Indonesien verabschiedet Gesetz zum Schutz personenbezogener Daten

Die globale technologische Entwicklung hat zu einem raschen Wachstum der Digitalwirtschaft in Indonesien beigetragen. Digitale Anwendungen sind in dem Land bereits weit verbreitet. Infolgedessen haben die Nutzung und Speicherung personenbezogener Daten für digitale Dienste stark zugenommen.

Auch aufgrund dieser Entwicklung war Indonesien in jüngster Zeit mit schweren Datenschutzverletzungen konfrontiert. So wurden in diesem Jahr die Daten von 26 Millionen Kunden des Internet- und Digital-TV-Dienstes IndiHome von Telkom Indonesia geleakt. Ein weiterer Vorfall war das Datenleck bei der indonesischen Gesundheits- und Sozialversicherungsbehörde im Mai 2021, wodurch persönliche Daten von Versicherten in einem Online-Forum verkauft wurden. 2019 hat die staatliche Cyber- und Kryptoagentur (BSSN) des Landes mehr als 98 Millionen Cyberangriffe festgestellt.

Das neue Gesetz schützt personenbezogene Daten besser

Im September 2022 verabschiedete das indonesische Repräsentantenhaus (DPR RI) erfolgreich ein neues Datenschutzgesetz. Es wird dazu beitragen, die persönlichen Daten der indonesischen Verbraucher*innen besser zu schützen. Das Gesetz befasst sich unter anderem mit der Definition personenbezogener Daten, den Rechten von Dateneigentümer*innen, den Pflichten der für die Datenverarbeitung Verantwortlichen, der Rolle der Datenschutzbeauftragten sowie mit Sanktionen.

Das Ministerium für Kommunikation und Informationstechnologie (KOMINFO) wird für die Überwachung der Verwaltung personenbezogener Daten durch die Betreiber elektronischer Systeme (ESO) zuständig sein. Laut Minister Johnny G. Plate markiert das neue Gesetz eine neue Ära in der Verwaltung personenbezogener Daten in Indonesien. Es stärkt die Rechte von Dateneigentümern und sieht Sanktionen für Anbieter elektronischer Systeme im Falle einer Datenschutzverletzung oder eines anderen Fehlverhaltens im Umgang mit personenbezogenen Daten vor.

Das Gesetz enthält auch ausdrückliche Bestimmungen zur Datenübermittlung, die denen der EU-Datenschutzgrundverordnung ähneln. Was die grenzüberschreitende Übermittlung personenbezogener Daten betrifft, so darf der*die für die Verarbeitung Verantwortliche die personenbezogenen Daten nur in ein Land übermitteln, das ein angemessenes oder höheres Datenschutzniveau als Indonesien aufweist. Der*die Verantwortliche muss der betroffenen Person außerdem versichern, dass es ein rechtsverbindliches Instrument zum Schutz personenbezogener Daten gibt, oder er*sie muss die Zustimmung der Person zur Übermittlung ihrer personenbezogenen Daten ins Ausland eingeholt haben. Da sich Daten extraterritorial und außergerichtlich bewegen und dabei nationale Grenzen überschreiten, ist dies von großer Bedeutung. Minister Plate betonte, dass der Rechtsrahmen international kompatibel sein muss.

Regeln und Sanktionen schaffen starke Anreize für den Datenschutz

Nach den neuen Rechtsvorschriften sind die für die Datenverarbeitung Verantwortlichen nun verpflichtet, personenbezogene Daten innerhalb von 24 Stunden nach Erhalt einer entsprechenden Anfrage zu aktualisieren und Fehler zu korrigieren. Außerdem sind sie verpflichtet, personenbezogene Daten zu löschen, wenn diese nicht mehr benötigt werden oder wenn die betroffene Person ihre Zustimmung zur Verarbeitung der Daten zurückgezogen hat.

Datenbearbeiter*innen können nun mit bis zu fünf Jahren Haft bestraft werden, wenn sie private Informationen weitergeben oder missbrauchen. Einzelpersonen, die personenbezogene Daten zu ihrem eigenen Vorteil fälschen, können mit bis zu sechs Jahren Gefängnis bestraft werden. Die Geldstrafen für Unternehmen können im Falle eines Datenlecks bis zu zwei Prozent des Jahresumsatzes betragen. Darüber hinaus können die Vermögenswerte des Unternehmens beschlagnahmt oder versteigert werden.

Diese Sanktionen schaffen starke Anreize für den Schutz personenbezogener Daten in Indonesien.