Deutsch English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_de/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Was passiert, wenn ein Datenleck auftritt? Erläuterung der administrativen Maßnahmen, die Unternehmen ergreifen sollten

Was passiert, wenn ein Datenleck auftritt? Erläuterung der administrativen Maßnahmen, die Unternehmen ergreifen sollten

General Corporate

Was passiert, wenn ein Datenleck auftritt? Erläuterung der administrativen Maßnahmen, die Unternehmen ergreifen sollten

Mit der Entwicklung des Internets und der Möglichkeit, Informationen online auszutauschen, gibt es immer mehr Fälle, in denen wichtige Unternehmensinformationen auf unerwartete Weise durchsickern.

In den letzten Jahren hat der Wert von Informationen zugenommen, und wenn einmal ein Informationsleck auftritt, kann dies zu einem großen Problem werden, das das Vertrauen schädigt. Als Unternehmen wird erwartet, dass Sie schnell und angemessen reagieren, wenn ein Informationsleck auftritt.

In diesem Artikel werden wir uns insbesondere auf die Verwaltungsmaßnahmen konzentrieren, die ein Unternehmen ergreifen sollte, wenn ein Informationsleck auftritt.

Auch bei Informationslecks kann eine Verwaltungshandlung erforderlich sein

Verwaltungshandlung bei Informationslecks

Bei Informationslecks variiert der Inhalt der Informationen und ihre Bedeutung. Eine Verwaltungshandlung wird erforderlich, wenn personenbezogene Daten durchgesickert sind.

Die Definition von personenbezogenen Daten ist im Artikel 2 Absatz 1 des japanischen Gesetzes zum Schutz personenbezogener Daten (im Folgenden “Japanisches Datenschutzgesetz” genannt) festgelegt.

(Definition)
Artikel 2 In diesem Gesetz bezeichnet der Ausdruck “personenbezogene Daten” Informationen über eine lebende Person, die einem der folgenden Punkte entsprechen:
1. Informationen, die den Namen, das Geburtsdatum und andere Beschreibungen enthalten (Dokumente, Zeichnungen oder elektromagnetische Aufzeichnungen (Aufzeichnungen, die durch elektromagnetische Methoden (elektronische Methoden, magnetische Methoden und andere Methoden, die nicht durch menschliche Wahrnehmung erkannt werden können, sind gemeint. Im nächsten Absatz, Punkt 2, ist dies gleich.) erstellt werden. Im Folgenden ist dies gleich.) und die aufgezeichnet oder auf andere Weise, z.B. durch Sprache oder Bewegung, dargestellt wurden (ausgenommen sind persönliche Identifikationscodes. Im Folgenden ist dies gleich.), durch die eine bestimmte Person identifiziert werden kann (einschließlich Informationen, die leicht mit anderen Informationen abgeglichen werden können und durch die eine bestimmte Person identifiziert werden kann.)
2. Informationen, die einen persönlichen Identifikationscode enthalten

e-GOV|Gesetz zum Schutz personenbezogener Daten[ja]

Informationen, die der oben genannten Definition entsprechen, werden als personenbezogene Daten geschützt durch das Japanische Datenschutzgesetz.

Verwandter Artikel: Was sind das japanische Datenschutzgesetz und personenbezogene Daten? Ein Anwalt erklärt[ja]

Zusätzlich zu den Verwaltungshandlungen können in einigen Fällen auch Informationsfreigaben erforderlich sein, wenn ein Informationsleck auftritt. Bitte beziehen Sie sich auf den folgenden Artikel für weitere Informationen.

Verwandter Artikel: Was ist die Informationsfreigabe, die Unternehmen im Falle eines Informationslecks durchführen sollten?[ja]

Pflicht zur Meldung von Datenschutzverletzungen

Personenbezogene Datenverarbeiter (japanische “Persönliche Informationsverarbeiter”) sind verpflichtet, der japanischen Datenschutzbehörde (“Personal Information Protection Commission”) zu melden, wenn eine Situation auftritt, in der personenbezogene Daten durchgesickert sind oder die Gefahr eines Durchsickerns besteht.

Bis zum 1. April 2022 (Reiwa 4) war die Meldung an die Datenschutzbehörde bei einer Situation, in der ein Datenleck oder die Gefahr eines Datenlecks besteht, keine Pflicht, sondern wurde als Bemühung angesehen. Mit der Änderung des japanischen Datenschutzgesetzes (“Personal Information Protection Law”) wurde die Meldung an die Datenschutzbehörde ab dem 1. April 2022 zur Pflicht.

Der hier genannte “Personenbezogene Datenverarbeiter” bezieht sich auf Personen, die personenbezogene Datenbanken usw. für geschäftliche Zwecke nutzen (Artikel 16 Absatz 2 des japanischen Datenschutzgesetzes). Allerdings sind staatliche Einrichtungen, lokale öffentliche Körperschaften, unabhängige Verwaltungseinrichtungen usw. und lokale unabhängige Verwaltungseinrichtungen nicht in den Personenbezogenen Datenverarbeiter eingeschlossen.

“Personenbezogene Datenbanken usw.” bezieht sich auf eine Sammlung von Informationen, die personenbezogene Daten enthalten und entweder der folgenden beiden Anforderungen genügen, mit Ausnahme derjenigen, die durch eine Verordnung als solche mit geringem Risiko für die Rechte und Interessen von Einzelpersonen festgelegt sind (Artikel 16 Absatz 1 des japanischen Datenschutzgesetzes).

  • Systematisch organisiert, um bestimmte personenbezogene Daten mit einem Computer durchsuchen zu können
  • Systematisch organisiert, um bestimmte personenbezogene Daten leicht durchsuchen zu können

Personenbezogene Datenverarbeiter, die personenbezogene Datenbanken usw. für geschäftliche Zwecke nutzen, sind verpflichtet, der Datenschutzbehörde zu melden.

Verwandter Artikel: Erklärung der wichtigsten Punkte zur “Verantwortung der Unternehmen” im geänderten japanischen Datenschutzgesetz 2022[ja]

Vier Fälle, in denen eine Meldung an die japanische Datenschutzbehörde erforderlich ist

Es gibt vier Fälle, in denen eine Meldung an die japanische Datenschutzbehörde (Personal Information Protection Commission) erforderlich ist, wenn ein Datenleck von persönlichen Informationen auftritt (gemäß Artikel 7 der Durchführungsverordnung zum japanischen Gesetz zum Schutz persönlicher Informationen).

  1. Wenn ein Datenleck von persönlichen Daten, die sensible persönliche Informationen enthalten, aufgetreten ist oder die Möglichkeit dazu besteht
  2. Wenn ein Datenleck von persönlichen Daten, die durch Missbrauch zu finanziellen Schäden führen könnten, aufgetreten ist oder die Möglichkeit dazu besteht
  3. Wenn ein Datenleck von persönlichen Daten, das möglicherweise mit betrügerischer Absicht verursacht wurde, aufgetreten ist oder die Möglichkeit dazu besteht
  4. Wenn ein Datenleck, das mehr als 1.000 betroffene Personen betrifft, aufgetreten ist oder die Möglichkeit dazu besteht

Im Folgenden werden diese Fälle näher erläutert.

Datenleck von sensiblen persönlichen Informationen

“Sensible persönliche Informationen” sind Informationen, die durch eine Verordnung festgelegt sind und bei deren Handhabung besondere Vorsicht geboten ist, um ungerechte Diskriminierung, Vorurteile oder andere Nachteile für die betroffene Person zu vermeiden. Dazu gehören Informationen über die Rasse, den Glauben, den sozialen Status, die Krankengeschichte, die kriminelle Vergangenheit und die Opfer von Verbrechen der betroffenen Person.

Zum Beispiel würden Informationen über die Krankengeschichte eines Mitarbeiters, die aus den Ergebnissen einer Gesundheitsuntersuchung des Mitarbeiters hervorgehen, als sensible persönliche Informationen gelten.

Datenleck von persönlichen Informationen, die zu finanziellen Schäden führen könnten

Hier geht es um Fälle, in denen persönliche Daten, deren Missbrauch zu finanziellen Schäden führen könnte, durchgesickert sind.

Ein konkretes Beispiel wäre, wenn ein Unternehmen die Kreditkarteninformationen seiner Kunden durchsickern lässt.

Datenleck von persönlichen Informationen mit betrügerischer Absicht

Dies betrifft Fälle, in denen die Person, die das Datenleck verursacht hat, eine betrügerische Absicht hat.

Ein Beispiel wäre, wenn ein Dritter oder ein Mitarbeiter eines Unternehmens unberechtigten Zugriff auf das Netzwerk des Unternehmens erhält und persönliche Daten mit der Absicht, sie missbräuchlich zu verwenden, durchsickern lässt.

Großflächiges Datenleck von persönlichen Informationen

Dies betrifft Fälle, in denen ein Datenleck mehr als 1.000 betroffene Personen betrifft.

Unternehmen, die eine große Menge an persönlichen Daten verarbeiten, müssen vorsichtig sein, da die Möglichkeit besteht, dass auf einmal eine große Menge an persönlichen Daten durchsickert.

Meldepflichten an die japanische Datenschutzbehörde bei Informationslecks

Meldepflichten an die japanische Datenschutzbehörde bei Informationslecks

Wenn eine Situation eintritt, in der ein Bericht an die japanische Datenschutzbehörde erforderlich ist, müssen die in Artikel 8 Absatz 1 der Durchführungsverordnung zum japanischen Datenschutzgesetz festgelegten Punkte gemeldet werden.

(Bericht an die japanische Datenschutzbehörde)
Artikel 8: Wenn ein Unternehmen, das personenbezogene Daten verarbeitet, einen Bericht gemäß Artikel 26 Absatz 1 des Gesetzes erstatten muss, muss es unverzüglich nach Kenntnisnahme der in dem vorherigen Artikel genannten Situation die folgenden Punkte in Bezug auf diese Situation melden (begrenzt auf die Punkte, die zum Zeitpunkt der geplanten Meldung bekannt sind. Gleiches gilt im nächsten Artikel.)

e-GOV|Japanisches Datenschutzgesetz[ja]

Wenn einer der vier oben genannten Fälle, in denen ein Bericht erforderlich ist, zutrifft, muss das Unternehmen unverzüglich die folgenden Punkte an die japanische Datenschutzbehörde melden:

  • Überblick
  • Art der personenbezogenen Daten, bei denen ein Leck aufgetreten ist oder bei denen die Gefahr eines Lecks besteht
  • Anzahl der betroffenen Personen, deren personenbezogene Daten durchgesickert sind oder bei denen die Gefahr eines Lecks besteht
  • Ursache
  • Vorhandensein und Inhalt eines möglichen Sekundärschadens
  • Status der Maßnahmen gegenüber den betroffenen Personen
  • Status der Veröffentlichung
  • Maßnahmen zur Verhinderung eines erneuten Auftretens
  • Weitere relevante Informationen

Es ist jedoch ausreichend, nur die Punkte zu melden, die zum Zeitpunkt der Meldung bekannt sind.

Frist für die Meldung von Informationslecks an die japanische Datenschutzbehörde

Es gibt eine festgelegte Frist für die Meldung an die japanische Datenschutzbehörde (gemäß Artikel 8 Absatz 2 der Durchführungsverordnung zum japanischen Gesetz zum Schutz personenbezogener Daten).

Grundsätzlich muss die Meldung an die japanische Datenschutzbehörde innerhalb von 30 Tagen nach Kenntnisnahme des Informationslecks erfolgen. Wenn die Entität, die die personenbezogenen Daten durchgesickert hat, eine betrügerische Absicht hat, muss die Meldung innerhalb von 60 Tagen erfolgen.

Pflicht zur Benachrichtigung der betroffenen Person

Im Falle eines Datenlecks von persönlichen Informationen gibt es neben der Meldepflicht an die japanische Datenschutzbehörde (‘Japanische Datenschutzkommission’) auch eine gesetzlich festgelegte Pflicht, die betroffene Person zu benachrichtigen (Artikel 26 Absatz 2 des japanischen Datenschutzgesetzes).

Der Zweck der Benachrichtigung der betroffenen Person besteht darin, durch eine möglichst schnelle Reaktion auf das Datenleck die Verletzung der Rechte und Interessen der betroffenen Person zu verhindern. Daher sind Unternehmen, die persönliche Daten verarbeiten, verpflichtet, die betroffene Person unverzüglich zu benachrichtigen.

Zusammenfassung: Bei Datenschutzverletzungen sollten Sie einen Anwalt konsultieren

Wir haben erklärt, welche Maßnahmen ein Unternehmen ergreifen muss, wenn es zu einem Datenschutzverstoß kommt, insbesondere in Bezug auf die Reaktion der Verwaltung.

Für Unternehmen ist es natürlich wichtig, Systeme zu schaffen, die keine Datenlecks verursachen. Sollte jedoch ein Datenleck auftreten, ist es notwendig, angemessen zu reagieren.

Das japanische Datenschutzgesetz (Japanisches Datenschutzgesetz) wird häufig geändert und hat einige komplexe Strukturen. Daher empfehlen wir, einen Anwalt mit Fachwissen zu konsultieren, um angemessen reagieren zu können.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. In jüngster Zeit ist der Datenschutz ein großes Problem geworden. Sollten personenbezogene Daten einmal durchgesickert sein, kann dies unter Umständen einen fatalen Einfluss auf die Geschäftstätigkeit haben. Unsere Kanzlei verfügt über spezialisiertes Wissen in Bezug auf Prävention und Maßnahmen gegen Datenlecks. Details finden Sie im folgenden Artikel.

https://monolith.law/practices/itlaw[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Was sind die Werbevorschriften im japanischen Arzneimittelgesetz, auf die Schönheitssalons achten sollten?

Was sind die Werbevorschriften im japanischen Arzneimittelgesetz, auf die Schönheitssalons achte.

General Corporate

Was passiert, wenn die DSGVO außerhalb ihres Geltungsbereichs angewendet wird? Erklärung der Vorgehensweisen

Was passiert, wenn die DSGVO außerhalb ihres Geltungsbereichs angewendet wird? Erklärung der Vor.

General Corporate

Ein Muss für Unternehmen, die sich in Europa etablieren wollen: Schlüsselaspekte des EU-Rechts und des Rechtssystems erklärt

Ein Muss für Unternehmen, die sich in Europa etablieren wollen: Schlüsselaspekte des EU-Rechts u.

General Corporate

Erklärung der Klausel über das Wandlungsrecht in Investitionsverträgen von Startups

Erklärung der Klausel über das Wandlungsrecht in Investitionsverträgen von Startups

General Corporate

Rechtliche Fragen, die bei der Erstellung eines ICO-Whitepapers zu beachten sind

Rechtliche Fragen, die bei der Erstellung eines ICO-Whitepapers zu beachten sind

General Corporate

Die Schlüsselpunkte des überarbeiteten 'Japanischen Gesetzes zum Schutz von Hinweisgebern im öffentlichen Interesse' - Welche Maßnahmen sollten Unternehmen ergreifen?

Die Schlüsselpunkte des überarbeiteten 'Japanischen Gesetzes zum Schutz von Hinweisgebern im öff.

General Corporate

Der Kauf von Immobilien in Japan und die Dienstleistungen einer Anwaltskanzlei als Escrow-Agent

Der Kauf von Immobilien in Japan und die Dienstleistungen einer Anwaltskanzlei als Escrow-Agent

General Corporate

Nutzt die Sharing Economy für Nebenjobs und Doppeljobs - Verstößt dies gegen die Arbeitsregeln des Hauptberufs?

Nutzt die Sharing Economy für Nebenjobs und Doppeljobs - Verstößt dies gegen die Arbeitsregeln d.

General Corporate

Was ist für die internationale Expansion notwendige internationale Rechtsangelegenheiten? Eine Erklärung der erforderlichen Fähigkeiten und Aufgabenbereiche

Was ist für die internationale Expansion notwendige internationale Rechtsangelegenheiten? Eine E.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Zurück Nach Oben