Trotz der der zahlreichen Verbindungen deutscher Unternehmen zu japanischen Unternehmen sind den deutschen Organisationen die Inhalte des japanischen Datenschutzrechts meist nicht bekannt, dabei hat Japan seit geraumer Zeit die Bestrebung einen globalen Datenschutz einzuführen. Welche Schritte Japan bereits unternahm, um dieses Ziel zu erreichen, welche datenschutzrechtlichen Regelungen es in Japan gibt und wie die japanische Bevölkerung zum Datenschutz steht, erklären wir Ihnen jetzt.
APPI – Japanisches Datenschutzrecht
Das japanische Datenschutzrecht basiert auf dem Act on the Protection of Personal Information, kurz APPI. Dieser wurde am 25.05.2003 verabschiedet und trat am 01.04.2005 in Kraft. Eine grundlegende Überarbeitung des APPI fand im September 2015 statt und ist am 30.12.2017 in Kraft getreten. Eine Anpassung des APPI im September 2015 fand aufgrund der zuvor bestehenden Unklarheiten bezüglich moderner Datenformate sowie zur Angleichung der bestehenden Regelungen an die Globalisierung statt, da japanische Unternehmen immer mehr auf internationaler Ebene agieren.
Anwendungsbereich und Zweck des APPI
Die ersten drei Kapitel des APPI gelten sowohl für öffentlich, wie auch für nicht öffentliche Stellen. Ab dem vierten bis zum siebten Kapitel finden sich dann spezielle Regelungen, die nur für den privaten Sektor Anwendung finden. Ausnahmen vom vierten Kapitel werden im Art. 76 Abs. 1 Nr. 1-5 APPI geregelt. Innerhalb des APPI finden sich Verweise auf die Vorschriften des Cabinet Order to Enforce the Act on the Protection of Personal Information (COE-APPI) sowie der Enforcement Rule for the Act the Protection Information (ER-APPI), die ausführliche oder konkrete Fälle enthalten und mitunter anderen Rechtssektionen zugewiesen werden.
Hauptzweck des APPI ist nach Art. 1 APPI die Rechte und Interessen des Einzelnen zu schützen sowie den Nutzen persönlicher Informationen zu berücksichtigen. Die Nutzung von Daten spielt dabei vor allem im Zusammenhang mit dem Thema „Big Data“ eine wichtige Rolle in der Digital- und Wirtschaftspolitik Japans, da die Analyse und Nutzung von Big Data mithilfe von modernen Technologien oder Services wie Robotern oder Internet of Things „IoT“ dafür eingesetzt werden kann, die vorhandenen Industrien und das Wirtschaftswachstum nachhaltig zu unterstützen.
Fundamentale Datenbegriffe nach APPI
Das APPI beinhaltet grundlegende Begrifflichkeiten im Zusammenhang mit Daten. Persönliche Informationen (Art. 2 Abs. 1 APPI) sind nach japanischem Recht alle Informationen, die im Zusammenhang zu einem Individuum stehen (Betroffener), wie beispielsweise Name und Geburtsdatum (Art. 2 Abs. 1 Nr.1 APPI). Der Betroffene selbst ist eine bestimmte Person, die durch bestimmte Informationen identifiziert werden kann (Art. 2 Abs. 8 APPI).
Mit der Änderung im Jahr 2015 kam der Begriff des Identifikationsmerkmals hinzu, worunter beispielsweise körperliche, genetische Charakteristiken sowie Reisepassnummern fallen (Art. 2 Abs. 2 Nr. 1 und 2 APPI i.V.m Art. 1 COE-APPI). Weiterhin wurde der Begriff der sensiblen Daten (Art. 2 Abs. 3 APPI) angepasst. So ist die Erhebung sensibler Daten nur zulässig, wenn die Einwilligung des Betroffenen eingeholt wurde. Ausnahmen zum Regelfall sind im Art. 17 Abs. 2 Nr. 1-6 APPI geregelt.
Mit der Novellierung des APPI kam der Begriff der anonymisierten Daten hinzu (Art. 2 Abs. 9 APPI). Bei der Verarbeitung von personenbezogen Daten sollen diese so verändert werden, dass eine Identifikation einer bestimmten Person nicht mehr möglich sei. Dies soll dazu dienen, die Nutzung von Big Data unter Beachtung der Persönlichkeitsrechte des Einzelnen zu gewährleisten.
Pflicht des Datenverarbeitenden nach APPI
Das APPI nennt zwei Kategorien von Datenverarbeitenden. Zu Kategorie eins gehören Datenverarbeitende, die mit persönlichen Informationen agieren (Art. 2 Abs. 5 Satz 1 APPI). Kategorie zwei hingegen arbeitet nur mit anonymisierten Daten. Nicht zu den Datenverarbeitenden gehören staatliche Organe, die Kommunalregierung und die Incorporated Administrative Agency. Die Pflichten der Datenverarbeitenden ergibt sich aus dem vierten Kapitel des APPI, wobei es im ersten Abschnitt um den Umgang mit persönlichen Informationen geht (Art. 15-35 APPI). Der zweite Abschnitt wiederum behandelt die Schaffung und den Umgang mit anonymisierten Daten (Art. 36-39 APPI).
Personal Information Protection Commission (PPC)
Die Personal Information Protection Commission (PPC) ist ein Ausschuss und gilt als Äquivalent zu einer unabhängigen Datenschutzbehörde. Nach dem Art. 60 APPI ist es Aufgabe der PPC dafür zu sorgen, dass ein angemessener Umgang mit personenbezogenen Informationen gewahrt wird. Wie dies konkret erfolgen soll, wird im Art. 61 APPI geregelt. Demnach entwirft das PPC Grundleitlinien (Art. 61 Nr. 1 APPI) und agiert als Aufsichtsorgan des Datenverarbeitenden (Art. 61 Nr. 2 APPI).
Stellung der Japaner zum Datenschutz
Im Oktober 2015 nahm die Regierung Japans eine Umfrage bezüglich der Veränderung des APPI vor. Es konnte dabei grundlegend festgestellt werden, dass über die Hälfte der Befragten einen sorgfältigen Umgang mit Informationen über Kredite, Vorstrafen, Einkommen und Krankheit für wichtig hielten. Bereits seit geraumer Zeit konnte eine starke Tendenz zur Vermeidung von Übermittlungen sensibler Daten innerhalb Japans beobachtet werden.
Kooperation zwischen Japan und Europa im Bereich Datenschutz
Seit einiger Zeit streben die japanische PPC und die EU-Kommission eine Erleichterung der beiderseitigen Datenübermittlung an. Derzeit wurde Japan noch nicht als Drittland mit einem angemessenen Datenschutzniveau, nach Art. 25 Abs. 1 der Datenschutzrichtlinie 95/46/EG qualifiziert. Seit der Erklärung der Kommission fanden bereits Treffen zwischen Japan und der EU-Kommission sowie der europäischen Mitgliedstaaten statt.
Am 20.03.2017 erfolgte ein Gespräch mit der EU-Kommission in Hannover, wobei neben der Delegation des PPC auch die japanischen Minister für Trade and Industry sowie Economy teilnahmen. In einem weiteren Gespräch in Brüssel am 03.07.2017 wurde festgestellt, dass das Rechtssystem in Japan mit denen der europäischen Mitgliedstaaten in Bezug auf die Privatsphäre harmonisieren würde. Daraufhin fand am 06.07.2017 in Brüssel ein Gipfeltreffen zwischen der Europäischen Union und Japan statt in der, der Präsident der Europäischen Kommission, Jeau-Claude Juncker und der japanische Premierminister, Shinzō Abe, eine Erklärung zur zukünftigen Zusammenarbeit abgaben.
Datenübermittlung zwischen Japan und Deutschland
Im Datenschutz gilt das sogenannte Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass jegliche Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten einer Rechtsgrundlage oder informierter Einwilligungen bedarf.
Für den Datentransfer in sog. Drittländer – wie auch Japan – kommt somit ein weiteres Prüfkriterium hinzu. Neben der Prüfung der grundsätzlichen Zulässigkeit der Datenübermittlung, muss sichergestellt werden, dass am Ort des Datenempfängers ein ausreichendes Datenschutzniveau herrscht. Die EU-Kommission hat in Ausübung ihrer Kompetenzen einige Länder (und Territorien) identifiziert, die über ein ähnlich hohes Datenschutzniveau verfügen, wie die Mitgliedstaaten der EU und des EWR. Zu diesen Ländern gehören bspw. Argentinien, die Schweiz und Israel aber auch die Isle of Man, Guernsey und Jersey. Bei einer Datenübermittlung in eines dieser Länder muss das dort herrschende Datenschutzniveau nicht gesondert geprüft werden. Sollte die EU-Kommission zukünftig auch Japan ein angemessenes Datenschutzniveau diagnostizieren, so dürfte dies zur einer Erleichterung für zahlreiche Unternehmen, die personenbezogene Daten an japanische Unternehmen übermitteln, führen.
Fazit
Die japanische Regierung strebt weiterhin eine Erleichterung des Datentransfers an und hatte bereits erste Schritte mit der EU-Kommission unternommen, die in diesem Jahr weiter ausgeformt werden sollen. Die Feststellung eines angemessenen Datenschutzniveaus dürfte jedoch, wie bereits erläutert, zu Erleichterungen führen und von zahlreichen Unternehmen sehnsüchtig erwartet werden.
