« Zurück

PHILIPPINEN: Neue Entwicklung im philippinischen Datenschutzrecht

 

Neue Entwicklung im philippinischen Datenschutzrecht

 

Das philippinische Datenschutzgesetz von 2012, das zeitgleich mit der europäischen Datenschutz-Grundverordnung (GDPR) im Jahr 2016 in Kraft trat und als eines der datenschutzfreundlichsten Gesetze in Asien gelten kann, erfährt eine weitere Verschärfung.

Das Datenschutzgesetz von 2012 selbst soll sicherstellen, dass mit den personenbezogenen Daten von Filipinos verantwortungsvoll, sicher und rechtmässig umgegangen wird. Ausserdem soll es die Rechte der Bürgerinnen und Bürger bei der Verwendung ihrer Daten schützen. Das philippinische Datenschutzgesetz von 2012 legt Anforderungen und Pflichten fest, die Unternehmen erfüllen müssen, um personenbezogene Daten sicher zu schützen und zu verarbeiten.

Nach dem philippinischen Datenschutzgesetz von 2012 muss jedes Unternehmen eine Reihe von Anforderungen und Standards erfüllen, wenn es um die Verarbeitung und Speicherung personenbezogener Daten geht. Zu diesen Anforderungen gehört die sichere Erfassung und Speicherung aller personenbezogenen Daten, die von Kunden mitgeteilt werden. Die Unternehmen müssen auch sicherstellen, dass die Kunden wissen, wie ihre personenbezogenen Daten verarbeitet werden, und dass sie das Recht haben, auf die Daten zuzugreifen und sie gegebenenfalls zu ändern. Darüber hinaus sieht das Gesetz vor, dass personenbezogene Daten auf Wunsch des Kunden gelöscht werden müssen und dass die Unternehmen aktive Massnahmen zum Schutz der Daten ihrer Kunden ergreifen müssen.

Einem neuen Rundschreiben der Nation Data Protection Commission (NPC) nun zufolge, dessen inhaltliche Regelung seit Mitte Januar 2023 in Kraft trat, müssen sich auf den Philippinen tätige Personen, die für die Verarbeitung personenbezogener Daten verantwortlich sind (PICs) und Personen, die personenbezogene Daten verarbeiten (PIPs), zusätzlich bei NPC registrieren lassen, sofern sie eine der Bedingungen für die Registrierung erfüllen. Die Registrierung muss bis zum 10. Juli 2023 über das Online-Registrierungssystem des NPC (NPCRS) erfolgen.

In dem Rundschreiben wird zwischen einer obligatorischen und einer freiwilligen Registrierung unterschieden.

Eine verpflichtende Registrierung ist erforderlich, wenn

  • mindestens 250 Personen beschäftigt sind

  • sensible personenbezogene Daten von mindestens 1.000 Personen verarbeitet werden

  • personenbezogene Daten verarbeitet werden, die wahrscheinliche ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen

PICs und PIPs, die in den Anwendungsbereich des Rundschreibens fallen, aber keines der vorgenannten Kriterien erfüllen, müssen sich nicht beim NPC registrieren lassen. Sie sind jedoch verpflichtet, dem NPS eine eidesstaatliche Erklärung vorzulegen, in der sie bestätigen, dass sie nicht unter die Registrierungspflicht fallen.

Neben anderen Angaben, wie dem Namen ihres Stammes und dem Zweck der Verarbeitung, müssen die PIPs und PICs ausserdem

  • erklären gegenüber welchen Empfängern oder Kategorien von Empfängern die personenbezogenen Daten offengelegt werden könnten

  • Sicherheitsmassnahmen beschreiben

  • über den Lebenszyklus der Daten informieren

  • angeben, ob personenbezogene Daten ausserhalb der Philippinen übermittelt werden und

  • ob Vereinbarungen über die gemeinsame Nutzung von Daten mit anderen Parteien bestehen.

Wird die Einwilligung des Datensubjekts als Grundlage für die Verarbeitung verwendet, muss der PIC oder PIP entweder das verwendete Einwilligungsformular vorlegen oder eine andere Art der Einholung der Einwilligung erläutern.

Nach Einreichung des Registrierungsformulars und Genehmigung durch den NPC wird die Registrierungsbescheinigung ausgestellt. Darüber hinaus wird ein vom NPC vergebenes digitales Signal auf der Hauptwebsite des PIC oder PIP oder zumindest speziell die Philippinen betroffenden Website für globale Websites angezeigt, und zwar entweder als anklickbarer Link, der zum Datenschutzhinweis führt, oder direkt auf die Seite mit dem Datenschutzhinweis.

PIP und PICs, die sich nicht an die Vorschriften halten, müssen mit Sanktionen rechnen, wie z.B. Anordnungen zur Einhaltung und Durchsetzung der Vorschriften, Unterlassungsanordnungen, vorübergehende oder dauerhafte Verbote der Verarbeitung personenbezogener Daten oder die Zahlung von Bussgeldern.

Datenverarbeiter sollten daher jetzt überlegen, ob sie sich im Rahmen der Datenverarbeitungstätigkeiten entweder beim NPC registrieren lassen sollten oder zumindest eine eidesstattliche Erklärung abgeben müssen, dass sie keiner Registrierungspflicht unterliegen.

Ihr Ansprechpartner in den Philippinen: Lutz Kaiser

Villanueva Gabionza & Dy Law Offices

20th/F Corporate Center
139 Valero St., Salcedo Village
Makati City 1227, Philippines

CELL +63 995 985 4957
TEL +63 2 8813 3351
FAX +63 2 8816 6741

www.vgdlaw.ph
manila@adwa-law.com

INDIEN: Vertriebsleistungen in Indien für ausländische Unternehmen sind "Dienstleistungsexport"

 

Vertriebsleistungen in Indien für ausländische Unternehmen sind "Dienstleistungsexport"

 

Ein indischer Dienstleister bewarb und vertrieb in Indien Produkte für ausländische Unternehmen auf Kommissionsbasis. Die Steuerverwaltung wollte darauf Dienstleitungsumsatzsteuer erheben ("Service Tax", seit 2017 durch eine "Goods and Services Tax" ersetzt). Das zuständige Finanzgericht hat das abgelehnt - der Empfänger der Dienstleitungen befinde sich im Ausland und habe auch in ausländischer Währung gezahlt, daher handele es sich um einen nicht zu versteuernden Export von Dienstleistungen. Das ist erfreulich für ausländische Unternehmen. Es bleibt zu hoffen, dass dasselbe auch für die neue "Goods and Service Tax" gilt.

Ihr Ansprechpartner in Indien: Dr. Jörg Schendel

Suman Khaitan & Co.

W-13, West Wing, Greater Kailash Part-II
Delhi 110048, Indien

CELL         +91 97 11 08 04 03
TEL +91 11 49 50 15 00
FAX +91 11 49 50 15 99


www.sumankhaitanco.in
germandesk@sumankhaitanco.in
schendel@adwa-law.com

JAPAN: Lieferkettenrichtlinien auch in Japan

 

Lieferkettenrichtlinien auch in Japan

 

Die japanische Regierung hat im September 2022 Leitlinien für die "Achtung der Menschenrechte in verantwortungsvollen Lieferketten" ("Guidelines on Respecting Human Rights in Responsible Supply Chains") erlassen.

Japan schliesst sich damit dem weltweiten Trend an, Unternehmen dazu zu drängen, Menschenrechtsverletzungen in ihren Lieferketten zu verhindern. Auch Japan legt dabei die UN-Leitprinzipien für Wirtschaft und Menschenrechte zu Grunde. Die japanischen Leitlinien sind jedoch nicht rechtsverbindlich. Sie berechtigen die Regierung nicht dazu, den Unternehmen Vorgaben zu machen oder Sanktionen zu verhängen. Diese Leitlinien gehen deshalb bei weitem nicht so weit wie das deutsche Lieferkettengesetz.

Die Vermeidung und Minimierung negativer Auswirkungen auf die Menschenrechte ist dennoch ein wichtiger Schritt, um die im Rahmen der menschenrechtlichen Sorgfaltsprüfung ermittelten Risiken für die Menschenrechte gezielt anzugehen. Die Regierung plant, im April 2023 ein System einzuführen, mit dem Unternehmen, die bei Ausschreibungen für öffentliche Bauprojekte, die Beschaffung von Gütern und andere Dienstleistungen die Menschenrechte berücksichtigen, eine Vorzugsbehandlung erhalten. Mit den Leitlinien soll ein System geschaffen werden, das Unternehmen dabei hilft, Strategien zur Erfüllung ihrer Verantwortung für die Achtung der Menschenrechte festzulegen und Korrekturmassnahmen zu ergreifen, wenn Probleme auftreten. In den Leitlinien wird ein Ansatz vorgestellt, der als "menschenrechtliche Sorgfaltspflicht" bezeichnet wird und nach dem Unternehmen regelmässig überprüfen sollen, ob es bei ihren jeweiligen Zulieferern zu Menschenrechtsverletzungen gekommen ist. Die Regierung plant daher, ein System einzurichten, mit dem Unternehmen, die sich bei stattlichen Beschaffungsprojekten in den Bereichen öffentliche Arbeiten, Informationstechnologie und andere Dienstleistungen mit Menschenrechtsfragen befassen, bessere Noten erhalten.

Aus anwaltlicher Sicht sind bei Einhaltung der Lieferkettenrichtlinie Wechselbeziehungen zu anderen Normen von besonderer Bedeutung in der Beratung. Insbesondere muss bei der EInflussnahme auf Zulieferer darauf geachtet werden, dass das Kartellrecht nicht verletzt wird. Insbesondere in Bezug auf horizontales Verhalten (Verhalten zwischen konkurrierenden Unternehmen) ist Vorsicht geboten. Denn die Leitlinien haben in dieser Wechselbeziehung in Japan (zumindest derzeit noch) nicht den gleichen Stellenwert wie das Kartellrecht. Letzteres hat als zwingendes Recht Vorrang und seine Grundsätze können zu einer eingeschränkten Beachtung der Leitlinien führen.

Ihr Ansprechpartner in Japan: Michael Müller

Mueller Foreign Law Office

Shin-Kasumigaseki Building
3-3-2 Kasumigaseki, Chiyoda-ku
Tokyo 100-0013, Japan

TEL       +81 3 6805 5161
FAX       +81 3 6805 5162

www.mueller-law.jp
info@mueller-law.jp

KOREA: Was ausländische Unternehmen in Korea falsch machen

 

Was ausländische Unternehmen in Korea falsch machen

 

Korea ist ein wirtschaftlich erfolgreiches demokratisches Land, mit gut ausgebildeten Arbeitnehmern, einer Exportquote nur vergleichbar mit Deutschland und sehr kaufkräftigen Konsumenten. Unternehmen aus den DACH-Ländern scheitern trotzdem regelmässig im koreanischen Martk, oder bleiben zumindest meilenweit hinter dem Erfolg zurück, der möglich wäre, wenn man mit dem Markt und seinen Gepflogenheiten vertraut wäre.

Eines der grössten Probleme aus Joachim Nowaks Sicht - unseren ADWA Anwalt in Korea - ist, dass sich im DACH-Mutterhaus niemand wirklich um die koreanische Tochtergesellschaft kümmert und es dort für das koreanische Management keinen Ansprechparter gibt, der die koreanischen Interessen und Bedürfnisse aufnimmt, sich für die Tochtergesellschaft verantwortlich fühlt, sich für diese einsetzt und im eigenen Haus bei der Koordination und Kommunikation mit Korea hilft, also schlicht Probleme für Korea löst.

Koreaner haben ihre kulturellen Eigenheiten und eine davon ist, dass die meisten Koreaner niemals (oder zumindest fast nie, aber immer zu spät) mit einem Problem zu ihrem Vorgesetzten gehen. Wärend Ihre Mitarbeiter aus den DACH-Ländern von sich aus Probleme zeitnah ansprechen, darf man das von koreanischen Mitarbeitern, einschliesslich dem koreanischen Management, auf keinen Fall erwarten.

Es ist für Joachim Nowak bedauerlich immer wieder die in etwa gleichen Geschichten zu hören, zum Beispiel:

Die koreanische Tochtergesellschaft wird von einer Asien-Holding (z.B. in Hong Kong oder Singapur) geführt, neben mehreren anderen asiatischen Tochtergesellschaften. Die Holding trägt de facto nichts zum Umsatz bei, hat aber die meisten Mitarbeiter von allen asiatischen NIederlassungen. Die vier anderen asiatischen Tochtergesellschaften tragen 20 % vom Umsatz in Asien bei, währen die koreanische Tochtergesellschaft 80 % des Umsatzes für Asien generiert. Die koreanische Tochtergesellschaft hat 20 % der Mitarbeiter in Asien und bekommt keine neuen Mitarbeiter genehmigt oder findet diese aufgrund der aktuellen Arbeitsmarktsituation einfach nicht. Das Asien-Holding-Management setzt die unproduktiven Mitarbeiter in der Holding und in anderen Ländern nicht frei, was bei den äusserst arbeitsbelasteten koreanischen Mitarbeitern nicht gut ankommt und die Fluktuation eher befördert. Da das koreanische Management äusserst ungern Probleme direkt anspricht geht der Krug so lange bis zum Brunnen, bis er bricht (leider sind Koreaner sehr leidensfähig). Und wenn der Krug erst einmal gebrochen ist, ist eine Reparatur oft sehr schwierig bis unmöglich, auf jeden Fall aber äusserst kostenintensiv.

Das Problem liegt aus Sicht vieler Manager im Mutterhaus oder der Asien-Holding vollständig bei den koreanischen Managern vor Ort. Was hätten die DACH-Manager oder Holding Manager denn anders machen sollen? Joachim Nowaks Antwort:

Unter anderem die Zahlen und das Reporting der Buchhaltung lesen und entsprechende betriebswirtschaftliche Schlüsse ziehen und aktiv und regelmässig (am besten wöchentlich) mit dem Management in Korea Kontakt halten, um sich über alle Projekte informieren zu lassen. Aber im Hinterkopf behalten, dass es sehr ungewöhnlich ist, wenn jemand in Korea von sich aus Probleme anspricht, in der Regel benötigen Sie dann oft bereits einen Anwalt zur Lösung (z.B. im Arbeitsrecht). Sie müssen also lernen Probleme zu antizipieren und immer wieder aktiv nachfragen, die entsprechenden Zahlen prüfen und versuchen daraus Rückschlüsse zu ziehen. Zudem sollte man sich immer wieder vor Ort selbst ein Bild machen und dabei nicht nur mit dem Geschäftsführer sprechen, sondern auch mit seinen koreanischen Mitarbeitern aktiv kommunizieren. Wer nie da ist, kann auch nicht auf Probleme aufmerksam gemacht werden.

Nachdem Sie einen neuen Geschäftsführer eingestellt haben, ist die Aufgabe, ein erfolgreiches koreanisches Management zu etablieren, für Sie noch lange nicht erledigt. Vielmehr sollten Sie im ersten Jahr der Amtszeit des Geschäftsführers nicht nur wöchentlich via Videokonferenz aktiv den Geschäftsgang und dessen Probleme nachfragen, sondern lieber vierteljährig nach Korea kommen, um sicherzustellen, dass Ihr neuer Geschäftsführer wirklich versteht, was Sie berechtigterweise erwarten, da Ihre Erwartungshaltung mit grosser Wahrscheinlichekeit eine andere als die eines koreanischen Vorgesetzten oder Eigentümers ist. Ferner werden Sie dabei besser verstehen lernen in welchem Rahmen (rechtlich, steuerlich, Geschäftssitten, Marktbedingungen, Konkurrenz etc.) der Geschäftsführer vor Ort tätig werden kann und muss.

Bei den oben beschriebenen Aufgaben ist auch ein passender rechtlicher Rahmen (z.B. ein entsprechender Gesellschaftsvertrag, in dem Recht und Pflichten aller Beteiligten definiert werden) wichtig. Falls Sie wissen wollen, wie man ein Unternehmen in Asien von Grund auf solide aufsetzt und wie das DACH-Mutterhaus und das Asien-Headquarter sich dabei einbringen muss, steht Ihnen ADWA und seine Mitgliedskanzleien China, Hong Kong, Indien, Japan, Korea, Malaysia, Philippinen, Singapur, Taiwan, Thailand und Vietnam gerne für ein Gespräch (oder Projekt) zur Verfügung.

Ihr Ansprechpartner in Korea: Joachim Nowak

DAERYOOK & AJU LLC

7 - 16F, Donghoon Tower
317, Teheran-ro, Gangnam-gu
Seoul 06151, Republik Korea

CELL      +82 10 9001 6430
TEL        +82 2 3016 9594
FAX        +82 2 3016 5222

www.draju.com
nowak@draju.com

TAIWAN: Das Gold der Datengesellschaft - Schutz von persönlichen Daten in Taiwan

 

Das Gold der Datengesellschaft - Schutz von persönlichen Daten in Taiwan

 

Daten gelten als das Gold des 21. Jahrhundert. Wie bei dem grossen Goldrausch im 19. Jahrhundert gibt es auch hier Missbrauch, um das Gold, insbesondere persönliche Daten von anderen, illegal auszubeuten. Davon sind auch Personen in Taiwan nicht gefeit, wie die aktuellen Vorkommnisse bei der taiwanischen Krankenkasse und bei Autovermietungen zeigen. Nachfolgend soll überblicksartig auf die Pflichten von Unternehmen bei einem Datenleck und auf die möglichen Rechtsbehelfe der Konsumenten in Taiwan eingegangen werden.

Gehen wir von folgendem Fall aus. Ein Unternehmen in Taiwan hat ein Datenleck, bei dem Daten von über 5.000 Privatpersonen entwendet wurden. Welche Pflichten hat das Unternehmen und welche Rechte haben die betroffenen Personen?

Schauen wir uns zunächst die Pflichten eines Unternehmens an. Der Schutz von persönlichen Daten ist in Taiwan im Personal Data Protection Act (PDPA) geregelt. Die Definition des Begriffs "personenbezogene Daten" in Artikel 2 des PDPA schliesst alles ein, was direkt/indirekt zur Identifizierung einer natürlichen Person führen kann. Wichtig ist, dass darunter auch Benutzernamen und Passwörter fallen können, wenn es durch deren Kombination mit anderen Daten möglich ist, Personen zu identifizieren.

Benachrichtigungen

 

Bei einer Verletzung von personenbezogenen Daten muss das Unternehmen die Betroffenen informieren.

Die Benachrichtigung muss den Sachverhalt der Verletzung und die bereits getroffenen Massnahmen zur Behebung der Verletzung enthalten.

Das Unternehmen muss weiterhin prüfen, welche Behörden informiert werden müssen. Unternehmen fallen direkt unter die Regulierungszuständigkeit des taiwanesischen Wirtschaftsministeriums (MOEA), welches im Falle eines Verlusts personenbezogener Daten informiert werden muss.

Weitere Behörden, die je nach Sachverhalt informiert werden müssten, sind u.a. die Finanzaufsichtsbehörde und unter Umständen Behörden, die im Gesetz zum Management der Cybersicherheit aufgeführt sind.

Rechtsmittel von betroffenen Personen

 

Datenschutz wird in Taiwan grundsätzlich gross geschrieben und immer mehr Personen sind sich ihrer Rechte bewusst und bereit, ihre Rechte bei Verwaltungsbehörden und/oder vor Gericht geltend zu machen. Privatpersonen können bei Verstössen gegen das Datenschutzgesetz gemäss dem PDPA und dem taiwanischen BGB eine zivilrechtliche Klage einreichen und Schadenersatz beantragen. Dabei ist zu beachten, dass der Schadenersatz auf TWD 500 - 20.000 pro Vorfall und Person begrenzt ist (ca. EUR 15 bis EUR 620 zum gegenwärtigen Wechselkurs), wobei die Obergrenze bei TWD 200.000.000 (ca. EUR 6.180.000 zum gegenwärtigen Wechselkurs) liegt. Positiv ist, dass die Beweislast beim Unternehmen liegt, das sich entlasten muss. Schwierig ist für die Betroffenen nachzuweisen, dass ein Schaden vorliegt.

Sammelklagen sind in Taiwan möglich. Antragsberechtigt sind Wohltätigkeitsorganisationen/Stiftungen, wenn mindestens 20 betroffene Personen einer solchen zustimmen. Die erste Sammelklage in Bezug auf personenbezogene Daten in Taiwan wurde 2018 von der Consumers' Foundation gegen Lion Travel Service Co., Ltd. erhoben. Im Jahr 2017 wurde das Computersystem von Lion Travel gehackt, was dazu führte, dass die persönlichen Daten von 360.000 Verbrauchern, daruntern Namen, Kontaktummern und Informationen über gekaufte Produkte bekannt wurden. Die Verbraucherstiftung forderte eine Entschädigung in Höhe von 3.360.000 TWD. Der Fall wurde später von beiden Parteien im Jahr 2020 beigelegt, ohne dass der Vergleichsbetrag der Öffentlichkeit bekannt gegeben wurde.

Bei einer strafrechtlichen Verantwortung sind Geldbussen bis zu einer Million TWD (ca. 34.000) Euro und Freiheitsentzug bis zu 5 Jahren möglich.

Fazit

 

Die taiwanischen Datenschutzgesetze, insbesondere der PDPA, verpflichten Unternehmen, bei Datenschutzverletzungen aktiv zu werden und bieten Betroffenen die Möglichkeit, Schadensersatz zu beantragen. Inwieweit Sammelklagen verstärkt genutzt werde, bleibt abzuwarten.

Ihr Ansprechpartner in Taiwan: Michael Werner

Eiger Law

Bldg. A, 2F, 25-2 Ren Ai Rd, Sec. 4
Taipei 10685
Taiwan

CELL      +886 9 8726 1326
TEL        +886 2 2771 0086
FAX       +886 2 2771 0186

www.eiger.law
info@eiger. law