Was passiert, wenn ein Datenleck auftritt? Erläuterung der administrativen Maßnahmen, die Unternehmen ergreifen sollten
Mit der Entwicklung des Internets und der Möglichkeit, Informationen online auszutauschen, gibt es immer mehr Fälle, in denen wichtige Unternehmensinformationen auf unerwartete Weise durchsickern.
In den letzten Jahren hat der Wert von Informationen zugenommen, und wenn einmal ein Informationsleck auftritt, kann dies zu einem großen Problem werden, das das Vertrauen schädigt. Als Unternehmen wird erwartet, dass Sie schnell und angemessen reagieren, wenn ein Informationsleck auftritt.
In diesem Artikel werden wir uns insbesondere auf die Verwaltungsmaßnahmen konzentrieren, die ein Unternehmen ergreifen sollte, wenn ein Informationsleck auftritt.
Auch bei Informationslecks kann eine Verwaltungshandlung erforderlich sein
Bei Informationslecks variiert der Inhalt der Informationen und ihre Bedeutung. Eine Verwaltungshandlung wird erforderlich, wenn personenbezogene Daten durchgesickert sind.
Die Definition von personenbezogenen Daten ist im Artikel 2 Absatz 1 des japanischen Gesetzes zum Schutz personenbezogener Daten (im Folgenden “Japanisches Datenschutzgesetz” genannt) festgelegt.
(Definition)
e-GOV|Gesetz zum Schutz personenbezogener Daten[ja]
Artikel 2 In diesem Gesetz bezeichnet der Ausdruck “personenbezogene Daten” Informationen über eine lebende Person, die einem der folgenden Punkte entsprechen:
1. Informationen, die den Namen, das Geburtsdatum und andere Beschreibungen enthalten (Dokumente, Zeichnungen oder elektromagnetische Aufzeichnungen (Aufzeichnungen, die durch elektromagnetische Methoden (elektronische Methoden, magnetische Methoden und andere Methoden, die nicht durch menschliche Wahrnehmung erkannt werden können, sind gemeint. Im nächsten Absatz, Punkt 2, ist dies gleich.) erstellt werden. Im Folgenden ist dies gleich.) und die aufgezeichnet oder auf andere Weise, z.B. durch Sprache oder Bewegung, dargestellt wurden (ausgenommen sind persönliche Identifikationscodes. Im Folgenden ist dies gleich.), durch die eine bestimmte Person identifiziert werden kann (einschließlich Informationen, die leicht mit anderen Informationen abgeglichen werden können und durch die eine bestimmte Person identifiziert werden kann.)
2. Informationen, die einen persönlichen Identifikationscode enthalten
Informationen, die der oben genannten Definition entsprechen, werden als personenbezogene Daten geschützt durch das Japanische Datenschutzgesetz.
Verwandter Artikel: Was sind das japanische Datenschutzgesetz und personenbezogene Daten? Ein Anwalt erklärt[ja]
Zusätzlich zu den Verwaltungshandlungen können in einigen Fällen auch Informationsfreigaben erforderlich sein, wenn ein Informationsleck auftritt. Bitte beziehen Sie sich auf den folgenden Artikel für weitere Informationen.
Verwandter Artikel: Was ist die Informationsfreigabe, die Unternehmen im Falle eines Informationslecks durchführen sollten?[ja]
Pflicht zur Meldung von Datenschutzverletzungen
Personenbezogene Datenverarbeiter (japanische “Persönliche Informationsverarbeiter”) sind verpflichtet, der japanischen Datenschutzbehörde (“Personal Information Protection Commission”) zu melden, wenn eine Situation auftritt, in der personenbezogene Daten durchgesickert sind oder die Gefahr eines Durchsickerns besteht.
Bis zum 1. April 2022 (Reiwa 4) war die Meldung an die Datenschutzbehörde bei einer Situation, in der ein Datenleck oder die Gefahr eines Datenlecks besteht, keine Pflicht, sondern wurde als Bemühung angesehen. Mit der Änderung des japanischen Datenschutzgesetzes (“Personal Information Protection Law”) wurde die Meldung an die Datenschutzbehörde ab dem 1. April 2022 zur Pflicht.
Der hier genannte “Personenbezogene Datenverarbeiter” bezieht sich auf Personen, die personenbezogene Datenbanken usw. für geschäftliche Zwecke nutzen (Artikel 16 Absatz 2 des japanischen Datenschutzgesetzes). Allerdings sind staatliche Einrichtungen, lokale öffentliche Körperschaften, unabhängige Verwaltungseinrichtungen usw. und lokale unabhängige Verwaltungseinrichtungen nicht in den Personenbezogenen Datenverarbeiter eingeschlossen.
“Personenbezogene Datenbanken usw.” bezieht sich auf eine Sammlung von Informationen, die personenbezogene Daten enthalten und entweder der folgenden beiden Anforderungen genügen, mit Ausnahme derjenigen, die durch eine Verordnung als solche mit geringem Risiko für die Rechte und Interessen von Einzelpersonen festgelegt sind (Artikel 16 Absatz 1 des japanischen Datenschutzgesetzes).
- Systematisch organisiert, um bestimmte personenbezogene Daten mit einem Computer durchsuchen zu können
- Systematisch organisiert, um bestimmte personenbezogene Daten leicht durchsuchen zu können
Personenbezogene Datenverarbeiter, die personenbezogene Datenbanken usw. für geschäftliche Zwecke nutzen, sind verpflichtet, der Datenschutzbehörde zu melden.
Verwandter Artikel: Erklärung der wichtigsten Punkte zur “Verantwortung der Unternehmen” im geänderten japanischen Datenschutzgesetz 2022[ja]
Vier Fälle, in denen eine Meldung an die japanische Datenschutzbehörde erforderlich ist
Es gibt vier Fälle, in denen eine Meldung an die japanische Datenschutzbehörde (Personal Information Protection Commission) erforderlich ist, wenn ein Datenleck von persönlichen Informationen auftritt (gemäß Artikel 7 der Durchführungsverordnung zum japanischen Gesetz zum Schutz persönlicher Informationen).
- Wenn ein Datenleck von persönlichen Daten, die sensible persönliche Informationen enthalten, aufgetreten ist oder die Möglichkeit dazu besteht
- Wenn ein Datenleck von persönlichen Daten, die durch Missbrauch zu finanziellen Schäden führen könnten, aufgetreten ist oder die Möglichkeit dazu besteht
- Wenn ein Datenleck von persönlichen Daten, das möglicherweise mit betrügerischer Absicht verursacht wurde, aufgetreten ist oder die Möglichkeit dazu besteht
- Wenn ein Datenleck, das mehr als 1.000 betroffene Personen betrifft, aufgetreten ist oder die Möglichkeit dazu besteht
Im Folgenden werden diese Fälle näher erläutert.
Datenleck von sensiblen persönlichen Informationen
“Sensible persönliche Informationen” sind Informationen, die durch eine Verordnung festgelegt sind und bei deren Handhabung besondere Vorsicht geboten ist, um ungerechte Diskriminierung, Vorurteile oder andere Nachteile für die betroffene Person zu vermeiden. Dazu gehören Informationen über die Rasse, den Glauben, den sozialen Status, die Krankengeschichte, die kriminelle Vergangenheit und die Opfer von Verbrechen der betroffenen Person.
Zum Beispiel würden Informationen über die Krankengeschichte eines Mitarbeiters, die aus den Ergebnissen einer Gesundheitsuntersuchung des Mitarbeiters hervorgehen, als sensible persönliche Informationen gelten.
Datenleck von persönlichen Informationen, die zu finanziellen Schäden führen könnten
Hier geht es um Fälle, in denen persönliche Daten, deren Missbrauch zu finanziellen Schäden führen könnte, durchgesickert sind.
Ein konkretes Beispiel wäre, wenn ein Unternehmen die Kreditkarteninformationen seiner Kunden durchsickern lässt.
Datenleck von persönlichen Informationen mit betrügerischer Absicht
Dies betrifft Fälle, in denen die Person, die das Datenleck verursacht hat, eine betrügerische Absicht hat.
Ein Beispiel wäre, wenn ein Dritter oder ein Mitarbeiter eines Unternehmens unberechtigten Zugriff auf das Netzwerk des Unternehmens erhält und persönliche Daten mit der Absicht, sie missbräuchlich zu verwenden, durchsickern lässt.
Großflächiges Datenleck von persönlichen Informationen
Dies betrifft Fälle, in denen ein Datenleck mehr als 1.000 betroffene Personen betrifft.
Unternehmen, die eine große Menge an persönlichen Daten verarbeiten, müssen vorsichtig sein, da die Möglichkeit besteht, dass auf einmal eine große Menge an persönlichen Daten durchsickert.
Meldepflichten an die japanische Datenschutzbehörde bei Informationslecks
Wenn eine Situation eintritt, in der ein Bericht an die japanische Datenschutzbehörde erforderlich ist, müssen die in Artikel 8 Absatz 1 der Durchführungsverordnung zum japanischen Datenschutzgesetz festgelegten Punkte gemeldet werden.
(Bericht an die japanische Datenschutzbehörde)
e-GOV|Japanisches Datenschutzgesetz[ja]
Artikel 8: Wenn ein Unternehmen, das personenbezogene Daten verarbeitet, einen Bericht gemäß Artikel 26 Absatz 1 des Gesetzes erstatten muss, muss es unverzüglich nach Kenntnisnahme der in dem vorherigen Artikel genannten Situation die folgenden Punkte in Bezug auf diese Situation melden (begrenzt auf die Punkte, die zum Zeitpunkt der geplanten Meldung bekannt sind. Gleiches gilt im nächsten Artikel.)
Wenn einer der vier oben genannten Fälle, in denen ein Bericht erforderlich ist, zutrifft, muss das Unternehmen unverzüglich die folgenden Punkte an die japanische Datenschutzbehörde melden:
- Überblick
- Art der personenbezogenen Daten, bei denen ein Leck aufgetreten ist oder bei denen die Gefahr eines Lecks besteht
- Anzahl der betroffenen Personen, deren personenbezogene Daten durchgesickert sind oder bei denen die Gefahr eines Lecks besteht
- Ursache
- Vorhandensein und Inhalt eines möglichen Sekundärschadens
- Status der Maßnahmen gegenüber den betroffenen Personen
- Status der Veröffentlichung
- Maßnahmen zur Verhinderung eines erneuten Auftretens
- Weitere relevante Informationen
Es ist jedoch ausreichend, nur die Punkte zu melden, die zum Zeitpunkt der Meldung bekannt sind.
Frist für die Meldung von Informationslecks an die japanische Datenschutzbehörde
Es gibt eine festgelegte Frist für die Meldung an die japanische Datenschutzbehörde (gemäß Artikel 8 Absatz 2 der Durchführungsverordnung zum japanischen Gesetz zum Schutz personenbezogener Daten).
Grundsätzlich muss die Meldung an die japanische Datenschutzbehörde innerhalb von 30 Tagen nach Kenntnisnahme des Informationslecks erfolgen. Wenn die Entität, die die personenbezogenen Daten durchgesickert hat, eine betrügerische Absicht hat, muss die Meldung innerhalb von 60 Tagen erfolgen.
Pflicht zur Benachrichtigung der betroffenen Person
Im Falle eines Datenlecks von persönlichen Informationen gibt es neben der Meldepflicht an die japanische Datenschutzbehörde (‘Japanische Datenschutzkommission’) auch eine gesetzlich festgelegte Pflicht, die betroffene Person zu benachrichtigen (Artikel 26 Absatz 2 des japanischen Datenschutzgesetzes).
Der Zweck der Benachrichtigung der betroffenen Person besteht darin, durch eine möglichst schnelle Reaktion auf das Datenleck die Verletzung der Rechte und Interessen der betroffenen Person zu verhindern. Daher sind Unternehmen, die persönliche Daten verarbeiten, verpflichtet, die betroffene Person unverzüglich zu benachrichtigen.
Zusammenfassung: Bei Datenschutzverletzungen sollten Sie einen Anwalt konsultieren
Wir haben erklärt, welche Maßnahmen ein Unternehmen ergreifen muss, wenn es zu einem Datenschutzverstoß kommt, insbesondere in Bezug auf die Reaktion der Verwaltung.
Für Unternehmen ist es natürlich wichtig, Systeme zu schaffen, die keine Datenlecks verursachen. Sollte jedoch ein Datenleck auftreten, ist es notwendig, angemessen zu reagieren.
Das japanische Datenschutzgesetz (Japanisches Datenschutzgesetz) wird häufig geändert und hat einige komplexe Strukturen. Daher empfehlen wir, einen Anwalt mit Fachwissen zu konsultieren, um angemessen reagieren zu können.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. In jüngster Zeit ist der Datenschutz ein großes Problem geworden. Sollten personenbezogene Daten einmal durchgesickert sein, kann dies unter Umständen einen fatalen Einfluss auf die Geschäftstätigkeit haben. Unsere Kanzlei verfügt über spezialisiertes Wissen in Bezug auf Prävention und Maßnahmen gegen Datenlecks. Details finden Sie im folgenden Artikel.