Was ist die "Cloud-Ausnahme" im Datenschutzgesetz? Eine Erläuterung anhand von realen Beispielen administrativer Anweisungen an Cloud-Service-Anbieter.

Unternehmen, die mit persönlichen Informationen umgehen, unterliegen nach dem japanischen Gesetz zum Schutz persönlicher Informationen (Personal Information Protection Law) verschiedenen Regulierungen. Unsere persönlichen Daten sind eng mit unserer Privatsphäre verbunden und beinhalten wichtige Informationen über physische Merkmale und Vermögen, weshalb es nur logisch ist, dass strenge Regeln festgelegt wurden.
Dennoch gibt es im Gesetz einige Ausnahmen. Eine davon ist die sogenannte “Cloud-Ausnahme”.
Was aber versteht man unter der “Cloud-Ausnahme”? In diesem Artikel erläutern wir anhand des Beispiels von MK System, das im Jahr Reiwa 6 (2024) eine Verwaltungsanweisung erhalten hat, was die “Cloud-Ausnahme” genau ist und unter welchen Bedingungen sie angewendet wird.
Grundsätze und Ausnahmen bei der Bereitstellung personenbezogener Daten an Dritte unter japanischem Recht

Zunächst sollten wir die Grundsätze und Ausnahmen betrachten, die gelten, wenn personenbezogene Daten gemäß dem japanischen Datenschutzgesetz an Dritte bereitgestellt werden.
Grundsätze des Datenschutzes bei der Bereitstellung personenbezogener Daten an Dritte nach dem japanischen Datenschutzgesetz
Wenn ein Unternehmen, das personenbezogene Daten verarbeitet, Cloud-Dienste nutzt, gilt dies nach Artikel 27 Absatz 5 Nummer 1 des japanischen Datenschutzgesetzes als “Auftragsverarbeitung von personenbezogenen Daten ganz oder teilweise”. Gemäß Artikel 25 des Datenschutzgesetzes ist es daher grundsätzlich erforderlich, dass das Unternehmen eine notwendige und angemessene Aufsicht über den Cloud-Dienstanbieter ausübt.
Was ist die Cloud-Ausnahme?
Diese Ausnahme wird als sogenannte “Cloud-Ausnahme” bezeichnet.
Unter “Cloud-Service-Anbietern” versteht man in diesem Zusammenhang Unternehmen, die hauptsächlich IT-Infrastruktur wie Speicher oder Server bereitstellen (IaaS/PaaS) und die Daten anderer Unternehmen über das Internet aufnehmen, speichern und verarbeiten. Zu den entsprechenden Anbietern gehören beispielsweise:
- Amazon Web Services (AWS): Ein Angebot des amerikanischen Unternehmens Amazon, das von vielen japanischen Unternehmen genutzt wird.
- Microsoft Azure: Eine Cloud-Plattform von Microsoft, die auch in vielen Behörden eingesetzt wird.
- Google Cloud Platform (GCP): Ein Angebot von Google, das Stärken in KI und Big-Data-Verarbeitung aufweist.
Die Cloud-Ausnahme betrifft SaaS-Anbieter (Software as a Service), die auf der Cloud-Infrastruktur (IaaS oder PaaS) von solchen Cloud-Service-Anbietern Systeme entwickeln und diese ihren Kunden zur Verfügung stellen, wenn sie personenbezogene Daten verarbeiten.
In den Q&A-Richtlinien zum “Gesetz zum Schutz personenbezogener Informationen” der japanischen Datenschutzkommission wird in Frage 7-53 folgendes ausgeführt:
(Wenn es sich nicht um einen Dritten handelt) Q7-53 Wenn ein Geschäft, das personenbezogene Daten verarbeitet, ein Informationssystem zur Verarbeitung elektronischer Daten, die personenbezogene Daten enthalten, unter Verwendung eines Cloud-Service-Vertrags mit einem externen Dienstleister betreibt, muss dann die Zustimmung der betroffenen Person eingeholt werden (Artikel 27 Absatz 1 des Gesetzes), weil die Daten an Dritte weitergegeben wurden? Oder muss der Cloud-Service-Anbieter überwacht werden, weil “die gesamte oder ein Teil der Verarbeitung personenbezogener Daten ausgelagert wurde” (Artikel 27 Absatz 5 Nummer 1 des Gesetzes), gemäß Artikel 25 des Gesetzes?
A7-53 Es gibt viele verschiedene Arten von Cloud-Services, aber ob die Nutzung eines Cloud-Services als Weitergabe an Dritte, die die Zustimmung der betroffenen Person erfordert (Artikel 27 Absatz 1), oder als Auslagerung (Artikel 27 Absatz 5 Nummer 1) betrachtet wird, hängt nicht davon ab, ob die gespeicherten elektronischen Daten personenbezogene Daten enthalten, sondern davon, ob der Cloud-Service-Anbieter die personenbezogenen Daten verarbeitet. Wenn der Cloud-Service-Anbieter die personenbezogenen Daten nicht verarbeitet, gilt dies nicht als Weitergabe personenbezogener Daten, und es ist keine Zustimmung der betroffenen Person erforderlich. In dem oben genannten Fall gilt dies auch nicht als Auslagerung, die eine Weitergabe von Daten beinhaltet (Artikel 27 Absatz 5 Nummer 1), und es besteht keine Verpflichtung, den Cloud-Service-Anbieter gemäß Artikel 25 zu überwachen. Die Überlegungen zur Sicherheitsverwaltung des Geschäfts, das personenbezogene Daten verarbeitet, wenn der Cloud-Service-Anbieter die personenbezogenen Daten nicht verarbeitet, finden Sie in Q7-54. Ein Fall, in dem der Cloud-Service-Anbieter die personenbezogenen Daten nicht verarbeitet, könnte beispielsweise vorliegen, wenn vertragliche Bestimmungen festlegen, dass der externe Dienstleister die auf dem Server gespeicherten personenbezogenen Daten nicht verarbeitet und angemessene Zugangskontrollen durchgeführt werden. Für das Verhältnis zu Artikel 28 siehe Q12-3.
Q&A zu den Richtlinien zum “Gesetz zum Schutz personenbezogener Informationen”[ja]|Japanische Datenschutzkommission
Das bedeutet, dass Nutzer von Cloud-Services in Japan keine Aufsichtspflicht über den Cloud-Service-Anbieter haben, wenn sie die Ausnahmebedingungen erfüllen. Um die Bedingungen für die Cloud-Ausnahme zu erfüllen, also dass “der Cloud-Service-Anbieter die personenbezogenen Daten nicht verarbeitet”, sind folgende zwei Voraussetzungen erforderlich:
- Vertragliche Bestimmungen legen fest, dass der externe Dienstleister die auf dem Server gespeicherten personenbezogenen Daten nicht verarbeitet
- Angemessene Zugangskontrollen werden durchgeführt
Administrative Guidance for MK System Co., Ltd. Under Japanese Personal Information Protection Law
Am 25. März des Jahres Reiwa 6 (2024), hat die japanische Personal Information Protection Commission gemäß Artikel 147 des Gesetzes zum Schutz persönlicher Informationen eine Anleitung an die MK System Co., Ltd. erteilt. Dies erfolgte als Reaktion auf einen umfangreichen Datenleck, der etwa 7,5 Millionen Menschen betraf. Infolgedessen hat die Kommission eine Warnung mit dem Titel “Hinweise für Cloud-Service-Anbieter, die als Geschäftsführer persönlicher Informationen unter dem Gesetz zum Schutz persönlicher Informationen gelten” veröffentlicht.
Lassen Sie uns die administrative Anleitung an die MK System Co., Ltd. bezüglich der Cloud-Ausnahme im japanischen Gesetz zum Schutz persönlicher Informationen überprüfen.
Überblick über den Fall
Die MK System Corporation nutzte die Server von Tencent Cloud in China, um ein Unterstützungssystem für Sozialversicherungs- und Personalwesen zu entwickeln und bot diesen Service Nutzern wie Sozialversicherungsbüros an.
Im Juni des Jahres Reiwa 5 (2023) wurde festgestellt, dass die Server einem unbefugten Zugriff ausgesetzt waren, was das Risiko einer Datenleckage von persönlichen Daten (wie Namen, Geburtsdaten, Geschlecht, Adressen, Grundrentennummern, Beschäftigungsversicherungsnummern und My Number-Informationen) von Mitarbeitern von Unternehmen und Betrieben, die Kunden der Sozialversicherungsbüros sind, mit sich brachte.
Die Beziehung zwischen diesen drei Parteien, gemäß den Richtlinien, stellt sich wie folgt dar:
Position gemäß den Richtlinien | Unternehmen | Inhalt |
Auftraggeber | Nutzer wie Sozialversicherungsbüros (Unternehmen, die persönliche Informationen handhaben) | Verantwortlich für den Umgang mit persönlichen Daten von Kunden (Unternehmen oder Einzelpersonen) |
Beauftragter | MK System Corporation | Bietet ein System zur Unterstützung und zum Ersatz von Sozialversicherungsbüroaufgaben in der Cloud an. Verarbeitet persönliche Daten gemäß den Anweisungen der Kunden |
Subunternehmer | Tencent Cloud (China) | MK System hat die Cloud-Infrastruktur an Tencent Cloud ausgelagert. Dies könnte eine Übermittlung ins Ausland darstellen |
Die japanische Kommission zum Schutz persönlicher Informationen kam zu dem Schluss, dass bei MK System unzureichende technische Sicherheitsmaßnahmen zum Schutz der Daten vorlagen.
Inhalt der Verwaltungsanweisung
Von der japanischen Kommission zum Schutz persönlicher Informationen wurde eine Verwaltungsanweisung erteilt, die sich auf die Anleitung gemäß Artikel 147 des japanischen Gesetzes zum Schutz persönlicher Informationen und die Berichterstattung und Datenerhebung gemäß Artikel 146 Absatz 1 desselben Gesetzes bezieht.
Warnhinweise der japanischen Datenschutzbehörde
Zusätzlich wurde von der japanischen Datenschutzbehörde eine Mitteilung veröffentlicht, die sich auf “Hinweise für Cloud-Dienstanbieter, die als Geschäftsführer von personenbezogenen Daten nach dem japanischen Datenschutzgesetz gelten (Warnhinweis)[ja]” bezieht.
Diese Warnung richtet sich hauptsächlich an Nutzer von Cloud-Diensten und klärt darüber auf, ob die Nutzung von Cloud-Diensten als Auftragsdatenverarbeitung (gemäß Artikel 27 Absatz 5 Punkt 1 des japanischen Datenschutzgesetzes) gilt. Sollte dies zutreffen, müssen die Nutzer der Cloud-Dienste, die als Geschäftsführer von personenbezogenen Daten gelten, eine notwendige und angemessene Überwachung des Dienstleisters durchführen.
Im Falle des MK-Systems wurden keine Ausnahmen für Cloud-Dienste anerkannt, und es wird festgestellt, dass es als Geschäftsführer von personenbezogenen Daten gilt, da es personenbezogene Daten verarbeitet und daher eine angemessene Überwachung erforderlich ist. Dies wird anhand der folgenden drei Punkte begründet:
Hinweise für Cloud-Dienstanbieter, die als Geschäftsführer von personenbezogenen Daten nach dem japanischen Datenschutzgesetz gelten (Warnhinweis)|japanische Datenschutzbehörde[ja]
- In den Nutzungsbedingungen ist festgelegt, dass der Cloud-Dienstanbieter bei Bedarf für Wartung, Betrieb usw. Maßnahmen wie Überwachung, Analyse und Untersuchung der Daten vornehmen kann und dass, abgesehen von bestimmten Fällen, die Daten im System ohne Erlaubnis nicht verwendet oder Dritten offenbart werden dürfen. Es wurde festgestellt, dass der Cloud-Dienstanbieter in bestimmten Fällen die personenbezogenen Daten der Nutzer verwenden kann.
- Der Cloud-Dienstanbieter besitzt eine Wartungs-ID und hat die Möglichkeit, auf die personenbezogenen Daten der Nutzer zuzugreifen, ohne dass technische Zugriffskontrollen oder andere Maßnahmen zur Verhinderung der Datenverarbeitung implementiert wurden.
- Es wurde tatsächlich eine Vereinbarung mit dem Nutzer des Cloud-Dienstes getroffen und die personenbezogenen Daten des Nutzers wurden verarbeitet.
Hinweise für Anbieter von Cloud-Diensten in Japan

Angesichts der bisher erörterten rechtlichen Fragen und der von der Verwaltung erteilten Hinweise und Warnungen, was sollten Anbieter von Cloud-Diensten (wie im vorherigen Beispiel MK System) beachten?
Überprüfen Sie erneut, ob die Anforderungen für die Cloud-Ausnahme erfüllt sind
Zunächst sollten Sie überprüfen, ob der von Ihrem Unternehmen angebotene Dienst die Anforderungen für die Cloud-Ausnahme erfüllt.
Nach den jüngsten Warnungen der japanischen Kommission für den Schutz personenbezogener Daten könnten Nutzer von Cloud-Diensten überprüfen, ob der jeweilige Cloud-Dienstanbieter die Cloud-Ausnahme erfüllt.
Daher sollten auch die Anbieter von Cloud-Diensten sicherstellen, dass sie die Anforderungen für die Cloud-Ausnahme erneut überprüfen.
Wenn die Cloud-Ausnahme nicht erfüllt ist, müssen Sie sich der Aufsicht durch den Auftraggeber stellen
Wenn die Anforderungen für die Cloud-Ausnahme nicht erfüllt sind, müssen Sie sich der Aufsicht durch die Nutzer des Cloud-Dienstes stellen (in diesem Fall die Sozialversicherungsbüros oder Unternehmen, die die Dienste von MK System nutzen).
Die Aufsicht durch die Nutzer des Cloud-Dienstes umfasst die in den Richtlinien zum Schutz personenbezogener Daten (Allgemeiner Teil) 3-4-4 Aufsicht über den Auftragnehmer (Artikel 25 des Gesetzes) aufgeführten Maßnahmen:
- Angemessene Auswahl des Auftragnehmers: Es muss sichergestellt werden, dass die Sicherheitsmaßnahmen des Auftragnehmers den Anforderungen des Artikels 23 des Gesetzes und dieser Richtlinien entsprechen, die vom Auftraggeber gefordert werden.
- Abschluss eines Auftragsvertrags: Es ist wünschenswert, einen Vertrag abzuschließen, der es dem Auftraggeber ermöglicht, die Handhabung der übertragenen personenbezogenen Daten angemessen zu verstehen.
- Erfassung der Handhabung personenbezogener Daten durch den Auftragnehmer: Diese sollte regelmäßig durch Audits angemessen bewertet werden.
Wenn die Sicherheitsmaßnahmen des Auftragnehmers unangemessen sind, kann der Vertrag gekündigt werden. Außerdem kann der Auftragnehmer gezwungen sein, die erforderlichen Sicherheitsmaßnahmen zu ergreifen und regelmäßigen Audits zuzustimmen.
Zusammenfassung: Konsultieren Sie einen Anwalt zum Schutz personenbezogener Daten in Cloud-Diensten
In diesem Artikel haben wir die Risiken erörtert, die entstehen, wenn Anbieter von Cloud-Diensten die Cloud-Ausnahme nicht erfüllen, basierend auf den Verwaltungsanweisungen der japanischen Kommission für den Schutz personenbezogener Daten, die im März 2025 (Reiwa 7) veröffentlicht wurden.
Nach einem Vorfall des Informationslecks hat die Kommission für den Schutz personenbezogener Daten eine Warnung an Nutzer von Cloud-Diensten herausgegeben. Diese Warnung ist nicht nur für die Nutzer von Cloud-Diensten relevant, sondern auch für die Anbieter von Cloud-Diensten, die ihre eigenen Dienstleistungen überprüfen und auf mögliche Belastungen achten müssen.
Angesichts dieser Verwaltungsanweisungen, wenn Sie unsicher sind, welche Risiken Ihr Unternehmen betreffen könnten und welche Maßnahmen erforderlich sein könnten, wird empfohlen, einen Anwalt zu konsultieren.
Maßnahmen der Monolith Rechtsanwaltskanzlei
Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT und Recht, insbesondere im Bereich des Internets. In einer Zeit, in der viele IT-Unternehmen, wie AWS, Cloud-Dienste für ihre Geschäftstätigkeit nutzen, ist der Schutz personenbezogener Daten ein unverzichtbarer Teil des Risikomanagements. Sollten personenbezogene Daten einmal durchsickern, kann dies schwerwiegende Auswirkungen auf die Unternehmensaktivitäten haben. Unsere Kanzlei besitzt spezialisiertes Wissen in der Prävention und im Umgang mit Datenlecks. Weitere Details finden Sie im folgenden Artikel.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Rechtsangelegenheiten im Zusammenhang mit dem japanischen Datenschutzgesetz[ja]
Category: IT
Tag: ITTerms of Use