{"id":71383,"date":"2025-07-25T18:37:04","date_gmt":"2025-07-25T09:37:04","guid":{"rendered":"https:\/\/monolith.law\/de\/?p=71383"},"modified":"2025-08-01T09:01:48","modified_gmt":"2025-08-01T00:01:48","slug":"personal-information-cloud-exceptions","status":"publish","type":"post","link":"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions","title":{"rendered":"Was ist die &#8220;Cloud-Ausnahme&#8221; im Datenschutzgesetz? Eine Erl\u00e4uterung anhand von realen Beispielen administrativer Anweisungen an Cloud-Service-Anbieter."},"content":{"rendered":"\n<p>Unternehmen, die mit pers\u00f6nlichen Informationen umgehen, unterliegen nach dem japanischen Gesetz zum Schutz pers\u00f6nlicher Informationen (Personal Information Protection Law) verschiedenen Regulierungen. Unsere pers\u00f6nlichen Daten sind eng mit unserer Privatsph\u00e4re verbunden und beinhalten wichtige Informationen \u00fcber physische Merkmale und Verm\u00f6gen, weshalb es nur logisch ist, dass strenge Regeln festgelegt wurden.<\/p>\n\n\n\n<p>Dennoch gibt es im Gesetz einige Ausnahmen. Eine davon ist die sogenannte &#8220;Cloud-Ausnahme&#8221;.<\/p>\n\n\n\n<p>Was aber versteht man unter der &#8220;Cloud-Ausnahme&#8221;? In diesem Artikel erl\u00e4utern wir anhand des Beispiels von MK System, das im Jahr Reiwa 6 (2024) eine Verwaltungsanweisung erhalten hat, was die &#8220;Cloud-Ausnahme&#8221; genau ist und unter welchen Bedingungen sie angewendet wird.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Grundsatze_und_Ausnahmen_bei_der_Bereitstellung_personenbezogener_Daten_an_Dritte_unter_japanischem_Recht\" title=\"Grunds\u00e4tze und Ausnahmen bei der Bereitstellung personenbezogener Daten an Dritte unter japanischem Recht\">Grunds\u00e4tze und Ausnahmen bei der Bereitstellung personenbezogener Daten an Dritte unter japanischem Recht<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Grundsatze_des_Datenschutzes_bei_der_Bereitstellung_personenbezogener_Daten_an_Dritte_nach_dem_japanischen_Datenschutzgesetz\" title=\"Grunds\u00e4tze des Datenschutzes bei der Bereitstellung personenbezogener Daten an Dritte nach dem japanischen Datenschutzgesetz\">Grunds\u00e4tze des Datenschutzes bei der Bereitstellung personenbezogener Daten an Dritte nach dem japanischen Datenschutzgesetz<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Was_ist_die_Cloud-Ausnahme\" title=\"Was ist die Cloud-Ausnahme?\">Was ist die Cloud-Ausnahme?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Administrative_Guidance_for_MK_System_Co_Ltd_Under_Japanese_Personal_Information_Protection_Law\" title=\"Administrative Guidance for MK System Co., Ltd. Under Japanese Personal Information Protection Law\">Administrative Guidance for MK System Co., Ltd. Under Japanese Personal Information Protection Law<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Uberblick_uber_den_Fall\" title=\"\u00dcberblick \u00fcber den Fall\">\u00dcberblick \u00fcber den Fall<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Inhalt_der_Verwaltungsanweisung\" title=\"Inhalt der Verwaltungsanweisung\">Inhalt der Verwaltungsanweisung<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Warnhinweise_der_japanischen_Datenschutzbehorde\" title=\"Warnhinweise der japanischen Datenschutzbeh\u00f6rde\">Warnhinweise der japanischen Datenschutzbeh\u00f6rde<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Hinweise_fur_Anbieter_von_Cloud-Diensten_in_Japan\" title=\"Hinweise f\u00fcr Anbieter von Cloud-Diensten in Japan\">Hinweise f\u00fcr Anbieter von Cloud-Diensten in Japan<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Uberprufen_Sie_erneut_ob_die_Anforderungen_fur_die_Cloud-Ausnahme_erfullt_sind\" title=\"\u00dcberpr\u00fcfen Sie erneut, ob die Anforderungen f\u00fcr die Cloud-Ausnahme erf\u00fcllt sind\">\u00dcberpr\u00fcfen Sie erneut, ob die Anforderungen f\u00fcr die Cloud-Ausnahme erf\u00fcllt sind<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Wenn_die_Cloud-Ausnahme_nicht_erfullt_ist_mussen_Sie_sich_der_Aufsicht_durch_den_Auftraggeber_stellen\" title=\"Wenn die Cloud-Ausnahme nicht erf\u00fcllt ist, m\u00fcssen Sie sich der Aufsicht durch den Auftraggeber stellen\">Wenn die Cloud-Ausnahme nicht erf\u00fcllt ist, m\u00fcssen Sie sich der Aufsicht durch den Auftraggeber stellen<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Zusammenfassung_Konsultieren_Sie_einen_Anwalt_zum_Schutz_personenbezogener_Daten_in_Cloud-Diensten\" title=\"Zusammenfassung: Konsultieren Sie einen Anwalt zum Schutz personenbezogener Daten in Cloud-Diensten\">Zusammenfassung: Konsultieren Sie einen Anwalt zum Schutz personenbezogener Daten in Cloud-Diensten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/de\/it\/personal-information-cloud-exceptions\/#Masnahmen_der_Monolith_Rechtsanwaltskanzlei\" title=\"Ma\u00dfnahmen der Monolith Rechtsanwaltskanzlei\">Ma\u00dfnahmen der Monolith Rechtsanwaltskanzlei<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Grundsatze_und_Ausnahmen_bei_der_Bereitstellung_personenbezogener_Daten_an_Dritte_unter_japanischem_Recht\"><\/span>Grunds\u00e4tze und Ausnahmen bei der Bereitstellung personenbezogener Daten an Dritte unter japanischem Recht<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/b220cbcc20a6fcb8115bfe357ec9f5f6.jpg\" alt=\"Grunds\u00e4tze und Ausnahmen bei der Bereitstellung personenbezogener Daten an Dritte unter japanischem Recht\" class=\"wp-image-137683\" \/><\/figure>\n\n\n\n<p>Zun\u00e4chst sollten wir die Grunds\u00e4tze und Ausnahmen betrachten, die gelten, wenn personenbezogene Daten gem\u00e4\u00df dem japanischen Datenschutzgesetz an Dritte bereitgestellt werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Grundsatze_des_Datenschutzes_bei_der_Bereitstellung_personenbezogener_Daten_an_Dritte_nach_dem_japanischen_Datenschutzgesetz\"><\/span>Grunds\u00e4tze des Datenschutzes bei der Bereitstellung personenbezogener Daten an Dritte nach dem japanischen Datenschutzgesetz<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Wenn ein Unternehmen, das personenbezogene Daten verarbeitet, Cloud-Dienste nutzt, gilt dies nach Artikel 27 Absatz 5 Nummer 1 des japanischen Datenschutzgesetzes als &#8220;Auftragsverarbeitung von personenbezogenen Daten ganz oder teilweise&#8221;. Gem\u00e4\u00df Artikel 25 des Datenschutzgesetzes ist es daher grunds\u00e4tzlich erforderlich, dass das Unternehmen eine notwendige und angemessene Aufsicht \u00fcber den Cloud-Dienstanbieter aus\u00fcbt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Was_ist_die_Cloud-Ausnahme\"><\/span>Was ist die Cloud-Ausnahme?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Diese Ausnahme wird als sogenannte &#8220;Cloud-Ausnahme&#8221; bezeichnet.<\/p>\n\n\n\n<p>Unter &#8220;Cloud-Service-Anbietern&#8221; versteht man in diesem Zusammenhang Unternehmen, die haupts\u00e4chlich IT-Infrastruktur wie Speicher oder Server bereitstellen (IaaS\/PaaS) und die Daten anderer Unternehmen \u00fcber das Internet aufnehmen, speichern und verarbeiten. Zu den entsprechenden Anbietern geh\u00f6ren beispielsweise:<\/p>\n\n\n\n<ul>\n<li>Amazon Web Services (AWS): Ein Angebot des amerikanischen Unternehmens Amazon, das von vielen japanischen Unternehmen genutzt wird.<\/li>\n\n\n\n<li>Microsoft Azure: Eine Cloud-Plattform von Microsoft, die auch in vielen Beh\u00f6rden eingesetzt wird.<\/li>\n\n\n\n<li>Google Cloud Platform (GCP): Ein Angebot von Google, das St\u00e4rken in KI und Big-Data-Verarbeitung aufweist.<\/li>\n<\/ul>\n\n\n\n<p>Die Cloud-Ausnahme betrifft SaaS-Anbieter (Software as a Service), die auf der Cloud-Infrastruktur (IaaS oder PaaS) von solchen Cloud-Service-Anbietern Systeme entwickeln und diese ihren Kunden zur Verf\u00fcgung stellen, wenn sie personenbezogene Daten verarbeiten.<\/p>\n\n\n\n<p>In den Q&amp;A-Richtlinien zum &#8220;Gesetz zum Schutz personenbezogener Informationen&#8221; der japanischen Datenschutzkommission wird in Frage 7-53 folgendes ausgef\u00fchrt:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>(Wenn es sich nicht um einen Dritten handelt) Q7-53 Wenn ein Gesch\u00e4ft, das personenbezogene Daten verarbeitet, ein Informationssystem zur Verarbeitung elektronischer Daten, die personenbezogene Daten enthalten, unter Verwendung eines Cloud-Service-Vertrags mit einem externen Dienstleister betreibt, muss dann die Zustimmung der betroffenen Person eingeholt werden (Artikel 27 Absatz 1 des Gesetzes), weil die Daten an Dritte weitergegeben wurden? Oder muss der Cloud-Service-Anbieter \u00fcberwacht werden, weil &#8220;die gesamte oder ein Teil der Verarbeitung personenbezogener Daten ausgelagert wurde&#8221; (Artikel 27 Absatz 5 Nummer 1 des Gesetzes), gem\u00e4\u00df Artikel 25 des Gesetzes?<\/p>\n\n\n\n<p>A7-53 Es gibt viele verschiedene Arten von Cloud-Services, aber ob die Nutzung eines Cloud-Services als Weitergabe an Dritte, die die Zustimmung der betroffenen Person erfordert (Artikel 27 Absatz 1), oder als Auslagerung (Artikel 27 Absatz 5 Nummer 1) betrachtet wird, h\u00e4ngt nicht davon ab, ob die gespeicherten elektronischen Daten personenbezogene Daten enthalten, sondern davon, ob der Cloud-Service-Anbieter die personenbezogenen Daten verarbeitet. Wenn der Cloud-Service-Anbieter die personenbezogenen Daten nicht verarbeitet, gilt dies nicht als Weitergabe personenbezogener Daten, und es ist keine Zustimmung der betroffenen Person erforderlich. In dem oben genannten Fall gilt dies auch nicht als Auslagerung, die eine Weitergabe von Daten beinhaltet (Artikel 27 Absatz 5 Nummer 1), und es besteht keine Verpflichtung, den Cloud-Service-Anbieter gem\u00e4\u00df Artikel 25 zu \u00fcberwachen. Die \u00dcberlegungen zur Sicherheitsverwaltung des Gesch\u00e4fts, das personenbezogene Daten verarbeitet, wenn der Cloud-Service-Anbieter die personenbezogenen Daten nicht verarbeitet, finden Sie in Q7-54. Ein Fall, in dem der Cloud-Service-Anbieter die personenbezogenen Daten nicht verarbeitet, k\u00f6nnte beispielsweise vorliegen, wenn vertragliche Bestimmungen festlegen, dass der externe Dienstleister die auf dem Server gespeicherten personenbezogenen Daten nicht verarbeitet und angemessene Zugangskontrollen durchgef\u00fchrt werden. F\u00fcr das Verh\u00e4ltnis zu Artikel 28 siehe Q12-3.<\/p>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/personalinfo\/faq\/APPI_QA\/\" target=\"_blank\" rel=\"noreferrer noopener\">Q&amp;A zu den Richtlinien zum &#8220;Gesetz zum Schutz personenbezogener Informationen&#8221;[ja]<\/a><em>\uff5cJapanische Datenschutzkommission<\/em><\/cite><\/blockquote>\n\n\n\n<p>Das bedeutet, dass Nutzer von Cloud-Services in Japan keine Aufsichtspflicht \u00fcber den Cloud-Service-Anbieter haben, wenn sie die Ausnahmebedingungen erf\u00fcllen. Um die Bedingungen f\u00fcr die Cloud-Ausnahme zu erf\u00fcllen, also dass &#8220;der Cloud-Service-Anbieter die personenbezogenen Daten nicht verarbeitet&#8221;, sind folgende zwei Voraussetzungen erforderlich:<\/p>\n\n\n\n<ul>\n<li>Vertragliche Bestimmungen legen fest, dass der externe Dienstleister die auf dem Server gespeicherten personenbezogenen Daten nicht verarbeitet<\/li>\n\n\n\n<li>Angemessene Zugangskontrollen werden durchgef\u00fchrt<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Administrative_Guidance_for_MK_System_Co_Ltd_Under_Japanese_Personal_Information_Protection_Law\"><\/span>Administrative Guidance for MK System Co., Ltd. Under Japanese Personal Information Protection Law<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Am 25. M\u00e4rz des Jahres Reiwa 6 (2024), hat die japanische Personal Information Protection Commission gem\u00e4\u00df Artikel 147 des Gesetzes zum Schutz pers\u00f6nlicher Informationen eine Anleitung an die MK System Co., Ltd. erteilt. Dies erfolgte als Reaktion auf einen umfangreichen Datenleck, der etwa 7,5 Millionen Menschen betraf. Infolgedessen hat die Kommission eine Warnung mit dem Titel &#8220;Hinweise f\u00fcr Cloud-Service-Anbieter, die als Gesch\u00e4ftsf\u00fchrer pers\u00f6nlicher Informationen unter dem Gesetz zum Schutz pers\u00f6nlicher Informationen gelten&#8221; ver\u00f6ffentlicht.<\/p>\n\n\n\n<p>Referenz: <a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Personal Information Protection Commission\uff5cHinweise f\u00fcr Cloud-Service-Anbieter, die als Gesch\u00e4ftsf\u00fchrer pers\u00f6nlicher Informationen unter dem Gesetz zum Schutz pers\u00f6nlicher Informationen gelten[ja]<\/a><\/p>\n\n\n\n<p>Lassen Sie uns die administrative Anleitung an die MK System Co., Ltd. bez\u00fcglich der Cloud-Ausnahme im japanischen Gesetz zum Schutz pers\u00f6nlicher Informationen \u00fcberpr\u00fcfen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Uberblick_uber_den_Fall\"><\/span>\u00dcberblick \u00fcber den Fall<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Die MK System Corporation nutzte die Server von Tencent Cloud in China, um ein Unterst\u00fctzungssystem f\u00fcr Sozialversicherungs- und Personalwesen zu entwickeln und bot diesen Service Nutzern wie Sozialversicherungsb\u00fcros an.<\/p>\n\n\n\n<p>Im Juni des Jahres Reiwa 5 (2023) wurde festgestellt, dass die Server einem unbefugten Zugriff ausgesetzt waren, was das Risiko einer Datenleckage von pers\u00f6nlichen Daten (wie Namen, Geburtsdaten, Geschlecht, Adressen, Grundrentennummern, Besch\u00e4ftigungsversicherungsnummern und My Number-Informationen) von Mitarbeitern von Unternehmen und Betrieben, die Kunden der Sozialversicherungsb\u00fcros sind, mit sich brachte.<\/p>\n\n\n\n<p>Die Beziehung zwischen diesen drei Parteien, gem\u00e4\u00df den Richtlinien, stellt sich wie folgt dar:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Position gem\u00e4\u00df den Richtlinien<\/td><td>Unternehmen<\/td><td>Inhalt<\/td><\/tr><tr><td>Auftraggeber<\/td><td>Nutzer wie Sozialversicherungsb\u00fcros (Unternehmen, die pers\u00f6nliche Informationen handhaben)<\/td><td>Verantwortlich f\u00fcr den Umgang mit pers\u00f6nlichen Daten von Kunden (Unternehmen oder Einzelpersonen)<\/td><\/tr><tr><td>Beauftragter<\/td><td>MK System Corporation<\/td><td>Bietet ein System zur Unterst\u00fctzung und zum Ersatz von Sozialversicherungsb\u00fcroaufgaben in der Cloud an. Verarbeitet pers\u00f6nliche Daten gem\u00e4\u00df den Anweisungen der Kunden<\/td><\/tr><tr><td>Subunternehmer<\/td><td>Tencent Cloud (China)<\/td><td>MK System hat die Cloud-Infrastruktur an Tencent Cloud ausgelagert. Dies k\u00f6nnte eine \u00dcbermittlung ins Ausland darstellen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Die japanische Kommission zum Schutz pers\u00f6nlicher Informationen kam zu dem Schluss, dass bei MK System unzureichende technische Sicherheitsma\u00dfnahmen zum Schutz der Daten vorlagen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Inhalt_der_Verwaltungsanweisung\"><\/span>Inhalt der Verwaltungsanweisung<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Von der japanischen Kommission zum Schutz pers\u00f6nlicher Informationen wurde eine Verwaltungsanweisung erteilt, die sich auf die Anleitung gem\u00e4\u00df Artikel 147 des japanischen Gesetzes zum Schutz pers\u00f6nlicher Informationen und die Berichterstattung und Datenerhebung gem\u00e4\u00df Artikel 146 Absatz 1 desselben Gesetzes bezieht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Warnhinweise_der_japanischen_Datenschutzbehorde\"><\/span>Warnhinweise der japanischen Datenschutzbeh\u00f6rde<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Zus\u00e4tzlich wurde von der japanischen Datenschutzbeh\u00f6rde eine Mitteilung ver\u00f6ffentlicht, die sich auf &#8220;<a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Hinweise f\u00fcr Cloud-Dienstanbieter, die als Gesch\u00e4ftsf\u00fchrer von personenbezogenen Daten nach dem japanischen Datenschutzgesetz gelten (Warnhinweis)[ja]<\/a>&#8221; bezieht.<\/p>\n\n\n\n<p>Diese Warnung richtet sich haupts\u00e4chlich an Nutzer von Cloud-Diensten und kl\u00e4rt dar\u00fcber auf, ob die Nutzung von Cloud-Diensten als Auftragsdatenverarbeitung (gem\u00e4\u00df Artikel 27 Absatz 5 Punkt 1 des japanischen Datenschutzgesetzes) gilt. Sollte dies zutreffen, m\u00fcssen die Nutzer der Cloud-Dienste, die als Gesch\u00e4ftsf\u00fchrer von personenbezogenen Daten gelten, eine notwendige und angemessene \u00dcberwachung des Dienstleisters durchf\u00fchren.<\/p>\n\n\n\n<p>Im Falle des MK-Systems wurden keine Ausnahmen f\u00fcr Cloud-Dienste anerkannt, und es wird festgestellt, dass es als Gesch\u00e4ftsf\u00fchrer von personenbezogenen Daten gilt, da es personenbezogene Daten verarbeitet und daher eine angemessene \u00dcberwachung erforderlich ist. Dies wird anhand der folgenden drei Punkte begr\u00fcndet:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<ul>\n<li>In den Nutzungsbedingungen ist festgelegt, dass der Cloud-Dienstanbieter bei Bedarf f\u00fcr Wartung, Betrieb usw. Ma\u00dfnahmen wie \u00dcberwachung, Analyse und Untersuchung der Daten vornehmen kann und dass, abgesehen von bestimmten F\u00e4llen, die Daten im System ohne Erlaubnis nicht verwendet oder Dritten offenbart werden d\u00fcrfen. Es wurde festgestellt, dass der Cloud-Dienstanbieter in bestimmten F\u00e4llen die personenbezogenen Daten der Nutzer verwenden kann.<\/li>\n\n\n\n<li>Der Cloud-Dienstanbieter besitzt eine Wartungs-ID und hat die M\u00f6glichkeit, auf die personenbezogenen Daten der Nutzer zuzugreifen, ohne dass technische Zugriffskontrollen oder andere Ma\u00dfnahmen zur Verhinderung der Datenverarbeitung implementiert wurden.<\/li>\n\n\n\n<li>Es wurde tats\u00e4chlich eine Vereinbarung mit dem Nutzer des Cloud-Dienstes getroffen und die personenbezogenen Daten des Nutzers wurden verarbeitet.<\/li>\n<\/ul>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/files\/pdf\/240325_alert_cloud_service_provider.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Hinweise f\u00fcr Cloud-Dienstanbieter, die als Gesch\u00e4ftsf\u00fchrer von personenbezogenen Daten nach dem japanischen Datenschutzgesetz gelten (Warnhinweis)\uff5cjapanische Datenschutzbeh\u00f6rde[ja]<\/a><br><\/cite><\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Hinweise_fur_Anbieter_von_Cloud-Diensten_in_Japan\"><\/span>Hinweise f\u00fcr Anbieter von Cloud-Diensten in Japan<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/7d8b9299c2a15a801c04913ba0d80d99.jpg\" alt=\"Hinweise f\u00fcr Anbieter von Cloud-Diensten\" class=\"wp-image-137684\" \/><\/figure>\n\n\n\n<p>Angesichts der bisher er\u00f6rterten rechtlichen Fragen und der von der Verwaltung erteilten Hinweise und Warnungen, was sollten Anbieter von Cloud-Diensten (wie im vorherigen Beispiel MK System) beachten?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Uberprufen_Sie_erneut_ob_die_Anforderungen_fur_die_Cloud-Ausnahme_erfullt_sind\"><\/span>\u00dcberpr\u00fcfen Sie erneut, ob die Anforderungen f\u00fcr die Cloud-Ausnahme erf\u00fcllt sind<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Zun\u00e4chst sollten Sie \u00fcberpr\u00fcfen, ob der von Ihrem Unternehmen angebotene Dienst die Anforderungen f\u00fcr die Cloud-Ausnahme erf\u00fcllt.<\/p>\n\n\n\n<p>Nach den j\u00fcngsten Warnungen der japanischen Kommission f\u00fcr den Schutz personenbezogener Daten k\u00f6nnten Nutzer von Cloud-Diensten \u00fcberpr\u00fcfen, ob der jeweilige Cloud-Dienstanbieter die Cloud-Ausnahme erf\u00fcllt.<\/p>\n\n\n\n<p>Daher sollten auch die Anbieter von Cloud-Diensten sicherstellen, dass sie die Anforderungen f\u00fcr die Cloud-Ausnahme erneut \u00fcberpr\u00fcfen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Wenn_die_Cloud-Ausnahme_nicht_erfullt_ist_mussen_Sie_sich_der_Aufsicht_durch_den_Auftraggeber_stellen\"><\/span>Wenn die Cloud-Ausnahme nicht erf\u00fcllt ist, m\u00fcssen Sie sich der Aufsicht durch den Auftraggeber stellen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Wenn die Anforderungen f\u00fcr die Cloud-Ausnahme nicht erf\u00fcllt sind, m\u00fcssen Sie sich der Aufsicht durch die Nutzer des Cloud-Dienstes stellen (in diesem Fall die Sozialversicherungsb\u00fcros oder Unternehmen, die die Dienste von MK System nutzen).<\/p>\n\n\n\n<p>Die Aufsicht durch die Nutzer des Cloud-Dienstes umfasst die in den Richtlinien zum Schutz personenbezogener Daten (Allgemeiner Teil) 3-4-4 Aufsicht \u00fcber den Auftragnehmer (Artikel 25 des Gesetzes) aufgef\u00fchrten Ma\u00dfnahmen:<\/p>\n\n\n\n<ul>\n<li>Angemessene Auswahl des Auftragnehmers: Es muss sichergestellt werden, dass die Sicherheitsma\u00dfnahmen des Auftragnehmers den Anforderungen des Artikels 23 des Gesetzes und dieser Richtlinien entsprechen, die vom Auftraggeber gefordert werden.<\/li>\n\n\n\n<li>Abschluss eines Auftragsvertrags: Es ist w\u00fcnschenswert, einen Vertrag abzuschlie\u00dfen, der es dem Auftraggeber erm\u00f6glicht, die Handhabung der \u00fcbertragenen personenbezogenen Daten angemessen zu verstehen.<\/li>\n\n\n\n<li>Erfassung der Handhabung personenbezogener Daten durch den Auftragnehmer: Diese sollte regelm\u00e4\u00dfig durch Audits angemessen bewertet werden.<\/li>\n<\/ul>\n\n\n\n<p>Wenn die Sicherheitsma\u00dfnahmen des Auftragnehmers unangemessen sind, kann der Vertrag gek\u00fcndigt werden. Au\u00dferdem kann der Auftragnehmer gezwungen sein, die erforderlichen Sicherheitsma\u00dfnahmen zu ergreifen und regelm\u00e4\u00dfigen Audits zuzustimmen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Zusammenfassung_Konsultieren_Sie_einen_Anwalt_zum_Schutz_personenbezogener_Daten_in_Cloud-Diensten\"><\/span>Zusammenfassung: Konsultieren Sie einen Anwalt zum Schutz personenbezogener Daten in Cloud-Diensten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>In diesem Artikel haben wir die Risiken er\u00f6rtert, die entstehen, wenn Anbieter von Cloud-Diensten die Cloud-Ausnahme nicht erf\u00fcllen, basierend auf den Verwaltungsanweisungen der japanischen Kommission f\u00fcr den Schutz personenbezogener Daten, die im M\u00e4rz 2025 (Reiwa 7) ver\u00f6ffentlicht wurden.<\/p>\n\n\n\n<p>Nach einem Vorfall des Informationslecks hat die Kommission f\u00fcr den Schutz personenbezogener Daten eine Warnung an Nutzer von Cloud-Diensten herausgegeben. Diese Warnung ist nicht nur f\u00fcr die Nutzer von Cloud-Diensten relevant, sondern auch f\u00fcr die Anbieter von Cloud-Diensten, die ihre eigenen Dienstleistungen \u00fcberpr\u00fcfen und auf m\u00f6gliche Belastungen achten m\u00fcssen.<\/p>\n\n\n\n<p>Angesichts dieser Verwaltungsanweisungen, wenn Sie unsicher sind, welche Risiken Ihr Unternehmen betreffen k\u00f6nnten und welche Ma\u00dfnahmen erforderlich sein k\u00f6nnten, wird empfohlen, einen Anwalt zu konsultieren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Masnahmen_der_Monolith_Rechtsanwaltskanzlei\"><\/span>Ma\u00dfnahmen der Monolith Rechtsanwaltskanzlei<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Die Monolith Rechtsanwaltskanzlei verf\u00fcgt \u00fcber umfangreiche Erfahrungen in IT und Recht, insbesondere im Bereich des Internets. In einer Zeit, in der viele IT-Unternehmen, wie AWS, Cloud-Dienste f\u00fcr ihre Gesch\u00e4ftst\u00e4tigkeit nutzen, ist der Schutz personenbezogener Daten ein unverzichtbarer Teil des Risikomanagements. Sollten personenbezogene Daten einmal durchsickern, kann dies schwerwiegende Auswirkungen auf die Unternehmensaktivit\u00e4ten haben. Unsere Kanzlei besitzt spezialisiertes Wissen in der Pr\u00e4vention und im Umgang mit Datenlecks. Weitere Details finden Sie im folgenden Artikel.<\/p>\n\n\n\n<p>Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: <a href=\"https:\/\/monolith.law\/personalinformation\" target=\"_blank\" rel=\"noreferrer noopener\">Rechtsangelegenheiten im Zusammenhang mit dem japanischen Datenschutzgesetz[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Unternehmen, die mit pers\u00f6nlichen Informationen umgehen, unterliegen nach dem japanischen Gesetz zum Schutz pers\u00f6nlicher Informationen (Personal Information Protection Law) verschiedenen Regulierungen [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":71591,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[19,51],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/71383"}],"collection":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/comments?post=71383"}],"version-history":[{"count":3,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/71383\/revisions"}],"predecessor-version":[{"id":71592,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/71383\/revisions\/71592"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/media\/71591"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/media?parent=71383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/categories?post=71383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/tags?post=71383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}