EUROPÄISCHE KOMMISSION

Brüssel, den 3.4.2023

COM(2023) 275 final

BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT

über die erste Überprüfung der Funktionsweise des Angemessenheitsbeschlusses in Bezug auf Japan

{SWD(2023) 75 final}

BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT

über die erste Überprüfung der Funktionsweise des Angemessenheitsbeschlusses in Bezug auf Japan

1.ERSTE ÜBERPRÜFUNG – HINTERGRUND, VORBEREITUNG UND VORGEHENSWEISE

Am 23. Januar 2019 hat die Europäische Kommission einen Beschluss nach Artikel 45 der Verordnung (EU) 2016/679 (DSGVO) 1 angenommen, in dem sie feststellte, dass Japan ein angemessenes Schutzniveau für personenbezogene Daten bietet, die aus der Europäischen Union an personenbezogene Informationen handhabende Unternehmen 2 in Japan übermittelt werden. 3 Daraus folgt, dass Datenübermittlungen aus der EU an private Unternehmen in Japan ohne zusätzliche Anforderungen erfolgen können. 4

Der Angemessenheitsbeschluss der Kommission gilt für das japanische Gesetz über den Schutz personenbezogener Informationen (Act on the Protection of Personal Information, im Folgenden „APPI“), ergänzt durch Ergänzende Vorschriften, die eingeführt wurden, um bestimmte relevante Abweichungen zwischen dem APPI und der DSGVO zu überbrücken. 5 Diese zusätzlichen Garantien stärken beispielsweise den Schutz sensibler Daten (durch Erweiterung der Kategorien personenbezogener Daten, die als sensible Daten gelten), die Ausübung individueller Rechte (durch Klarstellung, dass die individuellen Rechte auch in Bezug auf personenbezogene Daten ausgeübt werden können, die für einen Zeitraum von weniger als sechs Monaten gespeichert werden, was ursprünglich im APPI nicht der Fall war) 6 und die Bedingungen für die Weiterübermittlung von aus der EU stammenden Daten an Drittländer außerhalb Japans 7 . Die Ergänzenden Vorschriften sind für japanische Unternehmer verbindlich und können von der unabhängigen Datenschutzbehörde – der Kommission für den Schutz personenbezogener Informationen (Personal Information Protection Commission, im Folgenden „PPC“) – oder direkt von Einzelpersonen aus der EU vor japanischen Gerichten durchgesetzt werden. 8

Darüber hinaus hat die japanische Regierung der Kommission offizielle Erklärungen, Zusicherungen und Verpflichtungen in Bezug auf die Beschränkungen und Garantien betreffend den Zugriff auf personenbezogene Daten und deren Nutzung durch die japanischen Behörden für die Zwecke der Strafverfolgung und der nationalen Sicherheit vorgelegt und klargestellt, dass eine solche Verarbeitung auf das notwendige und angemessene Maß beschränkt ist und einer unabhängigen Aufsicht sowie wirksamen Rechtsbehelfsverfahren unterliegt. 9  Zu den betreffenden Rechtsbehelfsverfahren gehört ein spezifisches Streitschlichtungsverfahren, das von der PPC verwaltet und überwacht wird und für EU-Bürger eingerichtet wurde, deren personenbezogene Daten im Rahmen des Angemessenheitsbeschlusses übermittelt werden. 10

Zum Zeitpunkt der Annahme des Angemessenheitsbeschlusses der Kommission erließ Japan einen gleichwertigen Beschluss für Datenübermittlungen in die EU, wodurch der weltweit größte Raum für freien Datenverkehr mit hohem Schutzniveau geschaffen wurde. 11 Diese gegenseitigen Angemessenheitsbeschlüsse ergänzen und verstärken die Vorteile des Wirtschaftspartnerschaftsabkommens (WPA) zwischen der EU und Japan, das im Februar 2019 in Kraft trat 12 , und des Abkommens über eine strategische Partnerschaft (Strategic Partnership Agreement, im Folgenden „SPA“) 13 , das parallel zum WPA ausgehandelt wurde. Unternehmen auf beiden Seiten profitieren von der Synergie zwischen den Angemessenheitsbeschlüssen und dem WPA, da die Möglichkeit des freien Datenverkehrs zwischen der EU und Japan den Handel weiter erleichtert und durch den privilegierten Zugang zu den Märkten der jeweils anderen Seite beträchtliche Geschäftsmöglichkeiten eröffnet. Sie stellt auch einen wichtigen Präzedenzfall dar, indem sie deutlich macht, dass im digitalen Zeitalter die Förderung eines hohen Datenschutzniveaus und die Erleichterung des internationalen Handels Hand in Hand gehen können und müssen.

Seit Annahme der Angemessenheitsbeschlüsse haben die EU und Japan als gleich gesinnte Partner ihre Zusammenarbeit in digitalen Fragen im Allgemeinen und in Bezug auf den Datenverkehr im Besonderen weiter intensiviert. Auf bilateraler Ebene spiegelt sich dies insbesondere im Abschluss der digitalen Partnerschaft im Mai 2022 14 und in der Aufnahme von Verhandlungen über die Aufnahme von Disziplinen zu grenzüberschreitenden Datenströme in das WPA 15 im Oktober 2022 wider. Dadurch wird die Synergie mit der gegenseitigen Angemessenheitsvereinbarung weiter verstärkt. Auf multilateraler Ebene haben sich die EU und Japan gemeinsam für die Förderung, Stärkung und Umsetzung des vom verstorbenen Premierminister Shinzo Abe eingeführten Konzepts des „vertrauensvollen und freien Datenverkehrs“ eingesetzt, unter anderem durch eine enge Zusammenarbeit im Rahmen der G7, der Welthandelsorganisation (im Rahmen der auf einer gemeinsamen Erklärung beruhenden Initiative zum elektronischen Geschäftsverkehr) und der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Im Rahmen der OECD hat insbesondere die intensive Zusammenarbeit zwischen der EU und Japan in diesen Fragen dazu beigetragen, dass erstmals auf internationaler Ebene gemeinsame Grundsätze für den Zugang von Behörden zu personenbezogenen Daten im Besitz des Privatsektors verabschiedet wurden. 16 Diese verschiedenen Arbeitsfelder beruhten in mehr oder weniger starkem Maße auf den gemeinsamen Werten und Anforderungen, die der gegenseitigen Angemessenheitsvereinbarung zwischen der EU und Japan zugrunde liegen.

Zur laufenden Überprüfung, ob die im Angemessenheitsbeschluss getroffenen Feststellungen nach wie vor sachlich und rechtlich gerechtfertigt sind, ist die Kommission verpflichtet, eine regelmäßige Überprüfung durchzuführen und dem Europäischen Parlament und dem Rat über die Ergebnisse Bericht zu erstatten. 17 Mit dem vorliegenden Bericht, der sich auf alle Aspekte der Funktionsweise des Beschlusses erstreckt, wird die erste regelmäßige Überprüfung abgeschlossen. Auf japanischer Seite nahmen Vertreter der PPC, des Ministeriums für innere Angelegenheiten und Kommunikation, des Justizministeriums, des Verteidigungsministeriums sowie der staatlichen Polizeibehörde an der Überprüfung teil. Der EU-Delegation gehörten neben Mitgliedern der Europäischen Kommission drei vom Europäischen Datenschutzausschuss (EDSA) benannte Vertreter an.

Am 26. Oktober 2021 hielten die beiden Delegationen eine Überprüfungstagung ab, die durch einen wiederholten Schriftwechsel sowohl vor als auch nach der Tagung ergänzt wurde. Insbesondere im Zuge der Vorbereitung auf die Überprüfung holte die Kommission von den japanischen Behörden Informationen über die Funktionsweise des Beschlusses und vor allem über die Umsetzung der Ergänzenden Vorschriften ein. Die Kommission zog auch Informationen aus öffentlichen Quellen und von lokalen Sachverständigen über die Funktionsweise des Beschlusses und über die einschlägigen Entwicklungen in der japanischen Gesetzgebung und Praxis heran, sowohl in Bezug auf die Datenschutzvorschriften für private Unternehmen als auch in Bezug auf den staatlichen Zugriff. Im Anschluss an die Überprüfungstagung tauschten sich die Kommission und die PPC wiederholt aus, um die auf der Tagung erörterten Punkte weiterzuverfolgen und insbesondere die Fragen zu behandeln, die durch die Einführung von Vorschriften über pseudonymisierte personenbezogene Informationen in das APPI aufgeworfen wurden.

2.WICHTIGSTE ERGEBNISSE

Ausführliche Feststellungen zur Funktionsweise aller Aspekte des Angemessenheitsbeschlusses sind in der Arbeitsunterlage der Kommissionsdienststellen (SWD(2023) 75) dargelegt, die diesem Bericht beigefügt ist.

Die erste Überprüfung hat insbesondere gezeigt, dass seit der Annahme der gegenseitigen Angemessenheitsbeschlüsse eine weitere Annäherung der Datenschutzrahmen der EU und Japans stattgefunden hat. Das APPI wurde zweimal geändert: am 5. Juni 2020 durch das Gesetz zur Änderung des Gesetzes über den Schutz personenbezogener Informationen von 2020 (APPI-Änderung 2020), das am 1. April 2022 in Kraft trat, 18 und am 12. Mai 2021 durch das Gesetz über die Vereinbarung zusammenhängender Rechtsakte für die Gründung einer digitalen Gesellschaft (APPI-Änderung 2021) 19 . Die Ergänzenden Vorschriften wurden in Abstimmung mit der Kommission angepasst, um diesen Änderungen Rechnung zu tragen.

Infolge dieser Änderungen haben sich die Verfahren der EU und Japans noch weiter angenähert, insbesondere durch die Verschärfung der Datenschutzpflichten (Einführung einer Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten), die Stärkung der Rechte betroffener Personen (insbesondere Auskunfts- und Widerspruchsrecht) und die Verstärkung des Schutzes bei Datenübermittlungen (zusätzliche Informations- und Überwachungsanforderungen, einschließlich Informationen über mögliche Risiken im Zusammenhang mit dem behördlichen Zugriff im Bestimmungsland). In diesem Zusammenhang ist insbesondere darauf hinzuweisen, dass einige der zusätzlichen Garantien, die in den Ergänzenden Vorschriften für personenbezogene Daten aus der EU vorgesehen sind, d. h. in Bezug auf die Vorratsspeicherung von Daten und die Bedingungen für die Einwilligung in Kenntnis der Sachlage bei grenzüberschreitenden Übermittlungen, in das APPI aufgenommen wurden, wodurch diese Garantien gegebenenfalls allgemein für alle personenbezogenen Daten unabhängig von ihrer Herkunft oder dem Ort ihrer Erhebung gelten. 20

Eine weitere wichtige Entwicklung, die die Kommission begrüßt, ist die Umwandlung des APPI in einen umfassenden Rechtsrahmen für den Datenschutz, der sowohl den privaten als auch den öffentlichen Sektor abdeckt und der ausschließlichen Aufsicht der PPC unterliegt. 21 Diese weitere Stärkung des japanischen Datenschutzrahmens und der Befugnisse der PPC ebnet potenziell den Weg für eine Ausweitung des Angemessenheitsbeschlusses über den Handelsverkehr hinaus auf Datenübermittlungen, die derzeit vom Anwendungsbereich des Beschlusses ausgenommen sind, etwa die Zusammenarbeit in Regulierungsfragen und die Forschung.

Besonderes Augenmerk wurde bei der ersten Überprüfung auch auf die neuen Bestimmungen zur Erstellung und Nutzung „pseudonymisierter personenbezogener Informationen“ gelegt, die mit der APPI-Änderung von 2020 eingeführt wurden. 22 Diese neuen Bestimmungen zielen im Wesentlichen darauf ab, die (interne) Nutzung personenbezogener Daten durch Unternehmen zu erleichtern, die personenbezogene Daten hauptsächlich für statistische Zwecke verarbeiten (z. B. zur Ermittlung von Trends und Mustern im Hinblick auf weitere Tätigkeiten, einschließlich Forschung). Die Überprüfungstagung und der daran anschließende Austausch zwischen der Kommission und der PPC ermöglichten es, die Auslegung und Anwendung dieser neuen Bestimmungen zu klären. Als Ergebnis dieser Beratungen wurden die Ergänzenden Regelungen am 15. März 2023 in zweifacher Hinsicht geändert, um die beabsichtigte Anwendung dieser neuen Bestimmungen besser widerzuspiegeln und damit Rechtssicherheit und Transparenz zu gewährleisten. 23 Erstens ist in den Ergänzenden Vorschriften festgelegt, dass solche Informationen nur für statistische Zwecke – d. h. zur Verarbeitung für statistische Erhebungen oder zur Erstellung statistischer Ergebnisse – zur Erstellung aggregierter Daten genutzt werden dürfen und dass die Ergebnisse der Verarbeitung nicht zur Unterstützung von Maßnahmen oder Entscheidungen genutzt werden, die eine bestimmte Person betreffen. Zweitens wird klargestellt, dass pseudonymisierte personenbezogene Informationen, die ursprünglich von der EU übermittelt wurden, im Rahmen des APPI jedenfalls als „personenbezogene Informationen“ zu betrachten sind, damit der ununterbrochene Schutz von Daten, die gemäß der DSGVO als personenbezogene Daten gelten, im Falle einer Übermittlung im Rahmen des Angemessenheitsbeschlusses gewährleistet bleibt. 24

In Bezug auf die praktische Umsetzung der Datenschutzgarantien begrüßt die Kommission die verschiedenen Schritte der PPC. Dazu gehört auch die Annahme aktualisierter Leitlinien, unter anderem für internationale Datenübermittlungen. Die Kommission stellt fest, dass eine Präzisierung dieser Leitlinien dafür sorgen könnte, dass auch den spezifischen Anforderungen Rechnung getragen wird, die nach den Ergänzenden Vorschriften für die Weiterübermittlung von aus der Union erhaltenen personenbezogener Daten aus Japan gelten, einschließlich – entsprechend der Ergänzenden Vorschrift 4 und wie im Angemessenheitsbeschluss erläutert 25 – des Ausschlusses von Weiterübermittlungen auf der Grundlage des Systems grenzüberschreitender Vorschriften zur Wahrung der Privatsphäre (Cross Border Privacy Rules, im Folgenden „CBPR“) der APEC. Obwohl die PPC erklärt hat, dass PIHBO für die Weiterübermittlung von Daten, die sie ursprünglich aus der EU erhalten haben, „einen Vertrag abschließen, der den Empfänger an Maßnahmen bindet, mit denen die Kontinuität des Schutzes gewährleistet wird“, gibt die PPC derzeit keine Leitlinien für den empfohlenen Inhalt (in Bezug auf Garantien) von „gleichwertigen Maßnahmen“ für internationale Datenübermittlungen vor, sei es in Form von Orientierungsdaten oder Musterdatenschutzverträgen. Diese weiteren Klarstellungen, die sich insbesondere auf den Austausch von Informationen und bewährten Verfahren zwischen der PPC und der Kommission stützen könnten, sind potenziell besonders nützlich, da sie Aspekte betreffen, die für Unternehmen, die in beiden Rechtsordnungen tätig sind, von besonderer Bedeutung sind.

In Bezug auf Aufsicht und Durchsetzung stellt die Kommission fest, dass die PPC in der Zeit nach Erlass des Angemessenheitsbeschlusses mehr von ihren nicht zwingenden Orientierungs- und Beratungsbefugnissen (Artikel 147 APPI) als von ihren Zwangsbefugnissen (z. B. Erteilung verbindlicher Anordnungen, Artikel 148 APPI) Gebrauch gemacht hat. Die PPC berichtete ferner, dass bislang keine Beschwerden in Bezug auf die Einhaltung der Ergänzenden Vorschriften eingegangen sind und dass auf eigene Initiative keine Untersuchungen zu solchen Fragen durchgeführt wurden. Bei der Überprüfungstagung kündigte die PPC jedoch an, von sich aus Stichprobenkontrollen durchzuführen, um die Einhaltung der Ergänzenden Vorschriften sicherzustellen. Die Kommission begrüßt diese Ankündigung, da sie der Auffassung ist, dass solche Stichprobenkontrollen sehr wichtig wären, um sicherzustellen, dass (mögliche) Verstöße gegen die Ergänzenden Vorschriften verhindert, aufgedeckt und angegangen werden und damit die wirksame Einhaltung dieser Vorschriften gewährleistet wird. Da durch die Änderungen des APPI in den Jahren 2020 und 2021 die Aufsichtsbefugnisse der PPC gestärkt wurden, könnten diese Stichprobenkontrollen Teil der allgemeinen Bemühungen sein, die Ausübung dieser Befugnisse zu stärken.

Schließlich begrüßt die Kommission nachdrücklich die Einrichtung spezieller Kontaktstellen, an die sich EU-Bürger bei Fragen oder Bedenken hinsichtlich der Verarbeitung ihrer personenbezogenen Daten in Japan – sei es durch Unternehmer („Inquiry Line“) oder durch Behörden („Complaint Mediation Line“) – wenden können. Gleichzeitig weist sie darauf hin, dass die Website der „Inquiry Line“ nur in japanischer Sprache verfügbar ist, was EU-Bürger davon abhalten könnte, dieses Instrument in Anspruch zu nehmen. Laut Angaben der PPC ist jedoch eine Unterstützung in englischer Sprache grundsätzlich ebenfalls verfügbar. Die Kommission geht davon aus, dass die PPC prüfen wird, wie die Zugänglichkeit solcher Kontaktstellen für die Europäer erleichtert werden kann, unter anderem durch die Klärung dieses Punktes.

3.SCHLUSSFOLGERUNG

Auf der Grundlage der allgemeinen Feststellungen, die im Rahmen dieser ersten Überprüfung getroffen werden konnten, kommt die Kommission zu dem Schluss, dass Japan weiterhin ein angemessenes Schutzniveau für personenbezogene Daten bietet, die aus der Europäischen Union an personenbezogene Informationen handhabende Unternehmer in Japan übermittelt werden, die dem APPI, ergänzt durch die Ergänzenden Vorschriften und in Verbindung mit den offiziellen Erklärungen, Zusicherungen und Verpflichtungen in Anhang II des Beschlusses, unterliegen. In diesem Zusammenhang halten die Kommissionsdienststellen fest, dass sie die ausgezeichnete Zusammenarbeit mit den japanischen Behörden und insbesondere der PPC bei der Durchführung der Überprüfung überaus zu schätzen wissen.

Angesichts dieses Überprüfungsergebnisses und im Einklang mit Erwägungsgrund 181 des Angemessenheitsbeschlusses ist die Kommission der Auffassung, dass es nicht erforderlich ist, den Zweijahreszyklus für künftige Überprüfungen beizubehalten. Sie hält es dementsprechend für angemessen, den Überprüfungszyklus gemäß Artikel 45 Absatz 3 der DSGVO auf vier Jahre verlängern. Sie wird daher zu diesem Punkt den gemäß Artikel 93 Absatz 1 DSGVO eingesetzten Ausschuss konsultieren. 26

Gleichzeitig könnte die Stärkung bestimmter Aspekte des japanischen Rahmens dazu beitragen, die im APPI und in den Ergänzenden Vorschriften festgelegten Garantien weiter zu verbessern. Zu diesem Zweck legt die Kommission folgende Empfehlungen vor:

1.Die Kommission begrüßt die Absicht der PPC, Stichprobenkontrollen durchzuführen, um die Einhaltung der Ergänzenden Vorschriften sicherzustellen, und ermutigt die PCC, diesen Weg weiterzuverfolgen. Sie ist der Auffassung, dass solche Stichprobenkontrollen sehr wichtig wären, um sicherzustellen, dass (potenzielle) Verstöße gegen die Ergänzenden Vorschriften aufgedeckt und angegangen werden und damit die wirksame Einhaltung dieser Vorschriften gewährleistet wird.

2.Die Kommission begrüßt, dass die PPC aktualisierte Leitlinien für die internationale Datenübermittlung veröffentlicht hat, da sie die Zugänglichkeit der einschlägigen APPI-Vorschriften verbessern und diese Vorschriften benutzerfreundlicher gestalten werden. In diesen Leitlinien (oder anderen Anleitungen) sollten gegebenenfalls auch die besonderen Anforderungen erläutert werden, die sich aus den Ergänzenden Vorschriften ergeben, auch in Bezug auf den Ausschluss der Weiterübermittlungen von Daten, die ursprünglich von der EU auf der Grundlage des CBPR-Systems der APEC übermittelt wurden.

3.Im Zuge der Überprüfung wurde erörtert, wie die „Inquiry Line“ und die „Mediation Line“ der PPC, an die sich Einzelpersonen für Fragen und Beschwerden wenden können, für Ausländer leichter zugänglich gemacht werden könnten. In diesem Zusammenhang wäre es wichtig, auf der entsprechenden Website darauf hinzuweisen, dass eine Unterstützung in englischer Sprache grundsätzlich verfügbar ist.

Die Überprüfung ermöglichte es zudem, Bereiche für eine mögliche künftige Zusammenarbeit zu ermitteln. Wie erwähnt, gibt die PPC derzeit keine Leitlinien für den empfohlenen Inhalt (in Bezug auf Garantien) von „gleichwertigen Maßnahmen“ für internationale Datenübermittlungen vor, sei es in Form von Orientierungsdaten oder Musterdatenschutzverträgen. Angesichts der wachsenden Bedeutung von Musterklauseln und ihres Potenzials als globales Instrument für die Datenübermittlung, wie beispielsweise von der G7 27 und der OECD 28 anerkannt, hat die Kommission ihr Interesse an einer künftigen Zusammenarbeit mit Japan bei der Ausarbeitung solcher Klauseln bekundet. Die Ausweitung des Anwendungsbereichs des Angemessenheitsbeschlusses über Übermittlungen zwischen Unternehmen hinaus ist ein weiterer Bereich, den die Kommission mit der PPC ergründen will.

Die Kommission wird den japanischen Datenschutzrahmen und die laufende Praxis weiterhin aufmerksam verfolgen. In diesem Zusammenhang sieht sie dem künftigen Austausch mit den japanischen Behörden über für den Beschluss relevanten Entwicklungen 29 sowie einer weiteren Stärkung der Zusammenarbeit auf internationaler Ebene in einer Zeit, in der die Nachfrage nach globalen Standards für den Schutz der Privatsphäre und den Datenverkehr zunimmt, erwartungsvoll entgegen.

(1)    Datenschutz-Grundverordnung (DSGVO) (ABl. L 119 vom 4.5.2016, S. 1).

(2)    In der zum Zeitpunkt der Annahme des Angemessenheitsbeschlusses geltenden Fassung des APPI lautete der verwendete Begriff „personenbezogene Informationen handhabender Unternehmer“ (Personal Information Handling Business Operator – „PIHBO“). Ein personenbezogene Informationen handhabendes Unternehmen ist laut Artikel 16 Absatz 2 des geänderten APPI definiert als „Person, die eine Datenbank mit personenbezogenen Informationen o. dgl. zur Verwendung im Geschäft bereitstellt“, mit Ausnahme der Regierung und der Verwaltungsstellen auf zentraler und lokaler Ebene. Der Begriff „Geschäft” ist im APPI sehr weit, da er Tätigkeiten aller Arten von Organisationen und Einzelpersonen nicht nur mit, sondern auch ohne Gewinnerzielungsabsicht einschließt. Zudem umfasst die „Verwendung im Geschäft“ auch personenbezogene Informationen, die nicht in den (externen) Geschäftsbeziehungen des Unternehmers, sondern intern, z. B. bei der Verarbeitung von Arbeitnehmerdaten, verwendet werden. Siehe Erwägungsgründe 32–34 des Beschlusses.

(3)    Durchführungsbeschluss (EU) 2019/419 der Kommission vom 23. Januar 2019 nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzniveaus in Japan im Rahmen des Gesetzes über den Schutz personenbezogener Informationen (ABl. L 76 vom 19.3.2019, S. 1).

(4)    Siehe Artikel 45 DSGVO und Erwägungsgrund 5 des Beschlusses.

(5)    Siehe Anhang I des Beschlusses.

(6)

   In der Zwischenzeit wurde die Definition des Begriffs „personenbezogene Daten, die sich im Besitz von Unternehmen befinden“ durch die 2020 vorgenommene Änderung des APPI dahin gehend überarbeitet, dass personenbezogene Daten, die innerhalb von sechs Monaten „gelöscht werden müssen“, nicht mehr vom Anwendungsbereich des Begriffs ausgenommen sind (Artikel 16 Absatz 4 des geänderten APPI). In der zum Zeitpunkt der Annahme des Angemessenheitsbeschlusses geltenden Fassung des APPI wurde der Begriff „gespeicherte personenbezogene Daten“ verwendet.

(7)    Erwägungsgründe 26, 31, 43, 49–51, 63, 68, 71, 76–79 und 101 des Beschlusses.

(8)    Erwägungsgrund 15 des Beschlusses.

(9)    Erwägungsgründe 113–170 und Anhang II des Beschlusses.

(10)    Erwägungsgründe 141–144, 149 und 169 des Beschlusses.

(11)    Siehe die nach Abschluss dieser Gespräche veröffentlichte Pressemitteilung, abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/de/IP_18_4501 .

(12)    Beschluss (EU) 2018/1907 des Rates vom 20. Dezember 2018 über den Abschluss des Abkommens zwischen der Europäischen Union und Japan über eine Wirtschaftspartnerschaft (ABl. L 330 vom 27.12.2018, S. 1.) Das WPA verringert die Handelshemmnisse, mit denen europäische Unternehmen bei Ausfuhren nach Japan konfrontiert sind, und hilft ihnen, auf diesem Markt wettbewerbsfähiger zu sein.

(13)    Abkommen über eine strategische Partnerschaft zwischen der Europäischen Union und ihren Mitgliedstaaten einerseits und Japan andererseits (SPA) (ABl. L 216 vom 24.8.2018, S. 4). Das SPA liefert den Rechtsrahmen für die Weiterentwicklung der bereits langjährigen und starken Partnerschaft zwischen der EU und ihren Mitgliedstaaten einerseits und Japan andererseits in einer Reihe von Bereichen, darunter politischer Dialog, Energie, Verkehr, Menschenrechte, Bildung und Erziehung, Wissenschaft und Technologie, Justiz, Asyl und Migration.

(14)    Verfügbar unter: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Mit der digitalen Partnerschaft wird ein Forum geschaffen, das die politische Richtung vorgibt und die gemeinsame Arbeit an digitalen Technologien in Bereichen wie sichere 5G-, „Jenseits von 5G“/6G-Technologien, sichere und ethische Anwendungen künstlicher Intelligenz oder die Resilienz globaler Lieferketten in der Halbleiterindustrie vorantreibt.

(15)    Siehe z. B. https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .

(16)    OECD Declaration on Government Access to Personal Data Held by Private Sector Entities of 14 December 2022 (OECD-Erklärung vom 14. Dezember 2022 über den Zugang der Behörden zu personenbezogenen Daten im Besitz von Privatunternehmen).

(17)    Erwägungsgründe 180–183 und Artikel 3 Absatz 4 des Beschlusses.

(18)    Eine englische Übersetzung ist abrufbar unter: https://www.ppc.go.jp/files/pdf/APPI_english.pdf .

(19)    Eine englische Übersetzung ist abrufbar unter: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .

(20)    Artikel 16 Absatz 4 und Artikel 28 Absatz 2 des geänderten APPI.

(21)    Insbesondere werden mit der APPI-Änderung 2021 das APPI, das Gesetz über den Schutz personenbezogener Informationen bei Verwaltungsorganen, das Gesetz über den Schutz personenbezogener Informationen bei Selbstverwaltungskörperschaften usw. zu einem einzigen Datenschutzgesetz zusammengefasst, das sowohl für private Einrichtungen als auch für Behörden gilt, wobei die Zuständigkeit der PPC entsprechend ausgedehnt wird. Diese Änderung trat am 1. April 2023 in Kraft, nachdem Teile davon bereits am 1. September 2021 und am 1. April 2022 in Kraft getreten waren.

(22)    Der Begriff „pseudonymisierte personenbezogene Informationen“ bezeichnet im geänderten APPI Informationen über eine Person, die „in einer Weise aufbereitet werden können, dass die Identifizierung einer bestimmten Person ohne Abgleich mit anderen Informationen unmöglich ist“. Entsprechende Maßnahmen sind im APPI festgelegt und werden in den Durchsetzungsvorschriften ausgeführt. Siehe Artikel 16 Absatz 5 und Artikel 41 des geänderten APPI.

(23)

   Die überarbeiteten Ergänzenden Vorschriften wurden am 15. März 2023 von der PPC angenommen und traten am 1. April 2023 in Kraft.

(24)    Dies schließt die Anwendung von Artikel 42 des geänderten APPI aus, der nur eine begrenzte Anzahl von Garantien für pseudonymisierte personenbezogene Daten enthält, die nicht als personenbezogene Daten gelten.

(25)

   Siehe Erwägungsgrund 79 des Beschlusses.

(26)    Siehe Erwägungsgrund 181 des Beschlusses.

(27)    Siehe die Erklärung der Minister für Digitales der G7-Treffen vom 11. Mai 2022. In Anhang 1 (Aktionsplan der G7 zur Förderung des vertrauensvollen freien Datenverkehrs) wird unter der Überschrift „Auf Gemeinsamkeiten aufbauen, um künftige Interoperabilität zu fördern“ auf zunehmend gängige Praktiken wie Standardvertragsklauseln Bezug genommen.

(28)    Siehe das „Going Digital Toolkit“ der OECD, „Interoperability of privacy and data protection framework“ (Interoperabilität der Rahmen für den Schutz der Privatsphäre und des Datenschutzes); abrufbar unter: https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), S. 18.

(29)    Im Einklang mit Erwägungsgrund 177 des Beschlusses wird von den japanischen Behörden erwartet, dass sie die Kommission über wesentliche Entwicklungen im Zusammenhang mit diesem Beschluss informieren, und zwar sowohl in Bezug auf die Verarbeitung personenbezogener Daten durch Unternehmer als auch auf die Beschränkungen und Schutzmaßnahmen, die für den Zugriff der Behörden auf personenbezogene Daten gelten.