Datenschutz in Hongkong – Erfüllung der Datenschutzgrundsätze als Erfolgsfaktor

veröffentlicht am 13. Juni 2023 | Lesedauer ca. 5 Minuten

Das Datenschutzgesetz von Hongkong, die Personal Data (Privacy) Ordinance (PDPO), wurde im Jahr 1995 verabschiedet und trat im Dezember 1996 in Kraft. Damit zählt es zu einem der ältesten Datenschutzgesetze in Ostasien. In den Jahren 2012 und 2021 erfuhr das Gesetz wichtige Änderungen und Anpassungen.

Der Anwendungsbereich der PDPO erstreckt sich sowohl auf den privaten als auch auf den öffentlichen Sektor. Das Gesetz ist technologieneutral, das bedeutet, es ist unabhängig von der verwendeten Technik bei der Datenverarbeitung. Das Gesetz basiert auf sechs wesentlichen Datenschutzgrundsätzen (Data Protection Principles – DDP), die Regelungen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten enthalten.

Zum besseren Verständnis der nachfolgenden Ausführungen zur PDPO und der DPPs werden zunächst einige wichtige Begriffe, die im Gesetz verwendet werden, näher definiert.

Begriff	Definition gemäß PDPO
Personenbezogene Daten	Informationen, die sich auf eine lebende Person beziehen und zur Identifizierung dieser Person verwendet werden können Vorliegen der Daten in einer Form, die praktisch Zugang oder ihre Verarbeitung ermöglichen
Datensubjekt	Die Person, die Gegenstand der personenbezogenen Daten ist.
Datennutzer/Datenverantwortliche	Die Person, die entweder allein oder gemeinsam mit anderen Personen die Erhebung, den Besitz, die Verarbeitung oder die Nutzung von personenbezogenen Daten kontrolliert.
Datenverarbeitung	In Bezug auf personenbezogene Daten die Änderung, Vervollständigung, Löschung oder Umgestaltung der Daten durch automatisierte Mittel oder auf andere Weise.
Datenverarbeiter	Die Person, die personenbezogene Daten im Auftrag einer anderen Person (eines Datennutzers) und nicht für ihre eigenen Zwecke verarbeitet Keine besonderen Bestimmungen für Datenverarbeiter in PDPO Verpflichtung für Datennutzer, durch vertragliche oder andere Mittel sicherzustellen, dass Datenverarbeiter (als Dritte) die Bestimmungen der PDPO einhalten

Die sechs Datenschutzprinzipien

Grundsatz 1 – Zweck und Art der Erhebung

Gemäß dem ersten Grundsatz (DPP1) dürfen personenbezogene Daten nur für einen rechtmäßigen Zweck erhoben werden, der in direktem Zusammenhang mit einer Funktion oder Tätigkeit des Datennutzers steht. Die erhobenen Daten müssen für diesen Zweck notwendig und angemessen sein und sollen nicht darüber hinausgehen. Personenbezogene Daten müssen mit Mitteln erhoben werden, die rechtmäßig und unter den gegebenen Umständen angemessen sind.

Bei der Erhebung personenbezogener Daten ist das betroffene Datensubjekt darüber zu informieren, ob die Daten freiwillig bereitgestellt oder obligatorisch erhoben werden, zu welchem Zweck die Daten verwendet werden und an welche Personengruppen die Daten möglicherweise weitergegeben werden können. Das Datensubjekt muss zudem über seine Rechte auf Zugriff und Berichtigung beziehungsweise Korrektur seiner Daten informiert werden.

Grundsatz 2 – Genauigkeit und Dauer der Aufbewahrung

Gemäß Grundsatz 2 (DDP2) sind Datennutzer verpflichtet, alle angemessenen und praktikablen Maßnahmen zu ergreifen, um sicherzustellen, dass personenbezogene Daten korrekt sind. Zudem sollte sichergestellt sein, dass die Daten nicht länger aufbewahrt werden, als es für die Erfüllung des Zwecks, für den die Daten verwendet werden, erforderlich ist. Schaltet der Datennutzer einen Datenverarbeiter ein, muss der Datennutzer sicherstellen, dass er die genannten Anforderungen an die Aufbewahrungsdauer erfüllt. Zu beachten ist in diesem Zusammenhang Artikel 26 PDPO, wonach Datennutzer verpflichtet sind, alle praktikablen Maßnahmen zu ergreifen, um personenbezogene Daten zu löschen, die für den Zweck, für den die Daten verwendet werden, nicht mehr erforderlich sind, es sei denn, die Löschung ist gesetzlich verboten oder liegt nicht im öffentlichen Interesse.

Grundsatz 3 – Verwendung von Daten

Gemäß Grundsatz 3 (DPP3) dürfen personenbezogene Daten ohne ausdrückliche und freiwillige Zustimmung des Datensubjekts nicht für neue Zwecke verwendet werden, die nicht mit dem ursprünglichen Zweck der Datenerhebung übereinstimmen oder in keinem Zusammenhang dazu stehen. Das Datensubjekt/Individuum kann eine zuvor erteilte Einwilligung durch schriftliche Mitteilung widerrufen.

Bei der Verwendung von personenbezogenen Daten zu Direktmarketingzwecken muss eine informierte und ausdrückliche Einwilligung des Datensubjekts vorliegen. Schweigen gilt nicht als Zustimmung. „Informierte” Einwilligung bedeutet, dass die Einwilligung in Kenntnis der Sachlage erfolgen muss, das heißt, der Datennutzer muss das Datensubjekt über den Zweck der Datennutzung (Direktmarketing), die Art der zu verwendenden Daten, das Zustimmungserfordernis des Datensubjekts, das Recht auf Widerruf und weitere Aspekte der beabsichtigten Datennutzung informieren. Die Nichteinhaltung der Vorschriften für Direktmarketing /Direktwerbung stellt eine Straftat dar und kann mit einer Geldstrafe in Höhe von bis zu 500.000 HK$ und einer Freiheitsstrafe von drei Jahren oder mit einer Geldstrafe in Höhe von bis zu 1.000.000 HK$ und einer Freiheitsstrafe von fünf Jahren geahndet werden, wenn die Daten zu kommerziellen Zwecken an Dritte weitergegeben wurden.

Grundsatz 4 – Datensicherheit

In Grundsatz 4 (DPP4) sind die Anforderungen an die Datensicherheit festgelegt. Datennutzer sind verpflichtet, alle praktikablen Maßnahmen zu ergreifen, um die in ihrem Besitz befindlichen personenbezogenen Daten gegen unbefugten oder versehentlichen Zugriff, Verarbeitung, Löschung, Verlust oder Verwendung zu schützen. Das umfasst die Berücksichtigung der Art der Daten, der potenziellen Schäden im Falle eines Sicherheitsvorfalls sowie Maßnahmen zur Gewährleistung der Integrität, Sorgfalt und Kompetenz der zugriffsberechtigten Personen Datenverarbeiter müssen vertraglich durch den Datennutzer entsprechend dazu verpflichtet werden.

Grundsatz 5 – Offenheit und Transparenz

Nach Grundsatz 5 (DPP5) sind Datennutzer verpflichtet, sicherzustellen, dass Personen über die Regeln und Praktiken des Umgangs mit personenbezogenen Daten informiert werden. Das beinhaltet die Offenlegung der Art der gespeicherten personenbezogenen Daten und den Hauptzweck ihrer Verwendung durch den Datennutzer.

Grundsatz 6 – Zugang und Berichtigung

Gemäß Grundsatz 6 (DPP6) haben betroffene Personen das Recht, Zugang zu ihren eigenen persönlichen Daten zu verlangen. Fehlerhaften Daten müssen auf Anforderung der Person korrigiert werden. Kapitel 5 der PDPO enthält detaillierte Vorschriften, einschließlich des Verfahrens zur Bearbeitung solcher Anfragen, der Fristen für die Bearbeitung sowie der Umstände, unter denen eine solche Anforderung abgelehnt werden kann.

Zusammenfassung der Grundsätze

Die Datenschutzgrundsätze haben das Ziel, sicherzustellen, dass persönliche Daten nur mit informierter Einwilligung der betroffenen Person und auf faire und notwendige Weise erhoben werden. Erhobene Daten müssen sicher verarbeitet werden und nur für die Dauer der Zwecke, für die sie erhoben wurden, aufbewahrt werden. Die Verwendung der Daten ist auf den ursprünglichen Zweck beschränkt und kann nur mit ausdrücklicher Zustimmung der betroffenen Person geändert oder erweitert werden. Betroffene Personen haben das Recht, ihre Daten einzusehen und korrigieren zu lassen.

Ausnahmen

Die PDPO sieht Ausnahmen von bestimmten Anforderungen vor, z.B. zur Verhütung und Verfolgung von Straftaten, zum Schutz der öffentlichen Sicherheit, für statistische Zwecke und zu Forschungszwecken sowie im Gesundheitswesen. Zudem können Ausnahmen gerichtlich gewährt werden, z.B. bei der Ausübung und Verteidigung von Rechtsansprüchen.

Ein Datennutzer kann sich im Falle einer Ausnahmeregelung darauf berufen, um eine Haftung gemäß der PDPO zu vermeiden. Es ist jedoch wichtig zu beachten, dass das Vorliegen einer Ausnahmeregelung grundsätzlich nach den Umständen des Einzelfalls geprüft wird. Daher sollten Datennutzer nicht automatisch davon ausgehen, dass eine Ausnahmeregelung für sich gilt. Es ist ratsam, die individuellen Umstände sorgfältig zu prüfen und sich nicht routinemäßig auf das Vorliegen eines Ausnahmegrunds berufen.

Amt des Datenschutzbeauftragten als zuständige Behörde

Die PDPO sieht die Einrichtung des Amts des Datenschutzbeauftragten (Office of the Privacy Commissioner for Personal Data) als staatliche Datenschutzbehörde vor. Mögliche Verstöße gegen die PDPO durch einen Datennutzer können von Personen beim Datenschutzbeauftragten gemeldet werden, der weitere Ermittlungen und Abhilfe- und/oder Präventionsmaßnahmen nach seinem Ermessen und anordnen bzw. durchführen kann. Die Nichtbefolgung solcher Anordnungen durch einen Datennutzer stellt eine Straftat dar und kann mit einer Geldstrafe oder auch Freiheitsstrafe bis zu zwei Jahren geahndet werden. Darüber hinaus enthält die PDPO selbst Strafbestimmungen bei einem Verstoß gegen ihre Bestimmungen, beispielsweise in Kapitel 26 PDPO (Löschung von persönlichen Daten) oder Kapitel 64 (Regelungen zum Direktmarketing). Der Datenschutzbeauftragte hat das Recht, strafrechtliche Ermittlungen eigenständig einzuleiten und nach seinem Ermessen die Polizei oder andere Behörden hinzuzuziehen. Der Datenschutzbeauftragte kann zudem proaktiv Inspektionen bei Datennutzern durchführen.

Schadensersatz

Verstößt ein Datennutzer gegen Bestimmungen der PDPO und entsteht hierdurch einer Person ein Schaden, kann die geschädigte Person vom Datennutzer Schadensersatz verlangen. Die betroffene Person kann sich hierbei auch an den Datenschutzbeauftragten wenden. Der Datenschutzbeauftragte kann nach eigenem Ermessen dem Geschädigten Rechtsbeistand gewähren.

Praktische Auswirkungen

In der praktischen Umsetzung haben Unternehmen bei der Ausübung ihrer Geschäftstätigkeiten selten die Möglichkeit, die Erhebung persönlicher Daten zu umgehen. Daher ist es ratsam, eine unternehmensinterne Datenschutzrichtlinie zu etablieren, die die Anforderungen der sechs Datenschutzgrundsätze widerspiegelt und im Unternehmen umsetzt. Bei der Beauftragung eines Datenverarbeiters sollte zudem sichergestellt werden, dass die Anforderungen der Datenschutzgrundsätze in einem entsprechenden Vertrag zwischen dem Unternehmen als Datennutzer und dem Datenverarbeiter berücksichtigt werden. Der Datenverarbeiter sollte den entsprechenden Verpflichtungen unterliegen.