close
Share with your friends

Japan nähert sich europäischen Datenschutz-Standards an

Japan nähert sich europäischen Datenschutz-Standards an

Viele Länder bringen neue Vorschriften zum Schutz personenbezogener Daten und Informationen auf den Weg und orientieren sich dabei an der DSGVO.

Barbara Scheben

Partner, Corporate Governance Services, Head of Forensic, Head of Data Protection

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

Mann Rückenansicht vor Computer

Mit der stetig voranschreitenden Globalisierung, der Erschließung neuer sowie größerer Märkte und der damit verbundenen zunehmenden Verflechtung des internationalen Handels, nimmt auch die Bedeutung des Datenschutzes im globalen Markt zu. Die Aufmerksamkeit, die die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) hervorgerufen hat, ist dafür ein deutlicher Beleg. 

Der Datenschutz ist aber kein ausschließlich europäisches  Thema, sondern findet im gesamten globalen Markt immer mehr Beachtung. Die Europäische Union gibt mit der DSGVO jedoch die globale Marschroute in Sachen Datenschutz vor. Die europäische Staatengemeinschaft hat eine derart bedeutende Vorreiterrolle eingenommen, dass andere Länder sich nicht nur an ihr orientieren, sondern die europäischen Standards direkt in die eigene Gesetzgebung integrieren. In den neueren Gesetzen zum Datenschutz lassen sich daher häufig Parallelen und Ähnlichkeiten zur DSGVO erkennen. So brachte Brasilien das „Lei Geral de Proteção de Dados“ auf den Weg, und Kalifornien nahm sich für den „California Consumer Privacy Act“ (CCPA) ebenfalls die DSGVO zum Vorbild.

Auch Japan unternimmt seit geraumer Zeit diverse Schritte, um ein Datenschutzniveau zu etablieren, das dem der EU ähnlich ist und einen globalen Datenschutz ermöglicht.

APPI  - Act on the Protection of Personal Information

Das japanische Datenschutzrecht basiert auf dem „Act on the Protection of Personal Information“ (APPI). Dieser wurde am 25. Mai 2003 verabschiedet und trat am 1. April 2005 in Kraft. Eine grundlegende Überarbeitung des APPI erfolgte im Jahr 2017, und bereits für das hiesige Jahr ist eine erneute Anpassung geplant. 

Vergleichbar mit dem deutschen Bundesdatenschutzgesetz (BDSG) teilt sich der APPI in Vorschriften, die im öffentlichen Sektor Anwendung finden und Vorschriften, die den nicht öffentlichen Bereich abdecken, auf. 

Der APPI definiert in Art. 2 einige zentrale datenschutzrechtliche Begriffe, die sich in vergleichbarer Form auch im europäischen Datenschutzrecht wiederfinden. Personenbezogene Informationen im Sinne des Art. 2 Abs. 1 APPI sind dabei alle Informationen in Bezug auf lebende Individuen, wie beispielsweise der Name und das Geburtsdatum. Neben den personenbezogenen Informationen werden in Art. 2 Abs. 6 APPI zudem personenbezogene Daten definiert, um die in einer Datenbank gespeicherten personenbezogenen Informationen zu erfassen. Doch auch die aus Art. 9 DSGVO bekannten besonderen Kategorien personenbezogener Daten sind dem APPI nicht fremd. Eine Regelung zu sensiblen Daten findet sich in Art. 2 Abs. 3 APPI und umfasst unter anderem Informationen über die soziale Stellung, die Gesundheit oder die religiöse Überzeugung. Eine Verarbeitung solcher Daten ist im japanischen Recht nur mit einer Einwilligung oder in Ausnahmefällen nach Art. 17 Abs. 2 Nr. 1-6 APPI rechtmäßig. Dies ist beispielsweise erlaubt, wenn der Verantwortliche die sensiblen Daten auf der Grundlage eines Gesetzes erhält.

Parallelen zur DSGVO

Bereits in seiner aktuellen Fassung enthält der APPI Regelungen, die in der EU durch die DSGVO ähnlich vorgeschrieben sind.

Zweck des Gesetzes ist es, auf der einen Seite die Rechte und Interessen des Einzelnen zu schützen. Auf der anderen Seite steht die angemessene Berücksichtigung des Nutzens personenbezogener Informationen durch Unternehmen im Fokus des Gesetzgebers, da die Datennutzung in der japanischen Digital- und Wirtschaftspolitik eine entscheidende Rolle spielt. Die Analyse und Nutzung von Daten mit Hilfe fortschrittlicher Technologien oder Services soll die vorhandene Industrie unterstützen und das Wirtschaftswachstum nachhaltig fördern.

Darüber hinaus orientiert sich der APPI an einigen aus der DSGVO bereits bekannten allgemeinen Datenschutzgrundsätzen. Ähnlich wie in der DSGVO beschrieben, lässt sich auch im APPI der Zweckbindungsgrundsatz erkennen: Eine Datenverarbeitung ist auch im japanischen Datenschutzrecht nur im Rahmen eines festgelegten Zweckes zulässig. Eine Datenverarbeitung, die über diesen festgelegten Zweck hinausgeht, ist nur unter Wahrung der strengen normierten Voraussetzungen möglich. Auch der Grundsatz der Richtigkeit findet im APPI Berücksichtigung. Personenbezogene Informationen müssen im Hinblick auf den Zweck der Verarbeitung korrekt und auf dem neuesten Stand sein. Darüber hinaus bestehen weitere Parallelen, z. B. in Bezug auf die Rechenschaftspflicht des Verantwortlichen für die Datenverarbeitung.

Der APPI enthält auch vergleichbare Regelungen zu den Informationspflichten und Betroffenenrechten. Der Betroffene hat das Recht, unter anderem den Namen des für die Datenverarbeitung Verantwortlichen zu erfahren und Informationen über den Zweck der Verarbeitung der personenbezogenen Daten zu erhalten. Dazu sind die für die Datenverarbeitung Verantwortlichen verpflichtet. Die Betroffenenrechte sind in den Art. 28 bis 32 APPI gesetzlich normiert. Danach hat ein Betroffener nach japanischem Datenschutzrecht grundsätzlich ein Recht auf Offenlegung, Korrektur, Einstellung der Nutzung bzw. Löschung der Daten und ein Recht auf Erklärung. Ein Recht auf „Datenportabilität“ im Sinne des Art. 20 DSGVO kennt der APPI nicht.

Auch die Implementierung von erforderlichen und angemessenen, aus der DSGVO bekannten, technischen und organisatorischen Maßnahmen wird im Rahmen des APPI gefordert. Die Maßnahmen sollen nach dem APPI insbesondere dazu dienen, Datenschutzverstöße zu verhindern. Sie müssen folgerichtig den Schutz vor unbefugter Veröffentlichung, Verlust und Zerstörung der Daten gewährleisten können. 

Die japanischen Vorschriften zum Transfer von personenbezogenen Daten weisen zudem einige Gemeinsamkeiten zu den Regelungen der DSGVO zur Drittstaatenübermittlung auf. So sieht der APPI in Art. 24 vor, dass personenbezogene Daten grundsätzlich nicht an ein ausländisches Unternehmen übertragen werden dürfen. Eine Ausnahme liegt dann vor, wenn die betroffene Person dem Datentransfer ausdrücklich zugestimmt hat, der Empfänger die Vorgaben der japanischen Aufsichtsbehörde anerkennt oder das Empfängerland ein durch die Aufsichtsbehörde festgestelltes angemessenes Datenschutzniveau aufweist. 

Die japanische Datenschutzaufsichtsbehörde

Mit der „Personal Information Protection Commission“ (PPC) hat Japan im Jahr 2016 zudem eine unabhängige Aufsichtsbehörde etabliert. Aufgabe der PPC ist es, einen angemessenen Umgang mit personenbezogenen Informationen zu gewährleisten. Um die Arbeit der PPC zu stärken, wurde auch das japanische Strafrecht novelliert. Nach Art. 82, 83 APPI können Fälle von Vertrauensbruch oder Datendiebstahl mit zwei Jahren Haft oder einer Geldstrafe geahndet werden. Im April 2019 hat die PPC zudem einen Interimsbericht veröffentlicht, der weitere Annäherungen des japanischen Datenschutzrechts an die DSGVO erkennen lässt.

Weitere Nachschärfung des APPI geplant

Aus dem Interimsbericht der PPC aus April 2019 geht zudem hervor, dass insbesondere ein größerer Anreiz für Unternehmen geschaffen werden soll, Datenschutzverstößen wirksam und effektiv zu begegnen. Die zuständigen Aufsichtsbehörden sollen präventive und reaktive Maßnahmen von Unternehmen honorieren, sofern sie bestehende Systeme zur Datensicherheit überarbeiten und neue interne Richtlinien und Prozesse für einen besseren Datenschutz implementieren. Wie diese Honorierung konkret aussehen soll, lässt der Bericht jedoch noch offen. Eine Möglichkeit wäre eine sanktionsmildernde Wirkung im Falle eines Datenschutzverstoßes. 

Eine weitere wesentliche Annäherung an die europäischen Standards wird voraussichtlich im Bereich der Meldepflicht von Datenschutzverstößen erfolgen. Hier stellt der Interimsbericht explizit heraus, dass die bisher eher milde Regelung nicht mehr zeitgemäß sei und eine Pflicht zur Meldung bei Datenschutzverstößen rechtlich umgesetzt werden solle. Diese Neuerung sei unabdingbar, da diese die einzig sichere Möglichkeit für die PPC darstelle, über einen solchen Verstoß Kenntnis zu erlangen. Da allerdings noch nicht final geklärt ist, wie die Meldepflicht hinsichtlich einzuhaltender Fristen, der Art von zu meldenden Verstößen und eine Informationspflicht gegenüber Betroffenen ausgestaltet werden soll, lässt der Interimsbericht noch Raum für Diskussionen.

EU-Kommission hat Angemessenheitsbeschluss erlassen

Auf Grund der bereits bestehenden und der weiteren geplanten Annäherungen an die DSGVO erkennt die EU-Kommission an, dass Japans Datenschutzvorschriften den Grundstein für ein angemessenes Datenschutzniveau für die Verarbeitung personenbezogener Daten legen. Nach der Einführung zusätzlicher Garantien, wie bspw. die Einführung sog. Supplementary Rules, um weitere Annäherungen an die europäischen Datenschutzregelungen zu schaffen, hat die EU-Kommission im Januar 2019 einen Angemessenheitsbeschluss für Japan erlassen. Aus diesem folgt, dass personenbezogene Daten ohne das Erfordernis zusätzlicher Garantien oder sonstiger Anforderungen der Art. 46 ff. DSGVO zwischen der EU und Japan übermittelt werden können. 

Unternehmen sollten im Zuge dessen aber berücksichtigen, dass trotz des Angemessenheitsbeschlusses weitere Vorschriften der DSGVO zu beachten sind: So hat der Verantwortliche bspw. über die Übermittlung personenbezogener Daten nach Japan und das Vorhandensein eines entsprechenden Angemessenheitsbeschlusses zu informieren.

Handlungsbedarf für Unternehmen

Die geplanten Anpassungen des APPI sind insbesondere von deutschen (Konzern-)Unternehmen mit einer Niederlassung in Japan und von Unternehmen, die betroffenen Personen in Japan Waren oder Dienstleistungen anbieten, weiter zu verfolgen, um die Auswirkungen auf die eigene Unternehmensstruktur besser analysieren zu können. Die Konzeptionierung und Implementierung eines Datenschutz-Managementsystems ist daher auch nach japanischem Recht unerlässlich. Hierbei gilt es, nach Möglichkeit auf bereits praxiserprobte Methoden zurückzugreifen und ggf. unter Beachtung der nationalen Besonderheiten erforderliche Anpassungen zur Harmonisierung vorzunehmen. Unternehmen sollten sich mit den einzelnen Anforderungen konkret auseinanderzusetzen und bestehende Schnittstellen zu der DSGVO identifizieren. So können erforderliche Umsetzungsmaßnahmen, Prozesse, festgeschriebene Vorgehensweisen sowie best-practice-Erfahrungen und Erkenntnisse auf japanische (Tochter-)Unternehmen übertragen werden. Mögliche Sanktionen und Reputationsschäden bei Nichteinhaltung japanischer Datenschutzanforderungen erfordern die Sicherstellung, dass personenbezogene Daten entsprechend der nationalen Vorschriften verarbeitet werden. Aktuell sieht die japanische Datenschutzbehörde PPC bei Verstößen gegen den APPI und damit verbundenen Vorschriften Sanktionen in Höhe von bis zu 300.000 Yen oder eine Freiheitstrafe von bis zu 6 Monaten vor. Der aktuell von der PPC vorliegende Interimsbericht reflektiert jedoch einen globalen Trend: Die möglichen Bußgelder für die Verletzung datenschutzrechtlicher Anforderungen sollen, in Anlehnung an die Bußgelder DSGVO, drastisch erhöht werden.

© 2020 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative (“KPMG International”), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP) einreichen

 

loading image Zum Angebotsformular