MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Ist der Kauf von Kundendaten legal? Erklärung des japanischen 'Gesetzes zum Schutz persönlicher Informationen'

General Corporate

Ist der Kauf von Kundendaten legal? Erklärung des japanischen 'Gesetzes zum Schutz persönlicher Informationen'

Am 30. Mai 2017 (Heisei 29) wurde das “revidierte japanische Gesetz zum Schutz personenbezogener Daten” vollständig in Kraft gesetzt, und alle Unternehmen, die personenbezogene Daten verarbeiten, werden nun als “Unternehmen, die personenbezogene Daten verarbeiten” im Sinne des Gesetzes zum Schutz personenbezogener Daten angesehen.

Dies gilt auch für Unternehmen, die personenbezogene Daten durch den Kauf von Adresslisten erworben haben. Daher müssen die Verantwortlichen, die den Kauf von Kundendaten in Betracht ziehen, die Verfahren, Pflichten und Verbote im Zusammenhang mit dem Kauf und der Nutzung personenbezogener Daten kennen.

In diesem Zusammenhang werden wir in diesem Artikel detailliert auf die Bestimmungen und Vorsichtsmaßnahmen des japanischen Gesetzes zum Schutz personenbezogener Daten eingehen, die von der Beschaffung bis zur Nutzung von Kundendaten gelten.

Was ist das Gesetz zum Schutz personenbezogener Daten (Japanisches Datenschutzgesetz)?

Was ist das Gesetz zum Schutz personenbezogener Daten?

Der offizielle Name des Gesetzes zum Schutz personenbezogener Daten ist “Gesetz zum Schutz personenbezogener Daten” (Japanisches Datenschutzgesetz). Seit seiner Verabschiedung im Jahr 2003 (Gregorianischer Kalender) wurde es mehrmals überarbeitet, um den Veränderungen der Zeit, wie der Digitalisierung von Informationen, gerecht zu werden.

Das Hauptziel dieses Gesetzes ist nicht die Einschränkung der Nutzung personenbezogener Daten, sondern der “Schutz” und die “angemessene Nutzung”, wie im Folgenden dargestellt.

Ziel des Gesetzes zum Schutz personenbezogener Daten

  • Den Schutz der Rechte und Interessen von Einzelpersonen zu gewährleisten und Regeln für die angemessene Nutzung personenbezogener Daten festzulegen
  • Pflichten und Strafen für Unternehmen, die personenbezogene Daten verarbeiten, festzulegen

Definition von personenbezogenen Daten

Im Gesetz zum Schutz personenbezogener Daten bezieht sich “personenbezogene Daten” auf Informationen über lebende Personen, die eine der folgenden Bedingungen erfüllen:

  1. Informationen, die eine bestimmte Person durch enthaltene Namen, Geburtsdaten oder andere Beschreibungen identifizieren können
  2. Informationen, die einen persönlichen Identifikationscode enthalten

Was ist ein persönlicher Identifikationscode?

Ein persönlicher Identifikationscode ist ein Zeichen, eine Nummer, ein Symbol oder ein anderes Zeichen, das eine bestimmte Person identifizieren kann und eine der folgenden Bedingungen erfüllt und durch eine Verordnung oder Regel einzeln festgelegt wird:

  • Ein Code, der die Merkmale eines Teils des Körpers für einen Computer umwandelt (DNA, Gesicht, Iris, Stimmabdruck, Gangart, Venen der Finger, Fingerabdrücke, Handflächenabdrücke usw.)
  • Ein Code, der für die Nutzung von Dienstleistungen oder in Dokumenten individuell zugewiesen wird (Reisepassnummer, Grundrentennummer, Führerscheinnummer, Einwohnermeldeamt-Code, My Number, verschiedene Versicherungskarten usw.)

Wenn Sie mehr über das Gesetz zum Schutz personenbezogener Daten erfahren möchten, finden Sie weitere Informationen in dem unten verlinkten Artikel. Bitte lesen Sie diesen Artikel zusammen mit dem Hauptartikel.

Verwandter Artikel: Was sind das Gesetz zum Schutz personenbezogener Daten und personenbezogene Daten? Ein Anwalt erklärt [ja]

Ist der Kauf und Verkauf von Kundendaten legal?

Abgesehen von staatlichen Einrichtungen und öffentlichen Körperschaften ist der Kauf und Verkauf von Kundendaten durch allgemeine Geschäftsbetreiber nicht illegal, sofern sie das japanische Datenschutzgesetz (Japanisches Datenschutzgesetz) einhalten.

Verfahren zur Bereitstellung von persönlichen Informationen an Dritte

Wenn ein Geschäftsbetreiber eine Datenbank mit persönlichen Informationen an Dritte weitergeben möchte, sind die folgenden Verfahren vorgeschrieben.

Grundsätzlich ist die vorherige Zustimmung der betroffenen Person einzuholen

Jedoch gibt es Ausnahmen in den folgenden Fällen:

① Wenn es auf gesetzlicher Grundlage erfolgt
② Wenn es schwierig ist, die Zustimmung der betroffenen Person einzuholen und es zum Schutz des Lebens, des Körpers oder des Eigentums einer Person oder zur Förderung der öffentlichen Gesundheit oder der gesunden Entwicklung von Kindern notwendig ist
③ Wenn es zur Zusammenarbeit mit der Regierung oder lokalen öffentlichen Einrichtungen erforderlich ist

Bereitstellung an Dritte durch Opt-out-Verfahren

Wenn ein Geschäftsbetreiber vorsieht, dass die Bereitstellung von persönlichen Informationen an Dritte auf Antrag der betroffenen Person eingestellt wird (Opt-out), kann die Bereitstellung an Dritte auch ohne Zustimmung der betroffenen Person durch die folgenden Verfahren ermöglicht werden.

Die folgenden Punkte ① bis ⑤ müssen der betroffenen Person im Voraus mitgeteilt werden oder auf einer Webseite oder ähnlichem leicht zugänglich gemacht werden, und die japanische Datenschutzbehörde (Japanische Datenschutzbehörde) muss darüber informiert werden.

① Die Bereitstellung an Dritte ist Teil des Zwecks der Nutzung.
② Die Art der persönlichen Daten, die an Dritte weitergegeben werden
③ Die Methode der Bereitstellung an Dritte
④ Die Bereitstellung von persönlichen Daten an Dritte wird auf Antrag der betroffenen Person eingestellt.
⑤ Die Methode zur Annahme des Antrags der betroffenen Person

Zu beachten ist, dass bei “sensiblen persönlichen Informationen”, bei denen die Kenntnis durch Dritte zu ungerechtfertigter Diskriminierung oder Vorurteilen führen kann, wie Rasse, Glaube, sozialer Status, Krankengeschichte, Vorstrafen usw., die vorherige Zustimmung der betroffenen Person der Grundsatz für die Bereitstellung an Dritte ist.

Was Sie beim Kauf von Kundendaten beachten sollten

Was Sie beim Kauf von Kundendaten beachten sollten

Gesetzlich festgelegte Pflichten

Wenn Sie Kundendaten kaufen, werden Sie selbst zum “Verantwortlichen für die Verarbeitung personenbezogener Daten” (japanisches Datenschutzgesetz). Daher sind Sie gesetzlich verpflichtet, bestimmte Anforderungen zu erfüllen, wenn Sie personenbezogene Daten von Dritten wie Adresshändlern erhalten.

Beim Kauf von Kundendaten müssen Sie folgende zwei Punkte überprüfen:

  • Name, Adresse und Vertreter des Adresshändlers
  • Wie der Adresshändler die personenbezogenen Daten erlangt hat

Beim Kauf von Kundendaten müssen Sie folgende Informationen aufzeichnen und für drei Jahre aufbewahren:

  • Datum des Erhalts der personenbezogenen Daten
  • Name, Adresse und Vertreter des Adresshändlers
  • Wie der Adresshändler die personenbezogenen Daten erlangt hat
  • Name und andere Informationen, die ausreichend sind, um die Person zu identifizieren, die durch die betreffenden personenbezogenen Daten identifiziert wird
  • Die Art der betreffenden personenbezogenen Daten
  • Im Falle einer Weitergabe an Dritte durch ein Opt-out-Verfahren sind die erforderlichen Informationen von der japanischen Datenschutzbehörde veröffentlicht worden.

※Die Anmeldung für das Opt-out-Verfahren kann auf der Webseite der japanischen Datenschutzbehörde [ja] überprüft werden.

Überprüfung der Beschaffung von Kundendaten

Beim Kauf von Kundendaten sollten Sie auch die Methoden zur Beschaffung von Informationen durch Adresshändler überprüfen. Selbst wenn Sie Kundendaten legal erwerben, könnten Sie Schadensersatzansprüche erhalten, wenn die Methode zur Beschaffung der Kundendaten illegal ist.

Es ist gesetzlich verboten, dass Adresshändler Kundendaten durch Betrug oder andere illegale Mittel erlangen. Darüber hinaus gibt es vor dem Kauf folgende Pflichten zu überprüfen:

  • Ob der Zweck der Verwendung konkret festgelegt ist
  • Ob der festgelegte Verwendungszweck veröffentlicht oder dem Betroffenen mitgeteilt wurde
  • Ob die Zustimmung der betroffenen Person eingeholt wurde, wenn die erlangten personenbezogenen Daten für andere Zwecke verwendet werden
  • Ob beim Erhalt von personenbezogenen Daten von Dritten neben dem Namen und der Adresse des Anbieters auch überprüft wurde, wie die personenbezogenen Daten erlangt wurden, und ob das Empfangsdatum, die überprüften Punkte usw. aufgezeichnet und für drei Jahre aufbewahrt wurden
  • Ob “sensible personenbezogene Daten”, für die die Zustimmung der betroffenen Person unbedingt erforderlich ist, enthalten sind

Wenn Sie mehr über Datenlecks und Schadensersatz erfahren möchten, lesen Sie bitte den unten stehenden Artikel zusammen mit diesem Artikel.

Verwandter Artikel: Das Risiko von Datenlecks und Schadensersatz in Unternehmen [ja]

Was Sie beim Umgang mit Kundendaten beachten sollten

Nicht über den Zweck der Nutzung hinausgehen

Es ist gesetzlich verboten, dass Adresshändler und ähnliche Unternehmen Kundendaten über den Zweck hinaus nutzen, für den sie die Zustimmung der betroffenen Person eingeholt haben. Wenn Sie die Daten für einen anderen Zweck nutzen möchten, müssen Sie erneut die Zustimmung der betroffenen Person einholen.

Bei Verwendung für Verkaufsanrufe

Wenn Sie “Telefonverkauf” durchführen, bei dem Sie anrufen, um Produkte usw. anzubieten und Verträge abzuschließen, gibt es die folgenden Vorschriften, die im japanischen “Gesetz über spezielle Handelsgeschäfte” festgelegt sind.

Informieren Sie den Verbraucher vor dem Verkaufsanruf über die folgenden Punkte

  • Name des Unternehmens
  • Name des Verantwortlichen (der den Verkaufsanruf durchführt)
  • Art des zu verkaufenden Produkts (Rechte, Dienstleistungen)
  • Dass der Zweck darin besteht, einen Vertragsabschluss anzubieten

Verbotene Handlungen

  • Erneute Verkaufsanrufe an Personen, die bereits abgelehnt haben
  • Falsche Erklärungen abgeben
  • Vorsätzliches Verschweigen von Tatsachen
  • Die andere Partei einschüchtern oder verwirren

Bei Verwendung für E-Mail-Versand

Wenn Sie E-Mails für Werbung oder Werbung senden, ist es nach dem japanischen “Gesetz über spezielle elektronische Mails” grundsätzlich verboten, diese an Personen zu senden, die nicht ausdrücklich angegeben haben, dass sie solche Mails erhalten möchten, oder die nicht zugestimmt haben, solche Mails zu erhalten.

Selbst wenn Adresshändler usw. die oben genannten Benachrichtigungen ① und ② erhalten haben, müssen die Käufer der Adressliste erneut die Benachrichtigungen ① und ② einholen, daher kann die Verwendung von E-Mails schwierig sein.

Pflicht zur Sicherheitsmaßnahmen

Wenn Sie Kundendaten erheben, sind Sie als Unternehmen, das mit personenbezogenen Daten umgeht, verpflichtet, Maßnahmen zu ergreifen, um Lecks, Verluste oder Beschädigungen von personenbezogenen Daten zu verhindern.

Darüber hinaus müssen Sie gegenüber den Mitarbeitern, die tatsächlich mit personenbezogenen Daten umgehen, eine angemessene und notwendige Aufsicht durchführen, um die Sicherheit dieser Daten zu gewährleisten.

Zusammenfassung

Ist der Kauf von Kundendaten legal?

In diesem Artikel haben wir den Kauf von Kundendaten und dessen Beziehung zum japanischen Datenschutzgesetz (Japanisches Datenschutzgesetz) in vier Abschnitten erläutert:

  1. Was ist das japanische Datenschutzgesetz?
  2. Ist der Kauf und Verkauf von Kundendaten legal?
  3. Was man beim Kauf von Kundendaten beachten sollte
  4. Was man bei der Nutzung von Kundendaten beachten sollte

Wenn Sie jedoch Geschäfte mit Verbrauchern im Ausland über das Internet oder ähnliche Kanäle tätigen, müssen Sie nicht nur das nationale Recht, sondern auch die Gesetze der jeweiligen Länder beachten.

Wenn Sie also tatsächlich den Kauf oder die Nutzung von Kundendaten in Betracht ziehen, empfehlen wir Ihnen, nicht auf eigene Faust zu entscheiden, sondern sich im Voraus von einem Anwalt mit umfangreichem Fachwissen und Erfahrung beraten zu lassen.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. In den letzten Jahren hat das japanische Datenschutzgesetz (das “Japanische Gesetz zum Schutz personenbezogener Daten”) immer mehr Aufmerksamkeit erregt, und die Notwendigkeit von Rechtsprüfungen nimmt stetig zu. Details finden Sie im untenstehenden Artikel.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben