Annahme des Angemessenheitsbeschlusses durch die EU für Japan
Der 23. Januar 2019 war ein wichtiger Tag für Datenschutzrechtler und -interessenten. Die Europäische Kommission (i. F. EU-Kommission) nahm den Angemessenheitsbeschluss bezüglich des japanischen Datenschutzniveaus gemäß Art. 45 Abs. 3 DS-GVO an. Zugleich statuierte die japanische Datenschutzbehörde, die Personal Information Protection Commission (i. F. PPC), dass das Datenschutzniveau der EU mit dem japanischen vergleichbar sei. Als Folge dieser Ereignisse wurde eine wechselseitige und freie Datenübermittlung zwischen dem Europäischen Wirtschaftsraum (i. F. EWR) und Japan unter Einhaltung eines hohen Datenschutzniveaus möglich. Vor der eingehenden Thematisierung einer sich abzeichnenden Globalisierung des Datenschutzes beschäftigt sich dieser Beitrag mit der Frage, was die Annahme des Angemessenheitsbeschlusses durch die EU für Japan bedeutet und wie die Datenübermittlung zwischen der EU und Japan stattfindet.
I. Bedeutung der gegenseitigen Anerkennung eines gleichwertigen Datenschutzniveaus zwischen der EU und Japan
1. Vorbild für zukünftige Angemessenheitsbeschlüsse
Der Prozess der bilateralen Anerkennung eines gleichwertigen Datenschutzniveaus zwischen der EU und Japan kann als ein erfolgreiches Beispiel für zukünftige Angemessenheitsbeschlüsse für Drittländer gesehen werden. Die EU-Kommission erkannte zum ersten Mal seit Entstehen der Norm das Datenschutzniveau eines Drittlandes als in den Grundzügen gleichwertig zu den Maßgaben der DS-GVO an. Die EU-Kommission und Japan führten nach der Mitteilung der EU-Kommission am 10. Januar 2017 im Rahmen eines Meinungsaustauschs mehrfach tiefgehende Gespräche. Darüber hinaus besuchten die Kommissarin, der Kommissar, sowie Mitarbeiter und Mitarbeiterinnen der PPC die Datenschutzbehörden in den 16 EU-Mitgliedstaaten, während die Delegation des Europäischen Parlaments (i. F. EU-Parlament) im Ausgleich nach Tokio kam. Die EU und Japan bemühen sich um das gegenseitige Verständnis im Hinblick auf das jeweilige Datenschutzrecht. An diesem Vorgehen könnten sich auch andere Länder orientieren, um dem Ziel eines Angemessenheitsbeschlusses näher zu kommen.
2. Ein Schritt zum internationalen Datenschutzstandard der DS-GVO
Die DS-GVO wird mittels des Angemessenheitsbeschlusses ein mittelbar geltender internationaler Datenschutzstandard. Die gegenseitige Anerkennung des gleichwertigen Datenschutzniveaus zwischen der EU und Japan fungierte folglich als ein Schritt in Richtung der globalen Verbreitung des europäischen Datenschutzstandards. Das Drittland hat zur Datenübermittlung auf der Grundlage eines Angemessenheitsabschlusses ein angemessenes Schutzniveau i. S. d. Art. 45 Abs. 1 S. 1 DS-GVO zu schaffen. Dazu muss es keine mit den EU-Regelungen identischen Datenschutzvorschriften vorsehen, sondern ein der Sache nach gleichwertiges Schutzniveau gewährleisten, um angemessene Schutzstandards zu garantieren. Art. 45 Abs. 2 Buchst. a bis c DS-GVO benennt die konkreten Prüfungspunkte, die bei der Entscheidung über die Gewährung eines Angemessenheitsbeschlusses relevant werden. Aufgrund dieser Vorgaben sind Drittländer wie Japan an den strengen Maßstab des europäischen Datenschutzrechts gebunden.
Der im September 2015 reformierte Act on the Protection of Personal Information (i. F. APPI) ist seit dem 30.05.2017 in Kraft. Er wurde modernisiert und zielt auf die internationale datenschutzrechtliche Harmonisierung ab. Im Zuge dessen kann z.B. auch biometrisches oder genetisches Material als personenbezogene Information i. S. d. Art. 2 Abs. 1 APPI eingeordnet werden (Art. 2 Abs. 2 Nr. 1 APPI). Konkretisiert werden die Anforderungen an die Verarbeitung sensibler Daten (personenbezogene Informationen, die einer besonderen Sorgfalt bedürfen) i. S. d. Art. 2 Abs. 3 APPI (z.B. Art. 17 Abs. 2 APPI) und anonymisierter Daten (anonym verarbeitete personenbezogene Informationen) i. S. d. Art. 2 Abs. 9 APPI (Art. 36 ff. APPI). Zudem wurde – entsprechend der Vorgaben aus Art. 45 Abs. 2 DS-GVO – die Datenübermittlung an Dritte im Ausland normiert (Art. 24 S. 1 APPI) und die unabhängige Datenschutzbehörde PPC eingerichtet (Art. 40 ff. und Art. 59 ff. APPI).
Obwohl der modernisierte APPI bereits einige Ähnlichkeiten mit der DS-GVO aufweist, lassen sich immer noch erhebliche Unterschiede zwischen den beiden Regelwerken ausmachen. Die PPC schuf infolgedessen ergänzende Vorschriften, die als zusätzliche Garantie eines Anpassungsbestrebens wirken sollen und vor allem auf die Verarbeitung von personenbezogenen Daten, die aus dem EWR nach Japan übermittelt werden, Anwendung finden. Der japanische Datenverarbeitende (personenbezogene Information handhabender Unternehmer) i. S. d. Art. 2 Abs. 5 APPI ist bei der Verarbeitung personenbezogener Daten aus dem EWR zur Einhaltung dieser ergänzenden Vorschriften verpflichtet.
3. Wirtschaftlicher Aspekt
Man muss die Datenübermittlung zwischen dem EWR und Japan im Zusammenhang mit dem Wirtschaftspartnerschaftsabkommen betrachten, welches seit dem 1. Februar 2019 in Kraft ist. Die EU-Kommission erklärte schon 2015 in ihrem Vorschlag zum „Handel für alle“, dass das Freihandelsabkommen und das Abkommen über den Handel mit Dienstleistungen (TiSA) durch Regeln für den elektronischen Geschäftsverkehr und den grenzüberschreitenden Datenverkehr ergänzt werden soll und die EU gegen neue Formen des digitalen Protektionismus vorgehen wird. Davon bleiben die bestehenden Datenschutzregelungen unberührt.
Die datenschutzrelevante Zusammenarbeit zwischen der EU und Japan findet in verschiedenen Bereichen statt. So stellt beispielsweise Art. 8.63 des Wirtschaftspartnerschaftsabkommens auf den Datentransfer und den Schutz personenbezogener Daten im Finanzdienstleistungssektor ab. Im Lichte des Verbraucherschutzes beschäftigen sich die EU und Japan mit dem Schutz personenbezogener Daten von Nutzern des elektronischen Geschäftsverkehrs gemäß Art. 8.78 Abs. 3 des Wirtschaftspartnerschaftsabkommens.
4. Wege zur Datenübermittlung aus dem EWR nach China
In Anbetracht der vorangegangenen Darstellungen stellt sich im Umkehrschluss die Frage, warum die EU bislang noch in keine konkreten Verhandlungen mit China über den gemeinsamen Datenschutz getreten ist. China spielt für die EU als Handelspartner eine sehr große Rolle. In der Zukunft wird der Datenschutz im Handelsverkehr mit China für die europäischen Bürgerinnen und Bürger daher sicherlich relevant.
In den letzten Jahren konnte man die Entwicklung eines chinesischen Datenschutzrechts beobachten. Von Bedeutung ist hier insbesondere der sog. Nationalstandard „Information security technology – Personal information security specification“ (i. F. Nationalstandard), der seit dem 1. Mai 2018 Geltung besitzt. Er besteht aus einer Präambel, einem Vorwort, 54 Artikeln, vier Anhängen sowie einem von fremden Datenschutzregelungen geprägtem Literaturverzeichnis. Er hat keine rechtliche Verbindlichkeit, sondern wird als orientierungsstiftende Richtlinie angesehen. Er zielt auf die sichere und angemessene Behandlung der personal information i. S. d. Art. 3.1 Nationalstandard sowie einer durch Datenschutz erreichten Verbesserung des gesellschaftlichen Wohlergehens (general welfare) ab und findet gemäß Art. 1 S. 2 Nationalstandard sowohl im öffentlichen Sektor als auch Privatsektor Anwendung.
Der Nationalstandard verwendet dem EU-Recht vergleichbare Begriffe für personenbezogene (Art. 3.1 Nationalstandard) und sensible Daten (Art. 3.2 Nationalstandard). Art. 4 Buchst. a bis g Nationalstandard regelt Grundsätze für die Sicherheit der personal information. Sie sind mit den Grundsätzen aus den basic principles of national application im Guidelines governing the protection of privacy and transborder flows of personal data von OECD vergleichbar. Gemäß Art. 5.3 Buchst. a und Art. 4 Buchst. c Nationalstandard muss der personal data controller i. S. d. Art. 3.4 Nationalstandard i. d. R. eine Einwilligung vom personal data subject i. S. d. Art. 3.3 Nationalstandard einholen, bevor er die personal information erhebt bzw. verwendet. Aufgrund der mehrfachen Zitation von Dokumenten der EU, den USA, dem OECD und APEC im Nationalstandard kann man annehmen, dass China scheinbar ein grundsätzliches Interesse an einer datenschutzrechtlichen Harmonisierung besitzt.
Allerdings erschwert der Unterschied der Rechtskulturen die potentielle Ausstellung eines Angemessenheitsbeschlusses für China. Hervorzuheben ist vor allem, dass die in Art. 45 Abs. 2 a DS-GVO geforderte Achtung und Gewährleistung der Menschenrechte und der Grundfreiheiten hinter dem europäischen Standard zurückbleiben. Darüber hinaus bedroht die staatliche Zensur Chinas die freie Nutzung des Internets durch die Bürgerinnen und Bürger. Diese Punkte widersprechen den Grundprinzipien des europäischen Datenschutzrechts.
Das EU-Parlament besitzt dennoch keine grundsätzlich ablehnende Einstellung in Bezug auf die Datenübermittlung aus dem EWR nach China. Eine Untersagung von Datenübertragungen zwischen der EU und China sei nicht praktikabel. Die Entwicklung des Cloud-Computing und die daraus entstehende Datenübermittlung wirkten als überzeugende technische Argumente und stützten damit diese Ansicht. Vor diesem Hintergrund versucht die EU, die sichere Datenübermittlung über ein bilaterales Abkommen zwischen der EU und China sowie über ein sog. Privacy Shield mit den USA zu ermöglichen. Das EU-Parlament entsendete daher bereits eine Delegation aus dem Ausschuss „Bürgerliche Freiheiten, Justiz und Inneres (LIBE)“ nach China. Im Umkehrschluss wurde dem EU-Parlament eine Anfrage hinsichtlich der Übermittlung personenbezogener Daten vom EWR nach China vorgelegt. Aktuell finden zudem entsprechende Verhandlungen zwischen der EU und China statt.
II. Datenübermittlung von Japan in den EWR
1. Begriff der Übermittlung
In Japan liegt eine Übermittlung i. S. d. Art. 23 Abs. 1 APPI dann vor, wenn der Datenverarbeitende nicht nur sich selbst, sondern auch dem anderen Datenverarbeitenden personenbezogene Daten i. S. d. Art. 2 Abs. 6 APPI oder gespeicherte personenbezogene Daten i. S. d. Art. 2 Abs. 7 APPI zur Verfügung stellt. Es muss keine körperliche Übermittlung stattfinden, eine Distribution personenbezogener Daten über ein digitales Netzwerk reicht aus. Ein Datenaustausch zwischen den unterschiedlichen Abteilungen derselben juristischen Person wird jedoch nicht als Datenübermittlung i. S. d. Art. 23 Abs. 1 APPI angesehen.
2. Einwilligung
Wegen des Angemessenheitsbeschlusses werden die Voraussetzungen an die Einholung einer Einwilligung von der betroffenen Person abgemildert. Der Datenverarbeitende muss gemäß Art. 24 S. 1 APPI eine Einwilligung bezüglich der Datenübermittlung an den Dritten im Ausland einholen. Da die PPC das Datenschutzniveau der EU anerkannte, reicht schon die Einwilligung in die Datenübermittlung an den Dritten ebenso wie die inländische Datenübermittlung gemäß Art. 23 Abs. 1 APPI.
3. Entfallen einer Einholung der Einwilligung von der betroffenen Person
Art. 23 Abs. 1 Nr. 1 bis 4 APPI regelt das Entfallen einer Einwilligung von Seiten der betroffenen Person. So können bestimmte grenzüberschreitende Datenübermittlungen ausnahmsweise ohne Einwilligung erfolgen. Dies ist z. B. dann der Fall, wenn eine gesetzliche Gestattung angeordnet ist oder die Einholung einer Einwilligung mit erheblichen Schwierigkeiten, etwa bei Lebensgefahr, verbunden ist oder aufgrund des vorrangigen Schutzes von Körper und Vermögen unzumutbar wird.
4. Empfänger als Nichtdritter
Falls die Tochtergesellschaft in Japan und die Muttergesellschaft in Deutschland personenbezogene Daten, wie Kunden- oder Arbeitnehmerdaten, unter dem festgelegten Verwendungszweck gemeinsam nutzen wollen, wird die Muttergesellschaft gemäß Art. 23 Abs. 5 Nr. 3 APPI nicht als Dritte eingestuft. Die Datenübermittlung von Japan in den EWR kann dann ohne Einwilligung erfolgen. In diesem Fall muss die Tochtergesellschaft jedoch der betroffenen Person bekannt machen, welche Datenkategorien betroffen sind, mit wem und zu welchem Zweck diese genutzt werden und wer für die Datenverarbeitung verantwortlich ist.
5. Aufzeichnungspflicht bei der Datenübermittlung
Der Datenverarbeitende als Veräußerer muss gemäß Art. 25 Abs. 1 S. 1 APPI die Übermittlung personenbezogener Daten aufzeichnen, es sei denn, die Übermittlung fällt unter eine der Ausnahmen des Gesetzes. Die Aufzeichnung kann schriftlich, elektronisch oder auf Mikrofilm erfolgen. Der Datenverarbeitende ist zur Verwahrung der Aufzeichnung verpflichtet.
III. Verarbeitung personenbezogener Daten vom EWR in Japan nach den ergänzenden Vorschriften
1. Sensible Daten
Anders als Art. 9 Abs. 1 DS-GVO definiert das APPI bestimmte Kategorien sensibler Daten, darunter nicht die Gewerkschaftszugehörigkeit oder Daten zum Sexualleben. Die erste ergänzende Vorschrift stuft diese Informationen jedoch als sensibel ein, sodass sie entsprechend den strengeren Vorgaben behandelt werden müssen.
2. Gespeicherte personenbezogene Daten
Gespeicherte personenbezogene Daten im Sinne des APPI umfassen Daten, die länger als sechs Monate aufbewahrt werden. Durch die ergänzenden Vorschriften werden alle aus dem EWR übermittelten personenbezogenen Daten als gespeicherte Daten behandelt, unabhängig von der Aufbewahrungsdauer. EU-Bürger können somit ihre Rechte gemäß der DS-GVO auch in Japan geltend machen.
3. Verwendungszweck personenbezogener Daten
Der Verwendungszweck personenbezogener Daten muss festgelegt und die Nutzung auf das notwendige Maß beschränkt werden, sofern keine erweiterte Einwilligung vorliegt. Dies entspricht dem Grundsatz der Datenminimierung gemäß Art. 5 DS-GVO.
4. Weitergabe personenbezogener Daten aus Japan ins Ausland
Bei der Weitergabe aus dem EWR übermittelter Daten aus Japan in Drittländer außerhalb des EWR greift ebenfalls Art. 24 APPI, was eine Einwilligung der betroffenen Person erfordert.
5. Anonymisierte Daten
Der Anonymisierungsprozess für aus dem EWR übermittelte Daten wird verschärft. Nach der Anonymisierung müssen sämtliche identifizierenden Informationen und Anonymisierungsdaten vernichtet werden, um die betroffene Person endgültig unkenntlich zu machen.
IV. Ausblick
Japan plant, im Rahmen der internationalen Digitalpolitik, einen freien, vertrauensvollen Datenfluss (Data Free Flow with Trust – D.F.F.T.) zu fördern, wie Premierminister Shinzō Abe beim Weltwirtschaftsforum in Davos und dem G20-Gipfel in Osaka hervorhob. Der Schutz personenbezogener Daten soll mit der grenzüberschreitenden Nutzung anonymisierter Daten in Bereichen wie Medizin und Verkehr in Einklang gebracht werden.