Das japanische Datenschutzrecht im Lichte der DSGVO - Dr. Matthias Lachenmann BHO Legal PartG mbB
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Das japanische Datenschutzrecht im Lichte der DSGVO
Dr. Matthias Lachenmann
BHO Legal PartG mbB
Herbstakademie 2020
www.dsri.de
Folie 2 von 21 Dr. Matthias Lachenmann Herbstakademie 2020
„Datenschutz-Sumo Basho“
„Wettbewerb“ im Vergleich der Datenschutz-Systeme
西 東
Folie 3 von 21 Dr. Matthias Lachenmann Herbstakademie 2020
Inhaltsverzeichnis
I. Der Angemessenheitsbeschluss der EU für Japan
II. Die Systematik des japanischen Datenschutzrechts
III. Einzelne Regelungen im APPI
IV. Fortentwicklung des japanischen Datenschutzrechts
Folie 4 von 21 Dr. Matthias Lachenmann Herbstakademie 2020I. Der Angemessenheitsbeschluss der EU für Japan
Quelle: Greenleaf, Graham, Countries with Data Privacy Laws – By Year
1973-2019 (May 10, 2019), SSRN: https://ssrn.com/abstract=3386510
Folie 5 von 21 Dr. Matthias Lachenmann Herbstakademie 2020I. Der Angemessenheitsbeschluss der EU für Japan
neue Datenschutzgesetze z.B. Handelsabkommen z.B.
Indien: Republik Korea:
Personal Data Protection Personal Information
Bill 2018 Protection Act (PIPA,
2011)
Brasilien:
IT Security Act (2019)
Lei Geral de Proteção de
Dados Pläne für eine PIPA-
Überarbeitung
verabschiedet am
14.8.2018 Verhandlungen mit der
EU über neues
Südafrika: Handelsabkommen
Protection of Personal
Kanada
Information Act of 2013“
(kurz POPIA) Neuseeland
Mercosur
Folie 6 von 21 Dr. Matthias Lachenmann Herbstakademie 2020I. Der Angemessenheitsbeschluss der EU für Japan
neue Handelsabkommen mit Japan v. 23.1.2019
EU-Japan Strategic Partnership Agreement (SPA)
EU-Japan Economic Partnership Agreement (EPA)
große wirtschaftliche Bedeutung
betrifft 600 Mio Menschen und ca. 1/3 des weltweiten BIP
Abschaffung von 99% japanischer Zölle auf EU-Produkte
EU-Exporte von ca. 28 Mrd. € pro Jahr erfasst
EU-Angemessenheitsentscheidung für Japan
erste Angemessenheitsentscheidung seit Geltung der DSGVO
seitdem keine weiteren Angemessenheitsentscheidungen
ebenso: japanische Angemessenheitsentscheidung für die EU
Folie 7 von 21 Dr. Matthias Lachenmann Herbstakademie 2020II. Die Systematik des japanischen Datenschutzrechts
Act on the Protection of Personal Information (“APPI”)
überarbeitete Version v. 30.5.2017
erste Fassung v. 30.5.2003
Kabinettsentscheidung v. 12.6.2018 ("Basic Policy")
Kabinettsentscheidung v. 30.5.2017 (“Cabinet Order”)
Durchführungsregeln der Personal Information Protection
Commission (PPC) für den APPI (“Enforcement Rules”)
ergänzende Regeln für die Verarbeitung personenbezogener
Daten auf Basis der EU-Angemessenheitsentscheidung der
PPC v. 15.6.2018 (“Supplementary Rules”)
Schutz der EU-Daten in Japan durch Annäherung an DSGVO
Folie 8 von 21 Dr. Matthias Lachenmann Herbstakademie 2020II. Die Systematik des japanischen Datenschutzrechts
APPI
„Supplementary
Rules“
(bei EU-Daten)
„Enforcement
„Basic Policy“ „Cabinet Order“
Rules“
Sektor-
div.
“My Numbers spezifische
“PPC-
Act” “Guidances”,
Guidelines”
Ministerien
Folie 9 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
Personenbezug: Art. 2 Abs. 1 APPI:
“alle Informationen über
eine lebende Person, die
persönliche die Identifizierung dieser
Informationen
Person ermöglichen“
Art. 2 Abs. 6 APPI:
„Datenbank für
personenbezogene personenbezogene
Daten Informationen [], die
systematisch so organisiert
ist, dass bestimmte
personenbezogene
Informationen leicht
gesucht werden können“
Folie 10 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
Verpflichtete der Datenschutzgesetze:
„Personal Information Handling Business Operators“
PIHBO (Art. 2 Abs. 5 APPI):
„eine Person, die eine Datenbank mit persönlichen Informationen
usw. zur Verwendung im geschäftlichen Umfeld bereitstellt“
Begünstigte der Datenschutzgesetze:
„Principal“ (Art 2 Abs. 1, 8 APPI):
alle lebenden Personen („a living individual“)
deren Daten elektromagnetisch verarbeitet werden und
ihr auf Basis von eindeutigen Beschreibungen zugeordnet
werden können
Folie 11 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
Vorgaben zum Transfer von persönlichen Informationen
an Dienstleister oder andere Dritte
alle Stellen sind PIHBO
keine Unterscheidung zwischen den Verpflichtungen von
Verantwortlichen und Auftragsverarbeitern
aber: sog. Bevollmächtigte („Trustee“)
alle APPI-Pflichten bleiben beim PIHBO
verschiedene Pflichten des PIHBO ggü. Trustee:
PIHBO muss eine „notwendige und angemessene Aufsicht“ über
den Bevollmächtigten ausüben, Art. 22 APPI
Bindung des Trustee an alle Pflichten nach APPI
Folie 12 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
Tatbestände der Verarbeitung:
„Handhabung“ („Handling“) von personenbezogenen Daten
als „jede Handlung, die personenbezogene Daten betrifft“
Zulässigkeit der Verarbeitung:
Fokus auf Zustimmung/Einwilligung des Betroffenen, Art. 16
Abs. 1 APPI
neue Verarbeitung nach neuen/zusätzlichen Zwecken ebenfalls
vorrangig nach Einwilligung
diverse Ausnahmeregelungen nach Art. 16 Abs. 3 APPI,
z.B. Erfüllung gesetzlicher Pflichten
Folie 13 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
Tatbestände der Verarbeitung:
Sonderregelung für „anonym verarbeitete personenbezogene
Informationen“, Art. 2 Abs. 9 APPI
Definition:
Informationen über eine Person bei der Handhabung, bei denen
es unmöglich wurde, eine bestimmte Person zu identifizieren
oder die personenbezogenen Daten wiederherzustellen
Ziele:
Förderung neuer Geschäftsmodelle und Dienste
Vereinfachung des Komforts bei Handhabung
wirtschaftliche Nutzung stark pseudonymisierter Informationen
Folie 14 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
Tatbestände der Verarbeitung:
Sonderregelung für „anonym verarbeitete personenbezogene
Informationen“, Art. 2 Abs. 9 APPI
Pflichten des PIHBO:
Verhinderung einer erneuten Identifizierung durch Maßnahmen
ergreifen, um die Wiederherstellung der individuellen
Identifikationscodes zu unterbinden, Art. 36 Abs. 2 APPI
bestimmte IT-Sicherheitsmaßnahmen, Art. 20 Enforcement Rules
abstrakte Information der Betroffenen
Folge für PIHBO: Weitergabe der Daten an Dritte ohne
Zustimmung des Betroffenen möglich
sinnvoller Ausgleich zwischen Betroffenenrechten und
technischer Schwierigkeiten vollständiger Anonymisierung
Folie 15 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
Zweckbindung:
Bindung an festgelegte Zwecke der Verarbeitung
Verarbeitung, soweit nicht unvereinbar mit Zweck, Art. 15 f. APPI
Zweckänderung:
möglich bei vorheriger Zustimmung des Betroffenen
Ausnahmen nach Art. 16 Abs. 3 APPI z. B.: die Erfüllung
rechtlicher Pflichten
Begrenzung der Aufbewahrung:
Daten dürfen nicht länger aufbewahrt werden, als es für die
Zwecke, für die die personenbezogenen Daten verarbeitet
1 werden, erforderlich ist, Art. 19 APPI
Folie 16 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
Transparenz der Verarbeitung:
Betroffene sind unverzüglich über die Verarbeitung zu
informieren, Art. 18, 27 APPI
Information insbesondere über:
Identität (Kontaktangaben) des PIHBO
Verwendungszweck und eine mögliche Zweckänderung
voraussichtliche Empfänger der persönlichen Informationen
die Verfahren zur Beantwortung einer Anfrage bezüglich der
individuellen Rechte der betroffenen Person
diverse Ausnahmeregelungen:
z.B. legitime Maßnahmen zum Schutz bestimmter Interessen
(wie Betrugsbekämpfung, Wirtschaftsspionage, Sabotage)
Informationspflichten im APPI nicht so weit wie in DSGVO
Folie 17 von 21 Dr. Matthias Lachenmann Herbstakademie 2020III. Einzelne Regelungen im APPI
IT-Sicherheit:
PIHBO ergreift „notwendige und angemessene“ Maßnahmen
„einschließlich der Verhinderung des Abflusses, des Verlusts
oder der Beschädigung der von ihm verarbeiteten
personenbezogenen Daten“, Art. 20 APPI
weitere Details in den Supplementary Rules zu
Kontrollmaßnahmen in Bezug auf die organisatorische sowie die
menschliche, physische und technologische Sicherheit
Überwachung Subunternehmer/Dienstleister, Art. 20 f. APPI
Art. 32 DSGVO verlangt auch die:
„Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste auf Dauer []
sicherzustellen“
Folie 18 von 21 Dr. Matthias Lachenmann Herbstakademie 2020IV. Fortentwicklung des japanische Datenschutzrechts
Pflicht zur 3-jährigen Aktualisierung der Gesetze
(sog. Seidokaiseitaiko, Art. 12 Gesetz Nr. 65 von 2015)
aktuell: Prozess der ersten Aktualisierung weit fortgeschritten
abzuwarten: Aktualisierungen der Cabinet Order und der
PPC-Enforcement Rules – wohl frühestens Ende 2021
Neufassung APPI Verabschiedung
des japanischen am 5.6.2020 Verkündung am
Kabinetts v. durch das 12.6.2020
10.3.2020 Parlament
demgegenüber die EU-Kommission:
„[] hat die DSGVO die meisten ihrer Ziele erreicht, insbesondere
aufgrund der leistungsstarken, durchsetzbaren Vorschriften für
die Bürgerinnen und Bürger [].“
https://ec.europa.eu/commission/presscorner/detail/de/ip_20_1163)
Folie 19 von 21 Dr. Matthias Lachenmann Herbstakademie 2020IV. Fortentwicklung des japanische Datenschutzrechts
Erweiterung der Betroffenenrechte
insbesondere umfangreichere Informationspflichten
Erweiterung der Möglichkeiten der Betroffenen, Forderungen
nach Unterlassung der Nutzung, Löschung und Einstellung der
Weitergabe an Dritte zu stellen
Meldepflichten bei umfangreichen Datenlecks
gegenüber der PPC und Betroffenen
neue Datenkategorie „pseudonymisierte Informationen“
Informationen, mit denen ein Individuum ohne
Zusatzinformationen nicht identifiziert werden kann
Ausweitung der extraterritorialen Geltung
stärkere Regulierung internationaler Datentransfers
??
Ergebnis: weitere Angleichung an die EU-Regelungen
Folie 20 von 21 Dr. Matthias Lachenmann Herbstakademie 2020„Datenschutz-Sumo Basho“
Punkteverteilung im Vergleich der Datenschutz-Systeme:
Klarheit der Gesetzessystematik EU
Effektivität von Überarbeitungen des G JP
Definition von Personenbezug JP
verpflichtete Stellen JP
Zweckbindung, Löschpflichten JP/EU
Informationspflichten JP
IT-Sicherheit EU
Verarbeitungstatbestände EU
„anonym verarbeitete Daten“ JP
Ergebnis:
EU: 4
JP: 6
Folie 21 von 21 Dr. Matthias Lachenmann Herbstakademie 2020Sie können auch lesen
