APEC CBPR (Cross-Border Privacy Rules)
Das APEC CBPR-System ist ein freiwilliges Zertifizierungssystem für grenzüberschreitende Datenübermittlungen im Asien-Pazifik-Raum auf Basis der APEC Privacy Principles.
Zusammenfassung
Das APEC Cross-Border Privacy Rules (CBPR) System ist ein freiwilliger, marktgesteuerter Mechanismus, der den grenzüberschreitenden Datentransfer zwischen APEC-Mitgliedsökonomien erleichtern soll. Es basiert auf den APEC Privacy Principles von 2004 und wurde 2011 operationalisiert. Unternehmen, die eine CBPR-Zertifizierung erhalten, verpflichten sich zur Einhaltung datenschutzrechtlicher Standards, die von anerkannten Accountability-Agenten überprüft werden.
- Freiwillige Zertifizierung: Unternehmen bewerben sich bei zugelassenen Accountability Agents.
- Neun Prinzipien: Basierend auf den APEC Privacy Principles (Notice, Choice, Access etc.).
- Grenzüberschreitende Anerkennung: Zertifizierte Unternehmen können Daten leichter zwischen teilnehmenden Volkswirtschaften übermitteln.
- PRP-System: Ergänzend zum CBPR existiert das Privacy Recognition for Processors (PRP) System für Auftragsverarbeiter, das ebenfalls Teil des APEC-Datenschutzrahmens ist.
- Global CBPR Forum: Seit 2022 als eigenständiges internationales Forum über APEC hinaus erweitert.
Geschichte
Der Grundstein wurde 2004 mit dem APEC Privacy Framework gelegt, das neun datenschutzrechtliche Prinzipien für alle 21 APEC-Mitgliedsökonomien festlegte. 2005 begann die APEC Data Privacy Subgroup mit der Entwicklung des CBPR-Systems als praxistaugliches Instrument für die Wirtschaft. Nach mehrjährigem Entwicklungsprozess wurde das CBPR-System 2011 formell von APEC-Handelsministern gebilligt. Die USA traten als erste Volkswirtschaft 2012 bei, gefolgt von Mexiko (2013), Japan (2014), Kanada (2015), Singapur (2017), der Republik Korea (2017), Australien (2018), den Philippinen (2019) und Chinese Taipei (Taiwan) (2019). Im Jahr 2022 wurde das Global CBPR Forum gegründet, um das System auf Nicht-APEC-Länder auszuweiten und seinen globalen Charakter zu stärken. Seit der Gründung haben weitere Mitglieder Interesse bekundet oder sind beigetreten, darunter das Vereinigte Königreich, Bermuda, die Kaimaninseln und Jersey.
Geltungsbereich
Das APEC CBPR-System richtet sich an Unternehmen, die personenbezogene Daten grenzüberschreitend innerhalb der APEC-Region übermitteln. Es gilt für:
- Private Unternehmen jeder Größe in teilnehmenden APEC-Volkswirtschaften.
- Datenexporteure und -importeure, die rechtssicheren grenzüberschreitenden Datentransfer nachweisen wollen.
- Multinationale Konzerne, die einheitliche Datenschutzstandards in der APEC-Region implementieren.
Aktuell teilnehmende Volkswirtschaften des APEC CBPR-Systems (Stand 2024): USA, Mexiko, Japan, Kanada, Singapur, Republik Korea, Australien, Philippinen und Chinese Taipei (Taiwan). Seit 2022 können auch Nicht-APEC-Staaten über das Global CBPR Forum beitreten; dem Forum gehören zudem unter anderem das Vereinigte Königreich, Bermuda, die Kaimaninseln und Jersey an.
Kernanforderungen
- Notice (Benachrichtigung): Transparente Information der Betroffenen über Datenerhebung und -verwendung.
- Collection Limitation (Datenminimierung): Erhebung nur der für den Zweck notwendigen Daten.
- Uses of Personal Information (Zweckbindung): Nutzung von Daten nur für den angegebenen oder kompatiblen Zweck.
- Choice (Wahlrecht): Betroffene haben die Möglichkeit, der Nutzung ihrer Daten zu widersprechen.
- Integrity of Personal Information (Datenqualität): Sicherstellung der Richtigkeit und Aktualität der Daten.
- Security Safeguards (Datensicherheit): Angemessene technische und organisatorische Schutzmaßnahmen.
- Access and Correction (Zugang und Berichtigung): Betroffene können ihre Daten einsehen und korrigieren lassen.
- Accountability (Rechenschaftspflicht): Unternehmen sind für die Einhaltung der Prinzipien verantwortlich und müssen dies nachweisen. Zu den anerkannten Accountability Agents gehören u. a. TrustArc (USA), JIPDEC (Japan) und IMDA (Singapur).
- Preventing Harm (Schadensvermeidung): Schutzmaßnahmen zur Vermeidung von Schäden für Betroffene.
Verwandte Frameworks
Korrekturen & Errata
4 Korrekturen:
- Philippinen fehlen als teilnehmende Volkswirtschaft
- Singapur-Beitrittsdatum moeglicherweise falsch (2016 statt 2017)
- Mexiko-Beitrittsdatum falsch: 2013, nicht 2012
- Taiwan/Chinese Taipei Beitrittsdatum moeglicherweise falsch (2020 statt 2019)
1 Aktualisierung:
- Global CBPR Forum Mitglieder nach 2022 fehlen
5 Praezisierungen.
1 Anmerkung.