Datenschutzgesetz in Japan: ein Leitfaden zum Verständnis von APPI

Autor: Laura Parri Royo, Marketing Direktorin

Unser neuester Artikel in der Reihe zum Datenschutzrecht befasst sich mit Japan. Ein weiteres Land, das seinen Datenschutzrahmen kürzlich erheblich aktualisiert hat, ist Japan, das strenge Änderungen an seinem Gesetz über den Schutz personenbezogener Daten (APPI) erlassen. Diese Änderungen stärken das Niveau des Schutzes personenbezogener Daten und gleichen die japanischen Vorschriften stärker an internationale Standards an. Die Änderungen traten am 1. April 2022 vollständig in Kraft und enthalten einige sehr interessante Klauseln.

Nachbesprechung des japanischen Datenschutzgesetzes

Wenn Sie mit der Verarbeitung von Daten über japanische Bürger oder Unternehmen zu tun haben, müssen Sie die Bestimmungen einhalten. Die wichtigsten Änderungen der geänderten APPI sind folgende:

Erweiterter geografischer Geltungsbereich

Wie bereits angedeutet, müssen ausländische Unternehmen, die in irgendeiner Weise mit persönlichen Daten von in Japan ansässigen Personen zu tun haben, nun die geänderte APPI einhalten. Dies ist eine bedeutende Änderung. Das bedeutet, dass ein Unternehmen, das keine physische Präsenz in Japan hat, aber Waren oder Dienstleistungen für Personen in Japan anbietet, die APPI einhalten muss.

Verbesserte Rechte des Einzelnen

Die neuen Vorschriften geben dem Einzelnen in Japan eine viel größere Kontrolle über die Art und Weise, wie seine persönlichen Daten gespeichert oder verwendet werden können. Japanische Verbraucher haben nun das Recht, die Löschung oder Einstellung der Nutzung zu verlangen. Dies gilt für alle Daten, die von einem Unternehmen verwendet werden, wenn der Einzelne der Meinung ist, dass sie unsachgemäß behandelt werden oder für den angegebenen Zweck nicht mehr erforderlich sind.

Unternehmen, die Daten von japanischen Privatpersonen speichern oder verwenden möchten, müssen nun die ausdrückliche Zustimmung der Personen einholen. Sie müssen auch die Zustimmung einholen, bevor sie deren persönliche Daten an Dritte im Ausland weitergeben, die möglicherweise weniger strenge Datenschutzstandards haben. Dies ist eine wichtige Verbesserung der Datenschutzgesetze und stellt sicher, dass die Daten der in Japan lebenden Personen geschützt bleiben, auch wenn sie im Ausland verarbeitet werden.

Pseudonym verarbeitete Informationen

Dies ist ein interessantes neues Konzept im Rahmen der geänderten APPI und ist für Big-Data-Mining-Anwendungen sehr relevant. „Pseudonym verarbeitete Informationen“ sind eine besondere Kategorie von Daten, die Big Data-Analysen ohne die Notwendigkeit einer individuellen Zustimmung ermöglichen, sofern bestimmte Schutzvorkehrungen getroffen werden. Durch die Verwendung eines Pseudonyms werden die Daten teilweise anonymisiert, so dass Einzelpersonen nicht identifizierbar sind und die Daten abgefragt werden können, ohne dass der Schutz der Privatsphäre verletzt wird.

Wie sollten sich Unternehmen auf die Einhaltung der APPI-Vorschriften vorbereiten?

Um sich auf die Einhaltung der geänderten APPI vorzubereiten, sollten Unternehmen die folgenden Schritte unternehmen:

Empfohlen Schritte	Beschreibung
Führen Sie eine Datenzuordnung durch	Führen Sie eine umfassende Bestandsaufnahme der erhobenen, verarbeiteten und gespeicherten personenbezogenen Daten durch, um zu verstehen, inwieweit der APPI für Ihre Organisation anwendbar ist.
Datenschutzrichtlinien prüfen	Stellen Sie sicher, dass alle bestehenden Datenschutzrichtlinien auf dem neuesten Stand sind und die neuen Anforderungen widerspiegeln. Diese Richtlinien müssen Informationen über grenzüberschreitende Datenübertragungen und die Rechte des Einzelnen auf Löschung und Beendigung enthalten.
Prüfen Sie Prozesse zur Dateneinwilligung	Es müssen neue, robuste Mechanismen für die Zustimmung zu Daten eingeführt werden. Dies ist besonders wichtig für internationale Datenübertragungen und für den Umgang mit sensiblen persönlichen Informationen.
Stellen Sie einen Datenschutzbeauftragten ein	Die neuen APPI-Bestimmungen sind umfangreich und es kann ratsam sein, einen engagierten Datenmanagement-Spezialisten wie die TJC Group zu beauftragen. Unsere Experten kennen die internationalen Datenschutzbestimmungen und können mit Ihrem internen Team zusammenarbeiten, um die Einhaltung der Datenschutzbestimmungen zu überwachen.
Erstellen Sie eine Strategie zur Reaktion auf Datenverletzungen	Wenn in Ihrem Unternehmen ein Datenschutzverstoß auftritt, muss dies innerhalb von 72 Stunden den Aufsichtsbehörden gemeldet werden. Wie sollte das Verfahren aussehen? Zu den Vorbereitungen auf die Einhaltung der APPI-Richtlinien gehört die Entwicklung und Umsetzung eines Plans zur Reaktion auf Datenschutzverletzungen, der Verfahren zur Benachrichtigung der betroffenen Personen und der Datenschutzkommission (PPC) enthält.

Welche Auswirkungen hat APPI auf die Datenverwaltung?

Die geänderten japanischen APPI-Vorschriften haben erhebliche Auswirkungen auf die bewährten Verfahren der Datenverwaltung.

Zustimmung zum grenzüberschreitenden Datenverkehr

Unternehmen müssen ihre internationalen Datenübertragungspraktiken sorgfältig prüfen, da die neuen Vorschriften eine ausdrückliche Zustimmung erfordern, wenn Daten im Ausland verarbeitet werden. Wenn zum Beispiel ein japanisches E-Commerce-Unternehmen Kundendaten an einen Cloud-Service-Anbieter in den Vereinigten Staaten überträgt, muss es sicherstellen, dass angemessene Sicherheitsvorkehrungen getroffen werden, wozu auch die ausdrückliche Zustimmung der Kunden gehört.

Richtlinien zur Datenminimierung“ einführen

Die neuen Vorschriften fördern den Grundsatz der Datenminimierung, wonach nur eine minimale Menge an Daten erhoben und gespeichert wird. Unternehmen sollten sich darüber im Klaren sein, wozu sie Kundendaten benötigen, und nur solche personenbezogenen Daten erfassen und speichern, die für den angegebenen Zweck erforderlich sind. So sollte beispielsweise ein Unternehmen, das Fitness-Apps anbietet, nur dann Gesundheitsdaten von Abonnenten erfassen, wenn diese für die Erbringung seiner Dienste unmittelbar relevant sind.

Verstärkte Sicherheitsmaßnahmen einführen

Die neuen APPI-Vorschriften bringen höhere Strafen für Datenschutzverletzungen mit sich. Unternehmen müssen sich vor den finanziellen und rufschädigenden Folgen einer Nichteinhaltung der Vorschriften schützen, indem sie strengere Sicherheitsmaßnahmen ergreifen. Dazu gehören beispielsweise die Verschlüsselung sensibler Daten, die Einführung einer mehrstufigen Authentifizierung und die regelmäßige Durchführung von Sicherheitsaudits, um sicherzustellen, dass ihre Daten so sicher wie möglich sind.

Arbeiten Sie mit Transparenz und Verantwortlichkeit

Wie jedes andere Datenschutzgesetz verlangt auch das APPI, dass Organisationen ihre Datenverarbeitungspraktiken transparent darstellen. Das bedeutet, offen und ehrlich zu sein und es den Verbrauchern so einfach wie möglich zu machen, herauszufinden, wie ihre Daten verwendet werden. Sie müssen auch in vollem Umfang für die Art und Weise, wie die Daten verwendet werden, verantwortlich sein und klare und leicht zugängliche Informationen darüber bereitstellen, wie sie die Löschung ihrer Daten beantragen können.

Wie unterscheidet sich das japanische APPI von anderen globalen Datenschutzgesetzen?

Das geänderte Gesetz über den Schutz personenbezogener Daten (APPI) in Japan weist einige interessante und einzigartige Merkmale auf. Sie spiegeln die kulturellen Werte Japans in Bezug auf Datenschutz und Datensicherheit wider und könnten anderen Ländern als Denkanstoß dienen.

Die wichtigste davon ist die Kategorie „pseudonym verarbeitete Informationen“. Durch die Aufnahme dieser Kategorie in die Verordnungen erkennt die APPI die wachsende Bedeutung von Big-Data-Analysen für KI und strategische Geschäftsplanung an, respektiert aber auch die Rechte des Einzelnen in einer zunehmend datengesteuerten Welt.

Das APPI enthält auch spezielle Bestimmungen für „anonym verarbeitete Informationen“, die eine breitere Nutzung von Daten ermöglichen, die irreversibel de-identifiziert wurden, so dass die individuelle Quelle niemals identifiziert werden kann. Dies sind zwei sehr zukunftsweisende Richtlinien.

Ein weiteres interessantes Merkmal des APPI ist, dass es Einzelpersonen erlaubt, die Weitergabe ihrer persönlichen Daten an Dritte abzulehnen, was eine Besonderheit der japanischen Gesetze darstellt.

Darüber hinaus verwendet das APPI unterschiedliche Klassifizierungen für die beteiligten Parteien, indem es den Begriff „Betreiber eines Unternehmens, das personenbezogene Daten verarbeitet“ verwendet, anstatt zwischen für die Datenverarbeitung Verantwortlichen und Auftragsverarbeitern zu unterscheiden, wie es die Datenschutzbestimmungen der DSGVO tun.

DSGVO | Wie können SAP-Anwender das Risiko der Nichteinhaltung minimieren?

Fazit

Wir bei der TJC Group begrüßen stets Änderungen der Datenschutzbestimmungen, die den Schutz der Verbraucher verbessern. Die geänderten APPI-Gesetze sind ein bedeutender Schritt nach vorn in Japans Datenschutzsystem. Es passt sich gut an andere globale Datenschutzstandards wie die DSGVO der EU an, weist aber auch einige einzigartige japanische Merkmale auf. Unternehmen, die auf dem japanischen Markt tätig sind oder auf diesen abzielen, müssen ihre Datenverwaltungspraktiken anpassen, um die Einhaltung dieser neuen Vorschriften zu gewährleisten. Auf diese Weise können sie potenzielle Strafen vermeiden und außerdem das Vertrauen ihrer japanischen Kunden und Partner in der heutigen, zunehmend datengesteuerten Welt stärken.

Wir von der TJC Group helfen Unternehmen dabei, den Datenschutz in SAP-Systemen vollständig durchzusetzen. Die Komplexität sowohl der SAP-Systeme als auch der Datenschutzbestimmungen in Verbindung mit dem hohen Volumen an Datenprozessen in der heutigen Wirtschaft macht es für IT- und Compliance-Teams schwer, solche komplexen Projekte zu bewältigen. Wenn Sie Unterstützung brauchen, wenden Sie sich an uns. Lesen Sie mehr über SAP ILM und die Einhaltung von Datenschutzbestimmungen in diesem Artikel: Die Schlüsselkomponenten von SAP ILM verstehen.

Referenzen: