Japan: Evaluation des Act on the Protection of Personal Information
Japan: Evaluation des Act on the Protection of Personal Information

Japan: Evaluation des Act on the Protection of Personal Information

Am 30.5.2017 ist in Japan eine tiefgreifende Reform des Datenschutzrechts in Kraft getreten. Alle drei Jahre soll der neue Act on the Protection of Personal Information (APPI) einer Überprüfung unterzogen werden.

(Dieser Beitrag wurde auch veröffentlicht in ZD-Aktuell 2020, 06927)

Überprüfung des APPI

Ein erster Zwischenbericht zur Überprüfung des APPI wurde bereits am 25. April 2019 veröffentlicht. Im Zeitraum vom 28. April bis zum 27. Mai 2019 gingen 525 Stellungnahmen zu dem Bericht ein. Am 29. November 2019 kam ein Grundriss zur Überprüfung des Gesetzes hinzu. Der Grundriss wurde auf der 128. Sitzung der Personal Information Protection Commission (PPC), Japans oberster Datenschutzbehörde, beschlossen und bot einen ersten, groben Ausblick auf die geplanten Änderungen am Gesetz. Ein detailliertes Revisionsschema wurde direkt anschließend auf Grundlage der im Grundriss dargestellten Hauptpunkte ausgearbeitet und am 13. Dezember 2019 im Rahmen der 131. Sitzung der PPC veröffentlicht. Es lag bis zum 14. Januar 2020 zur öffentlichen Kommentierung vor. Bis spätestens zum Sommer soll eine überarbeitete Fassung des APPI in das Parlament eingebracht werden. Der Gesetzesentwurf, der im Frühjahr 2020 vorgelegt werden soll, steht dann im Rahmen des Gesetzgebungsverfahrens ebenfalls zur Kommentierung offen. Das verabschiedete Gesetz soll erst nach einer Übergangsfrist in Kraft treten. Ziel ist es laut Revisionsschema ein „Gleichgewicht zwischen Schutz und Nutzung“ personenbezogener Daten zu erreichen.

Geplante Veränderungen an Japans APPI

Einige der wichtigsten der geplanten Veränderungen sollen kurz vorgestellt werden.

Betroffenenrechte

Die Wahrnehmung der Betroffenenrechte auf Einschränkung der Verarbeitung, Löschung und Einschränkung der Bereitstellung an Dritte soll erleichtert werden, indem die Voraussetzungen zur Geltendmachung dieser Rechte reduziert werden sollen. Zudem soll ihre Reichweite erweitert werden. Die Beschränkung auf Fälle der zweckwidrigen oder betrügerischen Verarbeitung sowie der unbefugten Übermittlung an Dritte soll aufgegeben werden.

Das Auskunftsrecht soll um ein Wahlrecht erweitert werden, auf welche Art die Informationen bereitgestellt werden. Dies soll insbesondere die Bereitstellung in digitaler Form fördern und die Nützlichkeit der bereitgestellten Informationen für die betroffenen Personen erhöhen. Zudem wird auch hier eine Beschränkung des Betroffenenrechts aufgegeben werden: Bisher erstreckt sich das Recht auf Auskunft nicht auf Daten, die innerhalb von sechs Monaten gelöscht werden.

Um Betroffenenrecht auch gegenüber Dritten geltend zu machen, an die Daten übermittelt werden, muss das verarbeitende Unternehmen künftig Aufzeichnungen zur Datenübermittlung vorhalten und diese auf Nachfrage der betroffenen Person bereitstellen.

Cookies

Cookies gelten in der aktuellen Fassung des APPI nicht als personenbezogene Daten, sofern sie nicht gemeinsamen mit anderen Daten mit Personenbezug betrachtet werden. Die dadurch entstehende Schutzlücke soll zumindest teilweise beseitigt werden. Cookies sollen dann als personenbezogene Daten gelten, wenn sie an Dritte zum Zwecke der Identifizierung einer betroffenen Person und Profilbildung übermittelt werden. Eine Übermittlung soll in diesen Fällen nur auf Grundlage einer Einwilligung möglich sein. Dazu ist auch die Schaffung einer entsprechenden Informationspflicht erforderlich.

Meldepflichten bei Datenlecks

Meldepflichten bezogen auf Datenlecks bestehen zwar bereits bezogen auf Daten aufgrund des „My Number Act“, sind im APPI aber nicht zu finden. Es besteht lediglich eine Empfehlung zur Meldung von Datenlecks. Sie sollen nun auch dort eingeführt werden. Als Meldungsadressat ist die PPC vorgesehen.

Stärkere Regulierung von grenzüberschreitendem Datenverkehr

Änderungen stehen auch beim grenzüberschreitenden Datenverkehr an. Hier sind insbesondere Informationspflichten gegenüber der betroffenen Person zum Zielland und dem dort herrschenden Datenschutzregime zu nennen. Zudem sollen der PPC Aufsichtsbefugnisse bezogen auf Verarbeiter in Drittländern eingeräumt werden, die beispielsweise das Recht der Vor-Ort-Inspektion beinhalten. Damit soll die Durchsetzung japanischen Datenschutzrechts auch im Ausland sichergestellt werden.

Informationspflichten

Bislang trifft Datenverarbeiter bereits eine Pflicht zur Darlegung der Zwecke der Verarbeitung personenbezogener Daten. Dies soll ergänzt werden um grundlegende Informationen zur Art der Datenverarbeitung. Beispielsweise müsste der Einsatz bestimmter Verarbeitungsformen den betroffenen Personen kommuniziert werden; so etwa bezogen auf die Bildung von Kundenprofilen. Dies tritt zu den genannten Ausweitungen der Informationspflichten hinzu. Hauptsächlich richten sich diese Maßnahmen aber gegen sogenannte Directory Stores.

Zertifizierung von Unternehmen

Auch eine Diversifizierung der Zertifizierung wird angestrebt. Das Ziel besteht darin, ein System zu erstellen, das sich auf ein bestimmtes Geschäft konzentriert, das von einem Unternehmensbereich und nicht vom gesamten Unternehmen betrieben wird.

Einführung einer neuen Datenkategorie

Es ist zudem geplant, eine neue Datenkategorie mit dem vorläufigen Namen „Kamei-Informationen“ (kamei ka jōhō, 仮名化情報) einzuführen. Daten dieser Kategorie sind im Grunde pseudonymisierte Daten, sollen aber im Vergleich zur DSGVO bestimmten Verarbeitungsbeschränkungen unterworfen werden und dürften insbesondere nicht zur Identifizierung betroffener Personen verwendet werden. Sie dürfen etwa nicht an Dritte weitergegeben werden, müssen also bei verarbeitenden Unternehmen verbleiben.

Förderung freiwilliger Maßnahmen

Es soll ferner ein System der Förderung freiwilliger Maßnahmen zur Steigerung des Datenschutzniveaus in Unternehmen etabliert werden. Eine wesentliche Rolle soll hier das Instrument des Privacy Impact Assessments spielen.

Fazit

Die Überprüfung des APPI fällt zeitlich mit der Überprüfung der Datenschutz-Grundverordnung nach Art. 97 DSGVO zusammen. Dies bietet die Möglichkeit, von Erfahrungen aus der Datenschutzpraxis des jeweiligen anderen Rechtskreises zu profitieren. Hier sind insbesondere die geplanten Ausweitungen der Informationspflichten zu nennen, deren Übertragung auf das europäische Datenschutzrecht auch hier eine Steigerung von Transparenz der Datenverarbeitung bewirken könnten.

Keine Aufnahme in die Liste der geplanten Maßnahmen fanden trotz intensiver Diskussionen ein Art. 20 DSGVO entsprechendes Recht auf Datenübertragbarkeit und ein Recht auf Vergessenwerden. Auch eine Veränderung des Sanktionsregimes steht (zunächst) nicht auf der Agenda. Bußgelder kommen im japanischen Datenschutzrecht faktisch nicht vor – ein bedeutender Unterschied zum neuen durch die Datenschutz-Grundverordnung geschaffenen Sanktionsrahmen in Europa, der in einzelnen Fällen bereits zu Bußgeldern in Millionenhöhe geführt hat. Japan geht im Datenschutzrecht also seinen Weg weiter, der zwar eine Annäherung an das europäische Datenschutzrecht bedeutet, aber dennoch Abweichungen und die Berücksichtigung japanischer Besonderheiten vorsieht.