Kick off Meeting der G20-Digital Economy Working Group (DEWG) in Jakarta, 15 März 2022. © Ministerium für Kommunikation und Informatik (Kominfo) Indonesien
Indonesien: Indonesien ist ein riesiger Markt für digitale die Wirtschaft. Doch es gibt immer noch kein Gesetz zum Schutz privater Daten. Seit Jahren wird im Parlament über einen Entwurf verhandelt, der im Oktober 2022 verabschiedet werden soll. Leider werden bislang nur Auszüge davon veröffentlicht.
Eine der wichtigsten Themen für die Digital Economy Working Group (DEWG) während der indonesischen G20-Präsidentschaft ist der cross border data flow beziehungsweise der so genannte data flow with trust. Die Förderung eines vertrauenswürdigen freien Datentransfers sollte auf vier Prinzipen basieren: Rechtmäßigkeit, Gerechtigkeit, Transparenz und Gegenseitigkeit. Schon seit langem wird in Indonesien über einen Gesetzesentwurf zum Umgang mit personenbezogenen Daten (RUU PDP) debattiert. Nun soll dieser noch schnell im Jahr 2022 ratifiziert werden.
Diese Eile spiegelte sich auch in den Sitzungen des Arbeitsausschusses zur Erörterung des PDP-Gesetzes zwischen dem Parlament (DPR) und der Regierung wider, die am 24. Mai 2022 begannen. Nach wenigen Wochen, im Juli 2022, sagte der Vorsitzende der Kommission I des Parlaments, Meutya Hafid von der Fraktion der Golkar-Partei, dass das Gesetz schon im August 2022 ratifiziert werden könne. Angesichts der Tatsache, dass zuvor die Ratifizierung des Gesetzes mehrfach verschoben wurde, war dies eine sehr optimistische Einschätzung.
Meutya gab bekannt, dass alle offenen Fragen bezüglich des Gesetzesentwurfs bereits geklärt seien und das Gesetzgebungsverfahren nun in die letzte Phase einträte, nämlich die exakte Formulierung und Sicherstellung der Widerspruchsfreiheit mit bestehendem geltenden Recht. Meutya sagte auch, dass über die problematischen Punkte in Bezug auf personenbezogene Daten – ob von Privatwirtschaft, unabhängigen Institutionen oder Regierungsstellen gesammelt – im Arbeitsausschuss nun Einigung erzielt worden sei. Nähere Informationen dazu sind leider nicht erhältlich, da alle Sitzungen der Parlamentskommission mit der Regierung nicht öffentlich sind. Nach Medienberichten vereinbarten das Parlament und die Regierung, die Zustimmung des Präsidenten noch einzuholen.
Ein Internet-Cafe auf der Insel Bali. © CC BY-NC-SA 2.0/Slim Teller
Bestehende Gesetzgebung zu Datenschutz ist wirkungslos
Personenbezogene Daten in Indonesien müssen dringend sofort und umfassend rechtlich geschützt werden. Indonesien ist eines der wenigen Länder der G20, das noch keine vollständige Gesetzgebung zu personenbezogenen Daten hat, die von einer unabhängigen Behörde überwacht wird. Auf rechtlicher Ebene wird der Schutz personenbezogener Daten kurz erwähnt im Gesetz Nr. 12/2005 über die Ratifizierung des Internationalen Pakts über Bürgerliche und Politische Rechte und im Gesetz Nr. 19/2016 über Änderungen des Informationsgesetzes und elektronische Transaktionen. Detailliertere Vorschriften zum Schutz personenbezogener Daten gibt es auch in der Regierungsverordnung Nr. 71/2019 über die Implementierung des elektronischen Transaktionssystems und in der Ministerialverordnung Nr. 20/2016 über den Schutz personenbezogener Daten in elektronischen Systemen. Leider haben diese beiden Verordnungen seit ihrer Verabschiedung keinerlei Wirkung zum Schutz personenbezogener Daten gezeigt
Das indonesische Parlament hat das Gesetz über den Privaten Datenschutz (PDP-Gesetz) am 20. September 2022 verabschiedet. Das Gesetz soll den Bürgern mehr Kontrolle über ihre persönlichen Daten im Internet gewähren. Das PDP-Gesetz gibt den Menschen zum Beispiel das Recht zu erfahren, welche Informationen und Daten über sie von verantwortlichen Stellen und von Auftragsverarbeitern – ob öffentlich oder privat – gesammelt werden und warum.
Datenverarbeiter müssen laut dem Gesetz sicherstellen, dass die Rechte der betroffenen Personen, und die Sicherheit ihrer Daten, gewährt bleiben. Diejenigen, die gegen die Vorschriften zur Erfassung oder Weitergabe personenbezogener Daten verstoßen, können durch die Datenschutzaufsichtsbehörde mit Verwaltungsstrafen, Unternehmen mit Bußgeldern bis zu zwei Prozent ihres Jahresumsatzes, belegt werden. Das PDP-Gesetz regelt auch strafrechtliche Sanktionen, einschließlich Freiheitsstrafen und Geldstrafen für Einzelpersonen und Unternehmen, die von einem Gericht für schuldig befunden wurden, personenbezogene Daten auf illegale Weise zu sammeln, zu verwenden, zu verkaufen oder zur Veröffentlichung weiterzugeben. Kritiker bemängeln jedoch, dass es weiterhin nur vage Bestimmungen über die institutionelle Ausgestaltung der Datenschutzaufsichtsbehörde gibt.
Indonesien ist ein riesiger Markt für die digitale Wirtschaft. Bis 2025 wird nach Schätzung von Regierungsexperten der Umfang der digitalen Wirtschaft des Landes rund 146 Milliarden US-Dollar erreichen, und ihr Volumen wird sich bis 2030 voraussichtlich verachtfachen. Als großer Markt mit massivem Datenaustausch ist der Bedarf an einem umfassenden Gesetz zum Schutz privater Daten dringend notwendig. Selbst wenn ein solches Gesetz verabschiedet wird, gibt es noch große Herausforderungen zu meistern.
Lange Debatte über Datenschutzbestimmungen
Eine der strittigsten Fragen bei der Diskussion des Gesetzesentwurfs war die Bestimmung des Sitzes der Behörde für den Schutz personenbezogener Daten und inwiefern sie unabhängig ist. Die indonesische Regierung war der Meinung, dass die Behörde unter dem Ministerium für Kommunikation und Informatik (Kominfo) angesiedelt werden muss, während das Parlament die Meinung vertrat, dass diese Behörde unabhängig sein sollte. Die PDP Bill Advocacy Coalition, ein Zusammenschluss zivilgesellschaftlicher Gruppen, forderte, dass die Datenschutzbehörde unabhängig sein muss. Die Tifa Foundation, Mitglied der PDP Bill Advocacy Coalition, schrieb in ihrem Grundsatzpapier von 2021, eine der wichtigsten Voraussetzungen im Umsetzungsprozess des privaten Datenschutzgesetzes sei das Prinzip einer einzigen und unabhängigen Behörde. Diese Autorität sei wichtig für die Koordinierung zwischen verschiedenen Vorschriften, die in Indonesien zurzeit in Kraft sind.
Die Umsetzung von Gesetzen zum Schutz personenbezogener Daten ist keine einfache Angelegenheit. Die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO), wird bisher als „Goldstandard“ für den Schutz personenbezogener Daten angesehen. Aber selbst die Europäische Union hat noch Schwierigkeiten bei der Umsetzung. Access Now veröffentlichte kürzlich einen Bericht, der die vielen regulatorischen Lücken bei der Umsetzung aufzeigt. Diese zeigten sich bei Verletzungen des Schutzes personenbezogener Daten, insbesondere im Zusammenhang mit grenzüberschreitenden Daten und Unterschieden in den Vorschriften zwischen den Ländern, die die Koordinierung und Umsetzung erschwerten.
Tokopedia, einer der größten Onlineshops in Indonesien. © CC BY 2.0/Jon Russell
Als ein Land mit einem nur gering ausgeprägten Bewusstsein für die Bedeutung der Privatsphäre und den Schutz personenbezogener Daten wird Indonesien große Herausforderungen in der Umsetzung erleben. Die Häufigkeit von Datenlecks in Indonesien, unvollständige Ermittlungen, das Fehlen von Rechtsmitteln und sich überschneidende sektorale Vorschriften sind nur einige Indikatoren, die zeigen, dass Indonesien noch nicht bereit ist. Das Ministerium für Kommunikation und Informationstechnologie strebt in seinem Strategieplan die Schaffung eines „Ökosystems von Datenschutzbeauftragten“ in Ministerien und Behörden an, um so den Schutz personenbezogener Daten zu verbessern. Aber dies ist nur eine von vielen Stufen in der Umsetzung des Datenschutzes.
Gesetzentwurf ist in sich nicht konsistent
Ende 2021 veröffentlichte die Tifa-Foundation zwei Strategiepapiere auf der Grundlage der Ergebnisse von Diskussionen mit mehreren Interessengruppen aus der Regierung, regierungsnahen Institutionen, dem Privatsektor und zivilgesellschaftlichen Gruppen. Basierend auf dem ursprünglichen Entwurf des PDP-Gesetzes (endgültige Version von 2019) stellte Tifa fest, dass es eine Reihe von Herausforderungen für die Umsetzung des Gesetzes zum Schutz personenbezogener Daten in Indonesien gibt.
Die erste Herausforderung bezieht sich auf die Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Der PDP-Gesetzesentwurf sieht den Akt der Einwilligung als wichtigste Bedingung für die Datenverarbeitung vor. Artikel 18 des Gesetzes besagt jedoch, dass es noch sieben weitere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gibt (zum Beispiel zur Vertragserfüllung, Erfüllung rechtlicher Verpflichtungen). Artikel 20 wiederum erfordert eine explizite persönliche Zustimmung. Der Gesetzentwurf ist in sich nicht konsistent.
Die zweite Herausforderung besteht in der Regelung zur Verifikation der personenbezogenen Daten, die unterschiedlich interpretiert werden kann. Artikel 35 besagt, dass der Verantwortliche für personenbezogene Daten verpflichtet ist, die Genauigkeit, Vollständigkeit und Konsistenz personenbezogener Daten in Übereinstimmung mit den Gesetzen und Vorschriften sicherzustellen. Einerseits kann dieser Artikel als Notwendigkeit interpretiert werden, möglichst eine 100-prozentige Genauigkeit zu garantieren, was für die für den Datenschutz Verantwortlichen bedeuten, möglichst viele personenbezogene Daten zu sammeln. Andererseits muss die verantwortliche Instanz diese Daten auch verifizieren, was diese zwangsläufig überfordern wird.
Indonesien hatte als einziges G-20-Mitglied kein Gesetz zum Schutz privater Daten, bis im September 2022 das PDP-Gesetz verabschiedet wurde. © Pexels/Azzam Zicc
Die dritte Herausforderung besteht darin, eine technische Regelung zu finden, die die Begebenheiten in Indonesien berücksichtigt. Die Formulierung technischer Regeln, wie zum Beispiel die Bestimmung des Aufbewahrungszeitraums für personenbezogene Daten, kann für kleine Unternehmen sehr aufwändig sein. Solche technischen Vorschriften auf gesetzlicher Ebene können die Anpassung an technologische Entwicklungen erschweren.
Die vierte Herausforderung ist die Koordination zwischen den Sektoren. Das PDP-Gesetz wird voraussichtlich die Dachverordnung sein, die alle PDP-Themen regelt. Daher ist zu hoffen, dass eine unabhängige und einzige PDP-Behörde sich mit verschiedenen Ministerien/Behörden koordinieren kann, die sektoral Regularien herausgeben. Diese Koordination und Ausrichtung ist eine große und langfristige Aufgabe, um sinnvolle Schutzmaßnahmen umzusetzen.
Bewusstseinsbildung für den Schutz persönlicher Daten fehlt
Schließlich wies die Tifa-Foundation auch auf die Notwendigkeit eines Datenschutzansatzes hin, der auch auf Bewusstseinsbildung und nicht nur auf Sanktionen basiert. Ein allein auf Sanktionen basierender Ansatz wird nicht wirksam sein, um das öffentliche Bewusstsein für die Datenverarbeitung in Indonesien zu schärfen. Auch bei den für die Datenverarbeitung Verantwortlichen klaffen in punkto Bewusstsein für die Notwendigkeit und Bereitschaft zum Schutz personenbezogener Daten noch große Lücken.
Die G20-Präsidentschaft könnte ein wichtiger Impuls für Indonesien sein, den Schutz personenbezogener Daten schneller und umfassender zu realisieren. Es gibt aber noch viele Herausforderungen, auch in Fragen der Gesetzesumsetzung. Dennoch hofft die indonesische Zivilgesellschaft, dass das PDP-Gesetz, das in Kürze verabschiedet werden soll, endlich mehr Klarheit bringt.
Aus dem Indonesischen übersetzt von: Hendra Pasuhuk
Shita Laksmi, Geschäftsführerin der Tifa-Foundation. Digitale Datentransparenz und -sicherheit ist einer der Schwerpunktthemen der Organisation. Shita Laksmi erhielt 2019 die Zertifizierung zur Datenschutzbeauftragten vom Maastricht European Centre on Privacy and Cybersecurity.
-
Indonesien – Indonesien ist ein riesiger Markt für digitale Wirtschaft. Doch es gibt immer noch kein Gesetz zum Schutz privater Daten. Seit Jahren wird im Parlament über einen Entwurf verhandelt, der im Oktober 2022 verabschiedet werden soll. Leider werden bislang nur Auszüge davon veröffentlicht.
