Im Juni 2020 erließ die japanische Regierung eine Novelle des APPI. Der neue geänderte APPI tritt am 1. April 2022 in Kraft. Wie andere Datenschutzgesetze weltweit zielt das APPI darauf ab, die personenbezogenen Daten japanischer Bürger zu schützen.
Mit einer weiteren Überarbeitung, die bereits im Jahr 2015 stattfand, ist es für Unternehmen, die personenbezogene Daten in Japan verwenden, von entscheidender Bedeutung, ihr Verständnis und ihre Praktiken zu überarbeiten, um die vollständige Einhaltung der neuesten APPI zu gewährleisten.
Was ist die APPI?
Das APPI oder das Gesetz zum Schutz personenbezogener Daten wurde erstmals im Jahr 2003 verabschiedet. Tatsächlich war es eine der ersten Datenschutzbestimmungen in Asien. Anstatt das Gesetz zu ersetzen, wie es andere Gesetzgeber beschlossen hatten, überarbeitete Japan das Gesetz im September 2015, nachdem es zu zahlreichen hochkarätigen Datenschutzverletzungen gekommen war.
Mit der neuen Überarbeitung von 2015 wurde die Personal Information Protection Commission (PIPC) eingeführt – eine unabhängige Behörde, die mit dem Schutz der Rechte und Interessen von Einzelpersonen in Bezug auf den Datenschutz beauftragt ist. Sie fördert auch eine angemessene und effektive Nutzung personenbezogener Daten.
Wie andere Datenschutzgesetze, wie z. B. die DSGVO, gilt die APPI für alle Unternehmen, die Waren und Dienstleistungen in Japan anbieten, unabhängig von ihrem tatsächlichen Standort. Dies wird als extraterritorialer Geltungsbereich bezeichnet.
Die Version des Gesetzes von 2003 galt nur für eine Organisation, die in den vorangegangenen sechs Monaten mindestens 5.000 identifizierbare Personen in ihrer Datenbank hatte. Die jüngsten Änderungen bedeuten jedoch, dass das Gesetz nun für alle Organisationen gilt, die personenbezogene Daten für geschäftliche Zwecke verarbeiten, unabhängig von der Anzahl der Personen.
Was ist neu in der Novelle von 2020?
Der geänderte APPI von 2020 wird erst im Frühjahr 2022 in Kraft treten, aber das bedeutet nicht, dass Unternehmen keine Vorbereitungen treffen sollten.
Es gibt vier wichtige Änderungen, die Sie beachten sollten:
1. Benachrichtigung über Datenschutzverletzungen
Organisationen sind verpflichtet, sowohl die Personal Information Protection Commission (PIPC) als auch die betroffenen Personen über jede Datenschutzverletzung zu informieren, die die Rechte und Interessen der betroffenen Personen zu beeinträchtigen droht.
Gemäß der Novelle umfasst dies:
- Datenschutzverletzungen im Zusammenhang mit sensiblen personenbezogenen Daten
- Datenschutzverletzungen mit dem Risiko von Sachschäden
- Datenschutzverletzungen, die wahrscheinlich aufgrund einer missbräuchlichen Verwendung begangen wurden, z. B. eines Cyberangriffs
- Datenschutzverletzungen, an denen mehr als 1.000 betroffene Personen beteiligt sind
2. Pseudonymisierte Daten
Hier müssen Organisationen, die mit pseudonymisierten Daten umgehen, bestimmte Verpflichtungen nicht erfüllen, wie z. B. Anträge betroffener Personen, die Verwendung personenbezogener Daten einzustellen.
Um Daten zu pseudonymisieren, dürfen personenbezogene Daten Folgendes nicht enthalten:
- Beschreibungen bestimmter Personen, z. B. Name oder Alter
- Individuelle Identifikationscodes
- Beschreibungen, die Sachschäden verursachen können
3. Weitergabe von Daten an Dritte
Zuvor muss die betroffene Person über die Bereitstellung personenbezogener Daten an Dritte informiert werden. Nach der geänderten APPI müssen Unternehmen nun bestätigen, dass ein Empfänger vor der Übermittlung die Einwilligung der betroffenen Person erhalten hat.
Die Einwilligung muss zusammen mit dem Datum der Bereitstellung, dem Namen und der Anschrift des Empfängers sowie den Kategorien der bereitgestellten Informationen dokumentiert werden. Diese Aufzeichnungen müssen drei Jahre lang aufbewahrt werden.
4. Internationale Übermittlungen
Vor der Durchführung einer grenzüberschreitenden Übermittlung an Dritte außerhalb Japans muss die betroffene Person informiert werden. Die bereitgestellten Informationen müssen Folgendes enthalten:
- Name des Landes, in das die Daten übermittelt werden sollen
- Das System zum Schutz personenbezogener Daten des Ziellandes
- Vom Datenimporteur zu ergreifende Datenschutzmaßnahmen
Wenn eine Organisation (der Datenexporteur) eine grenzüberschreitende Übermittlung durchführt, sollte sie:
- Führen Sie eine regelmäßige Bestätigung des Status der personenbezogenen Daten und des Zustands der Systeme durch, die sich auf den Umgang mit Daten durch den Datenimporteur auswirken
- Bewerten Sie Abhilfemaßnahmen für den Fall, dass ein Problem auftritt
- Bewertung von Maßnahmen, die ergriffen werden müssen, um eine weiterhin ordnungsgemäße Datenverarbeitung zu gewährleisten
Welche Rechte haben japanische Staatsbürger im Rahmen der APPI?
Im APPI sind mehrere Rechte der Bürger in Bezug auf ihre personenbezogenen Daten verankert. Dazu gehören:
- Das Recht, von einer Organisation die Einstellung der Nutzung oder Übermittlung ihrer personenbezogenen Daten zu verlangen, wenn die Organisation keinen triftigen Grund mehr für die Nutzung der Daten hat, eine Datenschutzverletzung vorliegt oder der Umgang mit diesen Daten die Rechte der betroffenen Person verletzt.
- Das Recht auf Zugang zu personenbezogenen Daten, die eine Organisation innerhalb von sechs Monaten löschen möchte.
- Das Recht, Zugang zu Aufzeichnungen über Datenübermittlungen an Dritte zu verlangen
- Das Recht, von einer Organisation die Berichtigung, Überarbeitung, Ergänzung oder Löschung personenbezogener Daten der betroffenen Person zu verlangen
- Das Recht, eine Kopie aller personenbezogenen Daten der betroffenen Person anzufordern.
Sanktionen nach dem APPI
Laut APPI können sich betroffene Personen an das PIPC wenden, um sie über einen Verstoß zu informieren. Das PIPC wird sich dann mit der Organisation in Verbindung setzen und sie auffordern, die Situation zu korrigieren. Die Nichtbeachtung führt zu nachfolgenden Maßnahmen und Strafen.
Derzeit kann die PIPC Strafen von bis zu 100.000.000 japanischen Yen (907.715 US-Dollar) oder eine Strafe von bis zu 1 Jahr Gefängnis vollstrecken.
Darüber hinaus können japanische Staatsbürger im Rahmen des privaten Klagerecht Organisationen verklagen, die ihre Datenrechte verletzen.
Schlussfolgerung
Angesichts des jüngsten Anstiegs der Cyberkriminalität und einer Reihe von hochkarätigen Datenschutzverletzungen bringt die Änderung des APPI Japan in Einklang mit anderen Datenschutzbestimmungen weltweit. So sind Fälle wie der „Rikunabi-Skandal“, in dem die persönlichen Daten von 7.893 eingeschriebenen Studierenden ohne Zustimmung der Studierenden an Kundenunternehmen weitergegeben wurden, nicht mehr zulässig.
Stattdessen bestrafen die neuen strengen Richtlinien Fehlverhalten im Umgang mit Daten stark und schaffen eine Reihe strenger Regeln, die Unternehmen befolgen müssen. Diese Regeln gelten für jede Organisation, die mit den Daten japanischer Staatsbürger umgeht, unabhängig von deren Standort.
Hoffentlich sind Sie sich jetzt der neuen Anforderungen bewusst, wenn Sie sich noch nicht mit der geänderten APPI 2020 vertraut gemacht haben. Die Novelle erfordert die Zustimmung der Endnutzer bei der Übermittlung personenbezogener Daten an Dritte.
Weitere Informationen finden Sie auf der Website des PIPC.
Quellen:
https://www.ppc.go.jp/en/
https://iapp.org/news/a/japan-updates-enforcement-rules-for-amended-appi/
https://www.endpointprotector.com/blog/data-protection-in-japan-appi/
https://www.dataguidance.com/notes/japan-data-protection-overview
https://caseguard.com/articles/japan-act-on-the-protection-of-personal-information-appi/