Datenschutz auf den Philippinen
Von unserem deutschsprachigen CBBL-Anwalt in Makati City, Herrn Rechtsanwalt Lutz Kaiser, kaiser@cbbl-lawyers.de, Tel. +63 2 8813-3351, vgdlaw.ph
Ein Überblick für ausländische Investoren zum Datenschutz auf den Philippinen und zu den aktuellen Vorgaben nach philippinischem Datenschutzrecht.
1. Welche gesetzlichen Datenschutzbestimmungen gelten auf den Philippinen?
Das philippinische Datenschutzgesetz regelt den Schutz personenbezogener Daten sowohl im öffentlichen, als auch im privaten Sektor. Das Gesetz stellt strengere Anforderungen an die Verarbeitung sensibler personenbezogener Daten, wie z. B. medizinische Aufzeichnungen, Finanzinformationen und biometrische Daten. Die Nichteinhaltung des Datenschutzgesetzes der Philippinen kann je nach Schwere des Verstoßes zu Geld- oder Freiheitsstrafen oder beidem führen.
Das philippinische Datenschutzgesetz räumt den betroffenen Personen verschiedene Rechte ein, darunter das Recht auf Information, das Recht auf Zugang zu ihren personenbezogenen Daten, das Recht, der Verarbeitung zu widersprechen, und das Recht auf Berichtigung oder Löschung von Daten. Für die Verarbeitung personenbezogener Daten von Minderjährigen gelten nach philippinischem Recht besondere Schutzbestimmungen, die die Zustimmung der Eltern erfordern. Organisationen sind angehalten, Datenschutz-Folgenabschätzungen (Privacy Impact Assessments, PIAs) durchzuführen, um die mit der Datenverarbeitung verbundenen Risiken für die Privatsphäre zu ermitteln und zu mindern.
Die Nationale Datenschutzkommission (NPC) wurde auf den Philippinen als landesweites Gremium für den Datenschutz eingerichtet. Sie setzt die Einhaltung des philippinischen Datenschutzgesetzes durch, führt Untersuchungen durch und fördert das Bewusstsein für den Datenschutz. Die für die Datenverarbeitung Verantwortlichen müssen die Zustimmung der betroffenen Personen einholen, bevor sie deren personenbezogene Daten erheben oder verarbeiten, außer in bestimmten, gesetzlich festgelegten Fällen. Organisationen, die personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten (DSB) benennen, der für die Einhaltung des Gesetzes verantwortlich ist. Organisationen sind verpflichtet, den NPC und die betroffenen Personen zu benachrichtigen, wenn eine Datenschutzverletzung ein erhebliches Risiko für die betroffenen Personen darstellt.
2. Welche Auswirkungen hat das Datenschutzgesetz der Philippinen auf Daten außerhalb des Landes?
Auch wenn das philippinische Datenschutzgesetz in erster Linie den Schutz und die Verarbeitung personenbezogener Daten im Land regelt, enthält es jedoch auch Bestimmungen über seine extraterritoriale Anwendung. Die extraterritoriale Anwendung des philippinischen Datenschutzgesetzes bedeutet, dass sich das Gesetz über die Grenzen des Landes hinaus auf bestimmte Aktivitäten und Einrichtungen außerhalb der Philippinen erstrecken kann, die personenbezogene Daten philippinischer Bürger betreffen.
Die wichtigsten Punkte bezüglich der extraterritorialen Anwendung des philippinischen Datenschutzgesetzes sind:
- Anwendbarkeit auf ausländische Einrichtungen: Das Gesetz gilt für ausländische Unternehmen, die personenbezogene Daten von Personen auf den Philippinen verarbeiten. Das bedeutet, dass ein ausländisches Unternehmen, das personenbezogene Daten philippinischer Bürger sammelt, verwendet oder verarbeitet, die Bestimmungen des Datenschutzgesetzes einhalten muss.
- Erfordernis eines Vertreters auf den Philippinen: Das philippinische Datenschutzgesetz schreibt vor, dass ausländische Unternehmen, die personenbezogene Daten philippinischer Bürger verarbeiten, einen lokalen Vertreter auf den Philippinen benennen müssen. Dieser Vertreter dient als Ansprechpartner für Datenschutzbehörden und Personen, deren Daten verarbeitet werden. Der Vertreter sollte sicherstellen, dass die ausländische Einrichtung das Gesetz einhält.
- Grenzüberschreitende Datenübertragungen: Das Gesetz regelt die grenzüberschreitende Datenübermittlung, und Daten können nur dann außerhalb der Philippinen übermittelt werden, wenn das ausländische Land oder der Empfänger ein angemessenes Datenschutzniveau gewährleistet oder wenn die betroffene Person ihre Einwilligung gibt. Die Angemessenheit kann von der Nationalen Datenschutzkommission (NPC) oder durch die im Gesetz festgelegten Mechanismen festgestellt werden.
- Erfordernis der Zustimmung: Die Zustimmung der betroffenen Personen ist eine grundlegende Voraussetzung für die Verarbeitung personenbezogener Daten gemäß dem philippinischen Datenschutzgesetz. Ausländische Stellen, die personenbezogene Daten philippinischer Bürger verarbeiten, müssen die ausdrückliche Zustimmung der Personen einholen oder andere gesetzlich festgelegte Rechtsgrundlagen für die Verarbeitung einhalten.
- Benachrichtigung über Datenschutzverletzungen: Das philippinische Datenschutzgesetz verpflichtet Einrichtungen, auch ausländische, dazu, Datenschutzverletzungen, die philippinische Bürger betreffen, dem Nationalen Volksanwalt und den betroffenen Personen zu melden. Diese Vorschrift stellt sicher, dass Personen informiert werden, wenn ihre personenbezogenen Daten gefährdet sind, unabhängig davon, wo sich die verantwortliche Stelle befindet.
- Extraterritoriale Durchsetzung: Der Nationale Datenschutzbeauftragte der Philippinen ist befugt, die Bestimmungen des Datenschutzgesetzes gegen ausländische Einrichtungen durchzusetzen, die gegen das Gesetz über die personenbezogenen Daten philippinischer Bürger verstoßen. Diese Durchsetzungsbefugnis umfasst die Verhängung von Bußgeldern und Strafen für die Nichteinhaltung.
Zusammenfassend lässt sich sagen, dass die extraterritoriale Anwendung des philippinischen Datenschutzgesetzes seinen Anwendungsbereich auf ausländische Stellen ausdehnt, die personenbezogene Daten philippinischer Bürger verarbeiten.
Dies geschieht, um den Schutz der Rechte philippinischer Bürger auf Privatsphäre zu gewährleisten, auch wenn ihre Daten von Stellen außerhalb der Philippinen verarbeitet werden. Ausländische Unternehmen müssen einen lokalen Vertreter benennen und die Bestimmungen des Gesetzes über die Einwilligung, die Benachrichtigung bei Datenschutzverletzungen und den grenzüberschreitenden Datentransfer einhalten
Sie haben weitere Fragen zum Datenschutz auf den Philippinen? Sprechen Sie uns an!
Unser deutschsprachiger CBBL-Anwalt in Makati City, Herr Rechtsanwalt Lutz Kaiser, berät Sie gerne: kaiser@cbbl-lawyers.de, Tel. +63 2 8813-3351
Stand der Bearbeitung: September 2023