APPI – Act on the Protection of Personal Information (Japan)
Japans APPI schützt seit 2003 personenbezogene Daten, 2022 umfassend reformiert. Die PPC überwacht die Einhaltung mit extraterritorialer Wirkung.
Zusammenfassung
Der Act on the Protection of Personal Information (APPI) ist Japans umfassendes Datenschutzgesetz. Es wurde 2003 verabschiedet und ist seitdem mehrfach wesentlich novelliert worden. Die aktuelle Fassung nach der Reform von 2020 (in Kraft seit April 2022) gilt als eine der modernsten Datenschutzregelungen Asiens.
- Aufsichtsbehörde: Personal Information Protection Commission (PPC).
- Extraterritorialer Geltungsbereich: Gilt auch für ausländische Unternehmen, die personenbezogene Daten japanischer Nutzer verarbeiten.
- Besondere Kategorien: Sensible Informationen (rasse, Überzeugung, Gesundheit, Strafverfolgung) unterliegen verschärften Anforderungen.
- Datenpannenmeldung: Seit 2022 Pflichtmeldung an PPC und betroffene Personen.
Geschichte
Japan erließ 2003 den APPI als eine der ersten umfassenden Datenschutzgesetzgebungen in Asien. Das Gesetz trat 2005 vollständig in Kraft. In den Folgejahren wurde es als zu wenig flexibel und als nicht ausreichend mit internationalen Standards harmonisiert kritisiert.
Eine erste größere Reform erfolgte 2015 (in Kraft 2017) und schuf u.a. die PPC als unabhängige Aufsichtsbehörde. Gleichzeitig wurde die Pflicht zur anonymisierten Information (tokumei-ka-jōhō) eingeführt. Eine weitere umfassende Reform folgte 2020 (in Kraft April 2022): Sie führte Meldepflichten bei Datenpannen, den extraterritorialen Geltungsbereich, erweiterte Betroffenenrechte (Recht auf Nutzungseinschränkung, Portabilität) und verschärfte Sanktionen ein. Japan erhielt 2019 von der EU eine Angemessenheitsentscheidung, was den gegenseitigen Datenverkehr mit Europa erleichtert.
Die dritte Dreijahresprüfung des APPI begann 2024. Die PPC veröffentlichte im Juni 2024 eine Zwischenzusammenfassung und im Januar 2025 die "Next Steps", in denen geplante Reformen dargelegt werden: Einführung administrativer Geldbußen (kacho-kin), erweiterte Schutzrechte für biometrische Daten und Kinderdaten, Ausnahmen für KI-Trainingsdaten sowie vereinfachte Meldepflichten bei Datenpannen. Die Verabschiedung eines entsprechenden Reformgesetzes wird für 2025 erwartet, die Umsetzung für 2026–2027.
Geltungsbereich
Der APPI gilt für Unternehmen und Organisationen (private und öffentliche Stellen), die personenbezogene Daten für ihre Geschäftstätigkeiten nutzen. Seit der Reform 2020 gilt das Gesetz auch für ausländische Unternehmen, die personenbezogene Daten von in Japan befindlichen Personen verarbeiten. Ausgenommen sind u.a.:
- Natürliche Personen (für persönliche/haushaltliche Zwecke)
- Druckmedien/Journalismus
- Religiöse Organisationen (für religiöse Tätigkeiten)
- Politische Parteien (für politische Tätigkeiten)
- Akademische Forschungseinrichtungen (mit Einschränkungen)
Das Gesetz unterscheidet zwischen personenbezogenen Daten, besonders zu schützenden personenbezogenen Daten (sensiblen Daten) und anonymisierten Informationen.
Kernanforderungen
- Zweckspezifizierung: Verarbeitungszweck muss so präzise wie möglich angegeben werden.
- Zweckbegrenzung: Nutzung nur für den angegebenen Zweck; Änderung erfordert Information/Einwilligung.
- Datensicherheit: Angemessene Sicherheitsmaßnahmen zum Schutz der Daten.
- Offenlegungsbeschränkungen: Weitergabe an Dritte nur mit Einwilligung oder unter gesetzlichen Ausnahmen.
- Drittländertransfers: Nur in Länder mit angemessenem Schutzniveau oder unter vertraglich gesicherten Garantien.
- Auskunftsrecht: Betroffene können Offenlegung und Nutzungshistorie abfragen.
- Berichtigungsrecht: Korrektur falscher Daten.
- Einschränkungsrecht: Recht auf Nutzungseinschränkung bei rechtswidrigen Verarbeitungen.
- Datenpannenmeldung: Pflichtmeldung an PPC und betroffene Personen innerhalb gesetzlicher Fristen.
- Sensible Daten: Gesonderte Einwilligung für Erhebung und Nutzung besonders zu schützender Informationen.
- Sanktionen: Bußgelder bis zu 100 Mio. JPY für Unternehmen; 1.000.000 JPY für Einzelpersonen; strafrechtliche Sanktionen (Freiheitsstrafe bis zu 1 Jahr) möglich.
Verwandte Frameworks
Korrekturen & Errata
1 Korrektur:
- Falsche Hoechststrafe fuer Einzelpersonen (500.000 JPY statt 1.000.000 JPY)
3 Praezisierungen.