Zwischen freiem Datenfluss und Schutz persönlicher Daten

Das Datenschutzgesetz von 2005, der "Act on the Protection of Personal Information" (APPI), ist seit Mai 2017 in einer grundlegend überholten Version in Kraft. Es zielt darauf ab, mit den Veränderungen des digitalen Umfeldes Schritt zu halten. Denn mit der digitalen Transformation haben auch in Japan Datendiebstahl und Hackerangriffe zugenommen.

Gesetzliche Ähnlichkeit mit DSGVO

Das Datenschutzniveau von Japan ist mit der auf Ebene der Europäischen Union (EU) eingeführten Datenschutz-Grundverordnung (DSGVO) grundsätzlich vergleichbar. Daher können seit der gegenseitigen Adäquanz-Entscheidung der EU-Kommission und der japanischen Personal Information Protection Commission (PPC) vom 23. Januar 2019 personenbezogene Daten ohne zusätzliche Garantien oder sonstige spezielle Anforderungen für den Datentransfer übermittelt werden. Allerdings muss gemäß dem japanischen Datenschutzgesetz die Erlaubnis der betroffenen Person zur Übertragung der gesammelten persönlichen Daten an eine separate Firma eingeholt werden. Dabei gilt es zu beachten, dass auch ein Gruppenunternehmen, beispielsweise das Mutterhaus in Deutschland, eine separate rechtliche Einheit von der japanischen Tochter darstellt.

Gemeinsamer Nutzungszweck möglich

Ferner ist es möglich, persönliche Daten gemeinsam mit einer separaten rechtlichen Einheit zu nutzen. Hierzu müssen der gemeinsame Verwendungszweck (Joint Use) sowie Details der Nutzung, beispielsweise welche Daten verwendet werden sollen, der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden. Für die gemeinsame Nutzung der von der japanischen Tochter erhobenen persönlichen Daten mit der deutschen Muttergesellschaft wird dieser gemeinsame Verwendungszweck unbedingt empfohlen.

Gesetz wird extraterritorial angewendet

Weiterhin sollte beachtet werden, dass das japanische Datenschutzrecht eine extraterritoriale Anwendung kennt. Dies kommt zum Tragen, wenn Daten von in Japan ansässigen Individuen aus dem Ausland gesammelt werden. Eine weitere Anpassung der Regelungen in Richtung der DSGVO wird laut Rechtsexperten zum 1. April 2022 erfolgen. Die anvisierte Änderung betrifft etwa die verpflichtende Meldung im Falle von Datenverletzungen.

"Die Einwilligung des Datensubjektes ist nach wie vor das wichtigste Legitimationstool für den Datentransfer."

Dies sei der wichtigste Unterschied des japanischen Datenschutzgesetzes zur DSGVO, betont Ulrich Kirchhoff, Rechtsanwalt beim ARQIS Foreign Law Office in Tokyo. "Eine Rechtfertigung, wie das berechtigte Interesse der DSGVO, kennt das japanische Datenschutzrecht grundsätzlich nicht", erläutert der Experte.

Imageschäden und Geldstrafe drohen bei Verstößen

Die Nichteinhaltung von Datenschutzanforderungen kann nicht nur zum Reputationsverlust, sondern auch zu direkten Schadenersatzansprüchen der betroffenen Personen führen. Bußgelder in Höhe von bis zu 100 Millionen Yen (umgerechnet rund 0,87 Millionen US-Dollar) oder eine Freiheitsstrafe bis zu einem Jahr sind möglich. Japan verfügt mit der PPC seit 2016 über eine unabhängige Datenschutzbehörde, die Verstöße überwacht.

Alle Unternehmen, die persönliche Daten für ihr Geschäft nutzen, wie beispielsweise Betreiber von Informations- und Kommunikationsinfrastruktur oder Anbieter von Onlinediensten, müssen die Datensicherheit gewährleisten. Insbesondere in Branchen mit einem hohen Anteil an personenbezogenen Informationen, wie dem E-Commerce, Gesundheitsdiensten und der Finanzwirtschaft, werden gut abgesicherte Datenverarbeitungssysteme eingefordert.

Eine verpflichtende Datenspeicherung auf Servern in Japan wird grundsätzlich nicht verlangt. Sie ist aber zu empfehlen, wenn der Server nicht in einem Land des Europäischen Wirtschaftsraumes und damit nicht in einem EU-Mitgliedsland, Norwegen, Island oder Liechtenstein steht.

Dieser Inhalt gehört zu