Indonesisches Datenschutzgesetz (PDP-Gesetz)

Gewährleisten Sie die Genauigkeit der Datenverarbeitung, schützen Sie Daten vor Missbrauch, Verlust oder Beschädigung und weisen Sie die Einhaltung der Vorschriften nach.

DEMO VEREINBAREN PREISANFRAGE

Was ist das PDP-Gesetz und wann tritt es in Kraft?

Das indonesische Datenschutzgesetz (Personal Data Protection Law, PDP Law) ist Indonesiens Ansatz zur Regelung der Verarbeitung personenbezogener Daten für alle Arten von Unternehmen und Branchen, unabhängig davon, ob es sich um private oder öffentliche Unternehmen handelt. Das Gesetz (Gesetz Nr. 27 von 2022) ist weitgehend an die Datenschutz-Grundverordnung der Europäischen Union („DSGVO“) angelehnt und soll im Oktober 2024 in Kraft treten. Es regelt die Erhebung, Verwendung, Offenlegung und Verarbeitung personenbezogener Daten.

Als erste umfassende Regelung zum Datenschutz im Land wurde die Schaffung des Gesetzes als Reaktion auf Datenpannen, die Lücken in bestehenden Gesetzen aufzeigten, die zunehmende Nutzung und Sammlung personenbezogener Daten sowie den weltweiten Trend der letzten Jahre hin zu stärkeren und robusteren Datenschutzbestimmungen angestoßen.

Das neue indonesische Datenschutzgesetz – Gesetz Nr. 27 von 2022 über den Schutz personenbezogener Daten (PDP-Gesetz) – trat 2022 in Kraft und befindet sich derzeit in seiner zweijährigen Übergangsphase. Organisationen müssen ihre Datenverarbeitungsaktivitäten in Einklang mit den geltenden Vorschriften bringen, wenn sie Daten von Personen verarbeiten, die in Indonesien ansässig sind, und sogar außerhalb Indonesiens, wenn ihre Handlungen rechtliche Konsequenzen im Land haben.

Für wen gilt das PDP-Gesetz?

Das Gesetz dient der Regelung des Schutzes personenbezogener Daten in allen Sektoren. Es gilt für Unternehmen mit Sitz im Inland. und außerhalb Indonesiens; immer wenn eine natürliche oder juristische Person, eine juristische Person oder eine internationale Organisation personenbezogene oder sensible Daten eines indonesischen Staatsbürgers verarbeitet oder wenn dies rechtliche Konsequenzen innerhalb des indonesischen Staatsgebiets nach sich ziehen könnte, findet das PDP-Gesetz Anwendung.

Es gibt teilweise Ausnahmen, unter anderem in den Bereichen nationale Sicherheit und Verteidigung, Strafverfolgung und einigen Fällen von Finanzdienstleistungen.

Was sind personenbezogene Daten im Sinne des PDP-Gesetzes?

Das PDP-Gesetz definiert zwei Hauptkategorien personenbezogener Daten: allgemeine und spezifische oder sensible personenbezogene Daten. Allgemeine personenbezogene Daten sind Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen, einzeln oder in Kombination mit anderen Informationen, direkt oder indirekt, über ein elektronisches oder nicht-elektronisches System. Dies kann auch Daten mit potenziell geringerem Risiko umfassen, die sich auf Ausweisdokumenten und anderen allgemeinen Aufzeichnungen befinden. Spezifische oder sensible Daten bergen in der Regel ein höheres Risiko, wenn sie gefährdet werden.

Gängige allgemeine Beispiele sind:

  • vollständiger Name der Person
  • Geschlecht
  • Nationalität
  • Religion
  • Familienstand

Beispiele für spezifische oder sensible personenbezogene Daten:

  • Gesundheits- und medizinische Informationen
  • Biometrische und genetische Daten
  • Strafregister
  • Daten von Kindern
  • Persönliche Finanzdaten
  • Alle anderen Daten, die gesetzlich als sensibel gelten.

Welche Anforderungen stellt das PDP-Gesetz?

Das PDP-Gesetz legt verschiedene Verantwortlichkeiten für Organisationen fest, darunter:

Organisationen dürfen personenbezogene Daten nur auf Grundlage einer Rechtsgrundlage verarbeiten: Organisationen müssen personenbezogene Daten gemäß einer Reihe aufgeführter Verarbeitungsgrundsätze verarbeiten, einschließlich der Vorschrift, dass Organisationen die betroffenen Personen über die Zwecke der Verarbeitung ihrer personenbezogenen Daten informieren müssen.

Organisationen müssen personenbezogene Daten in begrenztem, spezifischem, transparentem und rechtmäßigem Umfang verarbeiten und die Sicherheit personenbezogener Daten vor unberechtigtem Zugriff, unberechtigter Offenlegung, unberechtigter Änderung, Missbrauch, Zerstörung und Verlust schützen.

Organisationen müssen in der Lage sein, das Sicherheitsniveau der personenbezogenen Daten zu bestimmen und sicherzustellen, dass angemessene Sicherheits- und Schutzmechanismen vorhanden sind. Die Verantwortlichen für die Datenverarbeitung sind verpflichtet, die Vertraulichkeit der erhobenen personenbezogenen Daten zu wahren und alle an der Verarbeitung personenbezogener Daten unter ihrer Aufsicht beteiligten Parteien, wie z. B. Datenverarbeiter, zu überwachen. 

Organisationen sollten die erforderlichen Maßnahmen ergreifen, um den unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern, indem sie ein Sicherheitssystem für verarbeitete personenbezogene Daten verwenden und/oder personenbezogene Daten mithilfe eines elektronischen Systems auf zuverlässige, sichere und verantwortungsvolle Weise verarbeiten.

Unternehmen, die regelmäßig personenbezogene Daten international übermitteln, müssen sicherstellen, dass die Datenschutzstandards des Empfängerlandes den im PDP-Gesetz geforderten Standards gleichwertig sind oder rechtsverbindliche Schutzmaßnahmen zum Schutz der Daten implementieren, um auch der Verordnung nachzukommen.

Organisationen sind nach dem PDP-Gesetz verpflichtet, einen Datenschutzbeauftragten zu ernennen, wenn sie personenbezogene Daten im Rahmen ihrer Kerntätigkeiten verarbeiten oder wenn sie große Mengen sensibler personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten verarbeiten. Die Datenschutzbeauftragten (DPOs) werden die meisten Aspekte der Einhaltung des Datenschutzgesetzes (PDP Law) übernehmen.

Welche Strafen drohen bei Nichteinhaltung des PDP-Gesetzes?

Das Datenschutzgesetz sieht strenge Strafen für die Nichteinhaltung vor und unterstreicht damit die Wichtigkeit der Einhaltung von Datenschutzstandards. Die Strafen können je nach Schwere des Verstoßes sowohl administrativer als auch strafrechtlicher Natur sein: 

Verwaltungsstrafen

Organisationen, die gegen die Bestimmungen des PDP-Gesetzes verstoßen, können mit Verwaltungsstrafen in Höhe von bis zu 2 % ihres Jahresumsatzes belegt werden. Diese Geldbuße kann für eine Vielzahl von Verstößen verhängt werden, darunter das Versäumnis, eine ordnungsgemäße Einwilligung einzuholen, das Unterlassen der Meldung von Datenschutzverletzungen oder der unsachgemäße Umgang mit personenbezogenen Daten. 

Strafrechtliche Sanktionen

Schwere Verstöße, wie die unrechtmäßige Verarbeitung personenbezogener Daten oder vorsätzliche Datenschutzverletzungen, können strafrechtliche Sanktionen nach sich ziehen. Personen, die solcher Vergehen für schuldig befunden werden, können mit einer Freiheitsstrafe von bis zu sechs Jahren und Geldstrafen von bis zu 6 Milliarden IDR (ca. 400.000 USD) belegt werden. Der unbefugte Zugriff auf personenbezogene Daten oder die Übermittlung von Daten ohne entsprechende Einwilligung kann zu einer Freiheitsstrafe von bis zu fünf Jahren und Geldstrafen von bis zu 5 Milliarden IDR (ca. 330.000 USD) führen.

Schadensersatz

Zusätzlich zu Geldbußen und Strafen können Organisationen auch verpflichtet werden, Personen zu entschädigen, die durch eine Datenschutzverletzung oder den Missbrauch ihrer personenbezogenen Daten einen Schaden erlitten haben.

Was müssen Organisationen tun, um das PDP-Gesetz einzuhalten?

Organisationen, die in Indonesien personenbezogene Daten verarbeiten, sollten, sofern sie dies noch nicht getan haben, ab sofort damit beginnen, sich auf die Einhaltung des PDP-Gesetzes vorzubereiten. Organisationen können unter anderem folgende Schritte unternehmen:

Überprüfung der aktuell vorhandenen Datenflüsse. Werden Daten während ihrer Erfassung und Verarbeitung klassifiziert?

Überprüfung der Prozesse zur Durchführung von Datenschutz-Folgenabschätzungen. Verfügt Ihr Unternehmen über einen Datenschutzbeauftragten (DSB)?  In einigen Fällen kann die Nichtbeachtung der Pflicht zur Bestellung eines Datenschutzbeauftragten zu Sanktionen, potenziellen Geldstrafen oder schriftlichen Verwarnungen sowie zur Aussetzung der Datenverarbeitung führen.

Sicherstellen, dass Prozesse zur Bearbeitung von Anfragen betroffener Personen und Meldungen über Datenschutzverletzungen vorhanden sind.

Die Umsetzung geeigneter organisatorischer und technischer Sicherheitsmaßnahmen, um den Schutz personenbezogener Daten zu gewährleisten.

Erheben, nutzen oder verkaufen Sie personenbezogene Daten? Ihre Organisation muss eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten finden und, ähnlich wie bei der DSGVO, die Einwilligung der betroffenen Person einholen, von der Sie Daten erheben.

Wie kann man das PDP-Gesetz einhalten?

Um die Einhaltung des Datenschutzgesetzes zu gewährleisten, müssen Organisationen Daten so verarbeiten, dass die Sicherheit gewährleistet ist, einschließlich des Schutzes vor unbefugter oder illegaler Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung. 

Die Implementierung einer Data-Loss-Prevention-Lösung (DLP) wie Digital Guardian kann Unternehmen dabei helfen, Best Practices im Bereich des Schutzes personenbezogener Daten zu erreichen, einschließlich eines gewünschten Ergebnisses des PDP-Gesetzes: Schutz verarbeiteter Daten vor unbefugtem oder unrechtmäßigem Zugriff, Offenlegung, Veränderung, Missbrauch, Verlust oder Beschädigung.

Wie viele Datenschutzbestimmungen der letzten Zeit übernimmt auch das indonesische Datenschutzgesetz (PDP Law) mehrere Elemente der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Digital Guardian, das automatisch DSGVO-regulierte Daten identifizieren und diese bei der Nutzung, der Übertragung und im Ruhezustand schützen kann, kann Organisationen auch dabei helfen, die Einhaltung der Datenschutzbestimmungen nachzuweisen.

Fortra Datenschutzlösungen

Die Datenschutzlösungen von Fortra helfen beim Schutz personenbezogener Daten, indem sie diese identifizieren und anhand von PDP- oder organisationsinternen Klassifizierungsstandards klassifizieren. Die verwendeten Metadaten können dazu beitragen, die zukünftige Handhabung zu automatisieren, also ob die Daten gelöscht, abgerufen oder geändert werden können. Durch eine klare Klassifizierung personenbezogener Daten können Organisationen, die diese verarbeiten, verantwortungsvoller und sicherer damit umgehen.
Fortra -Lösungen Data Classification

Data Classification von Fortratragen zur Einhaltung der PDP bei, indem sie sowohl visuelle Kennzeichnungen als auch Beschriftungen auf die Metadaten einer Datei anwenden, um deren Nutzung zu schützen und zu kontrollieren. Durch die Hinzufügung von Klassifizierungen können Benutzer besser bestimmen, wie ein bestimmtes Datenelement behandelt, verarbeitet, gespeichert und schließlich gelöscht werden soll. Die Klassifizierung sorgt für eine optimierte Funktionalität sowie verbesserte Datensicherheit und Compliance.

Das PDP-Gesetz schreibt vor, dass Auftragsverarbeiter sicherstellen müssen, dass personenbezogene Daten nicht für andere Zwecke als die ursprünglich vorgesehenen Dienstleistungen verwendet werden. Die Data Loss Prevention-Lösung von Digital Guardian unterstützt die Einhaltung der Datenschutzrichtlinien, indem sie Unternehmen in die Lage versetzt, personenbezogene Daten, die über das Netzwerk übertragen, auf Arbeitsstationen verwendet oder auf Arbeitsstationen, Netzwerkservern und in Cloud-Speichern gespeichert sind, effektiv zu erkennen, zu überwachen und zu kontrollieren. Die Daten werden angemessen vor unberechtigter Übertragung, Verbreitung, Nutzung und Speicherung geschützt, während die Analyse- und Berichtsfunktionen wichtige Dokumentationen zur Demonstration der PDP-Konformität liefern können.

Erfahren Sie mehr darüber, wie Fortra Sie bei der Einhaltung der PDP-Richtlinien unterstützen kann:

DATENBLATT HERUNTERLADEN

Vorteile der Verwendung von Fortra-Lösungen zur Unterstützung von PDP

enhanced visibility icon

Persönliche Daten finden und schützen

Gemäß dem PDP-Gesetz werden Daten entweder in allgemeine personenbezogene Daten oder in spezifische, auch als sensible personenbezogene Daten bezeichnete Daten kategorisiert. Laut Gesetz handelt es sich dabei um alles, was besonderen Schutz benötigt, einschließlich Gesundheitsdaten und -informationen, biometrische Daten, genetische Daten, Strafregister, Daten von Minderjährigen, Finanzdaten und andere personenbezogene Daten. Digital Guardian kann bestimmte Datentypen effektiv erkennen, überwachen und kontrollieren und so sicherstellen, dass sie korrekt, vollständig und konsistent bleiben, damit sie sicher gehandhabt werden können.

comprehensive protection icon

Bemühungen um eine sichere Datenverarbeitung

Artikel 35 des neuen indonesischen Datenschutzgesetzes verpflichtet den Verantwortlichen und den Auftragsverarbeiter, die Sicherheit der verarbeiteten personenbezogenen Daten zu schützen und zu gewährleisten. Digital Guardian verfügt über technische Maßnahmen zum Schutz personenbezogener Daten, die über das Netzwerk übertragen, auf Arbeitsstationen verwendet oder auf Arbeitsstationen und Netzwerkservern gespeichert sowie in der Cloud abgelegt werden. 

cross-platform-icon

Sichere Datenübertragungen ermöglichen

Nach dem indonesischen Datenschutzgesetz müssen die Verantwortlichen für die Verarbeitung personenbezogener Daten sicherstellen, dass Länder außerhalb der indonesischen Gerichtsbarkeit, in die personenbezogene Daten übermittelt werden, ein Datenschutzniveau aufweisen, das mindestens dem des indonesischen Datenschutzgesetzes entspricht. Organisationen, die die Übertragung von Daten verhindern möchten, können Richtlinien verwenden, um regulatorische Anforderungen zu erfüllen, indem sie sicherstellen, dass die Daten nicht an nicht autorisierte Orte übertragen werden können.

Verwandte Ressourcen

Fortra-Lösungen im Einsatz erleben

DEMO ANFORDERN