Erklärung der wichtigen Punkte zur 'Pflicht des Geschäftsinhabers' gemäß dem geänderten 'Japanischen Gesetz zum Schutz personenbezogener Daten' im 4. Jahr der Reiwa-Ära (2022)
Ab April 2022 (im Jahr 2022) wurde das überarbeitete japanische Gesetz zum Schutz personenbezogener Daten in Kraft gesetzt. Das Gesetz zum Schutz personenbezogener Daten zielt darauf ab, die angemessene Handhabung personenbezogener Daten zu gewährleisten, während es die Nützlichkeit personenbezogener Daten berücksichtigt und die Rechte und Interessen der Einzelpersonen schützt. Aber was ändert sich konkret mit der Umsetzung des überarbeiteten Gesetzes zum Schutz personenbezogener Daten? In diesem Artikel werden wir die Rechte der Einzelpersonen und die Pflichten der Unternehmen erläutern.
Änderung und Hintergrund des japanischen Datenschutzgesetzes
Das japanische Datenschutzgesetz, das 2003 verabschiedet und 2005 vollständig in Kraft gesetzt wurde, wurde 2015, zehn Jahre nach seiner Umsetzung, aufgrund der Entwicklung der Informations- und Kommunikationstechnologie und der dadurch ermöglichten Nutzung von persönlichen Daten, die zum Zeitpunkt der Verabschiedung nicht vorhergesehen war, geändert und 2017 vollständig in Kraft gesetzt.
In diesem geänderten Gesetz von 2017 (Reiwa 4 Jahr / 2022) wurde eine “Drei-Jahres-Überprüfungsklausel” aufgenommen, die besagt, dass “unter Berücksichtigung internationaler Trends, des Fortschritts der Informationstechnologie und der Situation der Schaffung und Entwicklung neuer Industrien, eine Überprüfung durchgeführt wird, die dem tatsächlichen Zustand entspricht, alle drei Jahre nach der Umsetzung”.
Relevante Bestimmungen in den Zusatzbestimmungen des geänderten japanischen Datenschutzgesetzes von 2017 (Auszug)
(Überlegung) Artikel 12
(Auszug)
2 Die Regierung wird, mit dem Ziel, drei Jahre nach der Umsetzung dieses Gesetzes, unter Berücksichtigung der Situation der notwendigen Maßnahmen zur effektiven Durchführung der Erstellung und Förderung der Grundpolitik zum Schutz personenbezogener Daten und anderer Angelegenheiten, die in die Zuständigkeit der Datenschutzkommission fallen, einschließlich der Einrichtung eines notwendigen Personalsystems und der Sicherung von Finanzquellen, Verbesserungen in Betracht ziehen und, wenn sie es für notwendig hält, entsprechende Maßnahmen auf der Grundlage der Ergebnisse ergreifen.
3 Neben den in Absatz 2 genannten Angelegenheiten wird die Regierung, mit dem Ziel, drei Jahre nach der Umsetzung dieses Gesetzes, unter Berücksichtigung internationaler Trends im Datenschutz, des Fortschritts der Informations- und Kommunikationstechnologie und der Situation der Schaffung und Entwicklung neuer Industrien, die personenbezogene Daten nutzen, die Situation der Umsetzung des neuen Datenschutzgesetzes in Betracht ziehen und, wenn sie es für notwendig hält, entsprechende Maßnahmen auf der Grundlage der Ergebnisse ergreifen.
4, 5 (Auszug)
6 Die Regierung wird, unter Berücksichtigung der Situation der Umsetzung des neuen Datenschutzgesetzes, der Durchführung der Maßnahmen nach Absatz 1 und anderer Umstände, die Bestimmungen zum Schutz personenbezogener Daten und personenbezogener Daten, die von Verwaltungsorganen und ähnlichen Einrichtungen gehalten werden, wie in Artikel 2 Absatz 1 des neuen Datenschutzgesetzes festgelegt, zusammenfassen und einschließlich der ganzheitlichen Regelung, die Art und Weise der gesetzlichen Regelung zum Schutz personenbezogener Daten in Betracht ziehen.
Das geänderte japanische Datenschutzgesetz von Reiwa 4 Jahr (2022) ist die erste Gesetzesänderung auf der Grundlage dieser “Drei-Jahres-Überprüfungsklausel”.
Verwandter Artikel: Was sind das japanische Datenschutzgesetz und persönliche Daten? Ein Anwalt erklärt[ja]
Überblick über die Änderungen des japanischen Datenschutzgesetzes im Jahr 2022 (Reiwa 4)
Die Änderungen des japanischen Datenschutzgesetzes im Jahr 2022 betreffen die folgenden sechs Punkte:
- Die Rolle der individuellen Rechte
- Die Rolle der Pflichten, die Unternehmen zu schützen haben
- Die Rolle von Mechanismen zur Förderung der freiwilligen Bemühungen von Unternehmen
- Die Rolle der Datennutzung
- Die Rolle der Strafen
- Die Rolle der extraterritorialen Anwendung des Gesetzes und des grenzüberschreitenden Transfers
In diesem Artikel werden die Änderungspunkte 1 und 2 erläutert.
Verwandter Artikel: Erklärung der ‘Strafen’ im geänderten japanischen Datenschutzgesetz 2022 (Reiwa 4)[ja]
Die Natur der individuellen Rechte
Die Natur der individuellen Rechte wurde in folgenden fünf Punkten geändert:
Erweiterung des individuellen Rechts auf Nutzungseinstellung und Löschung (Artikel 30 des japanischen Datenschutzgesetzes)
Nach dem geltenden Gesetz war das individuelle Recht auf Nutzungseinstellung und Löschung auf Fälle von Rechtsverstößen beschränkt, wie z.B. “wenn personenbezogene Daten für andere Zwecke verwendet wurden” oder “wenn sie durch unrechtmäßige Mittel erworben wurden”. Mit der Gesetzesänderung können jedoch auch dann Anträge auf Nutzungseinstellung, Löschung und Einstellung der Weitergabe an Dritte gestellt werden, wenn “der Betreiber keine Notwendigkeit mehr hat, die gespeicherten personenbezogenen Daten zu verwenden”, “wenn ein Datenleck auftritt” oder “wenn die Rechte oder legitimen Interessen der betroffenen Person gefährdet sind”.
Offenlegungsmethode für gespeicherte personenbezogene Daten (Artikel 28 des japanischen Datenschutzgesetzes)
Wenn Sie die betroffene Person sind, können Sie den Betreiber von personenbezogenen Daten auffordern, die gespeicherten personenbezogenen Daten offenzulegen. Nach Erhalt des Antrags muss der Betreiber grundsätzlich die gespeicherten personenbezogenen Daten offenlegen. Nach dem geltenden Gesetz wurde die Offenlegung von gespeicherten personenbezogenen Daten grundsätzlich schriftlich durchgeführt. Bei großen Datenmengen ist jedoch eine schriftliche Übergabe nicht immer angemessen, und es gibt auch Daten, wie z.B. Video- und Audiodaten, die sich grundsätzlich nicht für eine schriftliche Übergabe eignen. Daher kann nach der Gesetzesänderung die betroffene Person die Offenlegung durch “die von der betroffenen Person angegebene Methode”, wie z.B. die Bereitstellung von elektronischen Aufzeichnungen, beantragen. Der Betreiber von personenbezogenen Daten ist verpflichtet, die Offenlegung in der von der betroffenen Person beantragten Weise durchzuführen.
Unternehmen, die personenbezogene Daten verarbeiten, müssen so schnell wie möglich Strukturen schaffen, um Anfragen zur Offenlegung von digitalen Daten zu bearbeiten.
Antrag auf Offenlegung von Aufzeichnungen über die Weitergabe an Dritte durch die betroffene Person (Artikel 28, Absatz 5 des japanischen Datenschutzgesetzes)
Der Betreiber von personenbezogenen Daten muss beim Weitergeben von personenbezogenen Daten an Dritte gesetzlich vorgeschriebene Aufzeichnungen erstellen, und auch die Person, die die Weitergabe erhält, muss gesetzlich vorgeschriebene Aufzeichnungen erstellen. Diese Aufzeichnungen über die Weitergabe von personenbezogenen Daten an Dritte und die Aufzeichnungen über die Überprüfung beim Empfang der Weitergabe von personenbezogenen Daten werden zusammen als “Aufzeichnungen über die Weitergabe an Dritte” bezeichnet.
Nach dem geltenden Gesetz konnte die betroffene Person keine Offenlegung der von dem Unternehmen erstellten Aufzeichnungen über die Weitergabe an Dritte beantragen, aber nach der Gesetzesänderung kann die betroffene Person die Offenlegung der Aufzeichnungen über die Weitergabe an Dritte beantragen, was die Nachverfolgbarkeit durch die betroffene Person berücksichtigt.
Einschluss von kurzfristig gespeicherten Daten in gespeicherte personenbezogene Daten (Artikel 2, Absatz 7 des japanischen Datenschutzgesetzes)
Nach dem geltenden Gesetz sind gespeicherte personenbezogene Daten definiert als “personenbezogene Daten, über die der Betreiber von personenbezogenen Daten die Befugnis hat, Offenlegung, Korrektur, Ergänzung oder Löschung des Inhalts, Einstellung der Nutzung, Löschung und Einstellung der Weitergabe an Dritte durchzuführen”, “die durch die Offenlegung ihrer Existenz das öffentliche Interesse oder andere Interessen schädigen würden, wie durch eine Verordnung festgelegt”, oder “die innerhalb eines durch eine Verordnung festgelegten Zeitraums von einem Jahr gelöscht werden sollen”, mit Ausnahme von “einem durch eine Verordnung festgelegten Zeitraum von einem Jahr”, der auf sechs Monate festgelegt wurde.
Jedoch, auch wenn sie kurzfristig gelöscht werden, besteht die Möglichkeit, dass während der Zeit bis zur Löschung Lecks auftreten, daher hat die Gesetzesänderung festgelegt, dass auch Daten, die innerhalb von sechs Monaten gelöscht werden, als “gespeicherte personenbezogene Daten” betrachtet werden.
Einschränkung des Anwendungsbereichs der Opt-out-Bestimmung (Artikel 23, Absatz 2 des japanischen Datenschutzgesetzes)
Die Opt-out-Bestimmung ist ein System, das “die Weitergabe von personenbezogenen Daten an Dritte ohne Zustimmung der betroffenen Person ermöglicht, vorausgesetzt, dass die Weitergabe eingestellt wird, wenn die betroffene Person dies verlangt, nachdem die zu liefernden Datenpunkte usw. veröffentlicht wurden”, aber nach dem geltenden Gesetz waren nur sensible personenbezogene Daten ausgenommen.
Die Gesetzesänderung hat den Umfang der personenbezogenen Daten, die an Dritte weitergegeben werden können, eingeschränkt und festgelegt, dass auch “unrechtmäßig erlangte personenbezogene Daten” und “personenbezogene Daten, die durch die Opt-out-Bestimmung weitergegeben wurden”, ausgenommen sind.
Die Verantwortung von Unternehmen
Die Verantwortung, die Unternehmen zu schützen haben, wurde in folgenden zwei Punkten geändert:
Pflicht zur Meldung von Datenlecks (Artikel 22 Absatz 2 des japanischen Datenschutzgesetzes)
Nach dem geltenden Gesetz besteht keine gesetzliche Pflicht zur Meldung von Datenlecks, daher gibt es einige Unternehmen, die nicht aktiv handeln. Wenn ein Unternehmen keine Veröffentlichung vornimmt, besteht die Möglichkeit, dass die japanische Datenschutzkommission den Fall nicht erkennt und nicht angemessen reagieren kann. Nach der Gesetzesänderung ist die Meldung an die japanische Datenschutzkommission und die Benachrichtigung der betroffenen Person verpflichtend, wenn ein Datenleck auftritt und das Risiko einer Beeinträchtigung der Rechte und Interessen der Person groß ist.
Zu den Fällen, die unter die Pflicht zur Meldung von Datenlecks fallen, gehören “Lecks von sensiblen persönlichen Informationen”, “Lecks durch unbefugten Zugriff” und “Lecks mit dem Risiko von finanziellen Schäden”, unabhängig von der Anzahl der Fälle, sowie “groß angelegte Lecks” von mehr als 1000 Fällen.
Verbot der Nutzung durch unangemessene Methoden (Artikel 16 Absatz 2 des japanischen Datenschutzgesetzes)
Vor dem Hintergrund der raschen Verbesserung der Datenanalysetechnologie gibt es Formen der Nutzung von personenbezogenen Daten, die potenziell zu einer Verletzung der Rechte und Interessen von Personen führen können, und die Besorgnis der Verbraucher nimmt zu. In Reaktion darauf wurde im geänderten Gesetz klargestellt, dass personenbezogene Daten nicht durch unangemessene Methoden, wie die Förderung illegaler oder unangemessener Handlungen, genutzt werden dürfen.
Unter “unangemessenen Methoden, die illegale oder unangemessene Handlungen fördern” versteht man beispielsweise “die Bereitstellung von personenbezogenen Daten an Dritte, die illegale Handlungen begehen” oder “die Zusammenführung und Datenbankisierung von personenbezogenen Daten, die durch Gerichtsankündigungen usw. verstreut veröffentlicht werden, trotz der ausreichenden Vorhersehbarkeit, dass dies zu Diskriminierung führen könnte, und die Veröffentlichung dieser Daten im Internet”. Es wird angenommen, dass in erheblichem Maße bösartige Fälle in Betracht gezogen werden.
Zusammenfassung
In diesem Artikel haben wir die Änderungspunkte 1 und 2 erläutert. Die Änderungspunkte 3, 4, 5 und 6 werden in einem separaten Artikel erklärt.
Verwandter Artikel: Erklärung zur ‘Strafe’ des revidierten japanischen Gesetzes zum Schutz personenbezogener Daten im Jahr 4 der Reiwa-Ära (2022)[ja]
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. Das gerade überarbeitete ‘Japanische Gesetz zum Schutz personenbezogener Daten’ zieht viel Aufmerksamkeit auf sich und die Notwendigkeit einer rechtlichen Überprüfung nimmt immer mehr zu. Unsere Kanzlei bietet Lösungen im Bereich des geistigen Eigentums an. Details finden Sie im folgenden Artikel.