Japans Datenschutzgesetz (Act on the Protection of Personal Information (APPI)) wurde in 2003 verabschiedet und war eine der ersten Datenschutzvorschriften in Asien. Im September 2015 wurde dieses Gesetz grundlegend überarbeitet, nachdem eine Reihe von Datenschutzverletzungen öffentlich wurden und Japan erschütterten. Diese Datenschutzverletzungen machten deutlich, dass die APPI-Anforderungen den neuen Bedürfnissen nicht mehr entsprachen. Die geänderten APPI-Vorschriften traten 30. Mai 2017, ein Jahr vor der EU Datenschutz-Grundverordnung (DSGVO) in Kraft.
Die Aktualisierung brachte die Einrichtung der unabhängigen Kommission für den Schutz Personenbezogener Daten (PPC – Personal Information Protection Commission) mit sich, die unter anderem die Rechte und Interessen von Einzelpersonen schützt und die ordnungsgemäße und effektive Nutzung der personenbezogenen Daten fördert.
Dank des am 29. Januar 2019 aktualisierten Gesetzes war Japan das erste Land, das nach Inkrafttreten der Datenschutz-Grundverordnung von der Europäischen Kommission (EK) als angemessenen Datenschutz (Angemessenheitsbeschluss) eingestuft wurde. Diese Beschlüsse regeln die grenzüberschreitende Datenübermittlung aus der EU und spiegeln die Angemessenheit des Datenschutzniveaus eines Drittlandes im Vergleich zu den Rechtsvorschriften der EU wider.
Ergänzende Bestimmungen der APPI bestimmen, dass das Gesetz alle drei Jahre überprüft und gegebenenfalls aktualisiert wird, um sicherzustellen, dass es weiterhin den neuesten technischen Entwicklungen entspricht. Die erste derartige Überprüfung fand 2020 statt, nach einer öffentlichen Konsultation am 12. Juni 2020 wurden weitere Änderungen der APPI in Kraft gesetzt
Mit den neuen Änderungen wurden die APPI-Vorschriften besser an die Datenschutz-Grundverordnung angepasst, indem der Umfang der Rechte der japanischen Betroffenen erweitert wurde, die Meldung von Datenschutzverletzungen verbindlich gemacht wurde und der Umfang der personenbezogenen Daten, die an Dritte weitergegeben werden können, eingeschränkt wurde. Die Änderungen von 2020 traten am 1. April 2022 in Kraft.
Wer ist von APPI betroffen?
Die APPI-Vorschriften gelten für alle Unternehmen, die in Japan personenbezogenen Daten von Einzelpersonen bearbeiten. Diese Vorschriften beziehen sich sowohl auf Unternehmen, die in Japan Waren und Dienstleistungen anbieten und innerhalb des Landes ansässig sind, als auch auf Unternehmen mit Niederlassungen außerhalb des Landes. Ähnlich der Datenschutz-Grundverordnung hat auch das japanische Datenschutzgesetz eine extraterritoriale Reichweite.
Während die frühere Version der APPI nur für Unternehmen galt, die mindestens an einem Tag in den vorangegangenen sechs Monaten 5.000 identifizierbare Personen in ihrer Datenbank hatten, wurde diese Einschränkung mit der 2017 geänderten Fassung der APPI aufgehoben und der Geltungsbereich wurde auf alle Unternehmen ausgeweitet, die personenbezogene Daten für geschäftliche Zwecke bearbeiten, auch im Falle von kleinen Datenbanken mit wenigen Personen.
Zentrale Regierungsorganisationen, 0rtliche Regierungen, unabhängige Verwaltungsbehörden und örtliche Verwaltungsbehörden, die in den Anwendungsbereich anderer Verordnungen fallen, sind von der Einhaltung der APPI-Vorschriften befreit.
Welche Art von Daten wird durch APPI geschützt?
APPI unterscheidet zwischen zwei Kategorien von schützenswerten Daten: personenbezogene Daten und „besonders schutzbedürftige“ personenbezogene Daten. Die personenbezogenen Daten beziehen sich auf persönlich identifizierbare Informationen (PII) wie Name, Geburtsdatum, E-Mail-Adresse oder biometrische Daten. In der APPI-Aktualisierung von 2017 wurde klargestellt, dass personenbezogene Daten auch die numerische Referenzdaten umfassen, die zur Identifizierung einer bestimmten Person verwendet werden können, wie z. B. Führerschein- oder Reisepassnummern.
„Besonders schutzbedürftige“ personenbezogene Daten sind eine neue Kategorie, die mit der 2017 geänderten APPI eingeführt wurde und sich auf solchen Daten bezieht, die als Grundlage für Diskriminierung oder Vorurteile benutzt werden können. Diese Kategorie beinhaltet unter anderem die ärztliche Vorgeschichte, den Familienstand, die Rasse, die Religion und das Strafregister. Die Bearbeitung von solchen Informationen ist eingeschränkt und darf ausschließlich mit der vorherigen Zustimmung der betroffenen Person durchgeführt werden.
Die APPI-Vorschriften bestimmen auch, dass im Falle der anonymisierten Daten, die sich auf die personenbezogenen Daten beziehen, die strengen Verarbeitungsregeln nicht gelten, weil sie keine Personenidentifizierungsinformationen beinhalten. Im Falle der anonymisierten Daten müssen die Unternehmen bei Datenweitergabe an Dritten nicht um die Zustimmung der Nutzer bitten, dennoch sind sie verpflichtet diese Datenweitergabe öffentlich bekannt zu geben und sicherzustellen, dass die Daten erhaltender Dritte über die Datenanonymisierung informiert wurde.
Mittels den 2020 Änderungen wurde eine neue Datenkategorie eingeführt: pseudonym verarbeitete Informationen, die sich auf eine Person beziehen, aber ohne zusätzlichen Daten für Identifizierungszwecke nicht benutzt werden können. Die Unternehmen können die pseudonym verarbeiteten Informationen für interne Zwecke wie Geschäftsanalysen und die Entwicklung von Berechnungsmodellen verwenden. Die Unternehmen sind auch nicht verpflichtet die, aus personenbezogenen Daten abgeleitete und für ursprüngliche Sammlungszwecke nicht mehr erforderliche pseudonym verarbeitete Informationen zu löschen, sondern können diese Informationen für eine mögliche künftige statistische Auswertung aufbewahren.
Die Rechte der betroffenen Personen
Im Rahmen des APPI können die betroffenen Personen von einem Unternehmen verlangen folgendes mitzuteilen: den Zweck der Verwendung der personenbezogenen Daten, wie Zugang zu diesen Daten erhalten wurde, wie diese Daten berichtigt oder ausgesetzt werden können und wo Beschwerden über den Umgang mit den personenbezogenen Daten eingereicht werden können.
In der Fassung der APPI von 2017 können die betroffenen Personen nur unter bestimmten Umständen die Löschung oder die Aussetzung ihrer personenbezogenen Daten verlangen. Mittels den Änderungen von 2020 wurden diese Rechte erweitert, um Anfragen in einem breiteren Spektrum von Anwendungsfällen zu ermöglichen, einschließlich im Falle von möglichen Verletzungen der Rechte, im Falle von berechtigten Interessen der betroffenen Person oder im Falle der Übermittlungen an Dritte, die den APPI-Anforderungen nicht entsprechen. Anfragen können jetzt auch kurzfristige Daten betreffen, die höchstens sechs Monate aufbewahrt werden.
Im Falle der Offenlegung von persönlichen Informationen, die von den betroffenen Personen gesammelt wurden, können diese betroffenen Personen die Daten nun sowohl in digitaler Form als auch in Papierform beantragen. In Japan haben die betroffenen Personen das Recht, die Unternehmen, die ihre personenbezogenen Daten gesammelt haben, zu verklagen, wenn sie ihre auf APPI basierenden Anfragen nicht innerhalb von zwei Wochen beantworten.
Die Verantwortungen der Unternehmen
Unternehmen, die APPI-konform werden wollen, müssen sicherstellen, dass sie über eine eigene Datenschutzrichtlinie verfügen, wodurch die Verwendung der gesammelten Daten festgelegt wird. Diese Unternehmen sind verpflichtet Cybersicherheitsmaßnahmen und physische Sicherheitsvorkehrungen zu treffen, um die Sicherheit der von ihnen verarbeiteten personenbezogenen Daten zu gewährleisten.
Organisationen, die unter den Geltungsbereich des japanischen Datenschutzgesetzes fallen, müssen außerdem Strukturen und Verfahren einrichten, um die Anfragen der Betroffenen unverzüglich zu bearbeiten.
Die Benachrichtigungen über Datenschutzverletzungen sind jetzt verpflichtend
Eine der größten APPI-Änderungen aus 2020 ist die Einführung der Meldepflicht bezüglich der Datenschutzverletzungen. Die Benachrichtigung der PPC und der betroffenen Personen war früher nur eine Empfehlung, jetzt ist sie eine gesetzliche Verpflichtung.
Wenn Unternehmen über einer Datenschutzverletzung erfahren, wodurch die Rechte und Interessen von Personen verletzt werden könnten, sind diese Unternehmen verpflichtet die PPC und die betroffenen Personen zu benachrichtigen. Diese Unternehmen müssen zunächst einen ersten Bericht einreichen, um die PPC so schnell wie möglich über die Situation zu informieren, und später einen zweiten Bericht vorlegen, in dem die spezifischen Ursachen und die getroffenen Abhilfemaßnahmen dargelegt werden. Wenn sich die direkte Benachrichtigung der betroffenen Personen als zu schwierig erweist, ermöglicht die APPI den Unternehmern, stattdessen eine öffentliche Bekanntmachung zu veröffentlichen und ein Büro zur Bearbeitung von Anfragen einzurichten.
Datenübermittlung im Rahmen der APPI
Bisher konnten Unternehmen die Daten an Dritte innerhalb Japans auch ohne Zustimmung übermitteln, solange sie der PPC bestimmte Informationen zur Verfügung stellten solange die betroffene Person nach der Benachrichtigung der Übermittlung nicht widersprach. Die Änderungen von 2020 blockierten die Anwendung der Abmeldungsausnahme im Falle der Übermittlungen an Dritte. Unternehmen können nicht länger personenbezogene Daten übermitteln, die auf betrügerische oder unzulässige Weise erhoben wurden, oder weiterhin personenbezogene Daten auf der Grundlage der früheren Abmeldungsausnahme übermitteln. Wenn ein Unternehmen diese Daten weiterhin übermitteln möchte, muss es die direkte Zustimmung der betroffenen Person einholen.
Liegt die Übermittlung personenbezogener Daten im öffentlichen Interesse, ist eine vorherige Zustimmung nicht erforderlich. Solche Ausnahmefälle sind, z.B. die nationale Sicherheit, rechtliche Fragen oder die öffentliche Gesundheit.
Externe Dienstleister, die Daten im Auftrag eines Unternehmers verarbeiten, gelten nicht als Dritte, wenn sie in Japan ansässig sind. Die Unternehmer können daher nach eigenem Ermessen Daten an Dritten übermitteln, sofern die Verarbeitung, die der Dritte vornimmt, unter den Verwendungszweck der erhobenen personenbezogenen Daten fällt.
Mittels der APPI-Änderung wurden Beschränkungen für Datenübermittlungen außerhalb Japans eingeführt: diese können nur stattfinden, wenn die Drittempfänger in Ländern ansässig sind, die ein angemessenes Datenschutzniveau aufweisen, das dem japanischen entspricht, wenn Verträge mit den Drittempfängern unterzeichnet wurden, wodurch die Einhaltung der Datenschutzstandards in Japan gewährleistet wird, oder wenn die betroffene Personen, deren personenbezogene Daten übermittelt werden sollen, zuvor ihre Zustimmung zu solchen Übermittlungen gegeben haben.
Strafen für Datenschutzverletzungen
Die Änderungen aus 2020 brachten auch eine wesentliche Änderung der Geldbußen für die Nichteinhaltung der APPI-Vorschriften. Betrug die maximale Geldstrafe für einen Unternehmer nach der APPI-Aktualisierung von 2017 ¥ 500.000 (ca. $ 4.000), so hat sich dieser Betrag mit den neuen Änderungen deutlich erhöht. Im Falle einer Organisation beträgt die Höchststrafe 100 Millionen Yen (rund 815.000 US-Dollar), während Einzelpersonen mit einer Freiheitsstrafe von höchstens einem Jahr oder mit einer Geldstrafe von höchstens 1 Million Yen (rund 8.150 US-Dollar) rechnen müssen. Sollte eine Person/ein Unternehmen der PPC falsche Berichte vorlegen, muss diese Person/dieses Unternehmen mit Geldstrafen von höchstens 500.000 ¥ (etwa 4.000 US-Dollar) rechnen.