MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Was ist die DSGVO? Ein Vergleich mit dem japanischen Datenschutzgesetz und wichtige Punkte, die japanische Unternehmen beachten sollten

General Corporate

Was ist die DSGVO? Ein Vergleich mit dem japanischen Datenschutzgesetz und wichtige Punkte, die japanische Unternehmen beachten sollten

Bei der Expansion Ihres Geschäfts in den EU-Raum ist es unerlässlich, sich umfassend über die DSGVO (Datenschutz-Grundverordnung) zu informieren. Auch auf japanische Unternehmen, die keine Niederlassung in der EU haben, kann die DSGVO Anwendung finden. Erwerben Sie Grundkenntnisse über die DSGVO und das japanische Datenschutzgesetz, um eine angemessene Datenverwaltung zu gewährleisten.

In diesem Artikel erläutern wir die DSGVO im Vergleich zum japanischen Datenschutzgesetz und welche Punkte japanische Unternehmen beachten sollten. Rechtsabteilungen, die erwägen, ob sie ihre Datenschutzregelungen ändern müssen oder die wissen möchten, welche Gesetze für eine Geschäftsexpansion in die EU relevant sind, sollten diesen Artikel als Referenz nutzen.

Was ist die DSGVO (Datenschutz-Grundverordnung)?

Smartphone-Sperrbildschirm

Die “DSGVO (Datenschutz-Grundverordnung)”, auch bekannt als “Allgemeine Datenschutzverordnung” in Japan, ist eine von der Europäischen Union (EU) festgelegte Regelung zum Umgang mit personenbezogenen Daten (Datenschutz).

Sie legt strenge Standards für die Handhabung personenbezogener Daten innerhalb der EU fest und zielt darauf ab, den Schutz der Privatsphäre von Einzelpersonen zu verstärken.

Aus der Perspektive des Datenschutzes bietet sie Unternehmen und Organisationen Richtlinien, wie sie Daten handhaben sollten, und den Einzelpersonen, wie sie ihre Informationen schützen können.

Referenz: Japanische Datenschutzbehörde | “Vorläufige japanische Übersetzung der Datenschutz-Grundverordnung (DSGVO)[ja]

Die Grundprinzipien der DSGVO sind wie folgt:

  • Rechtmäßigkeit, Fairness und Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Begrenzung der Speicherfrist
  • Integrität und Vertraulichkeit

Im Folgenden werden die einzelnen Grundprinzipien erläutert.

Rechtmäßigkeit, Fairness und Transparenz

An der Spitze der Grundprinzipien der DSGVO (Datenschutz-Grundverordnung) stehen Rechtmäßigkeit, Fairness und Transparenz.

Wenn Unternehmen personenbezogene Daten sammeln und verarbeiten, müssen sie dies auf der Grundlage einer rechtlich gerechtfertigten Begründung tun und den Betroffenen klar und verständlich kommunizieren, wie diese Verarbeitung stattfindet.

Darüber hinaus ist es für Unternehmen wichtig, Informationen zum Datenschutz explizit bereitzustellen und Transparenz zu wahren, damit die Betroffenen verstehen und kontrollieren können, wie ihre Daten gehandhabt werden.

Begrenzung des Nutzungszwecks

Die Begrenzung des Nutzungszwecks bedeutet, dass die Sammlung und Verarbeitung von Daten für einen bestimmten und klaren Zweck erfolgen sollte.

Unternehmen, die personenbezogene Daten erheben, müssen diesen Zweck genau und konkret den betroffenen Personen darlegen und eine eindeutige Zustimmung einholen. Zudem sind die Unternehmen verpflichtet, die gesammelten Daten streng zu verwalten und deren Verwendung auf die Zwecke zu beschränken, für die sie die Zustimmung der Dateninhaber erhalten haben.

Minimierung personenbezogener Daten

Die Erhebung personenbezogener Daten sollte auf das für die Erreichung des Zwecks notwendige Maß beschränkt (minimiert) werden. Es werden nur die für den angeforderten Zweck geeigneten personenbezogenen Daten gesammelt und darauf geachtet, keine überflüssigen persönlichen Informationen zu erfassen.

Dadurch wird die Menge der gespeicherten personenbezogenen Daten auf ein Minimum reduziert und die Privatsphäre der Personen geschützt.

Genauigkeit

Als grundlegendes Prinzip der DSGVO (Datenschutz-Grundverordnung) müssen personenbezogene Daten genau sein. Ungenaue personenbezogene Daten müssen korrigiert werden, und es sollten Maßnahmen ergriffen werden, um die Informationen aktuell und korrekt zu halten.

Dadurch werden die Rechte und Interessen der Personen geschützt und die Verarbeitung personenbezogener Daten basiert auf genauen Informationen.

Beschränkungen bei der Datenspeicherung

Zu den Grundprinzipien der DSGVO (Datenschutz-Grundverordnung) gehört das Konzept der Beschränkung der Datenspeicherung. Personenbezogene Daten, die ihren Zweck erfüllt haben und nicht mehr benötigt werden, sollten umgehend gelöscht werden.

Durch das Nichtspeichern nicht mehr benötigter personenbezogener Daten wird eine angemessene Verwaltung dieser Daten und der Schutz der Privatsphäre sichergestellt.

Integrität und Vertraulichkeit

Persönliche Daten müssen vollständig und vertraulich behandelt werden. Sie sollten vor Manipulation und Verlust geschützt und durch angemessene Maßnahmen vor unbefugtem Zugriff gesichert werden.

Dies trägt zur Erhöhung der Zuverlässigkeit persönlicher Daten bei.

Gilt die DSGVO nur für Unternehmen innerhalb der EU? Der Anwendungsbereich der DSGVO

Informationsmanagement

Die DSGVO gilt nicht nur für Unternehmen innerhalb der EU. Auch japanische Unternehmen können unter ihren Anwendungsbereich fallen. Im Folgenden erläutern wir vier Arten von Unternehmen, auf die die DSGVO Anwendung findet.

Anwendungsbereich der DSGVO für UnternehmenÜbersicht
Unternehmen mit Standorten innerhalb der EU | “Verantwortlicher”Organisationen, die Zweck und Mittel der Datenverarbeitung festlegen und das Eigentum an den Daten besitzen, werden als Verantwortliche bezeichnet.
Zum Beispiel fallen Unternehmen mit Hauptsitz oder Niederlassungen in der EU darunter.
Verantwortliche haben die Verantwortung, die rechtmäßige und transparente Verarbeitung der Daten zu gewährleisten.
Unternehmen, die von EU-Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt werden | “Auftragsverarbeiter”Wenn ein Unternehmen innerhalb der EU ein anderes Unternehmen mit der Datenverarbeitung beauftragt, wird dieses als “Auftragsverarbeiter” zum Ziel der DSGVO.
Auch Auftragsverarbeiter tragen die Verantwortung für die Sicherheit und rechtmäßige Verarbeitung der Daten.
Unternehmen, die Waren oder Dienstleistungen an Personen innerhalb der EU anbietenBetroffen sind Unternehmen, die Online-Shops oder Webdienste anbieten.
Die Verarbeitung von Daten, die mit den angebotenen Waren oder Dienstleistungen in Verbindung stehen, muss den Standards der DSGVO entsprechen.
Unternehmen, die Personen innerhalb der EU überwachenÜberwachung bezieht sich auf das langfristige Verfolgen des Verhaltens oder Zustands bestimmter Personen.
Zum Beispiel fallen Unternehmen, die Überwachungskameras einsetzen oder Online-Verhaltens-Tracking durchführen, darunter und müssen die rechtmäßige Verarbeitung der Daten sicherstellen.

Unternehmen, auf die die DSGVO Anwendung findet, sind verpflichtet, die rechtmäßige und transparente Verarbeitung von Daten, die Sicherheit der Daten sowie die Einhaltung der DSGVO-Standards zu gewährleisten.

Verwandter Artikel: Was passiert, wenn die DSGVO extraterritorial angewendet wird? Wir erklären die Vorgehensweise[ja]

Die Handhabung personenbezogener Daten gemäß der DSGVO

Handhabung personenbezogener Daten

Die DSGVO (Datenschutz-Grundverordnung) bietet einen Rahmen für den Schutz der Privatsphäre und den Umgang mit personenbezogenen Daten.

Ziel und Prinzipien dieser Verordnung ist es, die grundlegenden Rechte und Freiheiten zu schützen, insbesondere die Privatsphäre der Personen zu respektieren und den freien Datenverkehr zu fördern (Artikel 4 DSGVO).

Die DSGVO schützt die Kontrolle und den Respekt vor personenbezogenen Daten, während sie gleichzeitig den Datenverkehr fördert und durch angemessenes Management Vertrauenswürdigkeit sicherstellt.

Dafür ist die Transparenz der Datenverarbeitung und das Verantwortungsbewusstsein der Unternehmen von Bedeutung, und es wird erwartet, dass Unternehmen die Daten gemäß den Vorschriften angemessen behandeln.

Die DSGVO enthält außerdem folgende Bestimmungen:

Unternehmen, die der DSGVO unterliegen, benötigen grundsätzlich die Zustimmung der betroffenen Person, wenn sie personenbezogene Daten “verarbeiten” (Artikel 6 Absatz 1 Buchstabe a DSGVO).
Der Verantwortliche muss in der Lage sein, den Nachweis zu erbringen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Artikel 7 Absatz 1 DSGVO).
Zudem hat die betroffene Person jederzeit das Recht, ihre Einwilligung zur Verarbeitung personenbezogener Daten zu widerrufen (Artikel 7 Absatz 3 DSGVO).

Es gibt jedoch Fälle, in denen die “Verarbeitung” personenbezogener Daten auch ohne die Zustimmung der betroffenen Person erlaubt ist. Konkrete Beispiele sind wie folgt:

  • Wenn es für die Erfüllung eines Vertrags, bei dem die betroffene Person Vertragspartei ist, notwendig ist
  • Wenn es notwendig ist, um auf Anfrage der betroffenen Person vor Vertragsabschluss Maßnahmen zu ergreifen
  • Wenn es notwendig ist, damit der Verantwortliche rechtlichen Verpflichtungen nachkommen kann
  • Wenn es notwendig ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
  • Wenn es für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
  • Wenn es für die Zwecke der legitimen Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen

Die wichtigsten Rechte bezüglich personenbezogener Daten nach der DSGVO

Rechte an persönlichen Daten

Nach der Datenschutz-Grundverordnung (DSGVO) werden den betroffenen Personen hauptsächlich folgende Rechte eingeräumt:

  • Das Recht auf Zugang zu den eigenen personenbezogenen Daten
  • Das Recht, die Berichtigung oder Löschung der eigenen personenbezogenen Daten zu fordern
  • Das Recht, die Einschränkung der Verarbeitung der eigenen personenbezogenen Daten zu verlangen
  • Das Recht, gegen die Verarbeitung der eigenen personenbezogenen Daten Widerspruch einzulegen

Betroffene Personen haben das Recht zu verstehen, wie ihre Informationen vom Anbieter verwendet werden. Fühlt man sich durch ungenaue oder unangemessene Verwendung der Informationen beeinträchtigt, kann man nicht nur deren Berichtigung oder Löschung verlangen, sondern auch eine vorübergehende Einstellung der Nutzung sowie das Einlegen eines Widerspruchs.

Hauptverantwortlichkeiten im Umgang mit personenbezogenen Daten nach der DSGVO

Verantwortung für personenbezogene Daten

Während die betroffenen Personen die oben genannten Rechte gemäß der DSGVO (Datenschutz-Grundverordnung) haben, tragen Unternehmen, die personenbezogene Daten sammeln und verarbeiten, hauptsächlich die folgenden Verantwortlichkeiten:

  • Verantwortung für die Einrichtung eines Systems und personeller Strukturen für die Handhabung personenbezogener Daten gemäß der DSGVO
  • Verantwortung für die Dokumentation der Verarbeitung personenbezogener Daten
  • Verantwortung für die Reaktion auf Datenschutzverletzungen

Um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden, sind diese Verantwortlichkeiten, die Unternehmen tragen, von großer Bedeutung.

Zudem ist es für die Überprüfung bei Bedarf unerlässlich, dass alle Datenverarbeitungsaktivitäten korrekt dokumentiert werden, wenn es um personenbezogene Daten geht.

Im Falle einer Datenschutzverletzung haben Unternehmen die Verantwortung, angemessene Maßnahmen zu ergreifen und die betroffenen Parteien zu informieren.

Bei Verstößen gegen die DSGVO

Mann, der eine Gelbe Karte zeigt

Wenn ein Verantwortlicher oder Auftragsverarbeiter gegen die DSGVO verstößt und dadurch dem Betroffenen Schaden zufügt, kann dieser Schadensersatzansprüche geltend machen (Artikel 82 Absatz 1 DSGVO).

Darüber hinaus können Verstöße gegen die DSGVO schwerwiegende Folgen nach sich ziehen. So können beispielsweise aufgrund von Verstößen Sanktionen in Form von Bußgeldern von der EU verhängt werden, die sich nach Artikel 83 DSGVO richten (Artikel 83 DSGVO).

Unterschiede zwischen der DSGVO und dem japanischen Datenschutzgesetz

Mann, der Untersuchungen durchführt

Die Unterschiede zwischen der DSGVO und dem japanischen Datenschutzgesetz liegen hauptsächlich in den folgenden Bereichen:

  • Schutzobjekte
  • Reaktion bei Verletzung von Personendaten
  • Regelungen zur Bestellung eines Vertreters
  • Sanktionen bei Verstößen

Im Folgenden werden diese Punkte detailliert erläutert.

Schutzobjekte

Bei der DSGVO und dem japanischen Datenschutzgesetz unterscheiden sich die Daten, die unter den Schutz fallen. Die DSGVO schützt personenbezogene Daten, die innerhalb der EU verarbeitet werden, in einem breiten Umfang. Sie betrifft nicht nur Unternehmen mit Sitz in der EU, sondern auch solche, die Waren oder Dienstleistungen an Personen innerhalb der EU anbieten.

Im Gegensatz dazu variiert der Schutzbereich des japanischen Datenschutzgesetzes je nach Land oder Region.

Beispielsweise zielt das japanische Datenschutzgesetz auf den Schutz von personenbezogenen Daten ab, die innerhalb Japans verarbeitet werden, und der Schutzbereich ist grundsätzlich auf das Inland beschränkt.

Reaktion bei Verletzung von Personendaten

Zwischen der DSGVO und dem japanischen Datenschutzgesetz gibt es Unterschiede in der Reaktion auf Datenverletzungen.

Unter der DSGVO müssen Unternehmen im Falle einer Datenverletzung innerhalb von 72 Stunden die Aufsichtsbehörde informieren. Zudem besteht die Verpflichtung, die betroffenen Personen unverzüglich und klar zu benachrichtigen.

Auch das japanische Datenschutzgesetz fordert eine schnelle Benachrichtigung im Falle einer Datenverletzung, jedoch variieren die Fristen und Inhalte der Berichtspflicht je nach Land oder Region.

Regelungen zur Bestellung eines Vertreters

Die DSGVO und das japanische Datenschutzgesetz unterscheiden sich in den Regelungen zur Bestellung eines Vertreters.

Unter der DSGVO ist bei der Verarbeitung von Kinderdaten die Zustimmung der Eltern oder des gesetzlichen Vertreters erforderlich. Unternehmen, die Online-Dienste anbieten und personenbezogene Daten von Kindern unter 16 Jahren verarbeiten, benötigen ebenfalls die Zustimmung der Eltern.

Das japanische Datenschutzgesetz erfordert ebenfalls die Zustimmung des gesetzlichen Vertreters bei der Verarbeitung von Kinderdaten, jedoch unterscheiden sich die Altersgrenzen und Methoden zur Einholung der Zustimmung je nach Gesetzgebung.

Sanktionen bei Verstößen

Ein weiterer Unterschied zwischen der DSGVO und dem japanischen Datenschutzgesetz sind die Sanktionen bei Verstößen.

Unter der DSGVO können Verstöße mit Geldbußen von bis zu 4% des weltweiten Jahresumsatzes des Unternehmens oder 20 Millionen Euro geahndet werden.

Die Sanktionen des japanischen Datenschutzgesetzes variieren je nach Land oder Region, typischerweise umfassen sie jedoch Geldstrafen oder rechtliche Verantwortlichkeiten. Die Höhe der Geldstrafen variiert je nach Art und Schwere des Verstoßes.

Wichtige Maßnahmen für japanische Unternehmen im Hinblick auf die DSGVO

Frau am Telefon

Folgende Unternehmen müssen Maßnahmen zur Einhaltung der DSGVO ergreifen:

  • Unternehmen mit Tochtergesellschaften, Niederlassungen oder Geschäftsstellen innerhalb der EU
  • Unternehmen, die Waren oder Dienstleistungen von Japan aus in die EU liefern
  • Unternehmen, die von Firmen innerhalb der EU mit der Verarbeitung personenbezogener Daten beauftragt werden

Als konkrete Maßnahme für Unternehmen empfiehlt Artikel 32 sowie Erwägungsgrund (83) der DSGVO die Verschlüsselung als eine Methode des Datenschutzes.

Daher ist die Verschlüsselung von personenbezogenen Daten auf Client-PCs, Festplatten, USB-Sticks und anderen Speichermedien sowie in gemeinsam genutzten Ordnern erforderlich.

Zusätzlich ist es notwendig, die Datenschutzrichtlinie so anzupassen, dass sie den Anforderungen der DSGVO entspricht. Weitere Details zur Erstellung einer DSGVO-konformen Datenschutzrichtlinie finden Sie im folgenden Artikel.

Verwandter Artikel: Erklärung der Schlüsselaspekte beim Erstellen einer DSGVO-konformen Datenschutzrichtlinie[ja]

Zusammenfassung: Konsultieren Sie Experten für GDPR-Maßnahmen

Ein Anwalt liest das Gesamtbuch der sechs Schritte

Die GDPR (General Data Protection Regulation) schützt personenbezogene Daten, die innerhalb der EU verarbeitet werden, umfassend und fordert eine rechtmäßige sowie transparente Verarbeitung und die Sicherstellung der Datensicherheit. Unterschiede zwischen der GDPR und dem japanischen Datenschutzgesetz bestehen unter anderem im Schutzumfang, im Umgang mit Datenschutzverletzungen, in der Bestellung von Vertretern und in den Strafen bei Verstößen.

Unternehmen mit Niederlassungen innerhalb der EU, Unternehmen, die Waren oder Dienstleistungen an Personen in der EU anbieten, sowie Unternehmen, die von EU-Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt werden, fallen unter die Anwendung der GDPR. Bei Verstößen gegen die GDPR können Schadensersatzforderungen und Bußgelder verhängt werden, daher ist Vorsicht geboten.

Ob es notwendig ist, die eigenen Datenschutzregelungen Ihres Unternehmens zu ändern, um sie an die GDPR anzupassen, sollten Sie mit einem Experten besprechen.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat sich das globale Geschäft zunehmend ausgeweitet, und die Notwendigkeit einer rechtlichen Überprüfung durch Experten ist stetig gestiegen. Unsere Kanzlei bietet Lösungen im Bereich des internationalen Rechts an.

Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Internationales Recht & Auslandsgeschäfte[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben