Was ist die DSGVO? Ein Vergleich mit dem japanischen Datenschutzgesetz und wichtige Punkte, die japanische Unternehmen beachten sollten
Bei der Expansion Ihres Geschäfts in den EU-Raum ist es unerlässlich, sich umfassend über die DSGVO (Datenschutz-Grundverordnung) zu informieren. Auch auf japanische Unternehmen, die keine Niederlassung in der EU haben, kann die DSGVO Anwendung finden. Erwerben Sie Grundkenntnisse über die DSGVO und das japanische Datenschutzgesetz, um eine angemessene Datenverwaltung zu gewährleisten.
In diesem Artikel erläutern wir die DSGVO im Vergleich zum japanischen Datenschutzgesetz und welche Punkte japanische Unternehmen beachten sollten. Rechtsabteilungen, die erwägen, ob sie ihre Datenschutzregelungen ändern müssen oder die wissen möchten, welche Gesetze für eine Geschäftsexpansion in die EU relevant sind, sollten diesen Artikel als Referenz nutzen.
Was ist die DSGVO (Datenschutz-Grundverordnung)?
Die “DSGVO (Datenschutz-Grundverordnung)”, auch bekannt als “Allgemeine Datenschutzverordnung” in Japan, ist eine von der Europäischen Union (EU) festgelegte Regelung zum Umgang mit personenbezogenen Daten (Datenschutz).
Sie legt strenge Standards für die Handhabung personenbezogener Daten innerhalb der EU fest und zielt darauf ab, den Schutz der Privatsphäre von Einzelpersonen zu verstärken.
Aus der Perspektive des Datenschutzes bietet sie Unternehmen und Organisationen Richtlinien, wie sie Daten handhaben sollten, und den Einzelpersonen, wie sie ihre Informationen schützen können.
Referenz: Japanische Datenschutzbehörde | “Vorläufige japanische Übersetzung der Datenschutz-Grundverordnung (DSGVO)[ja]“
Die Grundprinzipien der DSGVO sind wie folgt:
- Rechtmäßigkeit, Fairness und Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Begrenzung der Speicherfrist
- Integrität und Vertraulichkeit
Im Folgenden werden die einzelnen Grundprinzipien erläutert.
Rechtmäßigkeit, Fairness und Transparenz
An der Spitze der Grundprinzipien der DSGVO (Datenschutz-Grundverordnung) stehen Rechtmäßigkeit, Fairness und Transparenz.
Wenn Unternehmen personenbezogene Daten sammeln und verarbeiten, müssen sie dies auf der Grundlage einer rechtlich gerechtfertigten Begründung tun und den Betroffenen klar und verständlich kommunizieren, wie diese Verarbeitung stattfindet.
Darüber hinaus ist es für Unternehmen wichtig, Informationen zum Datenschutz explizit bereitzustellen und Transparenz zu wahren, damit die Betroffenen verstehen und kontrollieren können, wie ihre Daten gehandhabt werden.
Begrenzung des Nutzungszwecks
Die Begrenzung des Nutzungszwecks bedeutet, dass die Sammlung und Verarbeitung von Daten für einen bestimmten und klaren Zweck erfolgen sollte.
Unternehmen, die personenbezogene Daten erheben, müssen diesen Zweck genau und konkret den betroffenen Personen darlegen und eine eindeutige Zustimmung einholen. Zudem sind die Unternehmen verpflichtet, die gesammelten Daten streng zu verwalten und deren Verwendung auf die Zwecke zu beschränken, für die sie die Zustimmung der Dateninhaber erhalten haben.
Minimierung personenbezogener Daten
Die Erhebung personenbezogener Daten sollte auf das für die Erreichung des Zwecks notwendige Maß beschränkt (minimiert) werden. Es werden nur die für den angeforderten Zweck geeigneten personenbezogenen Daten gesammelt und darauf geachtet, keine überflüssigen persönlichen Informationen zu erfassen.
Dadurch wird die Menge der gespeicherten personenbezogenen Daten auf ein Minimum reduziert und die Privatsphäre der Personen geschützt.
Genauigkeit
Als grundlegendes Prinzip der DSGVO (Datenschutz-Grundverordnung) müssen personenbezogene Daten genau sein. Ungenaue personenbezogene Daten müssen korrigiert werden, und es sollten Maßnahmen ergriffen werden, um die Informationen aktuell und korrekt zu halten.
Dadurch werden die Rechte und Interessen der Personen geschützt und die Verarbeitung personenbezogener Daten basiert auf genauen Informationen.
Beschränkungen bei der Datenspeicherung
Zu den Grundprinzipien der DSGVO (Datenschutz-Grundverordnung) gehört das Konzept der Beschränkung der Datenspeicherung. Personenbezogene Daten, die ihren Zweck erfüllt haben und nicht mehr benötigt werden, sollten umgehend gelöscht werden.
Durch das Nichtspeichern nicht mehr benötigter personenbezogener Daten wird eine angemessene Verwaltung dieser Daten und der Schutz der Privatsphäre sichergestellt.
Integrität und Vertraulichkeit
Persönliche Daten müssen vollständig und vertraulich behandelt werden. Sie sollten vor Manipulation und Verlust geschützt und durch angemessene Maßnahmen vor unbefugtem Zugriff gesichert werden.
Dies trägt zur Erhöhung der Zuverlässigkeit persönlicher Daten bei.
Gilt die DSGVO nur für Unternehmen innerhalb der EU? Der Anwendungsbereich der DSGVO
Die DSGVO gilt nicht nur für Unternehmen innerhalb der EU. Auch japanische Unternehmen können unter ihren Anwendungsbereich fallen. Im Folgenden erläutern wir vier Arten von Unternehmen, auf die die DSGVO Anwendung findet.
Anwendungsbereich der DSGVO für Unternehmen | Übersicht |
Unternehmen mit Standorten innerhalb der EU | “Verantwortlicher” | Organisationen, die Zweck und Mittel der Datenverarbeitung festlegen und das Eigentum an den Daten besitzen, werden als Verantwortliche bezeichnet. Zum Beispiel fallen Unternehmen mit Hauptsitz oder Niederlassungen in der EU darunter. Verantwortliche haben die Verantwortung, die rechtmäßige und transparente Verarbeitung der Daten zu gewährleisten. |
Unternehmen, die von EU-Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt werden | “Auftragsverarbeiter” | Wenn ein Unternehmen innerhalb der EU ein anderes Unternehmen mit der Datenverarbeitung beauftragt, wird dieses als “Auftragsverarbeiter” zum Ziel der DSGVO. Auch Auftragsverarbeiter tragen die Verantwortung für die Sicherheit und rechtmäßige Verarbeitung der Daten. |
Unternehmen, die Waren oder Dienstleistungen an Personen innerhalb der EU anbieten | Betroffen sind Unternehmen, die Online-Shops oder Webdienste anbieten. Die Verarbeitung von Daten, die mit den angebotenen Waren oder Dienstleistungen in Verbindung stehen, muss den Standards der DSGVO entsprechen. |
Unternehmen, die Personen innerhalb der EU überwachen | Überwachung bezieht sich auf das langfristige Verfolgen des Verhaltens oder Zustands bestimmter Personen. Zum Beispiel fallen Unternehmen, die Überwachungskameras einsetzen oder Online-Verhaltens-Tracking durchführen, darunter und müssen die rechtmäßige Verarbeitung der Daten sicherstellen. |
Unternehmen, auf die die DSGVO Anwendung findet, sind verpflichtet, die rechtmäßige und transparente Verarbeitung von Daten, die Sicherheit der Daten sowie die Einhaltung der DSGVO-Standards zu gewährleisten.
Verwandter Artikel: Was passiert, wenn die DSGVO extraterritorial angewendet wird? Wir erklären die Vorgehensweise[ja]
Die Handhabung personenbezogener Daten gemäß der DSGVO
Die DSGVO (Datenschutz-Grundverordnung) bietet einen Rahmen für den Schutz der Privatsphäre und den Umgang mit personenbezogenen Daten.
Ziel und Prinzipien dieser Verordnung ist es, die grundlegenden Rechte und Freiheiten zu schützen, insbesondere die Privatsphäre der Personen zu respektieren und den freien Datenverkehr zu fördern (Artikel 4 DSGVO). |
Die DSGVO schützt die Kontrolle und den Respekt vor personenbezogenen Daten, während sie gleichzeitig den Datenverkehr fördert und durch angemessenes Management Vertrauenswürdigkeit sicherstellt.
Dafür ist die Transparenz der Datenverarbeitung und das Verantwortungsbewusstsein der Unternehmen von Bedeutung, und es wird erwartet, dass Unternehmen die Daten gemäß den Vorschriften angemessen behandeln.
Die DSGVO enthält außerdem folgende Bestimmungen:
Unternehmen, die der DSGVO unterliegen, benötigen grundsätzlich die Zustimmung der betroffenen Person, wenn sie personenbezogene Daten “verarbeiten” (Artikel 6 Absatz 1 Buchstabe a DSGVO). |
Der Verantwortliche muss in der Lage sein, den Nachweis zu erbringen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Artikel 7 Absatz 1 DSGVO). |
Zudem hat die betroffene Person jederzeit das Recht, ihre Einwilligung zur Verarbeitung personenbezogener Daten zu widerrufen (Artikel 7 Absatz 3 DSGVO). |
Es gibt jedoch Fälle, in denen die “Verarbeitung” personenbezogener Daten auch ohne die Zustimmung der betroffenen Person erlaubt ist. Konkrete Beispiele sind wie folgt:
- Wenn es für die Erfüllung eines Vertrags, bei dem die betroffene Person Vertragspartei ist, notwendig ist
- Wenn es notwendig ist, um auf Anfrage der betroffenen Person vor Vertragsabschluss Maßnahmen zu ergreifen
- Wenn es notwendig ist, damit der Verantwortliche rechtlichen Verpflichtungen nachkommen kann
- Wenn es notwendig ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
- Wenn es für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
- Wenn es für die Zwecke der legitimen Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen
Die wichtigsten Rechte bezüglich personenbezogener Daten nach der DSGVO
Nach der Datenschutz-Grundverordnung (DSGVO) werden den betroffenen Personen hauptsächlich folgende Rechte eingeräumt:
- Das Recht auf Zugang zu den eigenen personenbezogenen Daten
- Das Recht, die Berichtigung oder Löschung der eigenen personenbezogenen Daten zu fordern
- Das Recht, die Einschränkung der Verarbeitung der eigenen personenbezogenen Daten zu verlangen
- Das Recht, gegen die Verarbeitung der eigenen personenbezogenen Daten Widerspruch einzulegen
Betroffene Personen haben das Recht zu verstehen, wie ihre Informationen vom Anbieter verwendet werden. Fühlt man sich durch ungenaue oder unangemessene Verwendung der Informationen beeinträchtigt, kann man nicht nur deren Berichtigung oder Löschung verlangen, sondern auch eine vorübergehende Einstellung der Nutzung sowie das Einlegen eines Widerspruchs.
Hauptverantwortlichkeiten im Umgang mit personenbezogenen Daten nach der DSGVO
Während die betroffenen Personen die oben genannten Rechte gemäß der DSGVO (Datenschutz-Grundverordnung) haben, tragen Unternehmen, die personenbezogene Daten sammeln und verarbeiten, hauptsächlich die folgenden Verantwortlichkeiten:
- Verantwortung für die Einrichtung eines Systems und personeller Strukturen für die Handhabung personenbezogener Daten gemäß der DSGVO
- Verantwortung für die Dokumentation der Verarbeitung personenbezogener Daten
- Verantwortung für die Reaktion auf Datenschutzverletzungen
Um sicherzustellen, dass personenbezogene Daten angemessen geschützt werden, sind diese Verantwortlichkeiten, die Unternehmen tragen, von großer Bedeutung.
Zudem ist es für die Überprüfung bei Bedarf unerlässlich, dass alle Datenverarbeitungsaktivitäten korrekt dokumentiert werden, wenn es um personenbezogene Daten geht.
Im Falle einer Datenschutzverletzung haben Unternehmen die Verantwortung, angemessene Maßnahmen zu ergreifen und die betroffenen Parteien zu informieren.
Bei Verstößen gegen die DSGVO
Wenn ein Verantwortlicher oder Auftragsverarbeiter gegen die DSGVO verstößt und dadurch dem Betroffenen Schaden zufügt, kann dieser Schadensersatzansprüche geltend machen (Artikel 82 Absatz 1 DSGVO).
Darüber hinaus können Verstöße gegen die DSGVO schwerwiegende Folgen nach sich ziehen. So können beispielsweise aufgrund von Verstößen Sanktionen in Form von Bußgeldern von der EU verhängt werden, die sich nach Artikel 83 DSGVO richten (Artikel 83 DSGVO).
Unterschiede zwischen der DSGVO und dem japanischen Datenschutzgesetz
Die Unterschiede zwischen der DSGVO und dem japanischen Datenschutzgesetz liegen hauptsächlich in den folgenden Bereichen:
- Schutzobjekte
- Reaktion bei Verletzung von Personendaten
- Regelungen zur Bestellung eines Vertreters
- Sanktionen bei Verstößen
Im Folgenden werden diese Punkte detailliert erläutert.
Schutzobjekte
Bei der DSGVO und dem japanischen Datenschutzgesetz unterscheiden sich die Daten, die unter den Schutz fallen. Die DSGVO schützt personenbezogene Daten, die innerhalb der EU verarbeitet werden, in einem breiten Umfang. Sie betrifft nicht nur Unternehmen mit Sitz in der EU, sondern auch solche, die Waren oder Dienstleistungen an Personen innerhalb der EU anbieten.
Im Gegensatz dazu variiert der Schutzbereich des japanischen Datenschutzgesetzes je nach Land oder Region.
Beispielsweise zielt das japanische Datenschutzgesetz auf den Schutz von personenbezogenen Daten ab, die innerhalb Japans verarbeitet werden, und der Schutzbereich ist grundsätzlich auf das Inland beschränkt.
Reaktion bei Verletzung von Personendaten
Zwischen der DSGVO und dem japanischen Datenschutzgesetz gibt es Unterschiede in der Reaktion auf Datenverletzungen.
Unter der DSGVO müssen Unternehmen im Falle einer Datenverletzung innerhalb von 72 Stunden die Aufsichtsbehörde informieren. Zudem besteht die Verpflichtung, die betroffenen Personen unverzüglich und klar zu benachrichtigen.
Auch das japanische Datenschutzgesetz fordert eine schnelle Benachrichtigung im Falle einer Datenverletzung, jedoch variieren die Fristen und Inhalte der Berichtspflicht je nach Land oder Region.
Regelungen zur Bestellung eines Vertreters
Die DSGVO und das japanische Datenschutzgesetz unterscheiden sich in den Regelungen zur Bestellung eines Vertreters.
Unter der DSGVO ist bei der Verarbeitung von Kinderdaten die Zustimmung der Eltern oder des gesetzlichen Vertreters erforderlich. Unternehmen, die Online-Dienste anbieten und personenbezogene Daten von Kindern unter 16 Jahren verarbeiten, benötigen ebenfalls die Zustimmung der Eltern.
Das japanische Datenschutzgesetz erfordert ebenfalls die Zustimmung des gesetzlichen Vertreters bei der Verarbeitung von Kinderdaten, jedoch unterscheiden sich die Altersgrenzen und Methoden zur Einholung der Zustimmung je nach Gesetzgebung.
Sanktionen bei Verstößen
Ein weiterer Unterschied zwischen der DSGVO und dem japanischen Datenschutzgesetz sind die Sanktionen bei Verstößen.
Unter der DSGVO können Verstöße mit Geldbußen von bis zu 4% des weltweiten Jahresumsatzes des Unternehmens oder 20 Millionen Euro geahndet werden.
Die Sanktionen des japanischen Datenschutzgesetzes variieren je nach Land oder Region, typischerweise umfassen sie jedoch Geldstrafen oder rechtliche Verantwortlichkeiten. Die Höhe der Geldstrafen variiert je nach Art und Schwere des Verstoßes.
Wichtige Maßnahmen für japanische Unternehmen im Hinblick auf die DSGVO
Folgende Unternehmen müssen Maßnahmen zur Einhaltung der DSGVO ergreifen:
- Unternehmen mit Tochtergesellschaften, Niederlassungen oder Geschäftsstellen innerhalb der EU
- Unternehmen, die Waren oder Dienstleistungen von Japan aus in die EU liefern
- Unternehmen, die von Firmen innerhalb der EU mit der Verarbeitung personenbezogener Daten beauftragt werden
Als konkrete Maßnahme für Unternehmen empfiehlt Artikel 32 sowie Erwägungsgrund (83) der DSGVO die Verschlüsselung als eine Methode des Datenschutzes.
Daher ist die Verschlüsselung von personenbezogenen Daten auf Client-PCs, Festplatten, USB-Sticks und anderen Speichermedien sowie in gemeinsam genutzten Ordnern erforderlich.
Zusätzlich ist es notwendig, die Datenschutzrichtlinie so anzupassen, dass sie den Anforderungen der DSGVO entspricht. Weitere Details zur Erstellung einer DSGVO-konformen Datenschutzrichtlinie finden Sie im folgenden Artikel.
Verwandter Artikel: Erklärung der Schlüsselaspekte beim Erstellen einer DSGVO-konformen Datenschutzrichtlinie[ja]
Zusammenfassung: Konsultieren Sie Experten für GDPR-Maßnahmen
Die GDPR (General Data Protection Regulation) schützt personenbezogene Daten, die innerhalb der EU verarbeitet werden, umfassend und fordert eine rechtmäßige sowie transparente Verarbeitung und die Sicherstellung der Datensicherheit. Unterschiede zwischen der GDPR und dem japanischen Datenschutzgesetz bestehen unter anderem im Schutzumfang, im Umgang mit Datenschutzverletzungen, in der Bestellung von Vertretern und in den Strafen bei Verstößen.
Unternehmen mit Niederlassungen innerhalb der EU, Unternehmen, die Waren oder Dienstleistungen an Personen in der EU anbieten, sowie Unternehmen, die von EU-Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt werden, fallen unter die Anwendung der GDPR. Bei Verstößen gegen die GDPR können Schadensersatzforderungen und Bußgelder verhängt werden, daher ist Vorsicht geboten.
Ob es notwendig ist, die eigenen Datenschutzregelungen Ihres Unternehmens zu ändern, um sie an die GDPR anzupassen, sollten Sie mit einem Experten besprechen.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat sich das globale Geschäft zunehmend ausgeweitet, und die Notwendigkeit einer rechtlichen Überprüfung durch Experten ist stetig gestiegen. Unsere Kanzlei bietet Lösungen im Bereich des internationalen Rechts an.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Internationales Recht & Auslandsgeschäfte[ja]