BitRaser >
Article >
Japans APPI-Gesetz - ein Einblick

BITRASER^®

Japans APPI-Gesetz - ein Einblick

Geschrieben von

Pravin Mehta linkdin

Veröffentlicht am

Sept 29, 2023

Min Lesen

3 Min

Zusammenfassung: Bevor die GDPR der Europäischen Union zu einem bekannten internationalen Datenschutzgesetz wurde, hatte Japan ein Gesetz zum Schutz der persönlichen Daten japanischer Bürger erlassen. Diese erste Datenschutzverordnung in Asien wurde von Japan im Jahr 2003 verabschiedet, fast 15 Jahre bevor die GDPR ins Spiel kam. Lesen Sie diesen Blog, um einen Überblick über das japanische Datenschutzgesetz "Act on the Protection of Personal Information (APPI)" zu erhalten und die Compliance-Anforderungen für Unternehmen, die mit personenbezogenen Daten arbeiten, zu verstehen.

Datenschutz und die Einhaltung von Vorschriften nehmen exponentiell zu. Sowohl Unternehmen als auch Regierungsbehörden sind im Umgang mit Daten besonders vorsichtig geworden - in Bezug auf ihre Sicherheit, ihre Erfassung, Weitergabe und Verwendung, um materielle, finanzielle, strafrechtliche und/oder rufschädigende Schäden zu vermeiden. Datenschutz und Datenverarbeitung fallen unter verschiedene internationale und föderale Gesetze. Das japanische APPI ist ein solches Gesetz, dessen Einhaltung durch eine Organisation bedeutet, dass diese eine strenge Datenschutzpolitik verfolgt und alle Cybersicherheitsmaßnahmen und physischen Sicherheitsvorkehrungen einhält, die zum Schutz der PII (Personally Identifiable Information) & anderer sensibler Daten einer Person erforderlich sind.

Das Gesetz zum Schutz personenbezogener Daten (APPI) ist das Japanische Datenschutzgesetz, das 2003 in Kraft trat. Es gilt als das erste Datenschutzgesetz Asiens. Im Jahr 2015 wurde das Gesetz umfassend reformiert, um den aktuellen Datenschutztrends gerecht zu werden, da Japan mit einer Reihe von öffentlichkeitswirksamen Datenschutzverletzungen zu kämpfen hatte. Das Gesetz ähnelt in einigen Punkten der EU GDPR. Es gilt für Unternehmen außerhalb der japanischen Landesgrenzen, sofern sie Waren und Dienstleistungen nach Japan liefern.

Das geänderte Gesetz über den Schutz personenbezogener Daten ('Geändertes APPI')

Als große Datenschutzverletzungen und Cyberkriminalität die Welt erschütterten, haben verschiedene Länder strenge Datenschutzgesetze erlassen. Dadurch wurde Japans bestehendes APPI unzureichend, um mit der modernen Cyberkriminalität fertig zu werden. Daher musste 2017 das Amended Act on the Protection of Personal Information eingeführt werden. Die Personal Information Protection Commission (PPC) wurde als Behörde für den Datenschutz in Japan eingerichtet.

Vollständige Infografik lesen

Daten im Rahmen von APPI geschützt

Die geänderte APPI nennt zwei Arten von Daten, die durch das Gesetz geschützt sind, nämlich "persönlich identifizierbare Informationen (PII)" und Informationen, die unter die Kategorie "besondere Sorgfalt erforderlich" fallen.

a) Persönlich identifizierbare Informationen

PII bezieht sich auf alle Arten von Daten, die zur Identifizierung einer einzelnen Person beitragen. Zu dieser Kategorie gehören unter anderem:

Name
Adresse
Geburtsdatum
E-Mail-Adresse
Biometrische Daten
Numerische Angaben wie Führerscheinnummer oder Passnummer, die eine Person identifizieren können

b) Erforderliche Angaben zur besonderen Pflege

Diese Kategorie umfasst persönliche Informationen, die zu einer Diskriminierung von Personen führen können. Zu den Informationen, die unter diese Kategorie fallen, gehören unter anderem:

Rassische/ethnische Zugehörigkeit
Religiöse Überzeugungen
Medizinische Vorgeschichte
Familienstand
Verbrecherische Akte/n

Die Unternehmen müssen die Erlaubnis des Dateninhabers einholen, bevor sie diese Daten an Dritte innerhalb oder außerhalb Japans weitergeben.

Von der PPC für 2019 vorgeschlagene Änderungen

Der PPC hat für 2019 erneut eine Reihe von Änderungen vorgeschlagen, die im Folgenden aufgeführt sind:

a) Ausweitung der Rechte betroffener Personen auf die Sperrung oder Löschung von Daten, auch wenn ein Unternehmen sie nicht missbraucht hat.

b) Ausweitung der APPI auch auf Daten, die innerhalb von sechs Monaten gelöscht werden sollen.

c) Ermöglichung des Rechts der Betroffenen, die Herausgabe erworbener Daten auf digitalem Wege zu verlangen.

d) Die Unternehmen sollen verpflichtet werden, dem PPC und den betroffenen Personen Datenschutzverletzungen zu melden. Zu solchen Verstößen würde auch die unzulässige Verwendung der erhobenen Daten über den angegebenen Zweck hinaus gehören.

e) Einführung eines Akkreditierungssystems zur Förderung des verantwortungsvollen Umgangs mit Daten und der freiwilligen Berichterstattung durch Unternehmen.

f) Schärfere Strafen.

Am 10. März 2020 billigte das japanische Kabinett den Vorschlag des PPC zur Änderung des APPI. Die Änderung soll im Juni 2020 in Kraft treten.

Wichtige Änderungen der geänderten APPI

1. Anwendbar auf alle privaten Einrichtungen

Das Gesetz in seiner geänderten Fassung ist auf alle Unternehmen anwendbar, die in Japan mit personenbezogenen Daten von Einzelpersonen umgehen. Das APPI gilt jedoch nur für private Unternehmen. Für staatliche Stellen und Unternehmen gibt es in Japan andere Gesetze.

2. Keine Mindestgröße der Datenbank

Vor der Änderung galt das APPI nur für Unternehmen, die über 5.000 oder mehr einzelne Datenbanken verfügten. Jedes Unternehmen mit einer solchen Datenbank (zumindest für einen Tag in den vorangegangenen sechs Monaten) würde unter APPI fallen. In der geänderten Fassung wurde diese Einschränkung aufgehoben. Jetzt gelten die APPI-Vorschriften für alle Unternehmen, die mit personenbezogenen Daten umgehen, unabhängig von der Größe der Datenbank.

3. Deckt alle privaten Anbieter ab

Das APPI erfasst alle privaten Anbieter von Waren und Dienstleistungen in Japan. Es gilt sowohl für Unternehmen, die innerhalb des japanischen Staatsgebiets ansässig sind, als auch für solche, die außerhalb ansässig sind. In dieser Hinsicht ähnelt das Gesetz der GDPR der EU. Es gilt auch für Unternehmen jenseits der japanischen Landesgrenzen, solange sie Waren und Dienstleistungen für Japan liefern.

APPI-Compliance - Wichtige Anforderungen für Unternehmen

Unternehmen, die in den Geltungsbereich der APPI fallen, müssen über eine umsetzbare Datenschutzpolitik verfügen. Die Datenschutzpolitik muss den Zweck des Besitzes von Daten darlegen. Alle Unternehmen müssen angemessene Maßnahmen ergreifen, um die Sicherheit von Online-Daten zu gewährleisten und Mechanismen für die Bearbeitung von Anfragen der Betroffenen zu entwickeln.

1. Datenübermittlungsverordnung

Das APPI hat strenge Bestimmungen gegen die Übermittlung von Daten innerhalb Japans. Für die Weitergabe von Daten an Dritte innerhalb Japans ist die vorherige Zustimmung der betroffenen Person erforderlich. Das Unternehmen muss die betroffenen Personen über seine Absicht informieren, damit diejenigen, die sich dagegen entscheiden wollen, dies tun können.

Die Normen für die Übermittlung von Daten außerhalb Japans sind noch strenger. Solche Übermittlungen können nur unter den folgenden Bedingungen erfolgen:

Das Empfängerland praktiziert Datenschutzmaßnahmen, die den japanischen Datenschutzstandards entsprechen.
Das datenübermittelnde Unternehmen muss eine vertragliche Vereinbarung mit dem Dritten im Ausland abschließen. Der Vertrag muss den Dritten dazu verpflichten, ein angemessenes Datenschutzniveau zu gewährleisten, das den japanischen Standards entspricht.
Die betroffenen Personen müssen vorher ihre Zustimmung geben.

2. Anonymisierte Daten

Unternehmen steht es frei, anonymisierte Daten ohne die ausdrückliche Zustimmung der betroffenen Personen für statistische Analysen zu verwenden. Allerdings müssen zuvor alle Marker entfernt werden, die eine Person identifizieren können.

Für die Anonymisierung ist das Unternehmen verantwortlich, das die Daten weitergibt. Das Unternehmen muss auch sicherstellen, dass der Dritte, der die Daten erhält, weiß, dass die Daten anonymisiert werden. Außerdem muss das Unternehmen die Datenübermittlung öffentlich ankündigen.

3. Rechte der betroffenen Personen

Das APPI räumt den Betroffenen das Recht ein, zu fragen, zu welchem Zweck ein Unternehmen ihre Daten benötigt.

Personen können Zugang zu ihren persönlichen Daten verlangen, um sie zu korrigieren oder zu sperren. Die Unternehmen sind auch verpflichtet, Informationen darüber bereitzustellen, wo sie eine Beschwerde einreichen können, wenn eine betroffene Person dies wünscht.

Die betroffenen Personen haben das Recht, ihre Daten zu sperren oder von den Unternehmen zu verlangen, dass sie ihre personenbezogenen Daten löschen. Diese Rechte stehen ihnen zu, wenn die Daten für Zwecke verwendet wurden, die über den erklärten Zweck hinausgehen, oder wenn die Zustimmung der betroffenen Person durch betrügerische oder unlautere Mittel eingeholt wurde.

Strafen nach APPI

Der Datenschutzbeauftragte nimmt nach Eingang einer Beschwerde Kontakt mit einem Unternehmen auf und fordert es auf, den Verstoß zu korrigieren. Kommt das Unternehmen dieser Aufforderung nicht nach, erlässt das PPC eine Verwaltungsverfügung. Einzelpersonen können ein Unternehmen auch vor Gericht bringen, wenn es nicht innerhalb von zwei Wochen auf APPI-basierte Anfragen reagiert.

Die Nichteinhaltung der APPI-Vorschriften kann mit Geldstrafen von bis zu 100 Millionen JPY geahndet werden, was ungefähr 900.000 US-Dollar entspricht. Die Strafe kann auch eine Freiheitsstrafe von bis zu einem Jahr umfassen.

Ausnahmen gemäß APPI

Unternehmen benötigen keine vorherige Erlaubnis der betroffenen Personen (die einer solchen Datenerhebung bereits zugestimmt haben), um Daten an externe Dienstleister zur Datenverarbeitung zu übermitteln. Allerdings darf die Verarbeitung nur für den Zweck erfolgen, für den die Daten erhoben wurden.
Eine vorherige Zustimmung ist nicht erforderlich für die Freigabe von Daten aufgrund gesetzlicher Vorgaben oder für Angelegenheiten der nationalen Sicherheit.

Löschtechnik zur Datenanonymisierung

Die Anonymisierung individueller Daten ist eine der wichtigsten Anforderungen von Organisationen, um die Einhaltung der APPI zu erreichen. Die Anonymisierung von Daten erfordert die Entfernung aller Marker, die eine Person identifizieren können. Eine einfache Löschung solcher Markierungen oder Identifikatoren kann keine ausfallsichere Anonymisierung gewährleisten, da die gelöschten Informationen immer noch extrahiert und zusammengesetzt werden können, um die Identität von Personen aufzudecken. Die Datenlöschtechnologie kann eine garantierte Lösung für die Anonymisierung im Einklang mit den APPI-Mandaten ermöglichen.

Spezialisierte Software-Tools zur Datenlöschung wie BitRaser können sensible und vertrauliche Informationen löschen, um Unternehmen bei der Erfüllung ihrer Anonymisierungsanforderungen zu unterstützen und so die Einhaltung der APPI und anderer globaler Datenschutzvorschriften zu erreichen. BitRaser erstellt fälschungssichere Berichte und Löschzertifikate, die als Prüfpfade für die Einhaltung gesetzlicher Vorschriften dienen.

Endnote: APPI-Novelle stärkt Datenschutz & Compliance

Die Einhaltung der Datenschutzgesetze und -vorschriften im Rahmen der APPI ist ein nicht verhandelbarer Aspekt für Unternehmen, die in deren Geltungsbereich fallen. Das Gesetz sieht Datenintegrität um jeden Preis vor, indem es die personenbezogenen Daten einer Person schützt. Und damit Unternehmen sicherstellen können, dass ihre Richtlinien vollständig mit der APPI übereinstimmen, müssen sie spezialisierte Tools beschaffen, die bei der ausfallsicheren Entsorgung vertraulicher Daten helfen können. Die derzeitige Zunahme von Cyberkriminalität und massenhaften Datenschutzverletzungen macht professionelle Tools zur Mediensanierung zu einem unvermeidlichen Bedürfnis für alle Unternehmen. Die sichere Entsorgung unerwünschter sensibler Daten ist ein Weg, um sicherzustellen, dass keine böswillige Quelle auf sie zugreifen kann, was zur Nichteinhaltung von Vorschriften führt.

Was this article helpful?