BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND DEN RAT
über die erste Überprüfung der Funktionsweise des Angemessenheitsbeschlusses in Bezug auf Japan
1.ERSTE ÜBERPRÜFUNG – HINTERGRUND, VORBEREITUNG UND VORGEHENSWEISE
Am 23. Januar 2019 hat die Europäische Kommission einen Beschluss nach Artikel 45 der Verordnung (EU) 2016/679 (DSGVO) angenommen, in dem sie feststellte, dass Japan ein angemessenes Schutzniveau für personenbezogene Daten bietet, die aus der Europäischen Union an personenbezogene Informationen handhabende Unternehmen in Japan übermittelt werden. Daraus folgt, dass Datenübermittlungen aus der EU an private Unternehmen in Japan ohne zusätzliche Anforderungen erfolgen können.
Der Angemessenheitsbeschluss der Kommission gilt für das japanische Gesetz über den Schutz personenbezogener Informationen (Act on the Protection of Personal Information, im Folgenden „APPI“), ergänzt durch Ergänzende Vorschriften, die eingeführt wurden, um bestimmte relevante Abweichungen zwischen dem APPI und der DSGVO zu überbrücken. Diese zusätzlichen Garantien stärken beispielsweise den Schutz sensibler Daten (durch Erweiterung der Kategorien personenbezogener Daten, die als sensible Daten gelten), die Ausübung individueller Rechte (durch Klarstellung, dass die individuellen Rechte auch in Bezug auf personenbezogene Daten ausgeübt werden können, die für einen Zeitraum von weniger als sechs Monaten gespeichert werden, was ursprünglich im APPI nicht der Fall war) und die Bedingungen für die Weiterübermittlung von aus der EU stammenden Daten an Drittländer außerhalb Japans. Die Ergänzenden Vorschriften sind für japanische Unternehmer verbindlich und können von der unabhängigen Datenschutzbehörde – der Kommission für den Schutz personenbezogener Informationen (Personal Information Protection Commission, im Folgenden „PPC“) – oder direkt von Einzelpersonen aus der EU vor japanischen Gerichten durchgesetzt werden.
Darüber hinaus hat die japanische Regierung der Kommission offizielle Erklärungen, Zusicherungen und Verpflichtungen in Bezug auf die Beschränkungen und Garantien betreffend den Zugriff auf personenbezogene Daten und deren Nutzung durch die japanischen Behörden für die Zwecke der Strafverfolgung und der nationalen Sicherheit vorgelegt und klargestellt, dass eine solche Verarbeitung auf das notwendige und angemessene Maß beschränkt ist und einer unabhängigen Aufsicht sowie wirksamen Rechtsbehelfsverfahren unterliegt. Zu den betreffenden Rechtsbehelfsverfahren gehört ein spezifisches Streitschlichtungsverfahren, das von der PPC verwaltet und überwacht wird und für EU-Bürger eingerichtet wurde, deren personenbezogene Daten im Rahmen des Angemessenheitsbeschlusses übermittelt werden.
Zum Zeitpunkt der Annahme des Angemessenheitsbeschlusses der Kommission erließ Japan einen gleichwertigen Beschluss für Datenübermittlungen in die EU, wodurch der weltweit größte Raum für freien Datenverkehr mit hohem Schutzniveau geschaffen wurde. Diese gegenseitigen Angemessenheitsbeschlüsse ergänzen und verstärken die Vorteile des Wirtschaftspartnerschaftsabkommens (WPA) zwischen der EU und Japan, das im Februar 2019 in Kraft trat, und des Abkommens über eine strategische Partnerschaft (Strategic Partnership Agreement, im Folgenden „SPA“), das parallel zum WPA ausgehandelt wurde. Unternehmen auf beiden Seiten profitieren von der Synergie zwischen den Angemessenheitsbeschlüssen und dem WPA, da die Möglichkeit des freien Datenverkehrs zwischen der EU und Japan den Handel weiter erleichtert und durch den privilegierten Zugang zu den Märkten der jeweils anderen Seite beträchtliche Geschäftsmöglichkeiten eröffnet. Sie stellt auch einen wichtigen Präzedenzfall dar, indem sie deutlich macht, dass im digitalen Zeitalter die Förderung eines hohen Datenschutzniveaus und die Erleichterung des internationalen Handels Hand in Hand gehen können und müssen.
Seit Annahme der Angemessenheitsbeschlüsse haben die EU und Japan als gleich gesinnte Partner ihre Zusammenarbeit in digitalen Fragen im Allgemeinen und in Bezug auf den Datenverkehr im Besonderen weiter intensiviert. Auf bilateraler Ebene spiegelt sich dies insbesondere im Abschluss der digitalen Partnerschaft im Mai 2022 und in der Aufnahme von Verhandlungen über die Aufnahme von Disziplinen zu grenzüberschreitenden Datenströme in das WPA im Oktober 2022 wider. Dadurch wird die Synergie mit der gegenseitigen Angemessenheitsvereinbarung weiter verstärkt. Auf multilateraler Ebene haben sich die EU und Japan gemeinsam für die Förderung, Stärkung und Umsetzung des vom verstorbenen Premierminister Shinzo Abe eingeführten Konzepts des „vertrauensvollen und freien Datenverkehrs“ eingesetzt, unter anderem durch eine enge Zusammenarbeit im Rahmen der G7, der Welthandelsorganisation (im Rahmen der auf einer gemeinsamen Erklärung beruhenden Initiative zum elektronischen Geschäftsverkehr) und der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Im Rahmen der OECD hat insbesondere die intensive Zusammenarbeit zwischen der EU und Japan in diesen Fragen dazu beigetragen, dass erstmals auf internationaler Ebene gemeinsame Grundsätze für den Zugang von Behörden zu personenbezogenen Daten im Besitz des Privatsektors verabschiedet wurden. Diese verschiedenen Arbeitsfelder beruhten in mehr oder weniger starkem Maße auf den gemeinsamen Werten und Anforderungen, die der gegenseitigen Angemessenheitsvereinbarung zwischen der EU und Japan zugrunde liegen.
Zur laufenden Überprüfung, ob die im Angemessenheitsbeschluss getroffenen Feststellungen nach wie vor sachlich und rechtlich gerechtfertigt sind, ist die Kommission verpflichtet, eine regelmäßige Überprüfung durchzuführen und dem Europäischen Parlament und dem Rat über die Ergebnisse Bericht zu erstatten. Mit dem vorliegenden Bericht, der sich auf alle Aspekte der Funktionsweise des Beschlusses erstreckt, wird die erste regelmäßige Überprüfung abgeschlossen. Auf japanischer Seite nahmen Vertreter der PPC, des Ministeriums für innere Angelegenheiten und Kommunikation, des Justizministeriums, des Verteidigungsministeriums sowie der staatlichen Polizeibehörde an der Überprüfung teil. Der EU-Delegation gehörten neben Mitgliedern der Europäischen Kommission drei vom Europäischen Datenschutzausschuss (EDSA) benannte Vertreter an.
Am 26. Oktober 2021 hielten die beiden Delegationen eine Überprüfungstagung ab, die durch einen wiederholten Schriftwechsel sowohl vor als auch nach der Tagung ergänzt wurde. Insbesondere im Zuge der Vorbereitung auf die Überprüfung holte die Kommission von den japanischen Behörden Informationen über die Funktionsweise des Beschlusses und vor allem über die Umsetzung der Ergänzenden Vorschriften ein. Die Kommission zog auch Informationen aus öffentlichen Quellen und von lokalen Sachverständigen über die Funktionsweise des Beschlusses und über die einschlägigen Entwicklungen in der japanischen Gesetzgebung und Praxis heran, sowohl in Bezug auf die Datenschutzvorschriften für private Unternehmen als auch in Bezug auf den staatlichen Zugriff. Im Anschluss an die Überprüfungstagung tauschten sich die Kommission und die PPC wiederholt aus, um die auf der Tagung erörterten Punkte weiterzuverfolgen und insbesondere die Fragen zu behandeln, die durch die Einführung von Vorschriften über pseudonymisierte personenbezogene Informationen in das APPI aufgeworfen wurden.
2.WICHTIGSTE ERGEBNISSE
Ausführliche Feststellungen zur Funktionsweise aller Aspekte des Angemessenheitsbeschlusses sind in der Arbeitsunterlage der Kommissionsdienststellen (SWD(2023) 75) dargelegt, die diesem Bericht beigefügt ist.
Die erste Überprüfung hat insbesondere gezeigt, dass seit der Annahme der gegenseitigen Angemessenheitsbeschlüsse eine weitere Annäherung der Datenschutzrahmen der EU und Japans stattgefunden hat. Das APPI wurde zweimal geändert: am 5. Juni 2020 durch das Gesetz zur Änderung des Gesetzes über den Schutz personenbezogener Informationen von 2020 (APPI-Änderung 2020), das am 1. April 2022 in Kraft trat, und am 12. Mai 2021 durch das Gesetz über die Vereinbarung zusammenhängender Rechtsakte für die Gründung einer digitalen Gesellschaft (APPI-Änderung 2021). Die Ergänzenden Vorschriften wurden in Abstimmung mit der Kommission angepasst, um diesen Änderungen Rechnung zu tragen.
Infolge dieser Änderungen haben sich die Verfahren der EU und Japans noch weiter angenähert, insbesondere durch die Verschärfung der Datenschutzpflichten (Einführung einer Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten), die Stärkung der Rechte betroffener Personen (insbesondere Auskunfts- und Widerspruchsrecht) und die Verstärkung des Schutzes bei Datenübermittlungen (zusätzliche Informations- und Überwachungsanforderungen, einschließlich Informationen über mögliche Risiken im Zusammenhang mit dem behördlichen Zugriff im Bestimmungsland). In diesem Zusammenhang ist insbesondere darauf hinzuweisen, dass einige der zusätzlichen Garantien, die in den Ergänzenden Vorschriften für personenbezogene Daten aus der EU vorgesehen sind, d. h. in Bezug auf die Vorratsspeicherung von Daten und die Bedingungen für die Einwilligung in Kenntnis der Sachlage bei grenzüberschreitenden Übermittlungen, in das APPI aufgenommen wurden, wodurch diese Garantien gegebenenfalls allgemein für alle personenbezogenen Daten unabhängig von ihrer Herkunft oder dem Ort ihrer Erhebung gelten.
Eine weitere wichtige Entwicklung, die die Kommission begrüßt, ist die Umwandlung des APPI in einen umfassenden Rechtsrahmen für den Datenschutz, der sowohl den privaten als auch den öffentlichen Sektor abdeckt und der ausschließlichen Aufsicht der PPC unterliegt. Diese weitere Stärkung des japanischen Datenschutzrahmens und der Befugnisse der PPC ebnet potenziell den Weg für eine Ausweitung des Angemessenheitsbeschlusses über den Handelsverkehr hinaus auf Datenübermittlungen, die derzeit vom Anwendungsbereich des Beschlusses ausgenommen sind, etwa die Zusammenarbeit in Regulierungsfragen und die Forschung.
Besonderes Augenmerk wurde bei der ersten Überprüfung auch auf die neuen Bestimmungen zur Erstellung und Nutzung „pseudonymisierter personenbezogener Informationen“ gelegt, die mit der APPI-Änderung von 2020 eingeführt wurden. Diese neuen Bestimmungen zielen im Wesentlichen darauf ab, die (interne) Nutzung personenbezogener Daten durch Unternehmen zu erleichtern, die personenbezogene Daten hauptsächlich für statistische Zwecke verarbeiten (z. B. zur Ermittlung von Trends und Mustern im Hinblick auf weitere Tätigkeiten, einschließlich Forschung). Die Überprüfungstagung und der daran anschließende Austausch zwischen der Kommission und der PPC ermöglichten es, die Auslegung und Anwendung dieser neuen Bestimmungen zu klären. Als Ergebnis dieser Beratungen wurden die Ergänzenden Regelungen am 15. März 2023 in zweifacher Hinsicht geändert, um die beabsichtigte Anwendung dieser neuen Bestimmungen besser widerzuspiegeln und damit Rechtssicherheit und Transparenz zu gewährleisten. Erstens ist in den Ergänzenden Vorschriften festgelegt, dass solche Informationen nur für statistische Zwecke – d. h. zur Verarbeitung für statistische Erhebungen oder zur Erstellung statistischer Ergebnisse – zur Erstellung aggregierter Daten genutzt werden dürfen und dass die Ergebnisse der Verarbeitung nicht zur Unterstützung von Maßnahmen oder Entscheidungen genutzt werden, die eine bestimmte Person betreffen. Zweitens wird klargestellt, dass pseudonymisierte personenbezogene Informationen, die ursprünglich von der EU übermittelt wurden, im Rahmen des APPI jedenfalls als „personenbezogene Informationen“ zu betrachten sind, damit der ununterbrochene Schutz von Daten, die gemäß der DSGVO als personenbezogene Daten gelten, im Falle einer Übermittlung im Rahmen des Angemessenheitsbeschlusses gewährleistet bleibt.
In Bezug auf die praktische Umsetzung der Datenschutzgarantien begrüßt die Kommission die verschiedenen Schritte der PPC. Dazu gehört auch die Annahme aktualisierter Leitlinien, unter anderem für internationale Datenübermittlungen. Die Kommission stellt fest, dass eine Präzisierung dieser Leitlinien dafür sorgen könnte, dass auch den spezifischen Anforderungen Rechnung getragen wird, die nach den Ergänzenden Vorschriften für die Weiterübermittlung von aus der Union erhaltenen personenbezogener Daten aus Japan gelten, einschließlich – entsprechend der Ergänzenden Vorschrift 4 und wie im Angemessenheitsbeschluss erläutert – des Ausschlusses von Weiterübermittlungen auf der Grundlage des Systems grenzüberschreitender Vorschriften zur Wahrung der Privatsphäre (Cross Border Privacy Rules, im Folgenden „CBPR“) der APEC. Obwohl die PPC erklärt hat, dass PIHBO für die Weiterübermittlung von Daten, die sie ursprünglich aus der EU erhalten haben, „einen Vertrag abschließen, der den Empfänger an Maßnahmen bindet, mit denen die Kontinuität des Schutzes gewährleistet wird“, gibt die PPC derzeit keine Leitlinien für den empfohlenen Inhalt (in Bezug auf Garantien) von „gleichwertigen Maßnahmen“ für internationale Datenübermittlungen vor, sei es in Form von Orientierungsdaten oder Musterdatenschutzverträgen. Diese weiteren Klarstellungen, die sich insbesondere auf den Austausch von Informationen und bewährten Verfahren zwischen der PPC und der Kommission stützen könnten, sind potenziell besonders nützlich, da sie Aspekte betreffen, die für Unternehmen, die in beiden Rechtsordnungen tätig sind, von besonderer Bedeutung sind.
In Bezug auf Aufsicht und Durchsetzung stellt die Kommission fest, dass die PPC in der Zeit nach Erlass des Angemessenheitsbeschlusses mehr von ihren nicht zwingenden Orientierungs- und Beratungsbefugnissen (Artikel 147 APPI) als von ihren Zwangsbefugnissen (z. B. Erteilung verbindlicher Anordnungen, Artikel 148 APPI) Gebrauch gemacht hat. Die PPC berichtete ferner, dass bislang keine Beschwerden in Bezug auf die Einhaltung der Ergänzenden Vorschriften eingegangen sind und dass auf eigene Initiative keine Untersuchungen zu solchen Fragen durchgeführt wurden. Bei der Überprüfungstagung kündigte die PPC jedoch an, von sich aus Stichprobenkontrollen durchzuführen, um die Einhaltung der Ergänzenden Vorschriften sicherzustellen. Die Kommission begrüßt diese Ankündigung, da sie der Auffassung ist, dass solche Stichprobenkontrollen sehr wichtig wären, um sicherzustellen, dass (mögliche) Verstöße gegen die Ergänzenden Vorschriften verhindert, aufgedeckt und angegangen werden und damit die wirksame Einhaltung dieser Vorschriften gewährleistet wird. Da durch die Änderungen des APPI in den Jahren 2020 und 2021 die Aufsichtsbefugnisse der PPC gestärkt wurden, könnten diese Stichprobenkontrollen Teil der allgemeinen Bemühungen sein, die Ausübung dieser Befugnisse zu stärken.
Schließlich begrüßt die Kommission nachdrücklich die Einrichtung spezieller Kontaktstellen, an die sich EU-Bürger bei Fragen oder Bedenken hinsichtlich der Verarbeitung ihrer personenbezogenen Daten in Japan – sei es durch Unternehmer („Inquiry Line“) oder durch Behörden („Complaint Mediation Line“) – wenden können. Gleichzeitig weist sie darauf hin, dass die Website der „Inquiry Line“ nur in japanischer Sprache verfügbar ist, was EU-Bürger davon abhalten könnte, dieses Instrument in Anspruch zu nehmen. Laut Angaben der PPC ist jedoch eine Unterstützung in englischer Sprache grundsätzlich ebenfalls verfügbar. Die Kommission geht davon aus, dass die PPC prüfen wird, wie die Zugänglichkeit solcher Kontaktstellen für die Europäer erleichtert werden kann, unter anderem durch die Klärung dieses Punktes.
3.SCHLUSSFOLGERUNG
Auf der Grundlage der allgemeinen Feststellungen, die im Rahmen dieser ersten Überprüfung getroffen werden konnten, kommt die Kommission zu dem Schluss, dass Japan weiterhin ein angemessenes Schutzniveau für personenbezogene Daten bietet, die aus der Europäischen Union an personenbezogene Informationen handhabende Unternehmer in Japan übermittelt werden, die dem APPI, ergänzt durch die Ergänzenden Vorschriften und in Verbindung mit den offiziellen Erklärungen, Zusicherungen und Verpflichtungen in Anhang II des Beschlusses, unterliegen. In diesem Zusammenhang halten die Kommissionsdienststellen fest, dass sie die ausgezeichnete Zusammenarbeit mit den japanischen Behörden und insbesondere der PPC bei der Durchführung der Überprüfung überaus zu schätzen wissen.
Angesichts dieses Überprüfungsergebnisses und im Einklang mit Erwägungsgrund 181 des Angemessenheitsbeschlusses ist die Kommission der Auffassung, dass es nicht erforderlich ist, den Zweijahreszyklus für künftige Überprüfungen beizubehalten. Sie hält es dementsprechend für angemessen, den Überprüfungszyklus gemäß Artikel 45 Absatz 3 der DSGVO auf vier Jahre verlängern. Sie wird daher zu diesem Punkt den gemäß Artikel 93 Absatz 1 DSGVO eingesetzten Ausschuss konsultieren.
Gleichzeitig könnte die Stärkung bestimmter Aspekte des japanischen Rahmens dazu beitragen, die im APPI und in den Ergänzenden Vorschriften festgelegten Garantien weiter zu verbessern. Zu diesem Zweck legt die Kommission folgende Empfehlungen vor:
1.Die Kommission begrüßt die Absicht der PPC, Stichprobenkontrollen durchzuführen, um die Einhaltung der Ergänzenden Vorschriften sicherzustellen, und ermutigt die PCC, diesen Weg weiterzuverfolgen. Sie ist der Auffassung, dass solche Stichprobenkontrollen sehr wichtig wären, um sicherzustellen, dass (potenzielle) Verstöße gegen die Ergänzenden Vorschriften aufgedeckt und angegangen werden und damit die wirksame Einhaltung dieser Vorschriften gewährleistet wird.
2.Die Kommission begrüßt, dass die PPC aktualisierte Leitlinien für die internationale Datenübermittlung veröffentlicht hat, da sie die Zugänglichkeit der einschlägigen APPI-Vorschriften verbessern und diese Vorschriften benutzerfreundlicher gestalten werden. In diesen Leitlinien (oder anderen Anleitungen) sollten gegebenenfalls auch die besonderen Anforderungen erläutert werden, die sich aus den Ergänzenden Vorschriften ergeben, auch in Bezug auf den Ausschluss der Weiterübermittlungen von Daten, die ursprünglich von der EU auf der Grundlage des CBPR-Systems der APEC übermittelt wurden.
3.Im Zuge der Überprüfung wurde erörtert, wie die „Inquiry Line“ und die „Mediation Line“ der PPC, an die sich Einzelpersonen für Fragen und Beschwerden wenden können, für Ausländer leichter zugänglich gemacht werden könnten. In diesem Zusammenhang wäre es wichtig, auf der entsprechenden Website darauf hinzuweisen, dass eine Unterstützung in englischer Sprache grundsätzlich verfügbar ist.
Die Überprüfung ermöglichte es zudem, Bereiche für eine mögliche künftige Zusammenarbeit zu ermitteln. Wie erwähnt, gibt die PPC derzeit keine Leitlinien für den empfohlenen Inhalt (in Bezug auf Garantien) von „gleichwertigen Maßnahmen“ für internationale Datenübermittlungen vor, sei es in Form von Orientierungsdaten oder Musterdatenschutzverträgen. Angesichts der wachsenden Bedeutung von Musterklauseln und ihres Potenzials als globales Instrument für die Datenübermittlung, wie beispielsweise von der G7 und der OECD anerkannt, hat die Kommission ihr Interesse an einer künftigen Zusammenarbeit mit Japan bei der Ausarbeitung solcher Klauseln bekundet. Die Ausweitung des Anwendungsbereichs des Angemessenheitsbeschlusses über Übermittlungen zwischen Unternehmen hinaus ist ein weiterer Bereich, den die Kommission mit der PPC ergründen will.
Die Kommission wird den japanischen Datenschutzrahmen und die laufende Praxis weiterhin aufmerksam verfolgen. In diesem Zusammenhang sieht sie dem künftigen Austausch mit den japanischen Behörden über für den Beschluss relevanten Entwicklungen sowie einer weiteren Stärkung der Zusammenarbeit auf internationaler Ebene in einer Zeit, in der die Nachfrage nach globalen Standards für den Schutz der Privatsphäre und den Datenverkehr zunimmt, erwartungsvoll entgegen.