Deutsch English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_de/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > 【Neueste Ausgabe】Was ist das Datenschutzgesetz? Grundlegendes Wissen, das man unbedingt kennen sollte, einfach erklärt

【Neueste Ausgabe】Was ist das Datenschutzgesetz? Grundlegendes Wissen, das man unbedingt kennen sollte, einfach erklärt

General Corporate

【Neueste Ausgabe】Was ist das Datenschutzgesetz? Grundlegendes Wissen, das man unbedingt kennen sollte, einfach erklärt

In jüngster Zeit ist das gesellschaftliche Interesse an der Handhabung von personenbezogenen Daten und dem Datenschutz gestiegen. Die Gesetze zum Schutz personenbezogener Daten und die damit verbundenen Vorschriften enthalten jedoch viele Bestimmungen, die man kennen muss, und sind oft komplex, sodass es nicht einfach ist, sich in diesem Bereich zurechtzufinden. Darüber hinaus wird das Gesetz zum Schutz personenbezogener Daten häufig geändert, um den sich wandelnden gesellschaftlichen Bedingungen gerecht zu werden, was bedeutet, dass es wichtig ist, sich täglich auf dem Laufenden zu halten.

In diesem Artikel erklären wir die Grundlagen des japanischen Gesetzes zum Schutz personenbezogener Daten, die jeder, der mit personenbezogenen Daten umgeht, zumindest kennen sollte, basierend auf den neuesten Änderungen, die im Jahr 2022 (Reiwa 4) in Kraft getreten sind. Dieser Artikel basiert auf den Gesetzen und Informationen, die im Januar 2025 (Reiwa 7) aktuell sind.

Abkürzungen
Gesetz: Gesetz zum Schutz personenbezogener Daten
Verordnung: Datenschutzverordnung
Leitlinien: Leitlinien zum Gesetz über den Schutz personenbezogener Daten (Allgemeiner Teil) der japanischen Datenschutzkommission, September 2022 (Link)[ja]

Zweck und Hintergrund der Änderungen des japanischen Gesetzes zum Schutz persönlicher Informationen

In der digitalen Gesellschaft steigt die Bedeutung des Schutzes vor Missbrauch persönlicher Informationen stetig an, und das japanische Gesetz zum Schutz persönlicher Informationen wurde bereits mehrfach geändert. In diesem Artikel erläutern wir den Zweck des Gesetzes zum Schutz persönlicher Informationen und den Hintergrund dieser Änderungen.

Zweck des Gesetzes zum Schutz persönlicher Informationen

Das Gesetz zum Schutz persönlicher Informationen definiert hauptsächlich die Regeln für den angemessenen Umgang mit persönlichen Informationen.

Services, die persönliche Informationen und Daten nutzen, sind für uns mittlerweile selbstverständlich geworden. Während Unternehmen persönliche Informationen für die Effizienzsteigerung und Digitalisierung ihrer Geschäftsprozesse nutzen, steigt auch das Risiko von Datenlecks und Missbrauch.

Kurz gesagt, zielt das Gesetz zum Schutz persönlicher Informationen darauf ab, unter Berücksichtigung der Nützlichkeit von persönlichen Informationen, die Rechte und Interessen von Individuen zu schützen (Artikel 1 des Gesetzes). Beim Studium des Gesetzes zum Schutz persönlicher Informationen ist es sehr wichtig, eine Balance zwischen diesen beiden Aspekten zu finden.

Dieses Gesetz berücksichtigt die erhebliche Ausweitung der Nutzung persönlicher Informationen im Zuge des Fortschritts der digitalen Gesellschaft und legt die grundlegenden Konzepte sowie die grundlegenden Richtlinien der Regierung und andere grundlegende Angelegenheiten zum Schutz persönlicher Informationen fest, klärt die Pflichten von Staat und lokalen öffentlichen Körperschaften und bestimmt die Pflichten, denen Unternehmen und Verwaltungsorgane je nach ihren Eigenschaften nachkommen müssen. Durch die Einrichtung der Kommission zum Schutz persönlicher Informationen wird eine angemessene und reibungslose Verwaltung der Geschäfte und des Betriebs von Verwaltungsorganen angestrebt, und gleichzeitig soll die angemessene und effektive Nutzung persönlicher Informationen zur Schaffung neuer Industrien sowie zur Verwirklichung einer dynamischen Wirtschaftsgesellschaft und eines reichen Lebens der Bürger beitragen, während gleichzeitig die Rechte und Interessen von Individuen geschützt werden.

Zitat: Gesetz zum Schutz persönlicher Informationen, Artikel 1

Es ist zu beachten, dass das Gesetz zum Schutz persönlicher Informationen nicht alle Regeln für den Umgang mit persönlichen Informationen festlegt; detaillierte Regeln sind in Verordnungen und Vorschriften festgelegt.

Darüber hinaus gibt es verschiedene Leitlinien und Q&As, die von der Kommission zum Schutz persönlicher Informationen festgelegt wurden, um konkrete rechtliche Interpretationen und Hinweise zum Betrieb des Gesetzes zum Schutz persönlicher Informationen zu geben. Obwohl diese selbst keine rechtliche Bindungskraft haben, dienen sie in der Praxis als Standards und werden von vielen Unternehmen als Referenz herangezogen.

Referenz: Kommission zum Schutz persönlicher Informationen | Gesetze und Leitlinien[ja]

Hintergrund der Änderungen

Das Gesetz zum Schutz persönlicher Informationen wurde erstmals im Jahr Heisei 17 (2005) in Kraft gesetzt.

Seitdem haben die Entwicklung der Informations- und Kommunikationstechnologie und die Globalisierung zu einer Zunahme der Nutzung persönlicher Informationen geführt, die zum Zeitpunkt der Verabschiedung des Gesetzes nicht vorhergesehen wurde. Vor diesem Hintergrund wurde das Gesetz zum Schutz persönlicher Informationen in Heisei 27 (2015) umfassend geändert und in Reiwa 2 (2020) erneut geändert.

Die Kommission zum Schutz persönlicher Informationen hat gemäß dem “Großen Rahmen für die Systemänderung des Gesetzes zum Schutz persönlicher Informationen, bekannt als die alle drei Jahre stattfindende Überprüfung[ja]“, die Überprüfung des Gesetzes zum Schutz persönlicher Informationen alle drei Jahre vorangetrieben.

Der Rahmen für die Änderung besagt, dass Aspekte wie “Schutz der Rechte und Interessen von Individuen”, “Balance zwischen Schutz und Nutzung”, “Harmonisierung mit internationalen Trends”, “Reaktion auf Risikoänderungen durch ausländische Unternehmen” und “Anpassung an das Zeitalter von KI und Big Data” berücksichtigt werden.

Das derzeit in Kraft befindliche neueste Änderungsgesetz, das Gesetz von Reiwa 2 (2020), trat im April 2022 in Kraft. Gemäß dem Überprüfungsplan der Kommission zum Schutz persönlicher Informationen könnte das Gesetz nach drei Jahren, also im Jahr 2023 (oder 2024), erneut geändert werden.

Im Folgenden werden wir die Definitionen und Klassifizierungen der Artikel des Gesetzes zum Schutz persönlicher Informationen basierend auf dem Änderungsgesetz von Reiwa 2 sowie die wichtigsten Bestimmungen zusammenfassen und erläutern.

Definitionen und Klassifizierungen nach dem japanischen Gesetz zum Schutz persönlicher Informationen

Definitionen und Klassifizierungen nach dem japanischen Gesetz zum Schutz persönlicher Informationen

Um die Bestimmungen des japanischen Gesetzes zum Schutz persönlicher Informationen zu verstehen, ist die erste Hürde die einzigartige Terminologie. Im Gegensatz zu den Worten, die wir im Alltag verwenden, sind im rechtlichen Kontext viele Bestimmungen auf der Grundlage von Definitionen festgelegt, daher ist es wichtig, zunächst die Bedeutung der Begriffe zu verstehen.

In diesem Artikel werden wir die folgenden Begriffe erläutern:

  • Persönliche Informationen
  • Personenbezogene Daten
  • Gespeicherte personenbezogene Daten

Es mag sein, dass einige Begriffe ähnlich klingen, aber im Rahmen des japanischen Gesetzes zum Schutz persönlicher Informationen gibt es klare Unterschiede, und für jede Definition sind unterschiedliche Bestimmungen festgelegt. Es ist gut zu wissen, dass die Verpflichtungen in der Reihenfolge von “Persönliche Informationen” über “Personenbezogene Daten” zu “Gespeicherte personenbezogene Daten” zunehmen.

Persönliche Informationen unter japanischem Recht

Persönliche Informationen sind gemäß Artikel 2 Absatz 1 Nummer 1 und Nummer 2 des Gesetzes Informationen über “lebende” Personen, die “eine bestimmte Person identifizieren können” oder “einen persönlichen Identifikationscode enthalten”.

Verstorbene oder fiktive Personen gelten nicht als “lebend”, und Informationen über juristische Personen oder statistische Daten fallen nicht unter “Informationen über Personen”.

“Informationen, die eine bestimmte Person identifizieren können”, umfassen typischerweise Namen, Telefonnummern, Adressen, Geburtsdaten und Fotos, aber Informationen, die einer bestimmten Person zugeordnet sind, werden insgesamt als persönliche Informationen betrachtet. Das bedeutet, dass Informationen, die allein keine Identifizierung einer Person ermöglichen (wie z.B. ID oder Kaufhistorie), in Verbindung mit einem Namen oder einer Telefonnummer “eine bestimmte Person identifizieren können” und somit als persönliche Informationen gelten.

Des Weiteren fallen unter den “persönlichen Identifikationscode (Artikel 2 Absatz 2)” typischerweise eindeutige öffentliche Nummern wie die My Number, Führerscheinnummern, Passnummern oder Versicherungsnummern (ebenda Nummer 2). Auch Daten, die aus biometrischen Informationen wie Fingerabdrücken oder DNA gewonnen wurden, gelten als persönliche Identifikationscodes (ebenda Nummer 1).

Zudem wird das Kriterium, “eine bestimmte Person identifizieren zu können”, so verstanden, dass es “Informationen einschließt, die leicht mit anderen Informationen abgeglichen werden können und dadurch eine bestimmte Person identifizieren können” (= “leichte Abgleichbarkeit”).

Beispielsweise können in einer Datenbank mit Browserverläufen, die Benutzer-IDs und Browsing-Informationen enthalten, die Betrachter keine bestimmte Person identifizieren. Wenn jedoch in einer Benutzerverwaltungsdatenbank (einer anderen Datenbank) dieselbe Benutzer-ID zusammen mit Namen, Adressen und anderen Informationen vorhanden ist, kann durch Abgleich der gemeinsamen Benutzer-ID eine bestimmte Person identifiziert werden. Daher werden in diesem Fall die Browsing-Informationen, auch wenn sie allein keine bestimmte Person identifizieren können, aufgrund der “leichten Abgleichbarkeit” insgesamt als persönliche Informationen betrachtet. Das bedeutet, dass je nach der tatsächlichen Handhabung in einem Unternehmen bestimmte Informationen als “persönliche Informationen” gelten können, was Aufmerksamkeit erfordert.

Artikel 2 In diesem Gesetz bezieht sich der Begriff “persönliche Informationen” auf Informationen über lebende Personen, die einem der folgenden Punkte entsprechen:

1. Informationen, die eine bestimmte Person aufgrund von Namen, Geburtsdatum oder anderen Beschreibungen identifizieren können, die in Dokumenten, Zeichnungen oder elektronischen Aufzeichnungen (elektronische, magnetische oder andere Methoden, die nicht durch menschliche Wahrnehmung erkannt werden können, im Folgenden gleich) festgehalten oder aufgezeichnet sind oder durch Stimme, Bewegungen oder andere Methoden dargestellt werden (ausgenommen persönliche Identifikationscodes).

2. Informationen, die einen persönlichen Identifikationscode enthalten

Japanisches Gesetz zum Schutz persönlicher Informationen Artikel 2 Absatz 1 Nummer 1 und Nummer 2

Persönliche Daten

Die Sammlung von personenbezogenen Informationen, die in einer Datenbank organisiert oder in einem durchsuchbaren Zustand gehalten werden, wird als “persönliche Informationsdatenbank etc.” bezeichnet (Artikel 16, Absatz 1, Punkt 1 und Punkt 2 des Gesetzes).

Zum Beispiel sind die Informationen einer Person auf einer Visitenkarte “personenbezogene Informationen”, aber wenn Sie diese Informationen in einer nach dem japanischen Kana-Index sortierten Datei speichern und mehrere Visitenkarteninformationen durchsuchbar machen oder sie mit Excel in eine Datenbank umwandeln, werden sie zu einer “persönlichen Informationsdatenbank etc.”, die systematisch so strukturiert ist, dass spezifische personenbezogene Informationen gesucht werden können.

Und die einzelnen personenbezogenen Informationen, die diese “persönliche Informationsdatenbank etc.” bilden, werden als “persönliche Daten” bezeichnet (Artikel 16, Absatz 3 des Gesetzes). Wenn es sich um persönliche Daten handelt, gibt es im Vergleich zu “personenbezogenen Informationen” zusätzliche Regulierungen für die Handhabung, wie Vorschriften zur Weitergabe an Dritte und Pflichten zur Sicherheitsverwaltung (weitere Details folgen).

Der Grund dafür ist, dass persönliche Daten, wenn sie in einer Datenbank organisiert werden, ein hohes Risiko für Massenlecks bergen und leichter mit anderen Methoden verknüpft werden können, was die Gefahr einer Verletzung der Rechte der betroffenen Person erhöht.

Besitz persönlicher Daten

Persönliche Daten, die von einem Unternehmen verwaltet werden und auf Anfrage der betroffenen Person offengelegt werden müssen, werden als “besitz persönlicher Daten” bezeichnet (gemäß Artikel 16 Absatz 4 des japanischen Gesetzes). Typischerweise umfassen diese Daten Informationen über Kunden und Mitarbeiter, die direkt im Geschäftsbetrieb gesammelt wurden. Informationen hingegen, die beispielsweise im Rahmen einer Auftragsverarbeitung von Dritten übernommen wurden und für die keine Offenlegungsbefugnis besteht, fallen nicht unter besitz persönliche Daten.

Wenn es sich um besitz persönliche Daten handelt, muss das Unternehmen die festgelegten Informationen veröffentlichen, Anfragen der betroffenen Personen umgehend beantworten und Anträge auf Offenlegung, Berichtigung oder Löschung etc. bearbeiten (weitere Details werden später erläutert).

Im japanischen Datenschutzgesetz ist “persönliche Information” der weiteste Begriff, gefolgt von “persönlichen Daten” und “besitz persönlichen Daten” mit zunehmend engeren Definitionen und zusätzlichen Regulierungen. Da sich die anwendbaren Vorschriften mit jeder Definition ändern, ist Vorsicht geboten. Lassen Sie uns dies anhand der untenstehenden Grafik überprüfen.

Unterschiedliche Regeln je nach Art der Informationen

Wie die folgende Abbildung zeigt, sind die Hauptbestimmungen des japanischen Gesetzes zum Schutz persönlicher Informationen (Personal Information Protection Law) entsprechend der Unterscheidung zwischen “persönlichen Informationen”, “persönlichen Daten” und “besessenen persönlichen Daten” festgelegt.

Quelle: Japanische Datenschutzbehörde (Personal Information Protection Commission), “Grundlagen des Gesetzes zum Schutz persönlicher Informationen”, Seite 25

Im Folgenden werden wir einen Überblick geben über:

  • Die Festlegung und Mitteilung des Verwendungszwecks persönlicher Informationen
  • Sicherheitsmaßnahmen für persönliche Daten und das Management von Auftragnehmern
  • Die Weitergabe persönlicher Daten an Dritte und deren Ausnahmen
  • Die Bearbeitung von Anfragen zur Offenlegung besessener persönlicher Daten

und diese Themen näher erläutern.

Zweckbestimmung und Benachrichtigung bei der Nutzung personenbezogener Daten

Zunächst ist es nach dem japanischen Gesetz zum Schutz personenbezogener Daten erforderlich, den Zweck der Nutzung personenbezogener Daten so genau wie möglich zu bestimmen, wenn diese erfasst werden (Artikel 17 Absatz 1), und es ist nicht gestattet, personenbezogene Daten über das Maß hinaus zu verarbeiten, das zur Erreichung des festgelegten Zwecks notwendig ist (Artikel 18 Absatz 1).

Wenn der Nutzungszweck geändert werden soll, darf dies nur innerhalb eines Rahmens erfolgen, der in Bezug auf den ursprünglichen Zweck als vernünftigerweise relevant und vorhersehbar angesehen wird (Artikel 17 Absatz 2).

Darüber hinaus muss der festgelegte Nutzungszweck der betroffenen Person mitgeteilt oder veröffentlicht werden (Artikel 21 Absatz 1).

Obwohl das japanische Gesetz zum Schutz personenbezogener Daten keine spezifischen Methoden für die Benachrichtigung oder Veröffentlichung vorschreibt, ist es üblich, dies in Form einer “Datenschutzrichtlinie” oder “Richtlinie zum Schutz personenbezogener Daten” zu tun.

Die Richtlinien der japanischen Kommission für den Schutz personenbezogener Daten legen Folgendes fest:

Der Nutzungszweck sollte nicht nur abstrakt und allgemein bestimmt werden, sondern so konkret, dass die betroffene Person vernünftigerweise annehmen kann, wie und zu welchem Zweck ihre personenbezogenen Daten letztendlich im Rahmen der Geschäftstätigkeit des Datenverarbeiters verwendet werden.

Kommission für den Schutz personenbezogener Daten ‘Allgemeine Richtlinien[ja]‘ 3-1-1

Zudem werden in denselben Richtlinien Beispiele aufgeführt, die konkret angeben, was als Bestimmung des Nutzungszwecks angesehen werden kann.

[Beispiele für eine konkrete Zweckbestimmung]

Beispiel: Wenn ein Unternehmen im Rahmen des Verkaufs von Produkten Namen, Adressen, E-Mail-Adressen usw. von Personen erfasst und dabei den Nutzungszweck wie folgt angibt: ‘Wir verwenden Ihre Daten für den Versand von Produkten im Rahmen des ○○-Geschäfts, für damit verbundene Kundendienstleistungen und um Sie über neue Produkte und Dienstleistungen zu informieren.’

[Beispiele für eine nicht konkrete Zweckbestimmung]

Beispiel 1) ‘Zur Verwendung in Geschäftsaktivitäten’

Beispiel 2) ‘Zur Verwendung in Marketingaktivitäten’

Das bedeutet, dass der Nutzungszweck personenbezogener Daten so spezifiziert werden muss, dass die betroffene Person verstehen kann, wie und zu welchem Zweck die Daten in einem bestimmten Geschäftsbereich verwendet werden.

Wenn personenbezogene Daten direkt aus schriftlichen Unterlagen (einschließlich elektronischer Aufzeichnungen) erfasst werden, muss der Nutzungszweck im Voraus gegenüber der betroffenen Person klar dargelegt werden (Artikel 21 Absatz 2).

Sicherheitsmanagementmaßnahmen für personenbezogene Daten und die Verwaltung von Auftragnehmern in Japan

Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, notwendige und angemessene Maßnahmen zu ergreifen, um die Sicherheit dieser Daten zu gewährleisten und Datenlecks, Verlust oder Beschädigung zu verhindern (Artikel 23 des Gesetzes).

Darüber hinaus müssen die ergriffenen Sicherheitsmaßnahmen für die gehaltenen personenbezogenen Daten in einem Zustand sein, der es der betroffenen Person ermöglicht, Kenntnis davon zu erlangen (einschließlich der Fälle, in denen auf Anfrage unverzüglich geantwortet wird) (Artikel 32 Absatz 1 Nummer 4 des Gesetzes, Artikel 10 Absatz 1 der Durchführungsverordnung zum Gesetz zum Schutz personenbezogener Informationen).
Konkrete Beispiele für zu ergreifende Sicherheitsmaßnahmen finden sich in den Richtlinien[ja].

10-1 Entwicklung einer Grundpolitik

10-2 Festlegung von Regeln für die Handhabung personenbezogener Daten

10-3 Organisatorische Sicherheitsmaßnahmen

10-4 Personelle Sicherheitsmaßnahmen

10-5 Physische Sicherheitsmaßnahmen

10-6 Technische Sicherheitsmaßnahmen

10-7 Erfassung der externen Umgebung

Zitat: Datenschutzkommission „Allgemeine Richtlinien[ja]“ Abschnitt 10

Die Sicherheitsmaßnahmen müssen jedoch nicht von allen Unternehmen nach denselben Standards umgesetzt werden. Beispielsweise unterscheiden sich die erforderlichen Maßnahmen zwischen großen IT-Unternehmen, die personenbezogene Daten von Millionen von Menschen verarbeiten, und kleinen und mittleren Unternehmen, die nur begrenzte personenbezogene Daten verarbeiten. Die Sicherheitsmaßnahmen sollten unter Berücksichtigung verschiedener Faktoren wie der Größe und Art des Unternehmens, der Art und Menge der verarbeiteten personenbezogenen Daten sowie der erwarteten Risiken angemessen gestaltet werden.

Zusätzlich zu den oben genannten Punkten sind Unternehmen verpflichtet, ihre Mitarbeiter und Auftragnehmer angemessen zu überwachen, um die Sicherheit der personenbezogenen Daten zu gewährleisten (Artikel 24 und 25 des Gesetzes).

Die Weitergabe personenbezogener Daten an Dritte und deren Ausnahmen unter japanischem Recht

Die Weitergabe personenbezogener Daten an Dritte und deren Ausnahmen

Bei der Weitergabe personenbezogener Daten an Dritte ist es grundsätzlich erforderlich, die Zustimmung der betroffenen Person einzuholen (Artikel 27 Absatz 1 des Gesetzes).

Je nach dem konkreten Fall kann man davon ausgehen, dass die Zustimmung zur Weitergabe an Dritte erteilt wurde, wenn die Zustimmung der betroffenen Person ordnungsgemäß über Nutzungsbedingungen, Vertragsklauseln, Datenschutzrichtlinien usw., die eine solche Weitergabe vorsehen, eingeholt wurde.

Es gibt jedoch Ausnahmefälle, in denen die Zustimmung der betroffenen Person aus öffentlichen Gründen nicht erforderlich ist, wenn personenbezogene Daten an Dritte weitergegeben werden (Artikel 27 Absatz 1, verschiedene Punkte des Gesetzes).

Artikel 27 des japanischen Gesetzes zum Schutz personenbezogener Daten besagt, dass Betreiber von Geschäften, die personenbezogene Daten handhaben, diese Daten nicht an Dritte weitergeben dürfen, ohne zuvor die Zustimmung der betroffenen Person einzuholen, es sei denn, einer der folgenden Fälle liegt vor:

1. Wenn es aufgrund eines Gesetzes erforderlich ist.

2. Wenn es notwendig ist, um das Leben, den Körper oder das Eigentum einer Person zu schützen und es schwierig ist, die Zustimmung der betroffenen Person zu erhalten.

3. Wenn es besonders notwendig ist, um die öffentliche Gesundheit zu verbessern oder die gesunde Entwicklung von Kindern zu fördern, und es schwierig ist, die Zustimmung der betroffenen Person zu erhalten.

4. Wenn es notwendig ist, mit staatlichen Institutionen oder lokalen öffentlichen Körperschaften oder deren Beauftragten bei der Durchführung von Aufgaben, die durch Gesetze festgelegt sind, zusammenzuarbeiten und die Einholung der Zustimmung der betroffenen Person die Durchführung dieser Aufgaben behindern könnte.

5 bis 7 (Auszug weggelassen)

Zitat: Artikel 27 des japanischen Gesetzes zum Schutz personenbezogener Daten

Im Folgenden wird die Übermittlung personenbezogener Daten an Dritte im Ausland erläutert.

Grundsätzlich ist bei der Übermittlung personenbezogener Daten an Dritte im Ausland (einschließlich Auftragsverarbeitung und gemeinsamer Nutzung) zusätzlich zu den oben genannten Regelungen zur Weitergabe personenbezogener Daten an Dritte die Zustimmung erforderlich (“Artikel 28 des Gesetzes”). Vor der Einholung der Zustimmung müssen die folgenden Informationen bereitgestellt werden (“Paragraph 17 Absatz 2 des Regelwerks”).

1. Der Name des betreffenden Landes

2. Informationen über das System zum Schutz personenbezogener Daten in dem betreffenden Land, die auf angemessene und vernünftige Weise erlangt wurden

3. Informationen über die Maßnahmen zum Schutz personenbezogener Daten, die von dem Dritten ergriffen werden

Für eine detaillierte Beschreibung der Vorgehensweise können die von der japanischen Kommission zum Schutz personenbezogener Daten festgelegten Richtlinien zum Gesetz zum Schutz personenbezogener Daten (Übermittlung an Dritte im Ausland)[ja] 5-2 als Referenz dienen.

Es gibt jedoch zwei Ausnahmen von den oben genannten Regelungen.

Wenn der Dritte in einem Land ansässig ist, das von der japanischen Kommission zum Schutz personenbezogener Daten als Land anerkannt wird, das über ein Datenschutzsystem verfügt, das dem Japans gleichwertig ist (Standardsystemkonformität, im November 2023 sind dies die EWR-Mitgliedstaaten und das Vereinigte Königreich), wird dieser Dritte nicht als “Ausland” betrachtet. Das bedeutet, dass die Regelungen für grenzüberschreitende Übermittlungen nicht gelten und die Weitergabe an diesen Dritten wie eine Weitergabe an einen inländischen Geschäftspartner behandelt wird.

Als nächstes wird der Fall der grenzüberschreitenden Übermittlung auf der Grundlage des oben genannten Standardsystemkonformität erläutert. Das heißt, wenn ① “Maßnahmen ergriffen werden, die notwendig sind, um die kontinuierliche Durchführung angemessener Maßnahmen zu gewährleisten” und ② “Informationen über die notwendigen Maßnahmen” auf Anfrage der betroffenen Person bereitgestellt werden, ist die Einholung der Zustimmung nicht erforderlich (“Artikel 28 Absatz 1 und 3 des Gesetzes”).

Die oben genannte ① ist in “Paragraph 18 Absatz 1 des Regelwerks” festgelegt.

Artikel 18: Die Maßnahmen, die erforderlich sind, um die kontinuierliche Durchführung angemessener Maßnahmen durch Dritte im Ausland gemäß den Bestimmungen des Absatzes 3 von Artikel 28 (einschließlich der Fälle, in denen diese Bestimmungen gemäß Absatz 2 von Artikel 31 entsprechend angewendet werden), sind wie folgt festgelegt:

1. Die Durchführung der angemessenen Maßnahmen durch den Dritten und das Vorhandensein sowie der Inhalt von Systemen im Ausland, die die Durchführung der angemessenen Maßnahmen beeinflussen könnten, müssen in einer angemessenen und vernünftigen Weise regelmäßig überprüft werden.

2. Sollten Schwierigkeiten bei der Durchführung der angemessenen Maßnahmen durch den Dritten auftreten, sind notwendige und angemessene Maßnahmen zu ergreifen. Sollte die kontinuierliche Durchführung der angemessenen Maßnahmen schwierig werden, ist die Weitergabe von personenbezogenen Daten (im Falle einer entsprechenden Anwendung gemäß Absatz 2 von Artikel 31, personenbezogene Informationen) an den Dritten einzustellen.

Zitat: Durchführungsverordnung zum Gesetz zum Schutz personenbezogener Daten, Artikel 18 Absatz 1

Laut den Richtlinien bedeutet “regelmäßige Überprüfung” in Punkt 1, dass die Überprüfung mindestens einmal pro Jahr oder häufiger erfolgen sollte.

Es ist nicht erforderlich, vorab eine Meldung an die Kommission zum Schutz personenbezogener Daten zu machen, um zu bestätigen, dass die erforderlichen Systeme eingerichtet sind.

Die Details zu oben genanntem Punkt 2 sind in Absatz 3 von Artikel 18 des Gesetzes detailliert festgelegt.

3. Betreiber von Geschäften, die personenbezogene Daten verarbeiten, müssen, wenn sie gemäß Absatz 3 des Artikels 28 des Gesetzes dazu aufgefordert werden, der betroffenen Person unverzüglich Informationen zu den nachfolgend aufgeführten Punkten zur Verfügung stellen. Jedoch kann die Bereitstellung dieser Informationen ganz oder teilweise verweigert werden, falls dadurch die ordnungsgemäße Durchführung der Geschäftstätigkeiten des Betreibers erheblich beeinträchtigt werden könnte.

eins. Die Methode zur Einrichtung des Systems gemäß Absatz 1 des Artikels 28 des Gesetzes durch den Dritten

zwei. Eine Zusammenfassung der angemessenen Maßnahmen, die von dem Dritten durchgeführt werden

drei. Die Häufigkeit und Methode der Überprüfung gemäß Nummer 1 des Absatzes 1

vier. Der Name des betreffenden ausländischen Landes

fünf. Die Existenz und eine Zusammenfassung des Systems des betreffenden ausländischen Landes, das die Durchführung der angemessenen Maßnahmen durch den Dritten beeinflussen könnte

sechs. Die Existenz und eine Zusammenfassung von Schwierigkeiten bei der Durchführung der angemessenen Maßnahmen durch den Dritten

sieben. Eine Zusammenfassung der Maßnahmen, die der Betreiber gemäß Nummer 2 des Absatzes 1 in Bezug auf die in der vorherigen Nummer genannten Schwierigkeiten ergreift

Zitat: Absatz 3 des Artikels 18 der Durchführungsverordnung zum Gesetz zum Schutz personenbezogener Daten

Wenn eine grenzüberschreitende Übertragung auf der Grundlage eines Standardsystemkonformitätsrahmens durchgeführt wird, ist es notwendig, der betroffenen Person nachträglich (auf Anfrage) Informationen zur Verfügung zu stellen.

Umgang mit Anfragen zur Offenlegung personenbezogener Daten nach japanischem Recht

Umgang mit Anfragen zur Offenlegung personenbezogener Daten

Artikel 33 des japanischen Gesetzes zum Schutz personenbezogener Daten regelt, dass Nutzer von Unternehmen, die personenbezogene Daten verarbeiten, die Offenlegung ihrer eigenen, identifizierbaren personenbezogenen Daten verlangen können.

Unternehmen, die personenbezogene Daten verarbeiten, müssen Verfahren zur Bearbeitung von Anfragen zur Offenlegung solcher Daten und die Höhe der dafür anfallenden Gebühren in einer Weise bereitstellen, die für die betroffene Person zugänglich ist (einschließlich der unverzüglichen Beantwortung von Anfragen der betroffenen Person gemäß Artikel 32 Absatz 1 des Gesetzes).

Das bedeutet, dass Unternehmen Verfahren festlegen können, wie Anfragen zur Offenlegung zu stellen sind, einschließlich der Anlaufstelle für Anfragen, des Formats für Antragsformulare, der Methoden zur Identitätsüberprüfung des Antragstellers, der Höhe und Erhebungsmethode der Gebühren. Antragsteller müssen diesen Verfahren folgen, um eine Offenlegungsanfrage zu stellen.

Beispielsweise können Unternehmen in ihrer Datenschutzrichtlinie ihre Telefonnummer, E-Mail-Adresse oder Postanschrift angeben, sodass Anfragen zur Offenlegung nur per Telefon, E-Mail oder Post entgegengenommen werden.

Nutzer können neben der Offenlegungsanfrage auch eine Berichtigung, Ergänzung oder Löschung ihrer Daten (gemäß Artikel 34 des Gesetzes) oder eine Anfrage zur Einstellung der Nutzung oder zur Löschung der Daten (gemäß Artikel 35 des Gesetzes) verlangen.

Zusammenfassung: Konsultieren Sie Experten für die Handhabung persönlicher Informationen

In diesem Artikel haben wir grundlegende Kenntnisse über das japanische Gesetz zum Schutz persönlicher Informationen (Personal Information Protection Law) umrissen, die Sie kennen sollten. Neben den im Artikel genannten Punkten variiert die spezifische Handhabung von persönlichen Informationen von Unternehmen zu Unternehmen, daher ist es notwendig, die relevanten Gesetze und Richtlinien zu konsultieren und entsprechende Maßnahmen zu erwägen.

Das japanische Gesetz zum Schutz persönlicher Informationen verlangt von Unternehmen, die persönliche Informationen verarbeiten, diese angemessen zu handhaben und notwendige sowie angemessene Maßnahmen für deren sichere Verwaltung zu ergreifen. Es ist ein wichtiges Gesetz, das für nahezu alle Unternehmen unumgänglich ist.

Wenn Sie Unsicherheiten bezüglich der Handhabung persönlicher Informationen oder der Maßnahmen haben, die Ihr Unternehmen ergreifen sollte, wird empfohlen, einen Anwalt zu konsultieren.

Verwandter Artikel: Die Punkte der überarbeiteten japanischen Gesetze zum Schutz persönlicher Informationen im Jahr Reiwa 6 (2024): Wichtige Änderungen und Maßnahmen, die Sie kennen sollten[ja]

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei zeichnet sich durch hohe Fachkompetenz in IT, insbesondere im Bereich Internetrecht und Rechtswissenschaften, aus. In der heutigen Zeit rücken Themen wie Datenschutz und Privatsphäre zunehmend in den Fokus der öffentlichen Aufmerksamkeit. Beispielsweise kann ein Datenleck, das persönliche Informationen eines Unternehmens betrifft, verheerende Auswirkungen auf die Geschäftstätigkeit haben. Unsere Kanzlei verfügt über spezialisiertes Wissen im Umgang mit dem japanischen Datenschutzgesetz. Weitere Einzelheiten finden Sie in dem folgenden Artikel.

Fachgebiete der Monolith Rechtsanwaltskanzlei: Rechtsangelegenheiten im Zusammenhang mit dem japanischen Datenschutzgesetz[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Erklärung des japanischen 'Unfair Competition Prevention Act': Anforderungen und Urteile zur Schadensersatzforderung für Rufschädigung

Erklärung des japanischen 'Unfair Competition Prevention Act': Anforderungen und Urteile zur Sch.

General Corporate

Die Ausweitung der 'eSports-Branche': Was sollten Sie bei der Unterzeichnung von Arbeitsverträgen beachten?

Die Ausweitung der 'eSports-Branche': Was sollten Sie bei der Unterzeichnung von Arbeitsverträge.

General Corporate

M&A “Geschäftsübertragung” - Eine Erklärung des Verfahrens: Vor- und Nachteile, worauf sollte man achten?

M&A “Geschäftsübertragung” - Eine Erklärung des Verfahrens: Vor- und Nachteile, .

General Corporate

Was ist eine 'Deemed Liquidation'-Klausel in einem Investitionsvertrag?

Was ist eine 'Deemed Liquidation'-Klausel in einem Investitionsvertrag?

General Corporate

Ändert sich je nach Art des Produkts? Beispiele für Verstöße gegen die Werbevorschriften erklärt

Ändert sich je nach Art des Produkts? Beispiele für Verstöße gegen die Werbevorschriften erklärt

General Corporate

Was sind die Kernpunkte der überarbeiteten japanischen Datenschutzgesetzes von Reiwa 6 (2024)? Erklärung der wichtigen Änderungen und Maßnahmen, die man kennen sollte

Was sind die Kernpunkte der überarbeiteten japanischen Datenschutzgesetzes von Reiwa 6 (2024)? E.

General Corporate

Aktueller Stand und Perspektiven der rechtlichen Herausforderungen im E-Sport

Aktueller Stand und Perspektiven der rechtlichen Herausforderungen im E-Sport

General Corporate

Verfahren und Vorsichtsmaßnahmen beim Kauf und Verkauf von Websites und Website-M&A

Verfahren und Vorsichtsmaßnahmen beim Kauf und Verkauf von Websites und Website-M&A

General Corporate

Fünf Checkpunkte für den richtigen Beratungsvertrag bei M&A

Fünf Checkpunkte für den richtigen Beratungsvertrag bei M&A

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Zurück Nach Oben