Japan APPI: Einhaltung des Schutzes personenbezogener Daten

Das japanische Gesetz zum Schutz personenbezogener Daten (APPI – 個人情報の保護に関する法律) ist eines der umfassendsten Datenschutzrahmenwerke Asiens. APPI wurde im Jahr 2022 erheblich geändert (gültig ab 1. April 2022) und unterliegt einem obligatorischen dreijährigen Überprüfungszyklus. APPI hat sich schrittweise an globale Datenschutzstandards angeglichen und dabei die einzigartigen japanischen Regulierungsansätze beibehalten.

Die Änderungen von 2022 führten ein Recht auf Löschung, eine obligatorische Offenlegung von grenzüberschreitenden Übertragungsinformationen, Regeln für die pseudonymisierte Verarbeitung von Informationen und eine verstärkte Durchsetzung mit Strafen von bis zu 100 Millionen Yen (660.000 USD) für Unternehmensverstöße ein. Japans Personal Information Protection Commission (PPC) ist immer aktiver geworden, gibt Leitlinien heraus, führt Untersuchungen durch und reicht Durchsetzungsmaßnahmen gegen große in- und ausländische Unternehmen ein.

Wichtige Erkenntnisse

• APPI gilt für Unternehmer, die in Japan personenbezogene Daten verarbeiten; Die extraterritoriale Anwendung umfasst ausländische Betreiber, die Daten von Personen in Japan sammeln
• Die Regeln für den Umgang mit personenbezogenen Daten umfassen die Erhebung, Nutzung, Bereitstellung an Dritte und das Sicherheitsmanagement
• Besondere Sorgfalt erfordernde personenbezogene Daten (sensible Daten) bedürfen zur Erhebung der ausdrücklichen vorherigen Zustimmung
• Grenzüberschreitende Übermittlungen sind eingeschränkt – sie sind Dritten in Ländern mit gleichwertigem Schutz oder mit ausdrücklicher individueller Zustimmung und Offenlegung von Informationen gestattet
• Neue Bestimmungen 2022: Recht auf Löschung/Sperrung, verpflichtende Opt-out-Meldung bei Drittbereitstellung durch Opt-out, pseudonyme Verarbeitungsregeln
• Die PPC verfügt über weitreichende Ermittlungsbefugnisse und kann Anordnungen zur Geschäftsaussetzung erlassen – Japan und die EU haben gegenseitige Angemessenheitsbeschlüsse – APPI-konforme Unternehmen können nach gestrafften Regeln in die/aus der EU transferieren
• APPI wird alle drei Jahre einer obligatorischen Überprüfung unterzogen. Der nächste Überprüfungszyklus wird sich weiter an globale Standards anpassen

---

APPI-Framework und -Bereich

Territoriale Anwendung

APPI gilt für:

• Geschäftsbetreiber in Japan, die personenbezogene Daten verarbeiten
• Ausländische Betreiber, die personenbezogene Daten von Personen in Japan im Zusammenhang mit der Bereitstellung von Waren oder Dienstleistungen verarbeiten (Artikel 180 – extraterritoriale Anwendung in den Änderungen von 2022 hinzugefügt)

Die extraterritoriale Anwendung ist von Bedeutung: Überseeische Unternehmen mit japanischen Nutzern unterliegen nun direkt dem APPI, ohne über eine japanische Rechtspersönlichkeit zu verfügen. Die PPC kann ausländischen Betreibern Anordnungen erteilen und ausländischen Behörden Auskünfte erteilen.

Wer ist ein „Unternehmen, das personenbezogene Daten verarbeitet“?

Jede Person, die eine Datenbank mit personenbezogenen Daten für geschäftliche Zwecke nutzt. Zuvor waren Betreiber, die Daten von weniger als 5.000 Personen verarbeiten, davon ausgenommen – mit der Änderung von 2015 wurde diese Ausnahmeregelung für kleine Betreiber abgeschafft. Ab sofort sind alle Unternehmen abgedeckt, die Datenbanken mit personenbezogenen Daten für kommerzielle Zwecke nutzen.

Schlüsselkategorien:

• Persönliche Informationen (個人情報): Informationen über eine lebende Person, die sie anhand des Namens, des Geburtsdatums oder einer anderen Beschreibung identifizieren kann; enthält eindeutige Identifikatoren (meine Nummer, Reisepassnummer, Führerscheinnummer, biometrische Daten)
• Persönliche Daten (個人データ): Persönliche Informationen, die eine Datenbank umfassen
• Gespeicherte personenbezogene Daten (保有個人データ): Personenbezogene Daten, über die der Betreiber die Befugnis hat, sie offenzulegen, zu berichtigen, zu ergänzen, zu löschen, die Nutzung einzustellen, zu beseitigen oder die Bereitstellung durch Dritte zu unterbinden

---

Grundlegende APPI-Verpflichtungen

Angabe der Verwendungszwecke

Artikel 17 verlangt von Unternehmern, die Verwendungszwecke personenbezogener Daten so konkret wie möglich anzugeben. Bei der Erhebung personenbezogener Daten muss der Zweck sein:

• Vorab öffentlich bekannt gegeben (zur Datenschutzerklärung)
• Oder der Person bei der Abholung deutlich mitgeteilt werden
• Oder wenn die Zahlung direkt von der Person schriftlich erfolgt und im Formular deutlich angegeben ist

Zweckbeschränkung: Persönliche Daten dürfen nicht ohne Zustimmung des Einzelnen über die angegebenen Zwecke hinaus verwendet werden.

Sammlungsbeschränkungen

Persönliche Daten müssen mit fairen und angemessenen Mitteln erfasst werden. Spezifische Einschränkungen:

• Persönliche Informationen dürfen nicht durch Täuschung oder andere unzulässige Mittel erlangt werden
• Bei direkter schriftlicher Abholung geben Sie auf dem Formular deutlich den Verwendungszweck an
• Verwendung innerhalb des angegebenen Zwecks; Eine Zweckänderung bedarf einer Mitteilung oder Zustimmung

Besondere Sorgfalt erfordert personenbezogene Daten (要配慮個人情報): Für die Erfassung ist eine vorherige ausdrückliche Zustimmung erforderlich. Dazu gehört:

• Rennen
• Glaubensbekenntnis (Religion oder religiöse Überzeugungen)
• Sozialer Status (formelle Unterscheidungen im Familienregister, die zu Diskriminierung führen könnten)
• Krankengeschichte
• Strafregister
• Status als Opfer einer Straftat
• Körperliche oder geistige Behinderung
• Medizinische Informationen zu Störungen und Verletzungen
• Untersuchungsergebnisse zu genetischen Erkrankungen

Sicherheitsmanagementmaßnahmen

Artikel 23 verlangt von Unternehmern, notwendige und geeignete Maßnahmen für die sichere Verwaltung personenbezogener Daten zu ergreifen, um Lecks, Verluste oder Schäden zu verhindern. Die PPC-Richtlinien legen vier Kategorien von Maßnahmen fest:

1. Organisatorische Maßnahmen: Festlegung grundlegender Richtlinien; Organisation von Managementsystemen; Verständnis des Bearbeitungsstatus; auf Leckagen reagieren
2. Personalmaßnahmen: Schulung der Mitarbeiter; Ausführung von Vertraulichkeitsvereinbarungen
3. Physische Maßnahmen: Verwaltung des Zugangs/Ausgangs zu Bereichen, in denen personenbezogene Daten verarbeitet werden; Verwaltung von Geräten; Diebstahl/Verlust verhindern
4. Technische Maßnahmen: Zugangskontrolle; Zugangsauthentifizierung; Antivirenmaßnahmen; Überwachung von Informationssystemen

Einschränkung der Bereitstellung durch Dritte

Artikel 27 schränkt die Weitergabe personenbezogener Daten an Dritte ohne vorherige Zustimmung des Einzelnen ein. Ausnahmen:

• Gesetzlich vorgeschrieben
• Schutz des Lebens, des Körpers oder des Eigentums von Menschen, wenn keine Einwilligung eingeholt werden kann
• Verbesserung der öffentlichen Gesundheit, wenn keine Einwilligung eingeholt werden kann
• Zusammenarbeit mit nationalen oder lokalen Regierungsstellen
• Opt-out-Basis: Eine Bereitstellung durch Dritte ohne Einwilligung ist zulässig, wenn der Betreiber dies dem PPC mitteilt und Einzelpersonen die Möglichkeit zum Opt-out gibt (mit erheblichen Offenlegungspflichten).

Bereitstellung durch Dritte an ausländische Unternehmen: Vorbehaltlich zusätzlicher Anforderungen (siehe Abschnitt „Grenzüberschreitende Übertragungen“).

---

Individuelle Rechte

Durch die Änderungen von 2022 wurden die Rechte des Einzelnen erheblich erweitert:

Beschwerdebearbeitung: Unternehmer müssen sich bemühen, Beschwerden über den Umgang mit personenbezogenen Daten angemessen und umgehend zu bearbeiten. Von der PPC zertifizierte externe Streitbeilegungsstellen können eine alternative Lösung bieten.

Antwortanforderungen: APPI legt keine bestimmte Antwortfrist für einen Kalendertag fest (im Gegensatz zu den 30 Tagen der DSGVO). Betreiber müssen „unverzüglich“ antworten – die PPC-Richtlinien legen fest, dass Antworten bei komplexen Anfragen im Allgemeinen innerhalb von höchstens zwei bis drei Monaten erfolgen sollten.

---

Grenzüberschreitende Datenübertragungen

Artikel 28 schränkt die Bereitstellung personenbezogener Daten im Ausland ein. Für die Bereitstellung durch Dritte an ausländische Empfänger ist eine der folgenden Voraussetzungen erforderlich:

1. Einzelne Einwilligung: Vorherige Einwilligung der Einzelperson nach Bereitstellung spezifischer Informationen über das Auslandsziel und -system
2. Land mit gleichwertigem Schutz: Übertragung in ein Land, das laut PPC-Kabinettsbeschluss ein vergleichbares Schutzniveau aufweist (derzeit: EU/EWR-Länder im Rahmen der Angemessenheitsvereinbarung zwischen Japan und der EU)
3. Betreiber mit gleichwertigem Schutz: Der ausländische Empfänger hat gleichwertige Datenschutzmaßnahmen umgesetzt (dokumentiert durch Vertrag, verbindliche Unternehmensregeln oder andere Mittel)

Erforderliche Offenlegung von Informationen für die Einwilligung: Bei einwilligungsbasierten Übermittlungen muss der Betreiber der Person im Voraus Folgendes zur Verfügung stellen:

• Name des fremden Landes
• Das System zum Schutz personenbezogener Daten in diesem Land
• Die vom Dritten ergriffenen Maßnahmen zum Umgang mit personenbezogenen Daten

Die PPC-Länderinformationsseite bietet Referenzinformationen zu Schutzsystemen in anderen Ländern.

Angemessenheit zwischen Japan und der EU: Japan und die EU haben gegenseitige Angemessenheitsvereinbarungen – Japan hat einen Angemessenheitsbeschluss der EU-Kommission und Japan erkennt EU-Mitgliedstaaten als gleichwertig an. Dies vereinfacht den Datenfluss zwischen Japan und der EU erheblich.

Pseudonyme Verarbeitung für Übertragungen ins Ausland: Pseudonym verarbeitete Informationen können auf Opt-out-Basis (anstatt einer Einwilligung) an Dritte im Ausland weitergegeben werden, vorbehaltlich einer PPC-Benachrichtigung und einer individuellen Opt-out-Möglichkeit.

---

Pseudonyme Verarbeitungsinformationen (仮名加工情報)

Mit den Änderungen von 2021 wurden pseudonyme Verarbeitungsinformationen (仮名加工情報) eingeführt – eine neue Kategorie zwischen personenbezogenen Daten und anonym verarbeiteten Informationen. Anforderungen:

Erstellung: Verarbeiten Sie personenbezogene Daten, indem Sie identifizierende Informationen (Name, Geburtsdatum, Adressen) durch spezifische Codes oder andere Maßnahmen ersetzen, die es unmöglich machen, die Person ohne andere Informationen zu identifizieren.

Verwendungszwecke: Pseudonym verarbeitete Informationen können ohne individuelle Zustimmung für interne Analyse- und Forschungszwecke verwendet werden – was Datenanalysen ermöglicht und gleichzeitig das Datenschutzrisiko verringert.

Einschränkungen:

• Kann nicht an Dritte weitergegeben werden (außer an beauftragte Betreiber und innerhalb von Unternehmensgruppen unter bestimmten Bedingungen)
• Ein Vergleich mit anderen Informationen zur Identifizierung von Personen ist nicht möglich
• Kann nicht zur Kontaktaufnahme mit Einzelpersonen verwendet werden

Sicherheit: Muss genauso sicher verwaltet werden wie personenbezogene Daten.

---

Anonym verarbeitete Informationen (匿名加工情報)

Wirklich anonymisierte Daten, die auch mit anderen Informationen nicht wieder identifiziert werden können. Anforderungen:

• Befolgen Sie die von PPC spezifizierten Anonymisierungsstandards (irre umkehrbare Verarbeitung, einschließlich: Namens-/Adressenersetzung, Generalisierung granularer Daten, Unterdrückung von Ausreißern, Löschung von Verknüpfungsinformationen).
• Veröffentlichung der erstellten Kategorien anonymisierter Informationen
• Kann mit Veröffentlichung der Kategorien an Dritte weitergegeben werden
• Empfänger können nicht versuchen, die Informationen erneut zu identifizieren

---

Benachrichtigung über Verstöße (Änderung 2022)

Durch die Änderungen von 2022 wurde die Meldung von Verstößen obligatorisch (zuvor dringend empfohlen). Anforderungen:

Benachrichtigung an PPC (Artikel 26): Erforderlich, wenn ein Leck, ein Verlust oder ein Schaden auftritt, der voraussichtlich die Rechte und Interessen des Einzelnen beeinträchtigt, einschließlich:

• Weitergabe personenbezogener Daten, die besondere Sorgfalt erfordern
• Durchsickern kann durch illegale Nutzung zu Sachschäden führen (Finanz-/Kontoinformationen)
• Durch unsachgemäßen Zweck verursachte Leckage (böswilliger Insider)
• Leckage, die 1.000 oder mehr Personen betrifft

Zeitleiste:

• Vorläufiger Bericht: Innerhalb von 3–5 Werktagen nach Bekanntwerden
• Vollständiger Bericht: Innerhalb von 30 Tagen (60 Tage bei böswilligen Insider-Verstößen)

Einzelne Benachrichtigung: Erforderlich für die gleichen qualifizierenden Veranstaltungen – Einzelpersonen müssen unverzüglich benachrichtigt werden.

Benachrichtigungsinhalt (für PPC und Einzelpersonen):

• Überblick über den Vorfall
• Arten und Anzahl der betroffenen Personen und personenbezogenen Daten
• Ursachen und Umstände
• Ob die Gefahr eines Folgeschadens besteht
• Getroffene und geplante Maßnahmen

---

PPC-Durchsetzung und Strafen

Die Personal Information Protection Commission (PPC) (個人情報保護委員会) ist Japans unabhängige Datenschutzbehörde. Die 2016 gegründete PPC verfügt über weitreichende Aufsichtsbefugnisse.

Verwaltungsbefugnisse:

• Berichte/Untersuchungsanfragen von Unternehmern (Artikel 146)
• Inspektionen vor Ort
• Anleitung und Beratung (Artikel 147)
• Empfehlungen (Artikel 148)
• Anordnungen (Artikel 148 Absatz 2) – Unternehmer müssen diese befolgen
• Veröffentlichung der Nichteinhaltung (Artikel 148 Absatz 3)

Strafen:

• Verstoß gegen die PPC-Anordnung: Bis zu 100 Millionen Yen Geldstrafe für Unternehmen + 1 Million Yen für Einzelpersonen
• Unterlassene/falsche Meldung als Reaktion auf die PPC-Untersuchung: Bis zu ¥500.000
• Illegale Bereitstellung von Datenbanken Dritter: Bis zu 1 Million Yen + 300.000 Yen für Einzelpersonen + Freiheitsstrafe bis zu einem Jahr (strafrechtlich)
• Missbrauch persönlicher Daten zur Erzielung illegaler Profite: Strafstrafe bis zu einem Jahr Freiheitsstrafe

Die PPC ist immer aktiver geworden – zu den jüngsten Maßnahmen gehören Untersuchungen gegen große japanische Unternehmen, Leitlinien zu Verpflichtungen ausländischer Unternehmer und die Zusammenarbeit mit ausländischen Datenschutzbehörden.

---

APPI-Compliance-Checkliste

• APPI-Anwendbarkeit bestätigt (japanischer Betrieb oder ausländischer Betreiber mit japanischen Benutzern)
• Datenschutzrichtlinie veröffentlicht, in der alle Verwendungszwecke aufgeführt sind
• Der Sammelzweck ist an jeder Sammelstelle klar angegeben
• Identifizierung personenbezogener Daten, die besondere Sorgfalt erfordern – vorherige ausdrückliche Zustimmung eingeholt
• Sicherheitsmanagementmaßnahmen umgesetzt (organisatorisch, personell, physisch, technisch)
• Drittbestimmungsbewertung: Einwilligung oder Ausnahme für jede Weitergabe dokumentiert
• Opt-out-Benachrichtigung bei PPC eingereicht, wenn die Opt-out-Basis für die Bereitstellung durch Dritte genutzt wird
• Grenzüberschreitender Übertragungsmechanismus festgelegt (Einwilligung zur Offenlegung oder gleichwertiger Schutz)
• Aufzeichnungen über die Bereitstellung durch Dritte geführt (für Offenlegungsanfragen)
• Verfahren zur Reaktion auf individuelle Rechte dokumentiert (Offenlegung, Berichtigung, Aussetzung, Löschung)
• Mechanismus zur Beschwerdebearbeitung eingerichtet
• Verfahren zur Meldung von Verstößen dokumentiert (vorläufig 3–5 Tage, volle 30 Tage)
• Bei Einsatz werden pseudonymisierte/anonyme Verarbeitungsverfahren eingerichtet
• Mitarbeiterschulung zu APPI-Pflichten abgeschlossen
• Benennung eines ausländischen Betreibers bestätigt, falls zutreffend (PPC-Benachrichtigung)

---

Häufig gestellte Fragen

Gilt APPI für mein ausländisches Unternehmen mit japanischen Benutzern?

Ja, seit den Änderungen von 2022. Artikel 180 des APPI gilt APPI für ausländische Unternehmen, die personenbezogene Daten von Personen in Japan im Zusammenhang mit der Bereitstellung von Waren oder Dienstleistungen verarbeiten. Dazu gehören alle Websites, Apps und Dienste im Ausland, die Daten von japanischen Benutzern sammeln. Ausländische Betreiber müssen alle geltenden APPI-Bestimmungen einhalten und unterliegen der PPC-Aufsicht. Die PPC kann ausländischen Betreibern Befehle erteilen und im Rahmen von gegenseitigen Amtshilfevereinbarungen Informationen mit den ausländischen Partnern Japans austauschen.

Was sind „personenbezogene Daten, die besondere Sorgfalt erfordern“ und warum sind sie wichtig?

Besondere Sorgfalt erfordert personenbezogene Daten (要配慮個人情報) sind APPIs Äquivalent zu sensiblen Daten – Informationen, deren Erhebung zu ungerechtfertigter Diskriminierung oder Vorurteilen führen könnte. Dazu gehören Rasse, Glauben, sozialer Status, Krankengeschichte, Vorstrafen, Behindertenstatus und Status als Opfer einer Straftat. Die wichtigste Verpflichtung: Sie müssen Ihre explizite vorherige Zustimmung einholen, bevor Sie eine dieser Kategorien sammeln, auch wenn Sie andernfalls einen Grund hätten, sie zu sammeln. Stillschweigende Einwilligung, Opt-out-Grundlage und andere niedrigere Einwilligungsstandards gelten nicht für besondere Sorgfaltspflichten.

Wie funktionieren die Datenströme zwischen Japan und der EU im Rahmen der gegenseitigen Angemessenheitsvereinbarung?

Japan und die EU haben 2019 eine gegenseitige Angemessenheit vereinbart – eine einzigartige bilaterale Vereinbarung. Die Europäische Kommission erließ einen Angemessenheitsbeschluss für Japan und Japan änderte APPI, um personenbezogene Daten aus der EU in seinen bestehenden Rahmen einzubeziehen (mit ergänzenden Regeln). Das bedeutet: EU→Japan-Überweisungen sind ohne zusätzliche Mechanismen zulässig (im Rahmen des EG-Angemessenheitsbeschlusses); Japan→EU-Überweisungen sind zulässig, da Japan EU-Länder als gleichwertige Schutzziele behandelt. In beiden Richtungen ist weiterhin die Einhaltung aller APPI-Verpflichtungen (für Japan→EU) und aller EU-DSGVO-Verpflichtungen (für EU→Japan) erforderlich. Die ergänzenden Regeln für personenbezogene Daten aus der EU in Japan umfassen zusätzliche Schutzmaßnahmen, die den Anforderungen der DSGVO entsprechen.

Welche Unterlagen benötigt APPI für die Bereitstellung durch Dritte?

APPI verlangt von Unternehmern die Erstellung von Aufzeichnungen, wenn sie personenbezogene Daten an Dritte weitergeben und personenbezogene Daten von Dritten erhalten. Aufzeichnungen über die Bereitstellung müssen Folgendes enthalten: Datum der Bereitstellung, Name und andere Angaben des Dritten, Kategorien der bereitgestellten personenbezogenen Daten, Umstände der Bereitstellung (Rechtsgrundlage) und Informationen über die Person, sofern sie von einem Dritten erworben wurden. Diese Aufzeichnungen müssen für einen bestimmten Zeitraum aufbewahrt werden (in den meisten Fällen drei Jahre nach der Erstellung, ein Jahr in Fällen, in denen Aufzeichnungen auf Anfrage an Einzelpersonen weitergegeben werden können). Einzelpersonen können die Offenlegung dieser Drittversorgungsaufzeichnungen verlangen.

Wann ist eine DPIA oder eine Datenschutz-Folgenabschätzung gemäß APPI erforderlich?

APPI schreibt keine ausdrücklichen Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) vor, wie dies in der EU-DSGVO der Fall ist. Allerdings hat die PPC Richtlinien herausgegeben, die freiwillige PIAs für Verarbeitungsaktivitäten mit hohem Risiko fördern, insbesondere: neue Systeme oder Dienste, die eine umfangreiche Erfassung personenbezogener Daten, grenzüberschreitende Transferprojekte, neue Verwendungsmöglichkeiten sensibler Daten sowie Profiling oder automatisierte Entscheidungsfindung beinhalten. Die Durchführung von PIAs wird von der PPC als Best Practice angesehen und signalisiert die Verantwortung der Organisation. Für Unternehmen, die sowohl APPI als auch DSGVO unterliegen, gelten die verbindlichen DSFA-Anforderungen der DSGVO für Verarbeitungsaktivitäten im Zusammenhang mit der EU.

---

Nächste Schritte

Japans APPI entwickelt sich im Rahmen seines obligatorischen dreijährigen Überprüfungszyklus weiter – die Überprüfung im Jahr 2025 wird voraussichtlich APPI weiter an internationale Standards anpassen. Der Aufbau eines Compliance-Programms, das auf laufende Aktualisierungen reagiert und gleichzeitig aktuelle Verpflichtungen erfüllt, erfordert sowohl technisches Fachwissen als auch rechtliches Bewusstsein.

Das Team von ECOSIRE unterstützt Unternehmen beim Markteintritt und bei der Expansion in Japan bei der Umsetzung APPI-konformer Datenpraktiken, Datenschutzrichtlinien für japanische Benutzer und grenzüberschreitender Datenübertragungsmechanismen.

Erste Schritte: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. APPI unterliegt regelmäßigen Überprüfungen und Änderungen. Wenden Sie sich an einen qualifizierten japanischen Rechtsberater, um spezifische Ratschläge für Ihre Organisation zu erhalten.