Was ist das japanische 'Personenschutzgesetz' und persönliche Informationen? Ein Anwalt erklärt

Das im Jahr 2015 überarbeitete und ab 2017 in Kraft getretene japanische Gesetz zum Schutz personenbezogener Daten (genauer gesagt das “Gesetz zum Schutz personenbezogener Informationen”) ist eine wichtige Rechtsvorschrift, wenn es um Fragen des Umgangs mit personenbezogenen Daten in der Unternehmenspraxis geht. Es klärt die gesetzlichen Pflichten, die auf die Verantwortlichen für die Verarbeitung personenbezogener Daten zukommen. Bis zum Jahr 2015 (Heisei 27) waren nur solche Verantwortlichen betroffen, die personenbezogene Daten von mehr als 5000 Personen besaßen. Daher gab es viele Unternehmen, insbesondere kleinere, die nicht als Verantwortliche für die Verarbeitung personenbezogener Daten galten. Nach der Überarbeitung im Jahr 2015 wurde diese Bedingung jedoch aufgehoben, so dass nun nahezu alle Unternehmen als Verantwortliche für die Verarbeitung personenbezogener Daten gelten. Dieses Gesetz ist daher unumgänglich, auch für Inhaber von Kleinunternehmen. Für Aktivitäten wie Versandhandel, Newsletter, Direktmarketing oder Kundenkarten in physischen Geschäften ist es notwendig, personenbezogene Daten wie Namen und E-Mail-Adressen von Kunden zu verarbeiten. Daher ist es wichtig, die Grundlagen des Gesetzes zum Schutz personenbezogener Daten zu verstehen.

Zweck und Definition des japanischen Datenschutzgesetzes

Was genau ist das japanische Datenschutzgesetz? Lassen Sie uns einen Blick auf die Übersicht werfen. Zunächst wird in Artikel 1 der Zweck dieses Gesetzes klar definiert.

Artikel 1 des japanischen Datenschutzgesetzes
Dieses Gesetz zielt darauf ab, die Rechte und Interessen der Einzelpersonen zu schützen, während es die Nützlichkeit personenbezogener Daten berücksichtigt, indem es die Pflichten und Verpflichtungen der Unternehmen, die personenbezogene Daten verarbeiten, sowie die Pflichten und Verantwortlichkeiten der Regierung und lokalen öffentlichen Körperschaften klar definiert. Dies geschieht vor dem Hintergrund der erheblichen Ausweitung der Nutzung personenbezogener Daten aufgrund des Fortschritts der Informations- und Kommunikationstechnologie. Durch die angemessene und effektive Nutzung personenbezogener Daten wird die Schaffung neuer Industrien und eine dynamische Wirtschaft und Gesellschaft sowie ein reichhaltiges Leben für die Bürger gefördert.

So steht es geschrieben.

In Artikel 2 werden personenbezogene Daten, individuelle Daten und gehaltene individuelle Daten definiert (Artikel 2 Absatz 1, 4, 5).
Im japanischen Datenschutzgesetz bezeichnet “personenbezogene Daten” “Informationen über eine lebende Person”, die “eine bestimmte Person identifizieren können” durch “Namen, Geburtsdatum und andere Beschreibungen” in diesen Informationen (einschließlich solcher, die durch einfache Abgleichung mit anderen Informationen eine bestimmte Person identifizieren können). “Individuelle Daten” sind personenbezogene Daten, die in einer Datenbank durch einen Computer gespeichert sind, und solche, die von einem Unternehmen für mehr als sechs Monate gehalten werden, sind “gehaltene individuelle Daten”.

Ob personenbezogene Daten in einer Datenbank gespeichert sind oder nicht, hat einen großen Einfluss auf die Notwendigkeit ihres Schutzes. Individuelle Daten sind personenbezogene Daten, die systematisch organisiert und leicht durchsuchbar sind, da sie in einer Datenbank gespeichert sind, und daher besteht eine höhere Wahrscheinlichkeit einer Rechtsverletzung, so dass sie stärker geschützt sind als allgemeine personenbezogene Daten.

Noch stärker geschützt sind gehaltene individuelle Daten. Dies sind individuelle Daten, bei denen der Verantwortliche für die Verarbeitung personenbezogener Daten das Recht hat, Offenlegung, Berichtigung, Ergänzung oder Löschung, Einstellung der Nutzung, Löschung und Einstellung der Weitergabe an Dritte durchzuführen (Artikel 2 Absatz 7). Für gehaltene individuelle Daten sind Anträge auf Offenlegung, Berichtigung und Einstellung der Nutzung usw. zugelassen, um sicherzustellen, dass die betroffene Person angemessen in ihre eigenen Informationen einbezogen werden kann (wie nachfolgend erläutert).

Regeln zur Handhabung von persönlichen Informationen

Um zu verhindern, dass persönliche Informationen willkürlich genutzt werden, müssen sie gemäß den Regeln zur ordnungsgemäßen Handhabung klar definiert und auf den für die Erreichung des jeweiligen Zwecks erforderlichen Umfang beschränkt werden.

Daher müssen Unternehmen, die mit persönlichen Informationen umgehen,

• den Zweck der Nutzung von persönlichen Informationen so genau wie möglich festlegen (Artikel 15 Absatz 1 des japanischen Gesetzes zum Schutz persönlicher Informationen)
• die Nutzung von persönlichen Informationen nicht über den zur Erreichung des Zwecks erforderlichen Umfang hinaus ausdehnen (Artikel 16 Absatz 1)
• persönliche Informationen nicht durch Täuschung oder andere unlautere Mittel erlangen (Artikel 17 Absatz 1)
• wenn persönliche Informationen erlangt werden, den Zweck ihrer Nutzung der betroffenen Person mitteilen oder öffentlich bekannt geben (Artikel 18)

Das japanische Gesetz zum Schutz persönlicher Informationen verlangt, dass Unternehmen, die persönliche Informationen besitzen, diese im Einklang mit dem vorab festgelegten und veröffentlichten Zweck nutzen. Mit anderen Worten, es ist notwendig, den Zweck zu spezifizieren und zu veröffentlichen, wie “persönliche Informationen können auf jede Weise genutzt werden”. Zum Beispiel ist es nicht illegal, persönliche Informationen zu nutzen, um “Werbung anzuzeigen, die auf die Eigenschaften des Benutzers abgestimmt ist”, aber es ist notwendig, diesen Nutzungszweck im Voraus zu veröffentlichen. Die Methode der Veröffentlichung ist nicht spezifiziert, aber es ist üblich, dies in Form einer “Datenschutzrichtlinie” oder “Richtlinie zum Schutz persönlicher Informationen” zu tun.

Andererseits ist die Erlangung von sogenannten sensiblen Informationen, die als persönliche Informationen von besonderer Bedeutung gelten, grundsätzlich ohne die Zustimmung der betroffenen Person verboten (Artikel 17 Absatz 2).

Persönliche Informationen von besonderer Bedeutung sind,

Artikel 2 Absatz 3
In diesem Gesetz bezeichnet “persönliche Informationen von besonderer Bedeutung” persönliche Informationen, die Angaben enthalten, die durch eine Verordnung als solche festgelegt sind, die besondere Rücksichtnahme bei der Handhabung erfordern, um ungerechte Diskriminierung, Vorurteile oder andere Nachteile gegenüber der betroffenen Person zu verhindern, wie Rasse, Glaube, sozialer Status, Krankengeschichte, kriminelle Vergangenheit, Tatsache, dass man Opfer einer Straftat geworden ist, usw.

Dies schließt auch Behinderungen, Ergebnisse von Gesundheitsuntersuchungen, Anweisungen, Behandlungen, Verschreibungen usw. durch Ärzte, das Durchführen von strafrechtlichen Verfahren und das Durchführen von Verfahren in Bezug auf Jugendschutzfälle ein.

Es wird angenommen, dass die strenge Regelung, dass sensible persönliche Informationen ohne die Zustimmung der betroffenen Person nicht einmal “erlangt” werden können, es sei denn, es liegen bestimmte Ausnahmegründe vor, darauf zurückzuführen ist, dass diese Informationen, selbst wenn sie nicht unbedingt erlangt werden müssen, erlangt und gehandhabt werden können, was zu Diskriminierung und Vorurteilen führen könnte.

Disziplin in Bezug auf Verwaltung und Aufsicht

Viele Menschen sind besorgt und ängstlich vor der Möglichkeit, dass persönliche Informationen durchsickern oder manipuliert werden. Insbesondere bei digitalisierten persönlichen Daten gibt es viele Fälle, in denen große Mengen an Kundendaten auslaufen und soziale Probleme verursachen. Daher sind Unternehmen, die mit persönlichen Informationen umgehen, verpflichtet, notwendige und angemessene Maßnahmen (Sicherheitsmanagementmaßnahmen) zur sicheren Verwaltung von persönlichen Daten zu ergreifen (Artikel 20 des japanischen Gesetzes zum Schutz persönlicher Informationen).

Verstoß gegen die Sicherheitsmanagementpflicht

Tatsächlich wird in vielen Fällen, in denen persönliche Informationen im Internet oder anderswo durchgesickert sind, ein Verstoß gegen die Sicherheitsmanagementpflicht anerkannt. Auch für kleine und mittlere Unternehmen sind die Inhalte der Sicherheitsmanagementmaßnahmen unter Berücksichtigung ihrer Eigenschaften in den “Richtlinien zum Gesetz zum Schutz persönlicher Informationen (Allgemeiner Teil)” (japanische Kommission zum Schutz persönlicher Informationen) festgelegt. Es ist daher wichtig, Maßnahmen zu ergreifen, die diesen Richtlinien entsprechen, nicht nur um Artikel 20 des Gesetzes zum Schutz persönlicher Informationen einzuhalten, sondern auch um Situationen zu vermeiden, in denen man für ungesetzliche Handlungen aufgrund von Verletzungen der Privatsphäre durch Lecks im Internet usw. verantwortlich gemacht wird.

Aber egal wie gut das System und die Einrichtungen sind, die ordnungsgemäße Bedienung liegt letztendlich in den Händen der Menschen. Daher ist festgelegt, dass “Unternehmen, die mit persönlichen Informationen umgehen, bei der Beauftragung ihrer Mitarbeiter mit der Handhabung von persönlichen Daten eine notwendige und angemessene Aufsicht über diese Mitarbeiter durchführen müssen, um die sichere Verwaltung der betreffenden persönlichen Daten zu gewährleisten” (Artikel 21 des japanischen Gesetzes zum Schutz persönlicher Informationen).

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Beachten Sie, dass der Verkauf oder die Mitnahme von Kundendaten durch Mitarbeiter nicht nur dazu führen kann, dass der Mitarbeiter selbst für ungesetzliche Handlungen verantwortlich gemacht wird (Artikel 709 des japanischen Zivilgesetzbuches), sondern auch das Unternehmen, das mit persönlichen Informationen umgeht, kann eine Benutzerhaftung haben (Artikel 715 des japanischen Zivilgesetzbuches).

“Dritte Bereitstellung” und “Auftrag”

Im japanischen Gesetz zum Schutz persönlicher Informationen ist grundsätzlich verboten, persönliche Informationen von Kunden an “Dritte” weiterzugeben, auch wenn dies für den zuvor angekündigten Zweck erfolgt, es sei denn, es liegt eine Zustimmung vor. Wenn man diese Regel weiter verfolgt, würde es illegal werden, eine Datenbank mit Kundeninformationen auf einem gemieteten Server usw. zu speichern. Denn der gemietete Server ist für das Unternehmen ein “Dritter”.

Jedoch ist “Auftrag” in der “Dritten Bereitstellung” ausnahmsweise erlaubt, und es ist erlaubt, wenn es sich um einen “Auftrag” an jemanden handelt, der diese Informationen nicht nutzt. Zum Beispiel nutzt ein gemieteter Server nur die Informationen zur Speicherung. Solche Aufträge zur Handhabung persönlicher Informationen an Dritte sind häufig, aber um Situationen zu vermeiden, in denen der Auftragnehmer die Informationen unsachgemäß handhabt oder durch wiederholte hierarchische Aufträge die Verantwortlichkeit unklar wird, ist festgelegt, dass “Unternehmen, die mit persönlichen Informationen umgehen, wenn sie die Handhabung aller oder eines Teils der persönlichen Daten beauftragen, eine notwendige und angemessene Aufsicht über den Beauftragten durchführen müssen, um die sichere Verwaltung der beauftragten persönlichen Daten zu gewährleisten” (Artikel 22 des japanischen Gesetzes zum Schutz persönlicher Informationen).

Die Korrekte Handhabung von persönlichen Informationen durch persönliche Beteiligung

Das japanische Datenschutzgesetz ermöglicht es einer Person, unter bestimmten Voraussetzungen von einem Unternehmen, das persönliche Daten verarbeitet, die Offenlegung (Artikel 28), Korrektur, Ergänzung oder Löschung (Artikel 29) und die Einstellung der Nutzung (Artikel 30) ihrer persönlichen Daten zu verlangen. Diese Beteiligung der betroffenen Person ist als zivilrechtlicher Anspruch klar definiert. Wenn ein Unternehmen, das persönliche Daten verarbeitet, trotz einer Anfrage nicht reagiert, kann die betroffene Person ihr Recht durch ein Gerichtsverfahren durchsetzen.

Unternehmen, die persönliche Daten verarbeiten, müssen auf Anfrage der betroffenen Person die von ihnen gehaltenen persönlichen Daten offenlegen. Wenn die Informationen fehlerhaft sind, müssen sie korrigiert oder ergänzt werden. Wenn das Unternehmen gegen gesetzliche Pflichten verstößt, wie die Nutzung der Daten für andere Zwecke, die unrechtmäßige Beschaffung der Daten oder die Weitergabe der Daten an Dritte ohne Zustimmung der betroffenen Person, muss es die Nutzung der Daten einstellen. Wie oben erwähnt, versucht das japanische Datenschutzgesetz, die Rechte der Bürger zu schützen, indem es Unternehmen, die persönliche Daten verarbeiten, verschiedene Pflichten auferlegt.

Strafen bei Datenschutzverletzungen

Das japanische Datenschutzgesetz (Japanisches Datenschutzgesetz) legt Strafen fest, wenn ein Unternehmen persönliche Daten preisgibt.

Wenn ein Unternehmen gegen das japanische Datenschutzgesetz verstößt und Daten preisgibt, wird es zunächst vom Staat aufgefordert, “Maßnahmen zu ergreifen, die notwendig sind, um den Verstoß zu beenden und zu korrigieren” (Artikel 42). Wenn auch gegen diese Anordnung verstoßen wird, kann gegen den verstoßenden Mitarbeiter eine “Freiheitsstrafe von bis zu sechs Monaten oder eine Geldstrafe von bis zu 300.000 Yen” (Artikel 84) verhängt werden, und auch das Unternehmen, das diesen Mitarbeiter beschäftigt, kann mit einer “Geldstrafe von bis zu 300.000 Yen” (Artikel 85) belegt werden. Darüber hinaus, wenn Daten mit der Absicht, unrechtmäßigen Gewinn zu erzielen, bereitgestellt oder gestohlen werden, kann ohne vorherige Aufforderung eine “Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe von bis zu 500.000 Yen” (Artikel 83) verhängt werden.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Zusammenfassung

Das japanische Datenschutzgesetz ist ein Gesetz, das von Unternehmen, die personenbezogene Daten verarbeiten, verlangt, dass sie diese Daten angemessen behandeln und notwendige und angemessene Maßnahmen für deren sichere Verwaltung ergreifen. Es handelt sich um ein wichtiges Gesetz, das für nahezu alle Unternehmen unumgänglich ist.