Sprunglinks

Metanavigation


Datenschutz in Japan

[Frankfurt / München, 05.04.2019] Dr. Maximilian Lentz, Dr. Melanie Ries

Internationaler Datenschutz: Japan ist sicheres Drittland

Die EU-Kommission (Kommission) hat am 23. Januar 2019 beschlossen, dass Japan über ein angemessenes Datenschutzniveau verfügt. In der Folge dieses Beschlusses sind Datenübermittlungen aus dem Geltungsbereich der DS-GVO nach Japan ungehindert möglich.

Wechselseitig wurde auch in Japan der entsprechende Beschluss gefasst, dass die EU- bzw. EWR-Mitgliedsstaaten ein mit Japan vergleichbares Datenschutzniveau aufweisen. Dies ermöglicht die Übermittlung von Daten aus Japan in alle EWR-Mitgliedsstaaten ohne zusätzliche Zustimmung durch die betroffenen Personen.

I. Datentransfer in Drittstaaten unter der DS-GVO

Die europäische Datenschutz-Grundverordnung (DS-GVO) stellt strenge Anforderungen an den Datentransfer in Staaten, die außerhalb des europäischen Wirtschaftsraumes liegen. Hintergrund hierfür ist, dass bei mit der zunehmenden Globalisierung personenbezogene Daten nicht mehr nur am Standort des jeweiligen Betroffenen in der EU, sondern weltweit geschützt werden sollen.

Für global agierende Unternehmen besteht daher bei (auch konzerninternen) Datentransfers in Drittstaaten immer die Herausforderung, dass für die Daten im Empfängerland ein angemessener Schutz bestehen mussdiese in Übereinstimmung mit der DS-GVO erfolgen müssen.

Nach den strengen Anforderungen des 5. Kapitels der DS-GVO ist ein Datentransfer in Drittstaaten grundsätzlich verboten, wenn nicht eine der folgenden Voraussetzungen vorliegt:

- Die Kommission hat im Rahmen eines Angemessenheitsbeschlusses für den Drittstaat das angemessene Datenschutzniveau festgestellt (Art. 45 Abs. 3 DS-GVO);

- eine der in der DS-GVO vorgesehenen geeigneten Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus liegt vor und es ist sichergestellt, dass den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (z.B. bei verbindlichen internen Datenschutzvorschriften) (Art. 46 DS-GVO);

- es liegt eine ausdrückliche Einwilligung der betroffenen Person zum Datentransfer nach umfassender Unterrichtung vor; oder

- die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses oder aufgrund einer anderen Ausnahmesituation notwendig (Art. 49 DS-GVO).

Die "geeigneten Garantien" können Unternehmen z. B. durch unternehmensinterne, verbindliche Datenschutzvorschriften (Binding Corporate Rules "BCR") oder Verwendung der EU-Standarddatenschutzklauseln (Standard Contractual Clauses "SCC") erreichen. Auch die Einhaltung bestimmter von Verbänden und Vereinigungen aufgestellter Verhaltensregeln (Codes of Conduct "CoC"), kann eine Übermittlung in Drittstaaten rechtfertigen. Diese Maßnahmen durchzuführen, ist jedoch in der Praxis aufwändig. Auch die Einholung von Einwilligungen der Betroffenen ist oft unpraktikabel. Zudem können Einwilligungen stets widerrufen werden.

Ein Angemessenheitsbeschlusses nach Art. 45 Abs. 3 DS-GVO erspart den Unternehmen diese Mühen und Unsicherheiten. Die Übermittlung von personenbezogenen Daten in diesen Drittstaat wird wie eine Übermittlung in einen anderen EWR-Mitgliedsstaat behandelt. Die Kommission hatte bislang insbesondere zu den folgenden Staaten einen Angemessenheitsbeschluss getroffen:

Argentinien, Kanada (mit begrenztem Anwendungsbereich), Neuseeland , USA (EU-US Privacy Shield).

Der Angemessenheitsbeschluss für Japan wird nach zwei Jahren erneut in seiner Gesamtheit überprüft. Danach erfolgt eine Überprüfung alle vier Jahre.

Der Angemessenheitsbeschluss beseitigt allerdings nur die Hürde unterschiedlicher Datenschutzniveaus in den betroffenen Ländern. Die konkrete Verarbeitungsmaßnahme – also z.B. die Übermittlung an eine andere Konzerngesellschaft – muss trotzdem noch nach den allgemeinen datenschutzrechtlichen Grundsätzen gerechtfertigt sein.

II. Datenschutzniveau in Japan

Japan gilt als Vorreiter des Datenschutzes in Asien. Um ein mit Europa vergleichbares Datenschutzniveau zu erreichen, musste die japanische Regierung dennoch im Vorfeld des Angemessenheitsbeschlusses der Kommission zusätzliche datenschutzrechtliche Garantien einführen. Japan musste gewährleisten, dass aus der EU übermittelte Daten den europäischen Standards entsprechenden Schutzgaratien unterliegen. Inhaltlich wurden insbesondere einzelne Unterschiede der Datenschutzsysteme ausgeglichen, ein Verfahren für Beschwerden von EU-Bürgern wegen Zugriffs japanischer Behörden auf ihre Daten und weitere Maßnahmen für Strafverfolgungszwecke und zur nationalen Sicherheit eingeführt.

Am 30. Mai 2017 trat eine Reform des japanischen Datenschutzrechts in Kraft. Diese Reform hatte nicht nur zum Ziel, datenschutzrechtliche Belange der japanischen Bürger zu verbessern, sondern Japan als Wirtschaftsstandort zu stärken.

III. Bedeutung des Angemessenheitsbeschlusses für die Europäisch-Japanischen Wirtschaftsbeziehungen / Ausblick

Durch die Aufnahme von Japan in die Gruppe der Länder mit angemessenem Datenschutzniveau entsteht nun das weltweit größte Gebiet mit gleichwertigen Datenschutzstandards. Europäischen Unternehmen wird dadurch ein ungehinderter Datenverkehr mit Japan ermöglicht.

Insbesondere vor dem Hintergrund der im japanisch-deutschen Wirtschaftsverkehr immer häufiger thematisierten Industrie 4.0, Society 5.0 und den Möglichkeiten künstlicher Intelligenz sowie dem damit einhergehenden Bedarf an Datenaustausch zwischen den beiden Regionen, ist die Bedeutung des Angemessenheitsbeschlusses der Kommission nicht zu unterschätzen.

Der Angemessenheitsbeschluss der Kommission erfolgt zudem in einer Phase, in der sich die wirtschaftlichen Beziehungen zwischen Japan und der EU auch wegen des ausgehandelten Wirtschaftspartnerschaftsabkommens, das zum 1. Februar 2019 in Kraft getreten ist, immer weiter vertiefen.