Dr. Andreas Kaiser
Rechtsanwalt
Kuroda Law Offices

Decoder von Tran, Zimo, D&H

Legal topics

Datenschutzrecht in Deutschland und Japan im Vergleich

Veröffentlicht von Dr. Andreas Kaiser am 13.03.2018

Deutsches Recht Japanisches Recht
Zweck
Zweck des BDSG und der DSGVO ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht bzw. in seinen grundlegenden Rechten und Freiheiten beeinträchtigt wird. Die DSGVO dient darüber hinaus auch dem freien Verkehr personenbezogener Daten. Schutz der Rechte und Interessen von Einzelpersonen durch Grundprinzipien für den korrekten Umgang mit personenbezogenen Daten unter angemessener Berücksichtigung der Nützlichkeit persönlicher Informationen für die Fortentwicklung von Technik und Gesellschaft in Japan.
Sachlicher Anwendungsbereich
Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen in Deutschland (BDSG). Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Gilt für die Verwendung persönlicher Informationen für Unternehmen. Das JDSG hat ein sehr weites und offenes Konzept der Datenverarbeitung.
Territorialer Anwendungsbereich
DSGV findet Anwendung bei Verarbeitung durch eine Niederlassung in der EU unabhängig vom Ort der Verarbeitung; auf Verarbeiter außerhalb der Union bei gezieltem Anbieten an Betroffene innerhalb der Union oder bei Profilerstellung von Betroffenen innerhalb der Union; und bei Verantwortlichen in Überseegebieten, die aufgrund völkerrechtlicher Bestimmungen zu einem Mitgliedstaat der EU gehören. Das JDSG enthält keine ausdrücklichen Bestimmungen zur Zuständigkeit und Territorialität.
Personenbezogene Daten
„Personenbezogene Daten“ sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), (BDSG). „Personenbezogene Daten“ nach der DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.   „Persönliche Informationen“ bezeichnet die folgenden zwei Kategorien von Informationen. 1. Informationen über eine lebende Person, die eine bestimmte Person anhand der in den Informationen enthaltenen Beschreibung identifizieren kann, wie Name, Geburtsdatum oder andere Beschreibung (einschließlich Sprach- oder Verhaltensinformationen), einschließlich Informationen, die leicht mit anderen Informationen kombiniert werden können um die Identifizierung dieser Person zu ermöglichen; und 2. Informationen, die persönliche Identifizierungscodes enthalten.                 "Persönliche Daten" werden separat definiert, um Informationen abzudecken, die in der Datenbank eines Geschäftsbetreibers gespeichert sind. Personenbezogene Daten sind als personenbezogene Daten definiert, die das Geschäft ausmachen.
Besondere Kategorien personenbezogener Daten
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist grundsätzlich untersagt. Zu dem Verbot gibt es zahlreiche Ausnahmen in der DSGVO und dem BDSG. Personenbezogene Daten, die besonderer Sorgfalt bedürfen ("sensible Daten") unterliegen Beschränkungen bezüglich deren Verarbeitbarkeit. Sensible Daten sind definiert als: Informationen bezogen auf Rasse, Religion, sozialer Status, medizinische Vorgeschichte, kriminelle Vorgeschichte und die Tatsache, dass dem Betroffenen Schaden durch ein Verbrechen verursacht wurde und Informationen die besondere Behandlung erfordern, um Ungleichbehandlung, Vorverurteilungen oder ähnliche Nachteile vom Betroffenen zu vermeiden.
Anonymisierte Daten
Die DSGV ist bei anonymisierten Daten grundsätzlich nicht anwendbar. Das BDSG enthält Regelungen zur Anonymisierung. Das JDSG definiert "anonym verarbeite Informationen" (tokumei-kakou-jouhou) und enthält hierzu besondere Regelungen.
Ausnahmeregelungen
Ausgenommen sind Verarbeitung persönlicher Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Ferner bestehen Ausnahmen bei Kleinstunternehmen sowie kleinen und mittleren Unternehmen. Vor der Änderung des JDSG waren Unternehmen, die bestimmte personenbezogene Daten von 5.000 oder weniger Personen erhoben, verwendet oder aufbewahrt hatten, von verschiedenen Regelungen des JDSG befreit. Das geänderte JDSG beseitigte die Schwelle von 5.000 Personen, was zu einem größeren Anwendungsbereich geführt hat.
Grundsätze der Datenverarbeitung
Grundsätze sind schlagwortartig „Rechtmäßigkeit”, „Verarbeitung nach Treu und Glauben, „Transparenz“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, „Speicherbegrenzung“ und „Integrität und Vertraulichkeit“. Ein Unternehmen, das personenbezogene Daten verarbeitet, darf mit personenbezogenen Daten nur dann umgehen, wenn dies zum Erreichen des Nutzungszwecks erforderlich ist, es sei denn, das Unternehmen hat zuvor die Einwilligung der betroffenen Personen eingeholt. Der Verwendungszweck muss den betroffenen Personen unverzüglich mitgeteilt werden oder öffentlich bekannt gegeben werden, sobald ein Unternehmensinhaber personenbezogene Daten erwirbt, es sei denn, der Verwendungszweck wurde bereits öffentlich bekannt. Ein Unternehmen, das persönliche Informationen verarbeitet, muss bestrebt sein, den Inhalt personenbezogener Daten im Rahmen des zur Erreichung des Verwendungszwecks erforderlichen Umfangs genau und aktuell zu halten.
Verantwortlicher
Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das JDSG verwendet den Begriff des „Unternehmensbetreiber“, der sich auf die für die ordnungsgemäße Verarbeitung aller personenbezogenen Daten verantwortliche Stelle bezieht.
Auftragsverarbeiter
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Für Verträge mit Auftragsdatenverabeitern galt bislang nach deutschem Recht die Schriftform. ADV-Verträge können künftig nach DSGV elektronisch erstellt werden. Es gibt kein Konzept eines „Auftragsverarbeiters“. Daher sollte die Verarbeitung personenbezogener Daten im Rahmen des JDSG darauf abzielen, wie ein „Unternehmensbetreiber“ die persönlichen Informationen oder persönlichen Daten, die sich in seinem Besitz befinden, zu behandeln und zu verwalten. Beim Outsourcing z.B. an Datenzentren trifft den Unternehmensbetreiber eine Überwachungspflicht, um die Sicherheitskontrolle der überlassenen Daten zu gewährleisten.
Datenschutzbeauftragter
Der Datenschutzbeauftragte soll über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügen. Er unterstützt den Verantwortlichen oder den Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen der DSGVO bzw. des BDSG.  Er ist vorgeschrieben in vielen Behörden und in privaten Unternehmen, wenn die Kerntätigkeit des Verantwortlichen oder Auftragsdatenverarbeiters in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit  in der umfangreichen Verarbeitung sensibler Daten oder von strafrechtlichen Daten liegt.  Kerntätigkeit eines Verantwortlichen bezieht sich auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Nach dem BDSG benennen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Das JDSG verlangt nicht ausdrücklich die Bestellung von Datenschutzbeauftragten.
Datenschutzbehörden
Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung der DSGVO zuständig sind. In Deutschland bestehen Aufsichtsbehörden des Bundes und der Länder.   Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI) https://www.bfdi.bund.de Das PPC ist eine zentralisierte Aufsichtsbehörde im Datenschutz. Das PPC kann bestimmte Befugnisse an bestimmte Regulierungsbehörden delegieren.   Personal Information Protection Commission (PPC)
http://www.ppc.go.jp/en/
Befugnisse der Datenschutzbehörden
Zu den Befugnissen nach der DSGVO zählen, insbesondere im Fall von Beschwerden natürlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungsbefugnisse und beratende Befugnisse, sowie – unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen. Dazu zählt auch die Befugnis eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Die Bundesbeauftragte für Datenschutz (BFDI) nimmt diese Befugnisse im Anwendungsbereich der DSGVO wahr. Die nach Landesrecht zuständigen Behörden überwachen im Anwendungsbereich der DSGVO bei den nichtöffentlichen Stellen die Anwendung der Vorschriften über den Datenschutz. Das PPC fragt normalerweise zuerst nach weiteren Informationen, gibt Hinweise zur ordnungsgemäßen Datenverarbeitung oder empfiehlt, dass ein Informationsbeauftragter den Verstoß abbricht und andere notwendige Maßnahmen ergreift, um den Verstoß zu korrigieren. Wenn der Informationsverarbeiter die empfohlenen Maßnahmen nicht ohne berechtigte Gründe ergreift, kann das PPC den Informationsverarbeiter anweisen, die empfohlenen Maßnahmen zu ergreifen.
Datenzugang und Datenberichtigung
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und gegebenenfalls Mitteilung von Enzelheiten. In bestimmten Fällen bestehen nach DSGVO Auskunftsverweigerungsrechte, die durch das BDSG noch erweitert werden. Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Die betroffene Person kann den Unternehmer auffordern, die aufbewahrten personenbezogenen Daten offenzulegen, zu korrigieren, hinzuzufügen oder zu löschen.
Rechenschaftspflicht des Verantwortlichen
Der Verantwortliche ist für die Einhaltung aller Grundsätze der DSGVO verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“). Die Rechenschaftspflicht liegt beim Unternehmer, der einem datenschutzrechtlich Verantwortlichen nach EU-Recht ähnelt.
Recht auf Datenübertragbarkeit (Portabilität)
Die betroffene Person ist berechtigt, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Es gibt kein Konzept der „Datenportabilität“ unter dem JDSG.
Recht auf Löschung (Recht auf Vergessenwerden)
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Betroffene Personen können von einem Verantwortlichen verlangen, ihre persönlichen Daten nicht mehr zu verwenden oder zu löschen, wenn diese personenbezogenen Daten ohne deren Einwilligung über den Verwendungszweck hinaus verwendet werden oder auf unlautere Weise erlangt wurden. Im Falle von veröffentlichten personenbezogenen Daten wird das Interesse auf Beseitigung der Störung nach Zivilgesetz mit dem öffentlichen Informationsinteresse abgewogen (OGH Urteil v. 31.1.2017 - Suchmaschinenergebnisse).
Datenschutzfolgenabschätzung
Damit die DSGVO in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, ist der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich. Informationsverantwortliche sind verpflichtet, die notwendigen und angemessenen Maßnahmen für die Sicherheit personenbezogener Daten zu ergreifen.
Joint-Control-Vereinbarungen
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß DSGVO erfüllt. Ausnahmen von der Regel zur vorherigen Zustimmung bei Datenübermittlung an Dritte bestehen bei bestimmten Datenverarbeitern, die personenbezogene Daten gemeinsam nutzen, sofern das Datensubjekt im Voraus darüber qualifiziert informiert wurde.
Ersatz von materiellen und immateriellen Schäden
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Betroffene Personen haben Anspruch auf Schadensersatz, einschließlich psychischer Belastung. Die Verletzung der Privatsphäre stellt eine unerlaubte Handlung dar (OGH Urteil v. 12.9.2003 - Universitätsstudenten).
Sanktionen
Bei Verstößen gegen Bestimmungen der DSGVO können je nach Schwere Geldbußen von bis zu 20.000.000 EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehms verhängt werden, und zwar je nachdem, welcher der Beträge höher ist. Strafrechtliche Sanktionen nach nationalem Recht sind ebenfalls möglich. Verstöße gegen das JDSG und / oder damit zusammenhängenden Richtlinien können zu zivilrechtlichen oder strafrechtlichen Sanktionen führen, die eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe von bis zu 500.000 JPY umfassen, wobei in letzterem Fall Bereicherungsabsicht erforderlich ist (Art.83 JDSG). 
Datenübermittlung ins Ausland
Übermittlung von Daten, deren Verarbeitung im Inland rechtmäßig ist, ins Ausland ist nur zulässig bei Vorliegen eines adäquaten Schutzniveaus von Drittländern aufgrund eines Angemessenheitsbeschlusses, oder sofern geeignete Garantien oder Standard-Datenschutzklauseln (EU-Satandardvertragsklauseln) vorhanden sind. Datenübermittlung ins Ausland innerhalb der Unternehmensgruppe ist zulässig, wenn verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules) von der zuständigen Aufsichtsbehörde genehmigt sind. Ausnahmen können bestehen, z.B, bei ausdrücklicher und informierter Einwilligung des Betroffenen, zur Erfüllung eines Vertrags, aus wichtigen Gründen des öffentlichen Interesses, zur Geltendmachung oder Ausübung oder Verteidigung von Rechtsansprüchen oder zur Wahrung lebenswichtiger Interessen des Betroffenen. Das JDSG sieht vor, dass personenbezogene Daten nur dann in ein anderes Land übertragen werden dürfen, wenn (1.) die betroffene Person ausdrücklich vorab der Übertragung der personenbezogenen Daten der betroffenen Person an die Einrichtung in einem anderen Land zugestimmt hat; (2.) das Land, in dem der Empfänger seinen Sitz hat, über ein Rechtssystem verfügt, das dem von der japanischen Datenschutzbehörde benannten japanischen System zum Schutz personenbezogener Daten gleichwertig ist; oder (3.) der Empfänger angemessene Vorkehrungen für den Schutz personenbezogener Daten, wie von der japanischen Datenschutzbehörde festgelegt trifft.

Zuletzt geändert am: 07.05.2018 um 19:06

Zurück zur Übersicht