Australiens Datenschutzgesetz von 1988: Ein Einblick
Die Sorge um den Schutz personenbezogener Daten war in jüngster Zeit Gegenstand vieler Diskussionen. Im heutigen digitalen Zeitalter sind die Verbraucher vorsichtig, wenn es um die Weitergabe ihrer persönlichen Daten an private Organisationen und sogar an öffentliche Stellen geht, da sie sich Sorgen über Datenschutzverletzungen oder Datenmissbrauch machen. Angesichts der zunehmenden Fälle von Datendiebstahl, Datenlecks und der wachsenden Besorgnis der Öffentlichkeit auf der ganzen Welt haben mehrere Länder Gesetze zum Datenschutz und zur Datensicherheit erlassen oder schlagen solche vor. Die australische Regierung ergriff bereits Ende der 80er Jahre die Initiative zum Erlass eines übergreifenden Datenschutzgesetzes, des Privacy Act 1988. Die australische Regierung schlägt außerdem eine schärfere Gesetzgebung zum Schutz der Privatsphäre ihrer Bürger vor, die das australische Datenschutzgesetz von 1988 mit strengeren Strafen (von dem derzeitigen Höchstbetrag von 2,1 Mio. $ auf 10 Mio. $), der Durchsetzung und Verpflichtungen für private und öffentliche Unternehmen und Werbeagenturen weiter verschärfen wird.
Ein kurzer Überblick über den Privacy Act
Aufgrund der Verpflichtungen, die Australien gegenüber der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) eingegangen ist, wurde 1988 der Privacy Act verabschiedet. Er wurde auch als Privacy Act 1988 bezeichnet und trat 1989 in Kraft. Seitdem wurde das Gesetz mehrfach geändert, um seinen Geltungsbereich zu erweitern. Das Gesetz enthält 13 australische Datenschutzgrundsätze (Australian Privacy Principles, APPs), die von australischen Regierungsbehörden und bestimmten Organisationen des Privatsektors mit einem Jahresumsatz von 3 Millionen AUD im Hinblick auf die Förderung und den Schutz der Privatsphäre von Einzelpersonen zu befolgen sind. Die meisten kleinen Unternehmen fallen also nicht in den Anwendungsbereich dieser Verordnung.
Diese Umsatzgrenze gilt jedoch nicht für Anbieter von Gesundheitsdiensten, Anbieter von persönlichen Informationsdiensten, Kreditauskunfteien, Betreiber von Datenbanken für Wohnungsvermietungen, Unternehmen, die Schutzwahlen durchführen, und andere von der Regierung aufgeführte Unternehmen. Darüber hinaus schließt das Datenschutzgesetz die Datenschutzkomponente der Systeme für Verbraucherkreditauskünfte, Steuernummern und Berichte über Gesundheit und medizinische Forschung in seinen Geltungsbereich ein.
Die Nichteinhaltung des Privacy Act kann mit hohen Geldbußen und schweren Strafen geahndet werden, wie in einem späteren Abschnitt des Artikels dargelegt wird.
Hauptziele des Privacy Act
Die Hauptziele des Privacy Acts sind:
- Die Förderung des Schutzes der Privatsphäre des Einzelnen
- Anzuerkennen, dass der Schutz der Privatsphäre des Einzelnen mit den Interessen von Einrichtungen bei der Ausübung ihrer Tätigkeiten oder Funktionen in Einklang zu bringen ist
- Die Grundlage für eine national einheitliche Regelung des Schutzes der Privatsphäre und des Umgangs mit personenbezogenen Daten zu schaffen
- Förderung eines transparenten und verantwortungsvollen Umgangs mit personenbezogenen Daten durch Unternehmen und Organisationen
- Ein effektives Kreditmeldesystem zu ermöglichen und die Privatsphäre des Einzelnen zu schützen
- Den freien Fluss von Informationen über die Landesgrenzen hinweg zu ermöglichen und gleichzeitig die Privatsphäre des Einzelnen zu schützen
- Beschwerdemöglichkeiten für Einzelpersonen bei angeblichen Eingriffen in ihre Privatsphäre
- Umsetzung der internationalen Verpflichtung Australiens zum Schutz der Privatsphäre
Wichtige Bestimmungen des Privacy Act 1988:
Der Privacy Act von 1988 enthält Bestimmungen über die Erhebung, die Verwendung und den Schutz privater Daten von Einzelpersonen durch staatliche Stellen sowie bestimmte Organisationen und Unternehmen des privaten Sektors. Diese Bestimmungen sind sowohl für die Bundes- als auch für die Landesebene festgelegt.
- Australische Datenschutzgrundsätze (APPs): Die APPs umfassen den offenen und transparenten Umgang mit personenbezogenen Daten von Einzelpersonen, die Gewährleistung der Anonymität, die Einholung der Zustimmung zur Verwendung und Weitergabe personenbezogener Daten, die Benachrichtigung bei der Erhebung personenbezogener Daten, den Zugang zu personenbezogenen Daten und die Korrektur der Daten, wenn dies erforderlich ist.
- Personenbezogene Daten: "Personenbezogene Daten" im Sinne des Gesetzes sind Name, Adresse, Kontaktdaten, Geburtsdatum, Geschlecht, Rasse und sexuelle Orientierung einer Person. Gesundheitsinformationen, Steuernummern, Kreditinformationen, Informationen über Wählerverzeichnisse und frühere strafrechtliche Verurteilungen fallen ebenfalls unter diese Kategorie von Informationen, die von den Behörden abgefragt werden können.
- Zustimmung zur Informationserhebung: Personenbezogene Daten dürfen nur dann erhoben werden, wenn sie für die Aufgaben und Tätigkeiten der Behörde erforderlich sind. Der Einzelne muss seine Zustimmung zur Erhebung und Verwendung der Daten geben. Die Person muss auch darüber informiert werden, warum die Informationen gesammelt werden, zu welchem Zweck sie verwendet werden und wer Zugang zu diesen Informationen hat.
- Schutz vor Datendiebstahl & Verletzung: Das Gesetz verpflichtet die datenerfassenden Stellen und Organisationen, dafür zu sorgen, dass die von ihnen erfassten, gespeicherten und verwendeten Daten vollständig gegen Diebstahl und Datenschutzverletzungen geschützt sind. Außerdem müssen sie sicherstellen, dass die Daten nicht für andere Zwecke als die ursprünglich angegebenen verwendet werden.
- Einrichtung des OAIC: Gemäß den Bestimmungen des Gesetzes wurde ein Amt des australischen Informationsbeauftragten (Office of the Australian Information Commissioner, OAIC) eingerichtet. Das OAIC hat auch bestimmte Regeln und Richtlinien aufgestellt, die von Behörden und Organisationen zu befolgen sind, die private Daten von Einzelpersonen zur Verwendung sammeln.
Änderungen des Privacy Act
Seit der Verabschiedung des Gesetzes im Jahr 1988 wurden von Zeit zu Zeit mehrere Ergänzungen und Änderungen vorgenommen, um den Geltungsbereich des Gesetzes zu erweitern. Einige der wichtigsten Änderungen lauten wie folgt:
- 1990: Kreditauskunft
Die 1990 Amendment erweiterte den Geltungsbereich des ursprünglichen Gesetzes um den Umgang mit Verbraucherkreditberichten.
- 2000: Office of the Privacy Commissioner
In der Novelle 2000 wurde ein Amt des Datenschutzbeauftragten eingerichtet. Der Datenschutzbeauftragte hat die Aufgabe, Beschwerden von Personen zu bearbeiten, die sich in ihrer Privatsphäre beeinträchtigt fühlen.
- 2001: Privater Sektor
Mit dem Privacy Amendment Act von 2000 wurde der Geltungsbereich des Privacy Act von 1988 auf bestimmte private Einrichtungen in Australien ausgedehnt. Es führte auch 10 Nationale Datenschutzgrundsätze eingeführt, die die Erhebung von Daten, deren Verarbeitung, Sicherheit, Zugang und Offenlegung regeln sollen.
- 2014: Wichtige Reformen
Mit der Einführung des Privacy Amendment (Enhancing Privacy Protection) Act von 2012 wurden im Jahr 2014 wesentliche Änderungen am Gesetz vorgenommen. Dazu gehören die Australian Privacy Principles (APPs) zur Regulierung des Umgangs staatlicher und privatwirtschaftlicher Organisationen mit Daten, die die National Privacy Principles ersetzten. Außerdem wurden Bestimmungen für umfassende Kreditauskünfte, neue Gesetze über Verhaltenskodizes für Kreditauskünfte und mehr Befugnisse für den Informationsbeauftragten erlassen.
Wichtige Anforderungen für Unternehmen und Organisationen
Der Privacy Act 1988 hat mehrere Bestimmungen und Richtlinien für Unternehmen und Organisationen festgelegt, die von diesen strikt zu befolgen sind.
- Es wurden Bestimmungen über die Erhebung, die Verwendung und den Schutz von personenbezogenen Daten festgelegt, die von Unternehmen und Organisationen erhoben werden.
- Solche Daten dürfen nur dann erhoben werden, wenn sie für das Funktionieren des Unternehmens notwendig sind, und nur, nachdem die Zustimmung des Einzelnen eingeholt wurde.
- Unternehmen sind gesetzlich verpflichtet, die privaten Daten ihrer Kunden vor Diebstahl, Missbrauch, Verlust, unbefugtem Zugriff, Veränderung und Offenlegung zu schützen.
- Wenn die Unternehmen die vom Verbraucher zur Verfügung gestellten Informationen nicht mehr benötigen, sind sie gesetzlich verpflichtet, die Informationen zu vernichten oder zu de-identifizieren.
- Unternehmen sind verpflichtet, angemessene Vorkehrungen zu treffen, um die von ihnen gesammelten Daten in Übereinstimmung mit den australischen Datenschutzgrundsätzen zu schützen.
- Die Informationen einer Person müssen ihr zur Verfügung gestellt werden, wenn sie Zugang zu ihnen verlangt.
Strafen für die Nichteinhaltung des Datenschutzgesetzes
Die Strafen, die nach dem Privacy Act bei Verstößen gegen die Bestimmungen verhängt werden, sind schwerwiegend und wurden von der australischen Regierung geändert. Jede Einrichtung, die unter das Gesetz fällt, kann bei schwerwiegenden oder wiederholten Eingriffen in die Privatsphäre einer Person mit einer Geldstrafe von bis zu 2,1 Millionen Dollar belegt werden.
Nach der jüngsten Gesetzentwurf zum Schutz der Privatsphäre vom 25. Oktober 2021 wird nun vorgeschlagen, dem säumigen Unternehmen eine harte Geldstrafe von maximal 10 Millionen Dollar aufzuerlegen, oder das Dreifache des Wertes des Nutzens, der durch das Fehlverhalten und die wiederholte Beeinträchtigung der Privatsphäre der Bürger entstanden ist, oder 10 % des inländischen Jahresumsatzes des Unternehmens.
Datenlöschung: Ein einfacher Weg zur Einhaltung des Privacy Act 1988
Der Privacy Act von 1988 hat für Unternehmen und Organisationen mehrere Bestimmungen für die Erhebung, die Verwendung und den Schutz der Daten von Einzelpersonen festgelegt. Sie sind verpflichtet, die persönlichen Daten ihrer Kunden vor Missbrauch, Diebstahl, unbefugtem Zugriff und Offenlegung zu schützen. Eine der wichtigsten Bestimmungen des Gesetzes ist, dass Unternehmen oder Organisationen, die die Daten nicht benötigen, gesetzlich verpflichtet sind, diese Daten zu vernichten oder zu de-identifizieren.
>
Um dieses Problem zu lösen, können Unternehmen die Hilfe eines professionellen Datenlöschungstools in Anspruch nehmen, wie z.B. BitRaser in Anspruch nehmen, um die sensiblen Informationen bei der Entsorgung der IT-Anlagen sicher zu löschen und so die Datenschutzverpflichtungen des australischen Datenschutzgesetzes zu erfüllen.
Zum Schluss
Der australische Privacy Act 1988 ist einer der Vorläufer der Datenschutzgesetze in der Welt, der sich mit den Kernanliegen des Schutzes und der Förderung des Rechts des Einzelnen auf seine Privatsphäre, des Datenschutzes und der Verpflichtung von Unternehmen (Datenverarbeitern), eine informierte Zustimmung einzuholen, befasst. Das Datenschutzgesetz von 1988 soll als wirksamer Schutz gegen den möglichen Missbrauch personenbezogener Daten dienen, die an private und öffentliche Organisationen weitergegeben werden. Unternehmen und private Organisationen, die in den Geltungsbereich des Gesetzes fallen, müssen sicherstellen, dass sie die Bestimmungen des Gesetzes einhalten, um Strafen zu vermeiden und das Vertrauen ihrer Kunden und einzelner Verbraucher zu erhalten. Darüber hinaus enthält das Gesetz eine wichtige Bestimmung, die die Vernichtung von Informationen vorschreibt, wenn diese nicht benötigt werden. Dies lässt sich mit Hilfe eines spezialisierten Datenlöschungsprogramms leicht bewerkstelligen.
