12.2 Die globale Konvergenz des Datenschutzrechts

Als die DSGVO am 25. Mai 2018 in Kraft trat, bezeichneten Kritiker sie als europäische Besonderheit — ein bürokratisches Regelwerk, das der globalen digitalen Wirtschaft fremd bleiben würde. Sechs Jahre später ist das Gegenteil eingetreten: Die DSGVO hat einen weltweiten Regulierungsstandard gesetzt, dem mehr Länder folgen als je zuvor.

Der globale Trend in Zahlen

Nach Daten der International Association of Privacy Professionals (IAPP) verfügten 2024 rund 71 % aller Länder weltweit über ein umfassendes Datenschutzgesetz — gegenüber etwa 40 % im Jahr 2010. Die Wachstumskurve ist steil, und sie flacht nicht ab.

Wichtige nationale Gesetze im Überblick

Brasilien — LGPD (Lei Geral de Proteção de Dados, 2020): Brasiliens Datenschutzgesetz orientiert sich eng an der DSGVO: Rechtsgrundlagen für die Verarbeitung, Betroffenenrechte (Auskunft, Berichtigung, Löschung), Datenschutzbeauftragte, meldepflichtige Datenpannen. Die Aufsichtsbehörde ANPD hat ihre Durchsetzungskapazitäten schrittweise aufgebaut.

Indien — DPDP-Gesetz (Digital Personal Data Protection Act, 2023): Indiens erstes umfassendes Bundesdatenschutzgesetz schützt digitale personenbezogene Daten und verlangt Einwilligung für die Verarbeitung. Es gilt als DSGVO-inspiriert, gibt dem Staat jedoch weitreichendere Ausnahmen für Sicherheitsbehörden.

Japan — revidiertes APPI (Act on the Protection of Personal Information, 2022): Verschärfte Meldepflichten bei Datenpannen, stärkere Rechte auf Datenlöschung und Widerspruch gegen automatisierte Entscheidungen — weitgehend kompatibel mit dem europäischen Standard.

Südkorea — PIPA (Personal Information Protection Act, revidiert 2023): Südkorea verfügt über eine starke, unabhängige Aufsichtsbehörde (PIPC) und gilt als eines der strengsten Datenschutzsysteme Asiens. Die EU hat Südkorea einen Angemessenheitsbeschluss erteilt.

Kalifornien — CPRA (California Privacy Rights Act, 2023): Die stärkste US-Datenschutzregelung erweitert den CCPA um das Recht auf Berichtigung, stärkere Opt-out-Rechte für Profiling und eine eigene Aufsichtsbehörde (CPPA). Mehr als 20 weitere US-Bundesstaaten haben ähnliche Gesetze verabschiedet oder in Vorbereitung.

Angemessenheitsbeschlüsse als Normenverbreitung

Die EU überprüft, ob das Datenschutzniveau eines Drittlandes dem europäischen Standard entspricht. Länder mit positivem Angemessenheitsbeschluss — darunter Japan, Südkorea, das Vereinigte Königreich und die Schweiz — können Daten ohne zusätzliche Schutzmaßnahmen aus der EU empfangen. Dieser Mechanismus schafft starke Anreize zur Angleichung an DSGVO-Standards.

Wo Konvergenz an ihre Grenzen stößt

Nicht alle Datenschutzgesetze sind gleich. China hat mit dem PIPL (Personal Information Protection Law, 2021) ein formal umfassendes Datenschutzgesetz — das jedoch staatliche Behörden und Geheimdienste vollständig ausnimmt. Ähnlich verhält es sich in Russland und einigen anderen Staaten: Der Buchstabe des Gesetzes schützt Bürgerinnen und Bürger vor privatwirtschaftlichem Missbrauch, nicht aber vor staatlicher Überwachung. Für Deutschland und die EU bleibt das Unterscheidungsmerkmal entscheidend: echter Datenschutz umfasst immer auch den Schutz vor staatlicher Willkür.

Bedeutung für Deutschland

Deutschland exportiert faktisch Datenschutznormen — über die DSGVO, über Angemessenheitsbeschlüsse und über die Marktmacht europäischer Unternehmen. Das stärkt die Position deutschen Rechts in einer zunehmend digital vernetzten Welt.