Loading…
Japans APPI und die EU-GDPR unterzeichneten 2019 einen gegenseitigen Angemessenheitsbeschluss und öffneten damit die Tür für einen reibungslosen Datenfluss zwischen EU und Japan. Doch die Gesetze selbst bleiben materiell unterschiedlich — das APPI nutzt eine Zweckfestlegung statt einer Aufzählung von Rechtsgrundlagen, behandelt sensible Daten mit Hürden der ausdrücklichen Einwilligung, sieht in Yen bemessene Unternehmensstrafen vor und wurzelt in anderen kulturellen Traditionen der behördlichen Anleitung. Die Änderungen von 2022 haben das APPI der GDPR angenähert — doch die Lücke ist real und für die Compliance-Gestaltung wesentlich.
| Dimension | 🇯🇵 APPI | 🇪🇺 GDPR |
|---|---|---|
| Rechtsinstrument | Gesetz zum Schutz personenbezogener Daten (2003, wesentliche Änderungen 2015, 2020, 2022) | Verordnung (EU) 2016/679 |
| Aufsichtsbehörde | Personal Information Protection Commission (PPC, 個人情報保護委員会) | 27 Datenschutzbehörden der EU-Mitgliedstaaten + EDPB |
| Angemessenheit | EU-Angemessenheitsbeschluss seit 2019 in Kraft (gegenseitig) | Gegenseitige Angemessenheit Japans in Kraft |
| Räumlicher Anwendungsbereich | Betreiber, die Daten von Personen in Japan verarbeiten, einschließlich nicht-japanischer Einrichtungen (Art. 166) | EU + extraterritorial nach Artikel 3 |
| Ansatz zur Rechtsgrundlage | Zweckfestlegung + angemessene Erhebung; Einwilligung erforderlich für bestimmte Offenlegungen und sensible Daten | Sechs Rechtsgrundlagen nach Artikel 6; neun Bedingungen nach Artikel 9 für besondere Kategorien |
| Sensible personenbezogene Daten | 要配慮個人情報 (yō-hairyo kojin jōhō) — Rasse, Glaube, sozialer Status, medizinische/strafrechtliche Vorgeschichte; ausdrückliche vorherige Einwilligung zur Erhebung erforderlich | Daten besonderer Kategorien — Artikel 9, ausdrückliche Einwilligung oder andere qualifizierende Bedingung |
| Höchste Unternehmensstrafe | ¥100 Millionen (~650.000 USD) bei Nichtbefolgung einer PPC-Anordnung | €20 Mio. oder 4 % des weltweiten Umsatzes |
| Höchste Strafe für Einzelpersonen | ¥1 Million / 1 Jahr Freiheitsstrafe | Keine strafrechtliche Sanktion (Sanktionen der Mitgliedstaaten können gelten) |
| Meldung von Datenpannen | Innerhalb der vorgeschriebenen Frist (in der Regel 'unverzüglich'); Meldung an die PPC + Benachrichtigung der betroffenen Personen bei schwerwiegenden Verstößen (Art. 26) | 72 Stunden an die Aufsichtsbehörde + betroffene Personen bei hohem Risiko |
| Grenzüberschreitende Übermittlung | Einwilligung der betroffenen Person ODER Mechanismus mit gleichwertigem Schutzniveau ODER von der PPC anerkannte Angemessenheit (Art. 28) | SCCs, BCRs, Angemessenheit |
| Auskunftsrecht | Ja — Artikel 28–35, Umfang durch die Änderungen von 2022 präzisiert | Ja — Artikel 15 |
| Recht auf Berichtigung | Ja — Artikel 30, 33 | Ja — Artikel 16 |
| Recht auf Einstellung/Löschung | Ja — Artikel 30, 35 (riyō teishi) | Recht auf Löschung — Artikel 17 |
| Recht auf Datenübertragbarkeit | Kein allgemeines Recht; einige sektorspezifische Regelungen | Ja — Artikel 20 |
| DPO-Äquivalent | Personal Information Manager (kojin jōhō hogo kanrisha) — empfohlen; Benennung wird von der PPC veröffentlicht | Datenschutzbeauftragter — verpflichtend in definierten Fällen (Artikel 37) |
| Anonym verarbeitete Informationen | 匿名加工情報 — außerhalb des APPI-Anwendungsbereichs, wenn unumkehrbar; Regelungen für Erstellung und Offenlegung | Anonyme Informationen außerhalb des Anwendungsbereichs der GDPR (Erwägungsgrund 26) |
| Pseudonym verarbeitete Informationen | 仮名加工情報 — eingeführt durch die Änderungen von 2022 | Pseudonymisierung in Artikel 4(5) erwähnt; hebt die Anwendbarkeit der GDPR nicht auf |
| Daten von Kindern | Keine spezifische Altersgrenze im APPI; elterliche Einwilligung für Minderjährige über den gesetzlichen Vertreter | Standardalter 16 (Mitgliedstaaten können auf 13 absenken) |
| Rahmen für den öffentlichen Sektor | Gesetz zum Schutz personenbezogener Daten bei Verwaltungsorganen (APIAO) — durch die Reformen von 2021 in das APPI integriert | Richtlinie zur Strafverfolgung 2016/680 (getrennt von der GDPR) |
| Überprüfungszyklus | Verpflichtende Überprüfung alle 3 Jahre (Artikel 6 APPI) | Überprüfung nach Artikel 97 (alle 4 Jahre ab Mai 2020) |
Größtenteils. Der gegenseitige Angemessenheitsbeschluss erkennt eine inhaltliche Gleichwertigkeit an. Der Unterschied: Benennen Sie einen Personal Information Manager, melden Sie der PPC Datenschutzverletzungen innerhalb der lokalen Frist, stellen Sie sicher, dass Ihre Datenschutzerklärung dem APPI-Standard zur Zweckspezifizierung entspricht (spezifischer als die Argumentation über „berechtigte Interessen“), und dokumentieren Sie grenzüberschreitende Übermittlungen nach Artikel 28.
Wesentliche Änderungen: extraterritoriale Durchsetzung (Artikel 166), ausdrückliche verpflichtende Meldung von Datenschutzverletzungen mit Fristen, erweiterte Rechte der betroffenen Personen (riyō teishi ausgeweitet), Einführung der Kategorie der pseudonym verarbeiteten Informationen sowie strengere Regelungen für grenzüberschreitende Übermittlungen.
Nicht zwingend nach dem APPI erforderlich, aber die PPC erwartet eine sinnvolle Kontaktstelle in Japan. Verantwortliche außerhalb Japans fallen in den Anwendungsbereich, und Anordnungen der PPC können über Rechtshilfe durchgesetzt werden.
Es gibt kein Äquivalent zu Artikel 22 GDPR. KI wird durch sektorspezifische Leitlinien (METI, MIC) und das KI-Gesetz von 2025 (ein separater Rahmen) geregelt. Das APPI gilt für KI in dem Umfang, in dem die KI personenbezogene Daten verarbeitet.
Historisch beratend und konsultativ, mit selten förmlichen Anordnungen. Die Änderungen von 2022 verliehen mehr Durchschlagskraft (extraterritoriale Durchsetzung nach Artikel 166, Unternehmensstrafen von 100 Mio. ¥). Künftig ist mit einer stärker förmlichen Durchsetzung zu rechnen.
Einmal Kontrollen zuordnen, doppelt konform sein. RegulatoryBridge bietet Ihnen eine einzige DSAR-Pipeline, einen einzigen DPO, ein einziges Breach-Runbook – beide Rahmenwerke abgedeckt.