten, sollen die übrigen Änderungen am 1. April 2022 in Kraft treten.
Neue Datenschutzgesetze im Nahen Osten
Am 24. September 2021 verabschiedete Saudi-Arabien mit dem Königlichen Erlass Nr. M19/1443 sein erstes eigenständiges Gesetz zum Schutz personenbezogener Daten. Die saudische Behörde für Daten und künstliche Intelligenz (Saudi Data and Artificial Intelligence Authority, SDAIA) wird für die Durchsetzung des neuen Gesetzes zuständig sein, das am 23. März 2022 nach der Veröffentlichung der Durchführungsverordnungen in Kraft treten wird. Die Unternehmen haben dann ein Jahr Zeit, die Anforderungen des neuen Gesetzes zu erfüllen.
Die Vereinigten Arabischen Emirate (VAE) verabschiedeten am 27. November 2021 ihr erstes Bundesdatenschutzgesetz, den Bundeserlass Nr. 45/2021 über den Schutz personenbezogener Daten. Außerdem wurde das VAE-Datenamt eingerichtet, das durch einen separaten Erlass für die Durchsetzung des Datenschutzgesetzes zuständig ist. Das neue Gesetz trat am 2. Januar 2022 in Kraft. Allerdings muss das Kabinett der VAE zunächst eine Reihe von Durchführungsverordnungen erlassen, um die Einzelheiten des Gesetzes zu regeln. Ab dem Zeitpunkt der Veröffentlichung der Durchführungsverordnungen haben die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter sechs Monate Zeit, um das Datenschutzgesetz einzuhalten.
Auf dem Weg zum globalen Datenschutz
Im Jahr 2022 werden voraussichtlich mehrere lang erwartete Datenschutzgesetze in mehreren Ländern in Kraft treten. Nach einer zweijährigen Verschiebung aufgrund der COVID-19-Pandemie soll das thailändische Gesetz zum Schutz personenbezogener Daten (PDPA) am 1. Juni 2022 endlich in Kraft treten. Katars Datenschutzbestimmungen und Datenschutzregeln 2021 werden am 21. Mai 2022 in Kraft treten.
Das revidierte Datenschutzgesetz der Schweiz wurde vom Bundesrat im September 2020 verabschiedet und wird voraussichtlich in der zweiten Hälfte des Jahres 2022 in Kraft treten. Ein offizielles Datum wurde jedoch noch nicht festgelegt.
Am 16. Dezember 2021 legte der Gemeinsame Parlamentarische Ausschuss Indiens seinen Bericht über den Entwurf des indischen Datenschutzgesetzes vor, der eine Reihe von Überarbeitungen des Gesetzestextes enthält. Das Gesetz könnte nun in der nächsten Sitzungsperiode des indischen Parlaments, die im Februar 2022 beginnt, verabschiedet werden und in der ersten Hälfte des Jahres in Kraft treten.
In der Europäischen Union werden im Jahr 2022 wahrscheinlich mehrere neue Datenschutzgesetze verabschiedet, darunter der Data Governance Act, die ePrivacy-Verordnung und die Richtlinie über Netz- und Informationssicherheit (NIS 2).