Im Dezember 2019 wurde beim Kabinettssekretariat eine Expertengruppe gebildet, die Task Force zur Überprüfung der Datenschutzbestimmungen, um das japanische Datenschutzregime einem umfassenden Review zu unterziehen. Ein vorläufiger Bericht wurde am 2.8.2020 vorgelegt; der endgültige Bericht wird für Ende 2020 erwartet.

(Dieser Beitrag wurde auch veröffentlicht in ZD-Aktuell 2020, 07391)

Ein wesentlicher Punkt ist dabei die Vereinheitlichung der Datenschutzregelungen im öffentlichen und im privaten Sektor. Diese ist bereits seit der Verabschiedung des aktuellen Datenschutzrechts im Rahmen einer umfassenden Reform im Jahr 2015 angedacht (s. Art. 12 Abs. 6 der ergänzenden Bestimmungen des Act on the Protection of Personal Information von 2015; dort wird eine Vereinheitlichung als Teil der Evaluation des Datenschutzrechts im privaten Bereich explizit vorgeschrieben); eine Absicht, die 2019 erneut bestätigt wurde. Aktuell sind die Datenschutzregelungen aufgespalten in den Act on the Protection of Personal Information für den privaten Bereich (Gesetz Nr. 65 von 2015; Geltungsbeginn am 30. Mai 2017; s. hierzu Geminn/Fujiwara, ZD 2016, 363) und den Act on the Protection of Personal Information Held by Administrative Organs (Gesetz Nr. 58 von 2003) sowie den Act on the Protection of Personal Information Held by lncorporated Administrative Agencies im öffentlichen Bereich (Gesetz Nr. 59 von 2003) (s. hierzu Fujiwara/Geminn, ZD 2016, 522). Hinzu tritt der Act on the Use of Numbers to ldentify a Specific Individual in the Administrative Procedure Organs (Gesetz Nr. 27 von 2013) bezogen auf die Verarbeitung des „My Number” genannten Identifiers. Die Zusammenführung der Regelungen für den privaten und den öffentlichen Bereich geht Hand in Hand mit einer Aufweitung der Aufsichtsbefugnisse der nationalen Datenschutzaufsichtsbehörde PPC (Personal Information Protection Commission; s. hierzu Geminn/Laubach, ZD 2019, 403). Bisher ist das Ministerium für innere Angelegenheiten und Kommunikation (MIC) zentrales Aufsichtsorgan im öffentlichen Bereich; mit Ausnahme der Verarbeitung der „My Number“. Ziel ist eine zentralisierte Rechtsdurchsetzung, bei der private Unternehmen, Verwaltungsbehörden und inkorporierte Behörden unter eine einheitliche Aufsicht gestellt werden. Die Aufgabe der Ausarbeitung eines integrierten Datenschutzgesetzes soll der PPC übertragen werden. Dieses Gesetz soll im Laufe des Jahres 2021 dem Parlament zur Abstimmung vorgelegt werden.

Als ein Beispiel für Probleme, die die aktuelle Aufspaltung des Datenschutzregimes erzeugt, benennt die Task Force Unterschiede in der Definition von personenbezogenen Daten zwischen privatem und öffentlichem Bereich, welche einen ungestörten Datenfluss zwischen beiden Bereichen erschweren. Zudem bestehen unterschiedliche Regeln für die Weitergabe von personenbezogenen Daten an Dritte zwischen nationalen, privaten und kommunalen Krankenhäusern. Eine ähnliche Situation besteht bezogen auf Ausnahmen für akademische Forschung bei nationalen und privaten Universitäten. Ferner findet sich in den Gesetzen zum öffentlichen und privaten Bereich sowohl die Bezeichnungen „Anonymously Processed Information“ (s. hierzu Geminn/Laubach/Fujiwara, ZD 2018, 413) als auch die Bezeichnung „nicht-identifizierte Informationen“, welche zugunsten der erstgenannten Bezeichnung vereinheitlicht werden sollen. Mit diesen Beispielen sind zugleich Kernpunkte des Vereinheitlichungsprozesses benannt.

Zudem soll aber auch der Datenschutz auf kommunaler Ebene vereinheitlicht werden. Bislang haben die Präfekturen und Kommunen, die in Japan die Rolle von Datenschutzpionieren eingenommen haben (den Anfang machten hier bereits 1973 und 1975 die Stadt Tokushima in der gleichnamigen Präfektur und Kunitachi in der Präfektur Tokio mit Stadtverordnungen über den Betrieb elektronischer Computerorganisationen), eigene Datenschutzverordnungen. Hier hat insbesondere die Corona-Pandemie den Wunsch nach Harmonisierung verstärkt; die Kommunen sollen hierzu bis zum Jahresende angehört werden. Auch die Konformität mit den Vorgaben der Datenschutz-Grundverordnung angesichts des Angemessenheitsbeschlusse für Japan (s. hierzu Fujiwara/Geminn/Roßnagel, ZD 2019, 204) spielt hier eine Rolle. Gleichzeitig soll die Autonomie der Kommunen in diesem Bereich jedoch gewahrt werden.

Zu betonen ist, dass die Zusammenführung der Gesetze für den privaten Bereich und den öffentlichen Bereich nicht zu einer Gleichschaltung beider Bereiche führt. Dies folgt der Überlegung, dass im öffentlichen Bereich ein besonders strenger Datenschutz erforderlich ist, der so im privaten Bereich nicht immer angezeigt sei. Vielmehr werden für beide Bereiche weiterhin unterschiedliche Anforderungen an die Verarbeitung personenbezogener Daten gestellt, die in Zukunft jedoch auf einer gemeinsamen Basis stehen sollen. Diese Unterschiede betreffen beispielsweise den Umgang mit Auskunftsansprüchen. Der Act on the Protection of Personal Information, also die Regelungen für den privaten Bereich, wurde bereits im Sommer 2020 einer auf seiner ersten Evaluation (s. hierzu Geminn, ZD-Aktuell 2020, 06927) basierenden Überarbeitung unterzogen (durch Gesetz vom 12. Juni 2020). Die PPC stellt hierzu eine Übersicht in englischer Sprache bereit (unter ppc.go.jp). Das Gesetz sieht ähnlich Art. 97 DSGVO alle drei Jahre eine Überprüfung seiner Regelungen vor, wobei anders als im Falle des Evaluationsberichts der Europäischen Kommission v. 24.6.2020 (s. hierzu Roßnagel, MMR 2020, 657) diese Möglichkeit in Japan konstruktiv genutzt wurde. Zudem erfolgte zum 15. Mai 2020 eine Ergänzung des Gesetzes in Reaktion auf die Corona-Pandemie um spezifische Ausnahmeregelungen, die – wo zur Bekämpfung der Pandemie erforderlich – eine Zweckänderung und Datenübermittlung erlauben.