Das japanische Datenschutzgesetz – das Recht zum Schutz von persönlichen Daten

Abstract

Vom ersten, etwas „zahnlosen“ Datenschutzgesetz aus dem Jahr 2003 (in Kraft getreten 2005) bis zu der hier geschilderten Rechtslage im Jahr 2022 ist eine ganze Reihe von Jahren ins Land gegangen. Was weder für Japan noch hinsichtlich anderer Länder speziell erstaunt. Bedingt durch offenbar gewordene, dann vermehrt in den Medien angeprangerte akute Probleme im Umgang mit persönlichen Daten und eine darauf folgende lebhafte gesellschaftliche Diskussion kam schließlich Bewegung in die Gesetzgebung. Nicht unterschätzt werden darf dabei aber, dass stärker verbraucherschützende legislative Maßnahmen in wichtigen Handelspartnerländern Japans, insbesondere in der Form der europäischen DSGVO, verstärkend bzw. beschleunigend zu einer umfassenden Revision hin zu einem wirklich effektiven Datenschutzgesetz geführt haben.

Diese Abhandlung stellt in konzentrierter Form die wichtigsten Aspekte zum japanischen Datenschutzregime des neu aufgenommenen Kapitels „Datenschutz“ des Autors für die Neuauflage des „Handbuch Japanisches Handelsund Wirtschaftsrecht“ dar, das sich derzeit in der Endredaktion befindet. Aufgezeigt wird die Entwicklung von jenem ersten Datenschutzgesetz bis zu der inzwischen schon wieder in revidierter Form seit Mitte 2022 in Kraft befindlichen geltenden Fassung, mithin das hier so genannte GSpI 2020.

Japan hat sich bemüht, regelungsmäßig alles in einem einzigen Gesetzeswerk unterzubringen, was fast gelungen ist. Und was zumindest mit der geltenden Fassung dazu geführt hat, dass man Japan ein am internationalen Standard gemessen nun recht effektives Regime betreffend Datenschutz (i. S. v. Schutz persönlicher Daten) bescheinigen kann. Die genannte Einschränkung des „fast“ Gelingens bezieht sich auf die Tatsache, dass die absolute Mehrzahl der Detailvorschriften sich nicht im Gesetzestext selbst findet, sondern in einer relativ großen Zahl von umfangreichen und sehr technisch formulierten Leitlinien (guidelines).

Folgend auf eine Darstellung der Struktur des GSpI und Einzelhinweise zu den für die Praxis so wichtigen guidelines and anderen Verwaltungsanweisungen wird etwas detaillierter auf einige wichtige Begriffsbestimmungen von Datenkategorien eingegangen, wobei einige im Wortlaut in deutscher Übertragung angeboten werden. Daran schließen sich Ausführungen zu den „Verwendern“ von Daten auferlegten Pflichten einerseits und jenen den Datensubjekten eingeräumten Rechten andererseits an. Die Problematik und gesetzliche Erfassung von grenzüberschreitenden Datenversendungen und ein Kurzüberblick über die strafrechtliche Erfassung und Ahndung von Rechtsverletzungen folgen. Um eine Darstellung des Datenschutzregimes von Japan abzurunden, findet sich abschließend eine Schilderung der Struktur, Aufgaben und Kompetenzen der japanischen Datenschutzkommission einerseits und (mehreren) der im Weg eines „soft law approach“ eingerichteten, von der Datenschutzkommission akkreditierten und von dieser überwachten Datenschutzorganisationen des Privatsektors andererseits, denen als Quasi-Hilfsorgan für Verwender von Daten Pflichten auferlegt werden, die aber auch regulativ gegenüber ihren Mitgliedern tätig werden dürfen.