Artikel Titel: 'Erklärung der 'Strafen' im überarbeiteten japanischen Datenschutzgesetz von Reiwa 4 (2022)'

Das überarbeitete japanische Datenschutzgesetz (Änderung 2022) ist seit April 2022 in Kraft. Nachdem wir die “Pflichten des Unternehmers” im überarbeiteten japanischen Datenschutzgesetz (Änderung 2022) erläutert haben, werden wir diesmal die Verwendung von Daten und die damit verbundenen Strafen erklären.

Überblick über die Änderungen des japanischen Datenschutzgesetzes im Jahr Reiwa 4 (2022)

Die Änderungen des japanischen Datenschutzgesetzes im Jahr 2022 betreffen die folgenden sechs Punkte:

1. Die Art und Weise, wie die Rechte der Einzelpersonen bestehen
2. Die Art und Weise, wie die Pflichten der Unternehmen bestehen, die sie schützen sollten
3. Die Art und Weise, wie das System zur Förderung der freiwilligen Bemühungen der Unternehmen besteht
4. Die Art und Weise, wie die Datennutzung besteht
5. Die Art und Weise, wie die Strafen bestehen
6. Die Art und Weise, wie die Anwendung des Gesetzes außerhalb des Territoriums und der grenzüberschreitenden Übertragung besteht

In “Erklärung der Punkte, auf die bei den ‘Pflichten der Unternehmen’ im geänderten Datenschutzgesetz 2022 zu achten ist [ja]“, haben wir die Änderungspunkte (1) und (2) erläutert. Hier erklären wir die Änderungspunkte (3), (4), (5) und (6).

Verwandter Artikel: Was sind das japanische Datenschutzgesetz und persönliche Informationen? Ein Anwalt erklärt [ja]

Die Rolle von Mechanismen zur Förderung von Eigeninitiative bei Unternehmen

Die Rolle von Mechanismen zur Förderung von Eigeninitiative bei Unternehmen hat an Bedeutung gewonnen, da sich die Geschäftspraktiken diversifizieren und die IT-Technologie fortschreitet. Es wird immer wichtiger, dass private Organisationen eigenständige Regeln für den Umgang mit personenbezogenen Daten in bestimmten Bereichen aufstellen und aktiv Anleitungen für die betroffenen Unternehmen geben.

Im japanischen Gesetz zum Schutz personenbezogener Daten (Japanisches Datenschutzgesetz) wird neben der Kommission für den Schutz personenbezogener Daten auch der Schutz von Informationen durch private Organisationen angestrebt, und es wurde ein System für zertifizierte Organisationen eingerichtet. Organisationen, die Beschwerden über den Umgang mit personenbezogenen Daten bearbeiten und Informationen über den ordnungsgemäßen Umgang mit personenbezogenen Daten an Unternehmen weitergeben, können die Zertifizierung der Kommission für den Schutz personenbezogener Daten erhalten und so zu einer “zertifizierten Organisation für den Schutz personenbezogener Daten” werden. Mit der revidierten Gesetzgebung können nun auch Organisationen, die sich auf bestimmte Geschäftsbereiche (Abteilungen) von Unternehmen konzentrieren, als zertifizierte Organisationen anerkannt werden (Artikel 47, Absatz 2). Dies ist ein Schritt, um die Nutzung von zertifizierten Organisationen weiter voranzutreiben und den Schutz personenbezogener Daten durch Organisationen, die sich auf bestimmte Geschäftsbereiche spezialisieren, mit ihrer Fachkompetenz zu fördern.

Die Nutzung von Daten

Es gab zwei Änderungen in Bezug auf die Nutzung von Daten:

Einführung von “Pseudonymisierten Informationen” und Lockerung der Pflichten (Artikel 2, Absatz 9)

Nach geltendem Recht gelten Informationen, die lediglich pseudonymisiert wurden, weiterhin als “persönliche Informationen”, und Unternehmen sind verpflichtet, verschiedene Pflichten in Bezug auf den Umgang mit persönlichen Informationen zu erfüllen. Es besteht jedoch ein wachsendes Bedürfnis, diese “pseudonymisierten persönlichen Informationen” zu nutzen, indem sie eine gewisse Sicherheit gewährleisten und gleichzeitig die Nützlichkeit der Daten auf dem gleichen Niveau wie die ursprünglichen persönlichen Informationen vor der Verarbeitung erhalten, um detailliertere Analysen durch relativ einfache Verarbeitungsmethoden durchzuführen.

In Reaktion darauf hat das geänderte Gesetz “pseudonymisierte Informationen”, bei denen Namen und andere Informationen entfernt wurden, eingeführt und die Pflichten, wie die Reaktion auf Anfragen zur Offenlegung und Nutzungseinstellung, unter Bedingungen wie der Beschränkung auf interne Analysen, gelockert, um Innovationen zu fördern.

Die eingeführten pseudonymisierten Informationen beziehen sich auf “Informationen über eine Person, die durch die Verarbeitung persönlicher Informationen so gewonnen wurden, dass eine bestimmte Person nicht identifiziert werden kann, es sei denn, sie wird mit anderen Informationen abgeglichen”. Zum Beispiel ist es die Verarbeitung von “Name, Alter, Datum, Uhrzeit, Betrag, Geschäft” zu “Pseudonym-ID, Alter, Datum, Uhrzeit, Betrag, Geschäft”. Mögliche Anwendungsfälle sind “interne Analysen für Zwecke, die nicht dem ursprünglichen Nutzungszweck entsprechen oder bei denen es schwierig ist, eine Entscheidung zu treffen” (Forschung im medizinischen und pharmazeutischen Bereich, Erkennung von Betrug, Umsatzprognosen usw. durch maschinelles Lernen), “Verarbeitung von persönlichen Informationen, die das Nutzungsziel erreicht haben, als pseudonymisierte Informationen und Speicherung für zukünftige statistische Analysen”.

Was die Methode zur Erstellung von pseudonymisierten Informationen betrifft, so wird als Mindestanforderung gefordert, dass

• alle oder ein Teil der Beschreibungen, die eine bestimmte Person identifizieren können (z.B. Name), entfernt (einschließlich Ersetzung, im Folgenden gleich) werden
• alle persönlichen Identifikationscodes entfernt werden
• Beschreibungen, die bei missbräuchlicher Verwendung zu finanziellen Schäden führen könnten (z.B. Kreditkartennummern), entfernt werden

Diese Maßnahmen sind erforderlich.

Pflicht zur Überprüfung von Informationen, die voraussichtlich persönliche Daten beim Empfänger werden (Artikel 26, Absatz 2)

Nach geltendem Recht sind Informationen, die beim Anbieter keine persönlichen Daten sind, auch dann nicht reguliert, wenn sie beim Empfänger voraussichtlich persönliche Daten werden. Das geänderte Gesetz verpflichtet jedoch zur Überprüfung, ob die Zustimmung der betroffenen Person vorliegt usw., wenn Informationen, die beim Anbieter keine persönlichen Daten sind, aber beim Empfänger voraussichtlich persönliche Daten werden, an Dritte weitergegeben werden.

Da Technologien, die große Mengen an Benutzerdaten sammeln und diese sofort zu persönlichen Daten verbinden, entwickelt und verbreitet wurden, gibt es immer mehr Schemata, die gegen den Geist des Gesetzes zum Schutz persönlicher Informationen verstoßen, indem sie Informationen, die voraussichtlich beim Empfänger persönliche Daten werden, als nicht-persönliche Informationen an Dritte weitergeben, obwohl sie dies im Voraus wissen. Dies ist auf die Befürchtung zurückzuführen, dass Methoden zur Sammlung persönlicher Informationen ohne Beteiligung der betroffenen Person zunehmen könnten.

Über Strafen

Die Art und Weise, wie Strafen verhängt werden, wurde in folgenden zwei Punkten geändert:

Erhöhung der gesetzlichen Strafen für Verstöße gegen Anordnungen des Ausschusses und falsche Berichterstattung an den Ausschuss (Artikel 83, Artikel 87 usw.)

Angesichts der Zunahme von Fällen, die gegen das Gesetz verstoßen, und der Zunahme von Fällen, in denen Berichte eingeholt und Inspektionen durchgeführt werden, besteht die Notwendigkeit, die Wirksamkeit von Berichtserhebungen und Inspektionen, die den Ausgangspunkt für das Verständnis der tatsächlichen Situation der Unternehmen darstellen, zu erhöhen. Daher wurden in der revidierten Gesetzgebung die gesetzlichen Strafen erhöht.

Unter dem aktuellen Gesetz war der “Verstoß gegen Anordnungen der japanischen Datenschutzkommission” mit einer Freiheitsstrafe von bis zu sechs Monaten oder einer Geldstrafe von bis zu 300.000 Yen belegt. Unter dem revidierten Gesetz wird dies zu einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 1 Million Yen. Der “unrechtmäßige Bereitstellung von persönlichen Datenbanken usw.” bleibt bei einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 500.000 Yen. Die “falsche Berichterstattung an die japanische Datenschutzkommission” war unter dem aktuellen Gesetz mit einer Geldstrafe von bis zu 300.000 Yen belegt, unter dem revidierten Gesetz wird dies zu einer Geldstrafe von bis zu 500.000 Yen.

Erhöhung der Geldstrafen für juristische Personen (Artikel 84, Artikel 85 usw.)

Unter dem aktuellen Gesetz waren die Geldstrafen für juristische Personen in der gleichen Höhe wie die für die Täter. Unter Berücksichtigung der Unterschiede in der finanziellen Leistungsfähigkeit zwischen juristischen Personen und Einzelpersonen wurde jedoch in der revidierten Gesetzgebung die Höchstgrenze für Geldstrafen für Verstöße gegen Anordnungen usw. für juristische Personen erhöht (höhere Strafen für juristische Personen). Es wurde festgestellt, dass selbst wenn eine Geldstrafe in der gleichen Höhe wie die des Täters gegen eine juristische Person verhängt wird, nicht erwartet werden kann, dass sie eine ausreichende abschreckende Wirkung als Strafe hat.

Unter dem aktuellen Gesetz war der “Verstoß gegen Anordnungen der japanischen Datenschutzkommission” durch eine juristische Person mit einer Geldstrafe in der gleichen Höhe wie die des Täters, nämlich bis zu 300.000 Yen, belegt. Unter dem revidierten Gesetz wird dies zu einer Geldstrafe von bis zu 100 Millionen Yen. Der “unrechtmäßige Bereitstellung von persönlichen Datenbanken usw.” war unter dem aktuellen Gesetz mit einer Geldstrafe in der gleichen Höhe wie die des Täters, nämlich bis zu 500.000 Yen, belegt. Unter dem revidierten Gesetz wird dies zu einer Geldstrafe von bis zu 100 Millionen Yen. Allerdings bleibt die “falsche Berichterstattung an die japanische Datenschutzkommission” unter dem revidierten Gesetz bei einer Geldstrafe in der gleichen Höhe wie die des Täters, nämlich bis zu 500.000 Yen.

Anwendungsbereich des Gesetzes und Umgang mit grenzüberschreitenden Transfers

Bezüglich des Anwendungsbereichs des Gesetzes und des Umgangs mit grenzüberschreitenden Transfers wurden die folgenden zwei Punkte geändert:

Verstärkung der extraterritorialen Anwendung (Artikel 75 des japanischen Datenschutzgesetzes)

Im aktuellen Gesetz beschränkten sich die Befugnisse, die gegenüber ausländischen Unternehmen, die Gegenstand der extraterritorialen Anwendung sind, ausgeübt werden können, auf Anleitung und Beratung sowie Empfehlungen ohne Zwangsbefugnisse. Da jedoch befürchtet wird, dass die Kommission nicht angemessen auf Vorfälle wie Lecks im Ausland reagieren kann, sieht das geänderte Gesetz vor, ausländische Unternehmen, die personenbezogene Daten im Zusammenhang mit der Bereitstellung von Waren oder Dienstleistungen in Japan behandeln, als Ziel für durch Strafen gesicherte Berichterstattung und Anordnungen zu machen und die Ausübung der Befugnisse der japanischen Datenschutzkommission zu stärken.

Verbesserung der Informationsbereitstellung an die betroffene Person bezüglich der Handhabung personenbezogener Daten durch den Empfänger der Übertragung (Artikel 78 des japanischen Datenschutzgesetzes)

In einigen Ländern gibt es staatliche Regulierungen, und da sich die Möglichkeiten für grenzüberschreitende Übertragungen personenbezogener Daten erweitern, führen Unterschiede in den Systemen der Länder und Regionen zu Instabilität in der Vorhersehbarkeit für Einzelpersonen und Unternehmen, die Daten verarbeiten, und es entstehen Bedenken aus der Sicht des Schutzes der Rechte und Interessen der Einzelpersonen.

Als Reaktion darauf wird gefordert, dass bei der Bereitstellung personenbezogener Daten an Dritte im Ausland die Informationsbereitstellung an die betroffene Person bezüglich der Handhabung personenbezogener Daten durch den Empfänger der Übertragung verbessert wird. Als Voraussetzung für die Bereitstellung personenbezogener Daten an Dritte im Ausland wurde die Anforderung, die im aktuellen Gesetz “Zustimmung der betroffenen Person” war, durch die Verpflichtung ersetzt, “bei der Einholung der Zustimmung Informationen über den Namen des Empfängerlandes, das Vorhandensein oder Fehlen eines Systems zum Schutz personenbezogener Daten im Empfängerland usw. an die betroffene Person zu liefern”. Die Anforderung, dass es sich um ein “Unternehmen, das ein System eingerichtet hat, das den Standards entspricht”, wurde durch die Verpflichtung ersetzt, “regelmäßige Überprüfungen des Umgangs durch den Empfänger der Übertragung + Bereitstellung von zugehörigen Informationen auf Anfrage der betroffenen Person” durchzuführen.

Zusammenfassung

Die Änderung des japanischen Datenschutzgesetzes im Jahr 2022, die erste Gesetzesänderung basierend auf der “Drei-Jahres-Überprüfungsregelung”, beinhaltete die Erweiterung von Nutzungsstopp und Löschung, das Verbot von unsachgemäßer Nutzung, die Verbesserung der Informationsbereitstellung im Zusammenhang mit grenzüberschreitenden Transfers, die Einführung von “Pseudonymisierten Informationen” und mehr. Diese Maßnahmen zielen darauf ab, den Schutz und die Stärkung der Rechte und Interessen der Einzelpersonen, die Bewältigung neuer Risiken im Zusammenhang mit dem zunehmenden Datenverkehr über Grenzen hinweg und die Anpassung an das Zeitalter von KI und Big Data zu fördern.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. Das gerade überarbeitete ‘Japanische Gesetz zum Schutz personenbezogener Daten’ zieht viel Aufmerksamkeit auf sich und die Notwendigkeit einer rechtlichen Überprüfung nimmt immer mehr zu. Unsere Kanzlei bietet Lösungen im Bereich des geistigen Eigentums an. Details finden Sie im folgenden Artikel.