(1)

Die Verordnung (EU) 2016/679 enthält die Vorschriften für die Übermittlung personenbezogener Daten durch Verantwortliche oder Auftragsverarbeiter in der Europäischen Union an Drittländer und internationale Organisationen, soweit die betreffenden Übermittlungen in ihren Anwendungsbereich fallen. Die Vorschriften für internationale Übermittlungen personenbezogener Daten sind in Kapitel V der genannten Verordnung, insbesondere in den Artikeln 44 bis 50, festgelegt. Der Fluss personenbezogener Daten in Drittländer und aus Drittländern ist für die Ausweitung der internationalen Zusammenarbeit und des internationalen Handels notwendig und gewährleistet gleichzeitig, dass das Schutzniveau für personenbezogene Daten in der Europäischen Union nicht beeinträchtigt wird.

(2)

Nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bieten. Unter dieser Voraussetzung können personenbezogene Daten nach Artikel 45 Absatz 1 und Erwägungsgrund 103 der Verordnung ohne weitere Genehmigung an dieses Drittland, dieses Gebiet, diesen Sektor oder diese internationale Organisation übermittelt werden.

(3)

Wie in Artikel 45 Absatz 2 der Verordnung (EU) 2016/679 festgelegt, muss der Erlass eines Angemessenheitsbeschlusses auf einer umfassenden Analyse der Rechtsordnung des Drittlands beruhen, und zwar sowohl in Bezug auf die für die Datenimporteure geltenden Vorschriften als auch auf die Beschränkungen und Garantien für den Zugang der Behörden zu personenbezogenen Daten. Im Rahmen der Prüfung ist festzustellen, ob das betreffende Drittland ein Schutzniveau garantiert, das dem innerhalb der Europäischen Union gewährleisteten Schutzniveau „der Sache nach gleichwertig“ ist (Erwägungsgrund 104 der Verordnung (EU) 2016/679). Der Gerichtshof der Europäischen Union hat klargestellt, dass es dazu keines identischen Schutzniveaus bedarf (2). Insbesondere können sich die Mittel, auf die das betreffende Drittland zurückgreift, von denen unterscheiden, die in der Europäischen Union herangezogen werden, sofern sie sich in der Praxis als wirksam erweisen, um ein angemessenes Schutzniveau zu gewährleisten (3). Daher erfordert die Angemessenheitsfeststellung keine Eins-zu-eins-Übereinstimmung mit den Vorschriften der Union. Die Frage ist vielmehr, ob das ausländische System insgesamt aufgrund des Wesensgehalts der Rechte auf Privatsphäre sowie ihrer wirksamen Anwendung, Überwachung und Durchsetzung das erforderliche Maß an Schutz bietet (4).

(4)

Die Kommission hat Recht und Praxis in Japan sorgfältig analysiert. Ausgehend von den Feststellungen in den Erwägungsgründen 6 bis 175 kommt die Kommission zu dem Schluss, dass Japan ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die an Organisationen übermittelt werden, die in den Anwendungsbereich des Gesetzes über den Schutz personenbezogener Informationen (5) fallen und den in diesem Beschluss genannten zusätzlichen Bedingungen unterliegen. Diese Bedingungen sind in den Ergänzenden Vorschriften (Anhang I) enthalten, die von der Kommission für den Schutz personenbezogener Informationen (Personal Information Protection Commission — PPC) (6) erlassen wurden, sowie in den offiziellen Erklärungen, Zusicherungen und Verpflichtungen der japanischen Regierung gegenüber der Europäischen Kommission (Anhang II).

(5)

Dieser Beschluss hat zur Folge, dass Übermittlungen an solche Organisationen in Japan von einem Verantwortlichen oder Auftragsverarbeiter im Europäischen Wirtschaftsraum (EWR) (7) ohne weitere Genehmigung vorgenommen werden können. Dieser Beschluss hat keine Auswirkungen auf die unmittelbare Anwendung der Verordnung (EU) 2016/679 auf diese Organisationen, wenn die Voraussetzungen von deren Artikel 3 erfüllt sind.

(6)

Das Rechtssystem für den Schutz der Privatsphäre und den Datenschutz in Japan wurzelt in der im Jahr 1946 verkündeten Verfassung.

(7)

In Artikel 13 der Verfassung heißt es:

„Jeder Bürger wird als Einzelperson geachtet. Sein Recht auf Leben, Freiheit und das Streben nach Glück wird, soweit es das Gemeinwohl nicht beeinträchtigt, bei der Gesetzgebung und in allen übrigen Staatsangelegenheiten an oberster Stelle berücksichtigt.“

(8)

Auf der Grundlage dieses Artikels hat der Oberste Gerichtshof Japans die Rechte von Einzelpersonen in Bezug auf den Schutz personenbezogener Informationen präzisiert. In einer Entscheidung aus dem Jahr 1969 erkannte er das Recht auf Privatsphäre und Datenschutz als verfassungsmäßiges Recht an (8). Insbesondere hob der Gerichtshof hervor, dass „jeder Einzelne die Freiheit hat, seine personenbezogenen Informationen vor der Offenlegung gegenüber Dritten und der Veröffentlichung ohne triftigen Grund zu schützen“. Zudem stellte der Oberste Gerichtshof in einer Entscheidung vom 6. März 2008 („Juki-Net“) (9) fest, dass „die Freiheit der Bürger im Privatleben vor der Ausübung öffentlicher Gewalt geschützt ist und davon ausgegangen werden kann, dass eine der Freiheiten des Einzelnen im Privatleben darin besteht, seine personenbezogenen Informationen vor der Offenlegung gegenüber Dritten und der Veröffentlichung ohne triftigen Grund zu schützen“ (10).

(9)

Am 30. Mai 2003 erließ Japan eine Reihe von Gesetzen im Bereich des Datenschutzes:

(10)

Die beiden letztgenannten (2016 geänderten) Gesetze enthalten Bestimmungen für den Schutz personenbezogener Informationen durch öffentliche Stellen. Die Datenverarbeitung, die in den Anwendungsbereich dieser Gesetze fällt, ist nicht Gegenstand der Angemessenheitsfeststellung in diesem Beschluss, die sich auf den Schutz personenbezogener Informationen durch „personenbezogene Informationen handhabende Unternehmer“ (Personal Information Handling Business Operators — PIHBO) im Sinne des APPI beschränkt.

(11)

Das APPI ist in den letzten Jahren reformiert worden. Das geänderte APPI wurde am 9. September 2015 verkündet und ist am 30. Mai 2017 in Kraft getreten. Durch die Einführung neuer und die Verstärkung bestehender Garantien im Rahmen der Änderung näherte sich das japanische Datenschutzsystem dem europäischen an. So wurde eine Reihe durchsetzbarer Rechte des Einzelnen eingeführt und eine unabhängige Aufsichtsbehörde (die PPC) eingerichtet, die mit der Aufsicht und Durchsetzung des APPI betraut ist.

(12)

Die Verarbeitung personenbezogener Informationen, die in den Anwendungsbereich dieses Beschlusses fallen, unterliegt nicht nur dem APPI, sondern auch den auf der Grundlage des APPI erlassenen Durchführungsvorschriften. Dazu gehören eine Änderung der Kabinettsverordnung zur Durchsetzung des Gesetzes über den Schutz personenbezogener Informationen vom 5. Oktober 2016 und von der PPC erlassene sogenannte Durchsetzungsvorschriften zum Gesetz über den Schutz personenbezogener Informationen (11). Die beiden rechtlich verbindlichen und durchsetzbaren Regelungen sind zeitgleich mit der Änderung des APPI in Kraft getreten.

(13)

Darüber hinaus hat das japanische Kabinett (bestehend aus dem Premierminister und den Ministern, die seine Regierung bilden) am 28. Oktober 2016 eine „Grundlegende Richtlinie“ verabschiedet, um „Maßnahmen zum Schutz personenbezogener Informationen umfassend und ganzheitlich zu fördern“. Nach Artikel 7 APPI wird die „Grundlegende Richtlinie“ in Form eines Kabinettsbeschlusses erlassen und enthält politische Leitvorstellungen für die Durchsetzung des APPI, die sowohl an die Zentralregierung als auch an die lokalen Regierungen gerichtet sind.

(14)

Unlängst hat die japanische Regierung die „Grundlegende Richtlinie“ durch Kabinettsbeschluss vom 12. Juni 2018 geändert. Zur Erleichterung internationaler Datenübermittlungen wird mit dem genannten Kabinettsbeschluss der PPC als der für die Verwaltung und Durchführung des APPI zuständigen Behörde die Befugnis übertragen, „auf der Grundlage des Artikels 6 des Gesetzes die notwendigen Maßnahmen zu treffen, um die Unterschiede zwischen den Systemen und Abläufen in Japan und in dem betreffenden anderen Land zu überbrücken, damit eine angemessene Handhabung der aus diesem Land erhaltenen personenbezogenen Informationen gewährleistet werden kann“. Der Kabinettsbeschluss sieht vor, dass dies auch die Befugnis umfasst, den Schutz im Wege des Erlasses strengerer Vorschriften durch die PPC zu verbessern, die die Vorschriften des APPI und der Kabinettsverordnung ergänzen und darüber hinausgehen. Nach dem genannten Beschluss sind diese strengeren Vorschriften für japanische Unternehmer verbindlich und durchsetzbar.

(15)

Auf der Grundlage des Artikels 6 APPI und des genannten Kabinettsbeschlusses hat die PPC am 15. Juni 2018„Ergänzende Vorschriften nach dem Gesetz über den Schutz personenbezogener Informationen für die Handhabung von auf der Grundlage eines Angemessenheitsbeschlusses aus der EU übermittelten personenbezogenen Daten“ (im Folgenden „Ergänzende Vorschriften“) erlassen, um den Schutz personenbezogener Informationen, die auf der Grundlage des vorliegenden Angemessenheitsbeschlusses aus der Europäischen Union nach Japan übermittelt werden, zu verbessern. Die Ergänzenden Vorschriften sind für japanische Unternehmer rechtlich verbindlich und können von der PPC und den Gerichten in gleicher Weise wie die Bestimmungen des APPI durchgesetzt werden, die durch die strengeren und/oder ausführlicheren Bestimmungen der Vorschriften ergänzt werden (12). Da japanische Unternehmer, die personenbezogene Daten aus der Europäischen Union erhalten und/oder weiterverarbeiten, zur Einhaltung der Ergänzenden Vorschriften rechtlich verpflichtet sind, müssen sie — z. B. mit technischen (Markierung) oder organisatorischen Mitteln (Speicherung in einer eigenen Datenbank) — dafür sorgen, dass sie solche personenbezogenen Daten während deren gesamten „Lebenszyklus“ erkennen können (13). In den folgenden Abschnitten wird der Inhalt jeder Ergänzenden Vorschrift im Rahmen der Prüfung des Artikels des APPI, der durch die betreffende Vorschrift ergänzt wird, analysiert.

(16)

Anders als vor der Gesetzesänderung von 2015, als dies in bestimmten Sektoren in die Zuständigkeit verschiedener japanischer Ministerien fiel, ist nach dem APPI die PPC ermächtigt, „Leitlinien“ zu verabschieden, um nach den Datenschutzvorschriften „die ordnungsgemäße und wirksame Umsetzung der von einem Unternehmer zu treffenden Maßnahmen sicherzustellen“. Mit ihren Leitlinien stellt die PPC eine verbindliche Auslegung dieser Vorschriften und insbesondere des APPI zur Verfügung. Nach Auskunft der PPC sind diese Leitlinien Bestandteil des Rechtsrahmens und in Verbindung mit dem Wortlaut des APPI, der Kabinettsverordnung, den PPC-Vorschriften und einem von der PPC erstellten Fragen-Antworten-Katalog (14) zu lesen. Sie sind daher „für Unternehmer verbindlich“. Wenn die Leitlinien einem Unternehmer etwas vorschreiben oder verbieten, sieht die PPC die Nichteinhaltung der einschlägigen Bestimmungen als Gesetzesverstoß an (15).

(17)

Der Anwendungsbereich des APPI wird durch die definierten Begriffe „personenbezogene Informationen“, „personenbezogene Daten“ und „personenbezogene Informationen handhabender Unternehmer“ bestimmt. Gleichzeitig sieht das APPI einige wichtige Ausnahmen von seinem Anwendungsbereich vor, insbesondere für anonym verarbeitete personenbezogene Daten und für besondere Arten der Verarbeitung durch bestimmte Unternehmer. Das APPI verwendet jedoch nicht den Begriff „Verarbeitung“, sondern den gleichwertigen Begriff „Handhabung“, der nach Auskunft der PPC „jede an personenbezogenen Daten vorgenommene Handlung“ umfasst, darunter Erwerb, Eingabe, Anhäufung, Organisation, Speicherung, Aufbereitung/Bearbeitung, Erneuerung, Löschung, Ausgabe, Verwendung und Bereitstellung personenbezogener Informationen.

(18)

Mit Blick auf seinen sachlichen Anwendungsbereich unterscheidet das APPI zwischen personenbezogenen Informationen und personenbezogenen Daten, wobei für die erste Kategorie nur einige der Bestimmungen des Gesetzes gelten. Nach Artikel 2 Absatz 1 APPI umfasst der Begriff „personenbezogene Informationen“ alle Informationen über eine lebende Einzelperson, die die Identifizierung dieser Person ermöglichen. In der Definition werden zwei Kategorien personenbezogener Informationen unterschieden: i) Codes zur Personenidentifizierung und ii) sonstige personenbezogene Informationen, anhand deren eine bestimmte Einzelperson identifiziert werden kann. Zur zweiten Kategorie gehören auch Informationen, die zwar für sich allein keine Identifizierung ermöglichen, die aber mit anderen Informationen „leicht zu verknüpfen“ sind und dann die Identifizierung einer bestimmten Einzelperson möglich machen. Ob Informationen als „leicht zu verknüpfen“ angesehen werden können, ist nach den PPC-Leitlinien (16) im Einzelfall unter Berücksichtigung der tatsächlichen Umstände („Verhältnisse“) des Unternehmers zu entscheiden. Dies wird vermutet, wenn eine solche Verknüpfung von einem durchschnittlichen („normalen“) Unternehmer mit den ihm zur Verfügung stehenden Mitteln vorgenommen wird (oder vorgenommen werden kann). Beispielsweise sind Informationen nicht mit anderen Informationen „leicht zu verknüpfen“, wenn ein Unternehmer außerordentliche Anstrengungen unternehmen oder gegen das Gesetz verstoßen muss, um sich die zu verknüpfenden Informationen bei einem oder mehreren anderen Unternehmern zu beschaffen.

(19)

Nur bestimmte Formen personenbezogener Informationen fallen nach dem APPI unter den Begriff „personenbezogene Daten“. Denn „personenbezogene Daten“ sind definiert als „personenbezogene Informationen, die eine Datenbank mit personenbezogenen Informationen bilden“, d. h. als „kollektiver Informationsbestand“, der personenbezogene Informationen umfasst, die „systematisch so organisiert sind, dass mithilfe eines Computers nach bestimmten personenbezogenen Informationen gesucht werden kann“ (17) oder die „aufgrund einer Kabinettsverordnung systematisch so organisiert sein müssen, dass leicht nach bestimmten personenbezogenen Informationen gesucht werden kann“, jedoch „mit Ausnahme derjenigen, bei denen nach den Feststellungen in einer Kabinettsverordnung kaum die Möglichkeit besteht, dass unter Berücksichtigung der Verwendungsmethode Rechte und Interessen einer Einzelperson beeinträchtigt werden“ (18).

(20)

Diese Ausnahme wird in Artikel 3 Absatz 1 der Kabinettsverordnung näher konkretisiert, nach dem die drei folgenden Voraussetzungen kumulativ erfüllt sein müssen: i) der kollektive Informationsbestand muss „zu dem Zweck erstellt worden sein, an eine große Zahl nicht näher bestimmter Personen verkauft zu werden, und seine Erstellung darf nicht gegen die Bestimmungen eines Gesetzes oder einer darauf gestützten Verordnung verstoßen“, ii) er muss „jederzeit von einer großen Zahl nicht näher bestimmter Personen erworben werden können“, und iii) die darin enthaltenen personenbezogenen Daten müssen „für ihren ursprünglichen Zweck bereitgestellt werden, ohne andere Informationen über eine lebende Einzelperson hinzuzufügen“. Wie die PPC erläutert hat, wurde diese enge Ausnahme eingeführt, um Telefonbücher und ähnliche Verzeichnisse auszuschließen.

(21)

Die Unterscheidung zwischen „personenbezogenen Informationen“ und „personenbezogenen Daten“ ist für in Japan erhobene Daten von Bedeutung, da solche Informationen möglicherweise nicht immer Teil einer „Datenbank mit personenbezogenen Informationen“ sind (z. B. ein einzelner manuell erhobener und verarbeiteter Datensatz), sodass die Bestimmungen des APPI, die sich nur auf personenbezogene Daten beziehen (19), keine Anwendung finden.

(22)

Für personenbezogene Daten, die auf der Grundlage eines Angemessenheitsbeschlusses aus der Europäischen Union nach Japan importiert werden, ist diese Unterscheidung dagegen nicht von Belang. Da diese Daten typischerweise auf elektronischem Wege übermittelt werden (was im digitalen Zeitalter die übliche Form des Datenaustausches ist, insbesondere über eine so große Entfernung wie zwischen der EU und Japan) und dadurch Teil des elektronischen Dateisystems des Datenimporteurs werden, fallen diese EU-Daten nach dem APPI unter die Kategorie „personenbezogene Daten“. Selbst wenn personenbezogene Daten ausnahmsweise einmal auf anderem Wege (z. B. in Papierform) aus der EU übermittelt werden sollten, würden sie dennoch unter das APPI fallen, sofern sie nach der Übermittlung Teil eines „kollektiven Informationsbestands“ werden, der systematisch so organisiert ist, dass leicht nach bestimmten Informationen gesucht werden kann (Artikel 2 Absatz 4 Ziffer ii APPI). Nach Artikel 3 Absatz 2 der Kabinettsverordnung ist dies der Fall, wenn die Informationen „nach einer bestimmten Regel“ geordnet sind und die Datenbank zur Erleichterung der Suche Hilfsmittel wie ein Inhaltsverzeichnis oder einen Index enthält. Dies entspricht der Definition des Dateisystems im Sinne des Artikels 2 Absatz 1 DSGVO.

(23)

Einige Bestimmungen des APPI, insbesondere die Artikel 27 bis 30 über die Rechte des Einzelnen, gelten nur für eine bestimmte Kategorie personenbezogener Daten, nämlich für „gespeicherte personenbezogene Daten“. Diese sind in Artikel 2 Absatz 7 APPI als personenbezogene Daten definiert, die nicht zu denjenigen gehören, bei denen i) „nach den Feststellungen in einer Kabinettsverordnung die Wahrscheinlichkeit besteht, dass sie der Öffentlichkeit oder anderen Interessen schaden, wenn ihr Vorhandensein oder Fehlen bekannt wird“ oder die ii) „innerhalb einer durch Kabinettsverordnung festgelegten Frist von höchstens einem Jahr zu löschen sind“.

(24)

Die erste dieser beiden Gruppen wird in Artikel 4 der Kabinettsverordnung erläutert und umfasst vier Ausnahmen (20). Mit diesen Ausnahmen werden ähnliche Ziele verfolgt wie mit Artikel 23 Absatz 1 der Verordnung (EU) 2016/679, insbesondere der Schutz der betroffenen Person (des „Betroffenen“ in der Terminologie des APPI) und die Freiheit anderer, die nationale Sicherheit, die öffentliche Sicherheit, die Strafverfolgung oder andere wichtige Ziele von allgemeinem öffentlichem Interesse. Darüber hinaus folgt aus dem Wortlaut des Artikels 4 Absatz 1 Ziffern i bis iv der Kabinettsverordnung, dass ihre Anwendung immer ein bestimmtes Risiko für eines der geschützten wichtigen Interessen voraussetzt (21).

(25)

Die zweite Gruppe wird in Artikel 5 der Kabinettsverordnung näher konkretisiert. In Verbindung mit Artikel 2 Absatz 7 APPI werden personenbezogene Daten, die innerhalb einer Frist von sechs Monaten „zu löschen sind“, vom Anwendungsbereich des Begriffs der gespeicherten personenbezogenen Daten und damit von den im APPI verankerten Rechten des Einzelnen ausgenommen. Die PPC hat erläutert, dass diese Ausnahme einen Anreiz für Unternehmer bieten soll, Daten während eines möglichst kurzen Zeitraums zu speichern und zu verarbeiten. Dies würde jedoch bedeuten, dass betroffene Personen in der EU allein wegen der Dauer der Speicherung ihrer Daten durch den betreffenden Unternehmer nicht in der Lage wären, wichtige Rechte geltend zu machen.

(26)

Um Abhilfe zu schaffen, müssen aus der Europäischen Union übermittelte personenbezogene Daten nach der Ergänzenden Vorschrift 2 „als gespeicherte personenbezogene Daten im Sinne des Artikels 2 Absatz 7 des Gesetzes gehandhabt werden, und zwar unabhängig davon, innerhalb welcher Frist sie zu löschen sind“. Die Speicherfrist hat daher keinen Einfluss auf die Rechte, die betroffenen Personen in der EU gewährt werden.

(27)

Die Anforderungen, die für anonym verarbeitete personenbezogene Informationen im Sinne des Artikels 2 Absatz 9 APPI gelten, sind in Kapitel IV Abschnitt 2 des Gesetzes („Pflichten eines anonym verarbeitete Informationen handhabenden Unternehmers“) festgelegt. Dagegen finden auf diese Informationen nicht die Bestimmungen des Kapitels IV Abschnitt 1 des APPI Anwendung, zu denen die Artikel gehören, in denen die Datenschutzgarantien und -rechte bei der Verarbeitung personenbezogener Daten nach dem Gesetz festgelegt sind. Somit unterliegen „anonym verarbeitete personenbezogene Informationen“ zwar nicht den (in Kapitel IV Abschnitt 1 und in Artikel 42 APPI aufgeführten) „Standard“-Datenschutzvorschriften, sie fallen jedoch in den Anwendungsbereich des APPI und insbesondere der Artikel 36 bis 39.

(28)

Nach Artikel 2 Absatz 9 APPI sind „anonym verarbeitete personenbezogene Informationen“ Informationen über eine Einzelperson, die mithilfe der im APPI (Artikel 36 Absatz 1) vorgeschriebenen und in den PPC-Vorschriften (Artikel 19) im Einzelnen festgelegten Maßnahmen „aus personenbezogenen Informationen hergestellt wurden“, sodass es unmöglich geworden ist, eine bestimmte Einzelperson zu identifizieren oder die personenbezogenen Informationen wiederherzustellen.

(29)

Wie auch die PPC bestätigt hat, ergibt sich aus diesen Bestimmungen, dass der Vorgang der „Anonymisierung“ der personenbezogenen Informationen nicht technisch irreversibel sein muss. Nach Artikel 36 Absatz 2 APPI sind Unternehmer, die „anonym verarbeitete personenbezogene Informationen“ handhaben, lediglich verpflichtet, eine erneute Identifizierung zu verhindern, indem sie Maßnahmen treffen, um die Sicherheit „der Beschreibungen usw. und der Codes zur Personenidentifizierung, die aus den personenbezogenen Informationen gelöscht wurden, um die anonym verarbeiteten Informationen herzustellen, sowie der Informationen über die Verarbeitungsmethode“ zu gewährleisten.

(30)

Da „anonym verarbeitete personenbezogene Informationen“ im Sinne des APPI Daten enthalten, mit deren Hilfe eine erneute Identifizierung der Einzelperson noch möglich ist, könnte dies bedeuten, dass aus der Europäischen Union übermittelte personenbezogene Daten einen Teil des verfügbaren Schutzes durch einen Vorgang verlieren könnten, der nach der Verordnung (EU) 2016/679 nicht als „Anonymisierung“, sondern als eine Form der „Pseudonymisierung“ angesehen würde (durch die sich ihr Charakter als personenbezogene Daten nicht ändert).

(31)

Um Abhilfe zu schaffen, sind in den Ergänzenden Vorschriften zusätzliche Bestimmungen vorgesehen, die nur für personenbezogene Daten gelten, die nach diesem Beschluss aus der Europäischen Union übermittelt werden. Nach der Ergänzenden Vorschrift 5 werden solche personenbezogenen Informationen nur dann als „anonym verarbeitete personenbezogene Informationen“ im Sinne des APPI angesehen, „wenn der personenbezogene Informationen handhabende Unternehmer Maßnahmen trifft, die die Deidentifizierung der Einzelperson für jedermann irreversibel machen, etwa durch Löschung der Informationen über die Verarbeitungsmethode usw.“. Bei diesen Informationen handelt es sich nach den Ergänzenden Vorschriften um die Informationen über die Beschreibungen und die Codes zur Personenidentifizierung, die aus den personenbezogenen Informationen gelöscht wurden, um die „anonym verarbeiteten personenbezogenen Informationen“ herzustellen, sowie um die Informationen über die Verarbeitungsmethode, die beim Löschen dieser Beschreibungen und Codes zur Personenidentifizierung angewendet wurde. Mit anderen Worten sind Unternehmer, die „anonym verarbeitete personenbezogene Informationen“ herstellen, nach den Ergänzenden Vorschriften verpflichtet, den „Schlüssel“ zu zerstören, der eine erneute Identifizierung der Daten ermöglicht. Dies bedeutet, dass aus der Europäischen Union stammende personenbezogene Daten nur dann unter die APPI-Bestimmungen über „anonym verarbeitete personenbezogene Informationen“ fallen, wenn sie auch nach der Verordnung (EU) 2016/679 als anonyme Informationen angesehen würden (22).

(32)

Der persönliche Anwendungsbereich des APPI umfasst nur PIHBO. Ein PIHBO ist in Artikel 2 Absatz 5 APPI definiert als „Person, die eine Datenbank mit personenbezogenen Informationen usw. zur Verwendung im Geschäft bereitstellt“, mit Ausnahme der Regierung und der Verwaltungsstellen auf zentraler und lokaler Ebene.

(33)

Nach den PPC-Leitlinien ist „Geschäft“ jedes „Verhalten, das darauf abzielt, zu einem bestimmten Zweck, mit oder ohne Gewinnerzielungsabsicht, wiederholt und kontinuierlich ein gesellschaftlich anerkanntes Gewerbe zu betreiben“. Organisationen ohne Rechtspersönlichkeit (z. B. nicht rechtsfähige Vereine) und Einzelpersonen werden als PIHBO angesehen, wenn sie eine Datenbank mit personenbezogenen Informationen usw. für ihr Geschäft bereitstellen (verwenden) (23). Der Begriff „Geschäft“ im APPI ist demnach sehr weit, da er Tätigkeiten aller Arten von Organisationen und Einzelpersonen nicht nur mit, sondern auch ohne Gewinnerzielungsabsicht einschließt. Zudem umfasst die „Verwendung im Geschäft“ auch personenbezogene Informationen, die nicht in den (externen) Geschäftsbeziehungen des Unternehmers, sondern intern, z. B. bei der Verarbeitung von Arbeitnehmerdaten, verwendet werden.

(34)

Bei den Begünstigten des im APPI festgelegten Schutzes unterscheidet das Gesetz nicht nach Staatsangehörigkeit, Wohnsitz oder Aufenthalt. Dies gilt auch für die Rechtsschutzmöglichkeiten von Einzelpersonen bei der PPC und bei Gericht.

(35)

Im APPI wird keine besondere Unterscheidung zwischen den Pflichten des Verantwortlichen und des Auftragsverarbeiters getroffen. Das Fehlen dieser Unterscheidung hat keinen Einfluss auf das Schutzniveau, da alle PIHBO allen Bestimmungen des Gesetzes unterliegen. Für einen PIHBO, der einen Treuhänder (der einem Auftragsverarbeiter nach der DSGVO entspricht) mit der Handhabung personenbezogener Daten betraut, gelten hinsichtlich der diesem anvertrauten Daten weiterhin die Pflichten nach dem APPI und den Ergänzenden Vorschriften. Zusätzlich ist er nach Artikel 22 APPI verpflichtet, die „erforderliche und angemessene Aufsicht“ über den Treuhänder auszuüben. Der Treuhänder selbst unterliegt, wie die PPC bestätigt hat, allen Pflichten nach dem APPI und den Ergänzenden Vorschriften.

(36)

Nach Artikel 76 APPI sind bestimmte Arten der Datenverarbeitung von der Anwendung des Kapitels IV des Gesetzes ausgenommen, das die zentralen Datenschutzbestimmungen enthält (Grundsätze, Pflichten der Unternehmer, Rechte des Einzelnen, Aufsicht durch die PPC). Eine Verarbeitung, die unter eine sektorspezifische Ausnahme nach Artikel 76 fällt, ist nach Artikel 43 Absatz 2 APPI auch von den Durchsetzungsbefugnissen der PPC ausgenommen (24).

(37)

Die einschlägigen Kategorien für die sektorspezifischen Ausnahmen nach Artikel 76 APPI sind durch Anwendung eines doppelten Kriteriums definiert, das auf der Art des die personenbezogenen Informationen verarbeitenden PIHBO und dem Zweck der Verarbeitung basiert. Unter die Ausnahme fallen insbesondere i) Rundfunkanstalten, Zeitungsverlage, Kommunikationsagenturen und andere Presseorganisationen (einschließlich Personen, die im Rahmen ihrer Geschäftstätigkeit Presseaktivitäten ausüben), soweit sie personenbezogene Informationen für Pressezwecke verarbeiten, ii) Personen, die professionell schreiben, soweit dies personenbezogene Informationen umfasst, iii) Hochschulen und andere Organisationen oder Gruppen, die sich mit wissenschaftlichen Studien befassen, und Personen, die einer solchen Organisation angehören, soweit sie personenbezogene Informationen für die Zwecke wissenschaftlicher Studien verarbeiten, iv) religiöse Einrichtungen, soweit sie personenbezogene Informationen für die Zwecke religiöser Aktivitäten (einschließlich aller damit verbundenen Aktivitäten) verarbeiten, und v) politische Einrichtungen, soweit sie personenbezogene Informationen für die Zwecke ihrer politischen Aktivitäten (einschließlich aller damit verbundenen Aktivitäten) verarbeiten. Die Verarbeitung personenbezogener Informationen für einen der in Artikel 76 aufgeführten Zwecke durch andere Arten von PIHBO sowie die Verarbeitung personenbezogener Informationen durch einen der aufgeführten PIHBO für andere Zwecke, z. B. im Rahmen der Beschäftigung, fallen weiterhin unter die Bestimmungen von Kapitel IV.

(38)

Um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, die aus der Europäischen Union an Unternehmer in Japan übermittelt werden, sollte dieser Beschluss nur Verarbeitungen personenbezogener Informationen erfassen, die in den Anwendungsbereich des Kapitels IV des APPI fallen, d. h. die von einem PIHBO vorgenommen werden, soweit nicht eine der sektorspezifischen Ausnahmen gilt. Sein Anwendungsbereich sollte daher an den des APPI angepasst werden. Wenn ein unter diesen Beschluss fallender PIHBO später den Verwendungszweck ändert (soweit dies zulässig ist) und dann eine der sektorspezifischen Ausnahmen nach Artikel 76 gilt, würde dies nach Auskunft der PPC als internationale Übermittlung angesehen (da in diesen Fällen die Verarbeitung der personenbezogenen Informationen nicht länger unter Kapitel IV des APPI fällt und somit außerhalb von dessen Anwendungsbereich erfolgt). Dies gilt auch, wenn ein PIHBO personenbezogene Informationen für eine unter Artikel 76 APPI fallende Stelle zur Verwendung für einen der in dieser Bestimmung aufgeführten Verarbeitungszwecke bereitstellt. Im Falle von aus der Europäischen Union übermittelten personenbezogenen Daten würde dies daher eine Weiterübermittlung darstellen, für die die entsprechenden Garantien (insbesondere nach Artikel 24 APPI und der Ergänzenden Vorschrift 4) gelten. Wenn sich der PIHBO auf die Einwilligung (25) der betroffenen Person stützt, muss er ihr alle erforderlichen Informationen zur Verfügung stellen und sie unter anderem darauf hinweisen, dass die personenbezogenen Informationen nicht länger durch das APPI geschützt sind.

(39)

Personenbezogene Daten sollten für einen bestimmten Zweck verarbeitet und anschließend nur verwendet werden, soweit dies mit dem Zweck der Verarbeitung nicht unvereinbar ist. Dieser Datenschutzgrundsatz wird durch die Artikel 15 und 16 APPI gewährleistet.

(40)

Das APPI stützt sich auf den Grundsatz, dass ein Unternehmer den Verwendungszweck „so eindeutig wie möglich“ (Artikel 15 Absatz 1) anzugeben hat und dann bei der Verarbeitung der Daten an diesen Zweck gebunden ist.

(41)

In diesem Zusammenhang sieht Artikel 15 Absatz 2 APPI vor, dass der ursprüngliche Zweck vom PIHBO nur in dem Umfang geändert werden darf, dass „der vor der Änderung geltende Verwendungszweck angemessen relevant bleibt“, was in den PPC-Leitlinien dahin gehend ausgelegt wird, dass er dem entsprechen muss, was die betroffene Person aufgrund „geltender gesellschaftlicher Konventionen“ (26) objektiv erwarten kann.

(42)

Zudem dürfen PIHBO nach Artikel 16 Absatz 1 APPI personenbezogene Informationen nicht über den in Artikel 15 genannten „für die Erreichung eines Verwendungszwecks erforderlichen Umfang“ hinaus handhaben, ohne vorher die Einwilligung der betroffenen Person einzuholen, es sei denn, eine der Ausnahmeregelungen des Artikels 16 Absatz 3 (27) findet Anwendung.

(43)

Bei einem Erwerb personenbezogener Informationen von einem anderen Unternehmer steht es dem PIHBO grundsätzlich frei, einen neuen Verwendungszweck festzulegen (28). Um sicherzustellen, dass ein solcher Empfänger im Falle einer Übermittlung aus der Europäischen Union an den Zweck gebunden ist, für den die Daten übermittelt wurden, schreibt die Ergänzende Vorschrift 3 vor, dass in Fällen, „in denen ein [PIHBO] auf der Grundlage eines Angemessenheitsbeschlusses personenbezogene Daten aus der EU erhält“ oder ein solcher Unternehmer „von einem anderen [PIHBO] personenbezogene Daten erhält, die zuvor auf der Grundlage eines Angemessenheitsbeschlusses aus der EU übermittelt wurden“ (Weitergabe), der Empfänger „den Zweck der Verwendung dieser personenbezogenen Daten im Rahmen desjenigen Verwendungszwecks angeben muss, für den die Daten ursprünglich oder später empfangen wurden“. Mit anderen Worten gewährleistet diese Vorschrift, dass der nach der Verordnung (EU) 2016/679 festgelegte Zweck im Falle der Übermittlung weiterhin für die Verarbeitung maßgebend ist und dass eine Änderung dieses Zwecks in irgendeiner Phase der Verarbeitungskette in Japan die Einwilligung der betroffenen Person in der EU erfordern würde. Da die Einholung dieser Einwilligung eine Kontaktaufnahme mit der betroffenen Person voraussetzt, muss, wenn dies nicht möglich ist, der ursprüngliche Zweck beibehalten werden.

(44)

Der in Erwägungsgrund 43 genannte zusätzliche Schutz ist umso wichtiger, als das japanische System durch den Grundsatz der Zweckbindung auch dafür sorgt, dass personenbezogene Daten rechtmäßig und nach Treu und Glauben verarbeitet werden.

(45)

Das APPI schreibt vor, bei der Erhebung personenbezogener Informationen durch einen PIHBO den Verwendungszweck der personenbezogenen Informationen detailliert anzugeben (29) und die betroffene Person umgehend über diesen Verwendungszweck zu informieren (oder diesen öffentlich bekannt zu machen) (30). Zudem darf ein PIHBO nach Artikel 17 APPI personenbezogene Informationen nicht durch Täuschung oder andere unzulässige Mittel erlangen. Bestimmte Datenkategorien, z. B. personenbezogene Informationen, die einer besonderen Sorgfalt bedürfen, können nur mit Einwilligung der betroffenen Person erworben werden (Artikel 17 Absatz 2 APPI).

(46)

Wie in den Erwägungsgründen 41 und 42 erläutert, darf der PIHBO die personenbezogenen Informationen später nicht zu anderen Zwecken verarbeiten, es sei denn, die betroffene Person willigt in die betreffende Verarbeitung ein oder eine der Ausnahmeregelungen nach Artikel 16 Absatz 3 APPI findet Anwendung.

(47)

Und schließlich wird die Weitergabe personenbezogener Informationen an Dritte (31) durch Artikel 23 Absatz 1 APPI auf bestimmte Fälle beschränkt, in denen in der Regel die vorherige Einwilligung der betroffenen Person erforderlich ist (32). Artikel 23 Absätze 2, 3 und 4 APPI sieht Ausnahmen von der Pflicht zur Einholung der Einwilligung vor. Diese Ausnahmen gelten jedoch nur für nicht sensible Daten und setzen voraus, dass der Unternehmer die betroffenen Personen im Voraus über seine Absicht, ihre personenbezogenen Informationen einem Dritten gegenüber offenzulegen, und über die Möglichkeit, jeder weiteren Offenlegung zu widersprechen, informiert (33).

(48)

Bei Übermittlungen aus der Europäischen Union müssen die personenbezogenen Daten zuerst in der EU nach der Verordnung (EU) 2016/679 erhoben und verarbeitet worden sein. Dies umfasst stets zum einen die Erhebung und Verarbeitung — auch für die Übermittlung aus der Europäischen Union nach Japan — auf einer der in Artikel 6 Absatz 1 der Verordnung aufgeführten Rechtsgrundlagen und zum anderen die Erhebung für einen festgelegten, eindeutigen und legitimen Zweck sowie das Verbot der Weiterverarbeitung — auch im Wege der Übermittlung — in einer mit einem solchen in Artikel 5 Absatz 1 Buchstabe b und Artikel 6 Absatz 4 der Verordnung genannten Zweck nicht zu vereinbarenden Weise.

(49)

Nach der Übermittlung muss der PIHBO, der die Daten erhält, nach der Ergänzenden Vorschrift 3 den der Übermittlung zugrunde liegenden Zweck (d. h. den nach der Verordnung (EU) 2016/679 festgelegten Zweck) „bestätigen“ und die Daten diesem Zweck entsprechend weiterverarbeiten (34). Dies bedeutet, dass nicht nur der erste Erwerber dieser personenbezogenen Daten in Japan, sondern auch jeder künftige Empfänger der Daten (auch ein Treuhänder) an den nach der Verordnung festgelegten Zweck gebunden ist.

(50)

Ferner muss der PIHBO, falls er den Zweck, der zuvor nach der Verordnung (EU) 2016/679 festgelegt wurde, nach Artikel 16 Absatz 1 APPI ändern möchte, grundsätzlich die Einwilligung der betroffenen Person einholen. Ohne diese Einwilligung würde eine Datenverarbeitung, die über den für die Erreichung dieses Verwendungszwecks erforderlichen Umfang hinausgeht, einen Verstoß gegen Artikel 16 Absatz 1 darstellen, der von der PPC und den Gerichten geahndet werden könnte.

(51)

Da die Übermittlung also nach der Verordnung (EU) 2016/679 eine gültige Rechtsgrundlage und einen festgelegten Zweck voraussetzt, die sich in dem nach dem APPI „bestätigten“ Verwendungszweck widerspiegeln, wird die weitere Rechtmäßigkeit der Verarbeitung von EU-Daten in Japan durch die einschlägigen Bestimmungen des APPI in Verbindung mit der Ergänzenden Vorschrift 3 gewährleistet.

(52)

Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Ferner müssen sie dem Zweck angemessen und dafür erheblich sein und dürfen das für die Zwecke der Verarbeitung notwendige Maß nicht überschreiten.

(53)

Diese Grundsätze werden im japanischen Recht durch Artikel 16 Absatz 1 APPI gewährleistet, der die Handhabung personenbezogener Informationen über den „für die Erreichung eines Verwendungszwecks erforderlichen Umfang“ hinaus verbietet. Wie die PPC erläutert hat, schließt dies nicht nur die Verwendung nicht angemessener Daten und die übermäßige Verwendung von Daten (über den für die Erreichung des Verwendungszwecks erforderlichen Umfang hinaus) aus, sondern beinhaltet auch das Verbot, Daten zu handhaben, die für die Erreichung des Verwendungszwecks nicht relevant sind.

(54)

In Bezug auf die Verpflichtung, die Richtigkeit und Aktualität der Daten zu gewährleisten, verlangt Artikel 19 APPI, dass sich der PIHBO „bemüht sicherzustellen, dass personenbezogene Daten in dem für die Erreichung eines Verwendungszwecks erforderlichen Umfang sachlich richtig und auf dem neuesten Stand sind“. Diese Bestimmung ist in Verbindung mit Artikel 16 Absatz 1 APPI zu lesen. Wie die PPC erläutert hat, wird die Verarbeitung der personenbezogenen Informationen, wenn ein PIHBO die vorgeschriebenen Anforderungen an die Richtigkeit nicht erfüllt, nicht als Erreichung des Verwendungszwecks angesehen, sodass ihre Handhabung nach Artikel 16 Absatz 1 rechtswidrig wird.

(55)

Daten dürfen grundsätzlich nur so lange gespeichert werden, wie dies für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

(56)

Nach Artikel 19 APPI müssen sich PIHBO „um die unverzügliche Löschung der personenbezogenen Daten bemühen, wenn die betreffende Verwendung nicht mehr erforderlich ist“. Diese Bestimmung muss in Verbindung mit Artikel 16 Absatz 1 APPI gelesen werden, der die Handhabung personenbezogener Informationen über den „für die Erreichung eines Verwendungszwecks erforderlichen Umfang“ hinaus verbietet. Sobald der Verwendungszweck erreicht ist, kann die Verarbeitung personenbezogener Informationen nicht mehr als erforderlich angesehen und darf daher nicht fortgesetzt werden (es sei denn, der PIHBO holt die Einwilligung der betroffenen Person hierzu ein).

(57)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die ihre Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Zu diesem Zweck müssen Unternehmer geeignete technische oder organisatorische Maßnahmen treffen, um personenbezogene Daten vor möglichen Bedrohungen zu schützen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik und der damit verbundenen Kosten bewertet werden.

(58)

Dieser Grundsatz ist im japanischen Recht durch Artikel 20 APPI umgesetzt, der vorsieht, dass ein PIHBO „erforderliche und angemessene Maßnahmen zur Kontrolle der Sicherheit personenbezogener Daten trifft, um unter anderem die unerlaubte Veröffentlichung, den Verlust oder die Beschädigung der von ihm gehandhabten personenbezogenen Daten zu verhindern“. Die zu treffenden Maßnahmen werden in den PPC-Leitlinien erläutert, einschließlich der Methoden für die Festlegung von grundlegenden Richtlinien, Vorschriften für die Datenhandhabung und verschiedenen „Kontrollmaßnahmen“ (in Bezug auf die organisatorische Sicherheit sowie die menschliche, physische und technologische Sicherheit) (35). Darüber hinaus enthalten die PPC-Leitlinien und eine von der PPC veröffentlichte besondere Bekanntmachung (Anlage 8 „Inhalt der zu treffenden Maßnahmen für das Sicherheitsmanagement“) weitere Einzelheiten zu Maßnahmen bei Sicherheitsvorfällen, die beispielsweise die unerlaubte Veröffentlichung personenbezogener Informationen betreffen, als Teil der von PIHBO treffenden Maßnahmen für das Sicherheitsmanagement (36).

(59)

Ferner muss, wenn personenbezogene Informationen von Arbeitnehmern oder Subunternehmern gehandhabt werden, nach den Artikeln 20 und 21 APPI die „erforderliche und angemessene Aufsicht“ zu Sicherheitskontrollzwecken gewährleistet sein. Außerdem kann die vorsätzliche unerlaubte Veröffentlichung oder der Diebstahl personenbezogener Informationen nach Artikel 83 APPI mit einer Freiheitsstrafe von bis zu einem Jahr geahndet werden.

(60)

Die betroffenen Personen müssen über die Hauptmerkmale der Verarbeitung ihrer personenbezogenen Daten unterrichtet werden.

(61)

Nach Artikel 18 Absatz 1 APPI muss der PIHBO der betroffenen Person Informationen über den Verwendungszweck der erworbenen personenbezogenen Informationen zur Verfügung stellen, außer in „Fällen, in denen ein Verwendungszweck vorher öffentlich bekannt gemacht wurde“. Dieselbe Pflicht besteht im Falle einer zulässigen Änderung des Verwendungszwecks (Artikel 18 Absatz 3). Damit ist auch gewährleistet, dass die betroffene Person von der Erhebung ihrer Daten erfährt. Das APPI verlangt zwar nicht generell, dass der PIHBO die betroffene Person in der Erhebungsphase über die voraussichtlichen Empfänger der personenbezogenen Informationen unterrichtet, eine solche Unterrichtung ist aber eine notwendige Voraussetzung für jede spätere Offenlegung von Informationen gegenüber einem Dritten (Empfänger) nach Artikel 23 Absatz 2, wenn dies also ohne vorherige Einwilligung der betroffenen Person geschieht.

(62)

Hinsichtlich „gespeicherter personenbezogener Daten“ sieht Artikel 27 APPI vor, dass der PIHBO die betroffene Person über seine Identität (Kontaktdaten), den Verwendungszweck und die Verfahren für die Beantwortung einer Anfrage bezüglich der individuellen Rechte der betroffenen Person nach den Artikeln 28, 29 und 30 APPI unterrichten muss.

(63)

Da aus der Europäischen Union übermittelte personenbezogene Daten nach den Ergänzenden Vorschriften unabhängig von ihrer Speicherfrist als „gespeicherte personenbezogene Daten“ angesehen werden (sofern für sie keine Ausnahme gilt), unterliegen sie stets den Transparenzanforderungen der beiden oben genannten Bestimmungen.

(64)

Die Anforderungen des Artikels 18 und die Pflicht zur Unterrichtung über den Verwendungszweck nach Artikel 27 APPI unterliegen den gleichen Ausnahmen, denen zumeist Erwägungen des öffentlichen Interesses und der Schutz der Rechte und Interessen der betroffenen Person, Dritter und des Verantwortlichen zugrunde liegen (37). Nach der in den PPC-Leitlinien entwickelten Auslegung gelten diese Ausnahmen in ganz bestimmten Fällen, etwa wenn Informationen über den Verwendungszweck legitime Maßnahmen des Unternehmers zum Schutz bestimmter Interessen (z. B. Bekämpfung von Betrug, Industriespionage oder Sabotage) gefährden könnten.

(65)

Wenn „besondere Kategorien“ von Daten verarbeitet werden, müssen besondere Garantien vorhanden sein.

(66)

„Personenbezogene Informationen, die einer besonderen Sorgfalt bedürfen“ sind in Artikel 2 Absatz 3 APPI definiert. Diese Bestimmung bezieht sich auf „personenbezogene Informationen, die die Rasse, den Glauben, den sozialen Status, die Krankengeschichte, die Vorstrafen des Betroffenen, die Tatsache, dass er durch eine Straftat einen Schaden erlitten hat, oder andere Beschreibungen usw. umfassen und deren Handhabung aufgrund einer Kabinettsverordnung einer besonderen Sorgfalt bedarf, damit keine unfaire Diskriminierung und keine Vorurteile oder sonstigen Nachteile zulasten des Betroffenen verursacht werden“. Diese Kategorien entsprechen zu einem großen Teil den in den Artikeln 9 und 10 der Verordnung (EU) 2016/679 aufgeführten sensiblen Daten. So entspricht die „Krankengeschichte“ den Gesundheitsdaten, während die „Vorstrafen“ und die „Tatsache, dass er durch eine Straftat einen Schaden erlitten hat“, im Wesentlichen den in Artikel 10 der Verordnung (EU) 2016/679 genannten Kategorien entsprechen. Die in Artikel 2 Absatz 3 APPI genannten Kategorien werden in der Kabinettsverordnung und den PPC-Leitlinien weiter ausgelegt. In Abschnitt 2.3 Nummer 8 der PPC-Leitlinien werden die in Artikel 2 Ziffern ii und iii der Kabinettsverordnung ausführlich behandelten Unterkategorien der „Krankengeschichte“ dahin gehend ausgelegt, dass sie genetische und biometrische Daten umfassen. Die Liste enthält zwar nicht ausdrücklich die Begriffe „ethnische Herkunft“ und „politische Meinung“, verweist jedoch auf „Rasse“ und „Glauben“. Wie in Abschnitt 2.3 Nummern 1 und 2 der PPC-Leitlinien erläutert, bezieht sich der Verweis auf die „Rasse“ auf „ethnische Bindungen oder Bindungen an einen bestimmten Teil der Welt“, während „Glauben“ sowohl religiöse als auch politische Überzeugungen umfasst.

(67)

Der Wortlaut der Bestimmung verdeutlicht, dass es sich nicht um eine geschlossene Liste handelt, da weitere Kategorien von Daten hinzugefügt werden können, soweit deren Verarbeitung die Gefahr von „unfairer Diskriminierung, Vorurteilen oder sonstigen Nachteilen zulasten des Betroffenen“ birgt.

(68)

Vor dem Hintergrund, dass der Begriff der „sensiblen“ Daten naturgemäß ein gesellschaftliches Konstrukt ist, da es unter anderem auf kulturellen und rechtlichen Traditionen, moralischen Erwägungen und politischen Entscheidungen einer bestimmten Gesellschaft beruht, und angesichts der Bedeutung angemessener Garantien für sensible Daten bei der Übermittlung an Unternehmer in Japan hat die Kommission erreicht, dass der besondere Schutz, der nach japanischem Recht für „personenbezogene Informationen, die einer besonderen Sorgfalt bedürfen“, gewährt wird, auf alle in der Verordnung (EU) 2016/679 als „sensible Daten“ anerkannten Kategorien ausgeweitet wird. Zu diesem Zweck sieht die Ergänzende Vorschrift 1 vor, dass aus der Europäischen Union übermittelte Daten über das Sexualleben, die sexuelle Orientierung oder die Gewerkschaftszugehörigkeit einer Person von PIHBO „in gleicher Weise wie personenbezogene Informationen, die einer besonderen Sorgfalt bedürfen, im Sinne des Artikels 2 Absatz 3 [APPI]“ verarbeitet werden müssen.

(69)

Was die zusätzlichen materiellen Garantien betrifft, die für personenbezogene Informationen, die einer besonderen Sorgfalt bedürfen, gelten, so ist es PIHBO nach Artikel 17 Absatz 2 APPI mit wenigen Ausnahmen (38) nicht erlaubt, diese Art von Daten ohne vorherige Einwilligung der betroffenen Person zu erwerben. Ferner besteht bei dieser Kategorie personenbezogener Informationen nicht die Möglichkeit, sie Dritten gegenüber nach dem Verfahren des Artikels 23 Absatz 2 APPI offenzulegen (nach dem die Übermittlung von Daten an Dritte ohne vorherige Einwilligung der betroffenen Person zulässig ist).

(70)

Nach dem Grundsatz der Rechenschaftspflicht müssen Daten verarbeitende Unternehmen geeignete technische und organisatorische Maßnahmen treffen, um ihren Datenschutzverpflichtungen wirksam nachzukommen und dies, insbesondere gegenüber der zuständigen Aufsichtsbehörde, nachweisen zu können.

(71)

Wie in Fußnote 34 (Erwägungsgrund 49) erwähnt, sind PIHBO nach Artikel 26 Absatz 1 APPI verpflichtet, die Identität eines Dritten, der ihnen personenbezogene Daten zur Verfügung stellt, und die „Umstände“ zu überprüfen, unter denen diese Daten von dem Dritten erworben wurden (im Falle personenbezogener Daten, die unter diesen Beschluss fallen, umfassen diese Umstände nach dem APPI und der Ergänzenden Vorschrift 3 die Tatsache, dass die Daten aus der Europäischen Union stammen, und den Zweck der ursprünglichen Datenübermittlung). Diese Maßnahme zielt unter anderem darauf ab, die Rechtmäßigkeit der Datenverarbeitung in der gesamten Kette der PIHBO, die die personenbezogenen Daten handhaben, zu gewährleisten. Ferner sind PIHBO nach Artikel 26 Absatz 3 APPI verpflichtet, das Empfangsdatum und die von dem Dritten nach Absatz 1 erhaltenen (vorgeschriebenen) Informationen sowie den Namen der betroffenen Person, die Kategorien der verarbeiteten Daten und, soweit relevant, die Tatsache zu dokumentieren, dass die betroffene Person in die Weitergabe ihrer personenbezogenen Daten eingewilligt hat. Nach Artikel 18 der PPC-Leitlinien müssen diese Aufzeichnungen je nach den Umständen mindestens ein bis drei Jahre aufbewahrt werden. Im Rahmen der Erfüllung ihrer Aufgaben kann die PPC die Vorlage dieser Aufzeichnungen verlangen (39).

(72)

PIHBO müssen Beschwerden betroffener Personen über die Verarbeitung ihrer personenbezogenen Informationen umgehend und angemessen bearbeiten. Um die Bearbeitung von Beschwerden zu erleichtern, müssen sie ein „für die Erreichung [dieses] Zwecks erforderliches System“ einrichten, was voraussetzt, dass sie innerhalb ihrer Organisation geeignete Verfahren einführen (z. B. Zuweisung von Verantwortlichkeiten oder Einrichtung einer Anlaufstelle).

(73)

Außerdem schafft das APPI einen Rahmen für die Beteiligung von Branchenverbänden an der Sicherstellung eines hohen Konformitätsniveaus (siehe Kapitel IV Abschnitt 4). Die Rolle dieser akkreditierten Organisationen für den Schutz personenbezogener Informationen (40) besteht darin, den Schutz personenbezogener Informationen zu fördern, indem sie Unternehmen mit ihrem Fachwissen unterstützen, aber auch zur Umsetzung von Garantien beizutragen, insbesondere durch die Bearbeitung einzelner Beschwerden und die Unterstützung bei der Lösung damit zusammenhängender Konflikte. Zu diesem Zweck können sie die beteiligten PIHBO gegebenenfalls auffordern, die notwendigen Maßnahmen durchzuführen (41). Ferner müssen PHIBO im Falle von Datenschutzverletzungen oder anderen Sicherheitsvorfällen grundsätzlich die PPC und die betroffene Person (oder die Öffentlichkeit) informieren und die notwendigen Maßnahmen treffen, um unter anderem den Schaden zu minimieren und ähnliche Vorfälle zu verhindern (42). Obwohl es sich hierbei um freiwillige Regelungen handelt, waren am 10. August 2017 44 Organisationen bei der PPC gelistet, von denen die größte das Japan Information Processing and Development Center (JIPDEC) war, dem allein 15 436 teilnehmende Unternehmer (43) angehören. Akkreditiert sind auch Branchenverbände wie die Japan Securities Dealers Association, die Japan Association of Car Driving Schools oder die Association of Marriage Brokers (44).

(74)

Die akkreditierten Organisationen für den Schutz personenbezogener Informationen müssen jährlich Bericht über ihre Tätigkeit erstatten. Nach der von der PPC veröffentlichten „Übersicht über den Stand der Umsetzung des APPI im Geschäftsjahr 2015“ gingen bei den akkreditierten Organisationen für den Schutz personenbezogener Informationen insgesamt 442 Beschwerden ein; sie verlangten 123 Erklärungen von Unternehmern in ihrem Zuständigkeitsbereich, forderten in 41 Fällen Unterlagen von diesen Unternehmern an, gaben 181 Anweisungen und sprachen zwei Empfehlungen aus (45).

(75)

Das Schutzniveau für personenbezogene Daten, die aus der Europäischen Union an Unternehmer in Japan übermittelt werden, darf nicht durch die Weiterübermittlung dieser Daten an Empfänger in einem Drittland außerhalb Japans beeinträchtigt werden. Solche Weiterübermittlungen, die aus Sicht des japanischen Unternehmers internationale Übermittlungen aus Japan darstellen, sollten nur dann zulässig sein, wenn der spätere Empfänger außerhalb Japans selbst Vorschriften unterliegt, die ein ähnliches Schutzniveau gewährleisten, wie es in der japanischen Rechtsordnung garantiert ist.

(76)

Eine erste Schutzmaßnahme ist in Artikel 24 APPI verankert, der die Übermittlung personenbezogener Daten an einen Dritten außerhalb des Hoheitsgebiets Japans ohne vorherige Einwilligung der betroffenen Person grundsätzlich verbietet. Durch die Ergänzende Vorschrift 4 wird sichergestellt, dass diese Einwilligung bei Datenübermittlungen aus der Europäischen Union in voller Kenntnis der Sachlage gegeben wird, da der betroffenen Person „die Informationen über die Umstände der Übermittlung zur Verfügung gestellt werden, die erforderlich sind, damit der Betroffene eine Entscheidung über seine Einwilligung treffen kann“. Auf dieser Grundlage ist die betroffene Person davon in Kenntnis zu setzen, dass die Daten ins Ausland (außerhalb des Anwendungsbereichs des APPI) übermittelt werden, und über das jeweilige Bestimmungsland zu informieren. Dies ermöglicht es ihr, das mit der Übermittlung verbundene Risiko für die Privatsphäre zu bewerten. Wie aus Artikel 23 APPI abgeleitet werden kann (siehe Erwägungsgrund 47), sollten die für den Betroffenen bereitgestellten Informationen auch die in Absatz 2 vorgeschriebenen Angaben umfassen, nämlich die Kategorien personenbezogener Daten, die einem Dritten zur Verfügung gestellt werden, und die Offenlegungsmethode.

(77)

Artikel 24 APPI sieht in Verbindung mit Artikel 11-2 der PPC-Leitlinien mehrere Ausnahmen von dieser auf Einwilligung beruhenden Vorschrift vor. Zudem gelten die Ausnahmeregelungen des Artikels 23 Absatz 1 APPI nach Artikel 24 auch für internationale Datenübermittlungen (46).

(78)

Um die Kontinuität des Schutzes im Falle der Übermittlung personenbezogener Daten aus der Europäischen Union nach Japan auf der Grundlage dieses Beschlusses zu gewährleisten, wird mit der Ergänzenden Vorschrift 4 das Schutzniveau für Weiterübermittlungen dieser Daten durch den PIHBO an einen Empfänger in einem Drittland erhöht. Dies geschieht durch Beschränkung und Präzisierung der Grundlagen für internationale Übermittlungen, die der PIHBO als Alternative zur Einwilligung nutzen kann. So können nach diesem Beschluss übermittelte personenbezogene Daten unbeschadet der Ausnahmeregelungen des Artikels 23 Absatz 1 APPI nur in zwei Fällen ohne Einwilligung (weiter)übermittelt werden: i) wenn die Daten in ein Drittland übermittelt werden, dessen Datenschutzniveau von der PPC nach Artikel 24 APPI als dem in Japan garantierten Schutzniveau gleichwertig eingestuft wurde (47), oder ii) wenn der PIHBO und der Dritte (Empfänger) gemeinsam durch Vertrag, andere Formen verbindlicher Vereinbarungen oder verbindliche Regelungen innerhalb einer Unternehmensgruppe Maßnahmen getroffen haben, die ein Schutzniveau bieten, das dem des APPI in Verbindung mit den Ergänzenden Vorschriften gleichwertig ist. Die zweite Kategorie entspricht den Instrumenten, die nach der Verordnung (EU) 2016/679 verwendet werden, um für geeignete Garantien zu sorgen (insbesondere Vertragsklauseln und verbindliche interne Datenschutzvorschriften). Zudem unterliegt die Übermittlung, wie die PPC bestätigt hat, auch in diesen Fällen weiterhin den allgemeinen Vorschriften, die für die Bereitstellung personenbezogener Daten für einen Dritten nach dem APPI gelten (d. h. Pflicht zur Einholung der Einwilligung nach Artikel 23 Absatz 1 oder alternativ Informationspflicht mit der Möglichkeit, eine Ausnahmeregelung in Anspruch zu nehmen, nach Artikel 23 Absatz 2 APPI). Falls die betroffene Person nicht zu erreichen ist, um sie um Einwilligung zu ersuchen oder ihr die erforderlichen Vorabinformationen nach Artikel 23 Absatz 2 APPI zur Verfügung zu stellen, darf die Übermittlung nicht stattfinden.

(79)

Abgesehen von den Fällen, in denen die PPC festgestellt hat, dass das betreffende Drittland ein dem Schutzniveau des APPI gleichwertiges Schutzniveau gewährleistet (48), schließen die in der Ergänzenden Vorschrift 4 festgelegten Anforderungen daher den Einsatz von Übermittlungsinstrumenten aus, die keine rechtsverbindlichen Beziehungen zwischen dem japanischen Datenexporteur und dem Datenimporteur des Drittlands begründen und nicht das erforderliche Schutzniveau gewährleisten. Dies ist beispielsweise beim System grenzüberschreitender Vorschriften zur Wahrung der Privatsphäre (Cross Border Privacy Rules (CBPR) System) der APEC der Fall, an dem Japan beteiligt ist (49), da der Schutz sich in diesem System nicht aus einer Regelung ergibt, die den Exporteur und den Importeur im Rahmen ihrer bilateralen Beziehungen bindet, und sich eindeutig auf einem niedrigeren Niveau bewegt sind als dem, das durch das APPI im Verbindung mit den Ergänzenden Vorschriften gewährleistet ist (50).

(80)

Und schließlich ergibt sich aus den Artikeln 20 und 22 APPI eine weitere Garantie im Falle von (Weiter-)Übermittlungen. Nach diesen Bestimmungen muss der PIHBO (Datenexporteur), wenn ein Drittlandunternehmer (Datenimporteur) in seinem Namen — d. h. als (Unter-)Verarbeiter — handelt, die Aufsicht über den Drittlandunternehmer in Bezug auf die Sicherheit der Datenverarbeitung gewährleisten.

(81)

Wie das EU-Datenschutzrecht gewährt auch das APPI Einzelpersonen eine Reihe durchsetzbarer Rechte. Hierzu gehören das Recht auf Auskunft („Offenlegung“), Berichtigung und Löschung sowie das Recht auf Widerspruch („Beendigung der Verwendung“).

(82)

Erstens hat die betroffene Person nach Artikel 28 Absätze 1 und 2 APPI das Recht, von einem PIHBO zu verlangen, „gespeicherte personenbezogene Daten, anhand deren sie identifiziert werden kann, offenzulegen“, und der PIHBO muss nach Eingang eines solchen Antrags der betroffenen Person die „gespeicherten personenbezogenen Daten offenlegen“. Artikel 29 (Recht auf Berichtigung) und 30 (Recht auf Beendigung der Verwendung) sind wie Artikel 28 aufgebaut.

(83)

Nach Artikel 9 der Kabinettsverordnung muss die Offenlegung personenbezogener Informationen nach Artikel 28 Absatz 2 APPI schriftlich erfolgen, es sei denn, der PIHBO und die betroffene Person haben etwas anderes vereinbart.

(84)

Für diese Rechte gelten drei Arten von Beschränkungen; sie betreffen die Rechte und Interessen des Einzelnen oder Dritter (51), eine erhebliche Beeinträchtigung des Geschäftsbetriebs des PIHBO (52) sowie Fälle, in denen die Offenlegung gegen andere Gesetze oder Verordnungen verstoßen würde (53). Die Situationen, in denen diese Beschränkungen Anwendung finden, ähneln einigen der Ausnahmen, die nach Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 gelten, dem zufolge Beschränkungen der Rechte des Einzelnen im Hinblick auf „den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“ oder „den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses“ zulässig sind. Die Kategorie der Fälle, in denen die Offenlegung gegen „andere Gesetze oder Verordnungen“ verstoßen würde, mag zwar weit gefasst erscheinen, die Gesetze und Verordnungen, die entsprechende Beschränkungen vorsehen, müssen jedoch das verfassungsmäßige Recht auf Privatsphäre achten und dürfen Beschränkungen nur auferlegen, soweit die Ausübung des betreffenden Rechts „das Gemeinwohl beeinträchtigen“ würde (54). Dies erfordert eine Abwägung der betroffenen Interessen.

(85)

Nach Artikel 28 Absatz 3 APPI ist die betroffene Person unverzüglich zu informieren, wenn die angeforderten Daten nicht vorhanden sind oder wenn der betreffende PIHBO beschließt, keine Auskunft über die gespeicherte Daten zu erteilen.

(86)

Zweitens hat die betroffene Person nach Artikel 29 Absätze 1 und 2 APPI das Recht, die Berichtigung, Ergänzung oder Löschung ihrer gespeicherten personenbezogenen Daten zu verlangen, wenn die Daten unrichtig sind. Nach Erhalt eines solchen Antrags muss der PIHBO „die notwendige Untersuchung durchführen“ und auf der Grundlage des Ergebnisses dieser Untersuchung „eine Berichtigung usw. des Inhalts der gespeicherten Daten vornehmen“.

(87)

Drittens hat die betroffene Person nach Artikel 30 Absätze 1 und 2 APPI das Recht, von einem PIHBO die Beendigung der Verwendung personenbezogener Informationen oder die Löschung dieser Informationen zu verlangen, wenn sie unter Verstoß gegen Artikel 16 (Zweckbindung) gehandhabt oder unter Verstoß gegen Artikel 17 APPI in unzulässiger Weise (durch Täuschung, andere unzulässige Mittel oder, im Falle sensibler Daten, ohne Einwilligung) erworben wurden. Ebenso hat die Person nach Artikel 30 Absätze 3 und 4 APPI das Recht, vom PIHBO zu verlangen, die Weitergabe der Informationen an einen Dritten zu beenden, wenn diese gegen Artikel 23 Absatz 1 oder Artikel 24 APPI (Weitergabe an Dritte, einschließlich internationaler Übermittlungen) verstößt.

(88)

Wenn der Antrag begründet ist, hat der PIHBO unverzüglich die Verwendung der Daten oder die Weitergabe an Dritte einzustellen, soweit dies zur Behebung der Verletzung erforderlich ist, oder, wenn ein Fall unter eine Ausnahme fällt (insbesondere wenn die Einstellung der Verwendung besonders hohe Kosten verursachen würde) (55), die notwendigen alternativen Maßnahmen zum Schutz der Rechte und Interessen der betroffenen Person zu ergreifen.

(89)

Anders als das EU-Recht enthalten das APPI und die einschlägigen untergesetzlichen Vorschriften keine gesetzlichen Bestimmungen, die sich speziell mit der Möglichkeit befassen, der Verarbeitung für Direktwerbungszwecke zu widersprechen. Eine solche Verarbeitung wird nach diesem Beschluss jedoch im Zusammenhang mit einer Übermittlung personenbezogener Daten erfolgen, die zuvor in der Europäischen Union erhoben wurden. Nach Artikel 21 Absatz 2 der Verordnung (EU) 2016/679 hat die betroffene Person jederzeit die Möglichkeit, Widerspruch gegen eine Übermittlung von Daten für den Zweck der Verarbeitung für die Direktwerbung einzulegen. Wie in Erwägungsgrund 43 dargelegt, ist ein PIHBO nach der Ergänzenden Vorschrift 3 zudem verpflichtet, die auf der Grundlage des Beschlusses erhaltenen Daten zu dem gleichen Zweck zu verarbeiten, zu dem sie aus der Europäischen Union übermittelt wurden, es sei denn, die betroffene Person willigt in eine Änderung des Verwendungszwecks ein. Ist die Übermittlung zu einem anderen Zweck als dem der Direktwerbung erfolgt, so ist es einem PIHBO in Japan also untersagt, die Daten ohne Einwilligung der betroffenen Person aus der EU zum Zwecke der Direktwerbung zu verarbeiten.

(90)

In allen in den Artikeln 28 und 29 APPI genannten Fällen ist der PIHBO verpflichtet, die betroffene Person unverzüglich über das Ergebnis ihrer Anfrage zu informieren und darüber hinaus jede (vollständige oder teilweise) Ablehnung aufgrund der in den Artikeln 27 bis 30 vorgesehenen gesetzlichen Ausnahmen zu begründen (Artikel 31 APPI).

(91)

Was die Voraussetzungen für die Einreichung einer Anfrage betrifft, so ist es dem PIHBO nach Artikel 32 APPI (in Verbindung mit der Kabinettsverordnung) gestattet, geeignete Verfahren festzulegen, auch im Hinblick auf die Informationen, die zur Identifizierung der gespeicherten personenbezogenen Daten erforderlich sind. Nach Absatz 4 des genannten Artikels dürfen die PIHBO jedoch „einem Betroffenen keine übermäßige Belastung“ auferlegen. In bestimmten Fällen können die PIHBO auch Gebühren erheben, solange der Betrag „in dem Rahmen bleibt, der unter Berücksichtigung der tatsächlichen Kosten als angemessen angesehen wird“ (Artikel 33 APPI).

(92)

Schließlich kann die Person gegen die Weitergabe ihrer personenbezogenen Informationen an einen Dritten nach Artikel 23 Absatz 2 APPI Widerspruch einlegen oder die Einwilligung nach Artikel 23 Absatz 1 verweigern (wodurch die Offenlegung verhindert wird, falls keine andere Rechtsgrundlage verfügbar ist). Ebenso kann die betroffene Person die Verarbeitung von Daten zu einem anderen Zweck unterbinden, indem sie sich weigert, die Einwilligung nach Artikel 16 Absatz 1 APPI zu erteilen.

(93)

Anders als das EU-Recht enthalten das APPI und die entsprechenden untergesetzlichen Vorschriften keine allgemeinen Bestimmungen, die sich mit der Problematik von Entscheidungen befassen, die sich auf die betroffene Person auswirken und ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruhen. Diese Frage wird jedoch in bestimmten in Japan geltenden sektorspezifischen Vorschriften behandelt, die für diese Art der Verarbeitung besonders relevant sind. Dazu gehören auch Sektoren, in denen Unternehmen mit hoher Wahrscheinlichkeit auf die automatisierte Verarbeitung personenbezogener Daten zurückgreifen, um Entscheidungen zu fällen, die Einzelpersonen betreffen (z. B. der Finanzsektor). So wird beispielsweise im Rahmen der im Juni 2017 überarbeiteten „Umfassenden Leitlinien für die Aufsicht über Großbanken“ verlangt, dass dem Betreffenden konkrete Erläuterungen zu den Gründen für die Ablehnung eines Antrags auf Abschluss eines Kreditvertrags vorgelegt werden. Diese Vorschriften bieten somit Schutz in den wahrscheinlich eher seltenen Fällen, in denen automatisierte Entscheidungen vom „importierenden“ japanischen Unternehmer selbst (und nicht vom „exportierenden“ Verantwortlichen in der EU) getroffen werden.

(94)

In jedem Fall wird bei personenbezogenen Daten, die in der Europäischen Union erhoben wurden, jede Entscheidung, die auf einer automatisierten Verarbeitung beruht, typischerweise vom Verantwortlichen in der Union getroffen (der eine direkte Beziehung zu der betroffenen Person unterhält) und unterliegt somit der Verordnung (EU) 2016/679 (56). Dazu gehören auch Übermittlungsszenarien, bei denen die Verarbeitung von einem ausländischen (z. B. japanischen) Unternehmer vorgenommen wird, der als Beauftragter (Auftragsverarbeiter) im Namen des Verantwortlichen in der EU (oder als Unter-Auftragsverarbeiter im Namen des Auftragsverarbeiters in der EU, der die Daten von einem Verantwortlichen in der EU erhalten hat, der sie erhoben hat) handelt, der dann auf dieser Grundlage die Entscheidung trifft. Daher ist es unwahrscheinlich, dass das Fehlen besonderer Vorschriften für die automatisierte Entscheidungsfindung im APPI das Schutzniveau der nach diesem Beschluss übermittelten personenbezogenen Daten beeinträchtigt.

(95)

Um sicherzustellen, dass auch in der Praxis ein angemessenes Datenschutzniveau gewährleistet ist, sollte eine unabhängige Aufsichtsbehörde mit der Befugnis zur Überwachung und Durchsetzung der Einhaltung der Datenschutzvorschriften eingerichtet werden. Diese Behörde sollte bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse vollkommen unabhängig und unparteiisch handeln.

(96)

In Japan ist die Behörde, die für die Überwachung und Durchsetzung des APPI zuständig ist, die PPC. Sie besteht aus einem Vorsitzenden und acht Kommissionsmitgliedern, die vom Premierminister mit Zustimmung der beiden Häuser des Parlaments ernannt werden. Die Amtszeit des Vorsitzenden und der einzelnen Kommissionsmitglieder beträgt fünf Jahre; eine Wiederernennung ist möglich (Artikel 64 APPI). Die Kommissionsmitglieder können nur aus wichtigem Grund in einer begrenzten Zahl von Ausnahmefällen (57) entlassen werden und dürfen sich nicht aktiv politisch betätigen. Zudem dürfen die auf Vollzeitbasis tätigen Kommissionsmitglieder nach dem APPI keine anderen vergüteten Tätigkeiten oder Geschäftstätigkeiten ausüben. Alle Kommissionsmitglieder unterliegen auch internen Vorschriften, die ihnen im Falle eines möglichen Interessenkonflikts die Teilnahme an den Beratungen untersagen. Die PPC wird von einem Sekretariat unterstützt, das von einem Generalsekretär geleitet wird und zur Erfüllung der ihr übertragenen Aufgaben eingerichtet wurde (Artikel 70 APPI). Sowohl die Kommissionsmitglieder als auch alle Beamten des Sekretariats sind an strenge Geheimhaltungsregeln gebunden (Artikel 72 und 82 APPI).

(97)

Die Befugnisse der PPC, die diese in vollständiger Unabhängigkeit ausübt (58), sind im Wesentlichen in den Artikeln 40, 41 und 42 APPI geregelt. Nach Artikel 40 kann die PPC die PIHBO auffordern, über die Verarbeitungsprozesse Bericht zu erstatten oder Unterlagen einzureichen, und auch Kontrollen sowohl vor Ort als auch von Büchern oder anderen Dokumenten durchführen. Soweit es für die Durchsetzung des APPI erforderlich ist, kann die PPC den PIHBO ferner Orientierungshilfen oder Empfehlungen in Bezug auf die Handhabung personenbezogener Informationen zur Verfügung stellen. Von dieser Befugnis nach Artikel 41 APPI hat die PPC bereits nach den Enthüllungen rund um Facebook/Cambridge Analytica Gebrauch gemacht und Orientierungshilfen an Facebook gerichtet.

(98)

Insbesondere ist die PPC im Einzelfall befugt, aufgrund einer Beschwerde oder von Amts wegen zur Durchsetzung des APPI und anderer verbindlicher Vorschriften (einschließlich der Ergänzenden Vorschriften) Empfehlungen auszusprechen und Anordnungen zu erlassen. Diese Befugnisse sind in Artikel 42 APPI festgelegt. Während die Absätze 1 und 2 einen zweistufigen Mechanismus vorsehen, nach dem die PPC eine Anordnung (nur) erlassen kann, wenn ihr eine Empfehlung vorausgeht, ermöglicht Absatz 3 in dringenden Fällen den direkten Erlass einer Anordnung.

(99)

Obgleich nicht alle Bestimmungen des Kapitels IV Abschnitt 1 des APPI in Artikel 42 Absatz 1 aufgeführt sind — der auch den Anwendungsbereich von Artikel 42 Absatz 2 regelt —, kann dies damit begründet werden, dass einige dieser Bestimmungen keine Verpflichtungen des PIHBO (59) betreffen und dass alle wesentlichen Schutzmaßnahmen bereits durch andere Bestimmungen gewährleistet sind, die in dieser Liste enthalten sind. So wird zwar z. B. Artikel 15 (wonach der PIHBO verpflichtet ist, den Verwendungszweck festzulegen und die relevanten personenbezogenen Informationen ausschließlich in diesem Umfang zu verarbeiten) nicht erwähnt, die Nichtbeachtung dieser Bestimmung kann jedoch zu einer Empfehlung führen, die auf einem Verstoß gegen Artikel 16 Absatz 1 beruht (wonach es dem PIHBO untersagt ist, personenbezogene Informationen über das für die Erreichung des Verwendungszwecks erforderliche Maß hinaus zu verarbeiten, es sei denn, er holt die Zustimmung der betroffenen Person ein) (60). Eine weitere Bestimmung, die nicht in Artikel 42 Absatz 1 aufgeführt ist, ist Artikel 19 APPI über Datengenauigkeit und -speicherung. Die Nichteinhaltung dieser Bestimmung kann entweder als Verstoß gegen Artikel 16 Absatz 1 oder als Verstoß gegen Artikel 29 Absatz 2 geltend gemacht werden, wenn die betroffene Person die Berichtigung oder Löschung fehlerhafter oder unverhältnismäßig umfangreicher Daten verlangt und der PIHBO sich weigert, dieser Anfrage nachzukommen. Was die Rechte der betroffenen Person nach Artikel 28 Absatz 1, Artikel 29 Absatz 1 und Artikel 30 Absatz 1 betrifft, so wird die Aufsicht durch die PPC dadurch gewährleistet, dass ihr Durchsetzungsbefugnisse im Hinblick auf die entsprechenden in diesen Artikeln festgelegten Pflichten des PIHBO übertragen werden.

(100)

Nach Artikel 42 Absatz 1 APPI kann die PPC, wenn sie einen „Schutzbedarf für die Rechte und Interessen des Einzelnen in Fällen feststellt, in denen ein“ PIHBO gegen bestimmt Bestimmungen des APPI „verstoßen hat“, eine Empfehlung zur „Unterlassung der Verletzung aussprechen oder andere notwendige Maßnahmen zur Behebung der Verletzung ergreifen“. Eine solche Empfehlung ist nicht verbindlich, gibt jedoch den Weg frei für eine verbindliche Anordnung nach Artikel 42 Absatz 2 APPI. Wird der Empfehlung „ohne berechtigten Grund“ nicht nachgekommen und stellt die PPC „fest, dass eine schwerwiegende Verletzung der Rechte und Interessen einer Person unmittelbar bevorsteht“, kann sie den PIHBO anweisen, im Einklang mit der Empfehlung tätig zu werden.

(101)

In den Ergänzenden Vorschriften sind die Durchsetzungsbefugnisse der PPC genauer ausgeführt und umfangreicher gestaltet. Insbesondere wird die PPC in Fällen, in denen es sich um aus der Europäischen Union importierte Daten handelt, die Nichtbeachtung einer Empfehlung seitens des PIHBO nach Artikel 42 Absatz 1 ohne berechtigten Grund immer als schwerwiegende, unmittelbare Verletzung der Rechte und Interessen einer Person im Sinne des Artikels 42 Absatz 2 betrachten und damit als Verletzung, die die Erteilung einer verbindlichen Anordnung rechtfertigt. Darüber hinaus akzeptiert die PPC als „berechtigten Grund“ für die Nichtbeachtung einer Empfehlung nur ein „außergewöhnliches Ereignis, [das die Einhaltung verhindert] und außerhalb der Kontrolle des [PIHBO] liegt und nicht in zumutbarer Weise vorhergesehen werden kann (z. B. Naturkatastrophen)“, oder Fälle, in denen die Notwendigkeit, im Zusammenhang mit einer Empfehlung Maßnahmen zu ergreifen, „nicht mehr besteht, weil der [PIHBO] alternative Maßnahmen ergriffen hat, mit denen die Verletzung vollständig behoben wurde“.

(102)

Die Nichtbeachtung einer Anordnung der PPC gilt nach Artikel 84 APPI als Straftat, und ein für schuldig befundener PIHBO kann mit einem mit Zwangsarbeit verbundenen Freiheitsentzug von bis zu sechs Monaten oder einer Geldstrafe von bis zu 300 000 Yen belegt werden. Darüber hinaus kann nach Artikel 85 Ziffer i APPI die mangelnde Zusammenarbeit mit der PPC oder die Behinderung ihrer Ermittlungen mit einer Geldstrafe von bis zu 300 000 Yen geahndet werden. Diese strafrechtlichen Sanktionen werden zusätzlich zu den Sanktionen angewendet, die wegen erheblicher Verstöße gegen das APPI verhängt werden können (siehe Erwägungsgrund 108).

(103)

Um einen angemessenen Schutz und insbesondere die Durchsetzung der Rechte des Einzelnen zu gewährleisten, sollten der betroffenen Person wirksame behördliche und gerichtliche Rechtsbehelfe, einschließlich Schadensersatz, zur Verfügung stehen.

(104)

Vor oder anstelle der Geltendmachung eines behördlichen oder gerichtlichen Rechtsbehelfs kann sich eine Einzelperson dazu entschließen, eine Beschwerde über die Verarbeitung ihrer personenbezogenen Daten an den Verantwortlichen selbst zu richten. Auf der Grundlage des Artikels 35 APPI müssen sich die PIHBO bemühen, solche Beschwerden „angemessen und umgehend“ zu bearbeiten, und interne Systeme für die Bearbeitung von Beschwerden einrichten, um dieses Ziel zu erreichen. Darüber hinaus ist die PPC nach Artikel 61 Ziffer ii APPI für „die notwendige Mediation in Bezug auf eine eingereichte Beschwerde und die Zusammenarbeit, die dem die Beschwerde bearbeitenden Unternehmer angeboten wird“, verantwortlich, was in beiden Fällen auch für Beschwerden von Ausländern gilt. In diesem Zusammenhang hat der japanische Gesetzgeber auch die Zentralregierung mit der Aufgabe betraut, die „notwendigen Maßnahmen“ zu treffen, um die Beilegung von Streitigkeiten durch PIHBO zu ermöglichen und zu erleichtern (Artikel 9), während die lokalen Regierungen in solchen Fällen für eine Mediation sorgen müssen (Artikel 13). In diesem Zusammenhang können Einzelpersonen eine Beschwerde bei einem der mehr als 1 700 Verbraucherzentren einreichen, die von den lokalen Regierungen auf der Grundlage des „Consumer Safety Act“ (61) eingerichtet wurden; hinzu kommt die Möglichkeit, eine Beschwerde beim National Consumer Affairs Centre of Japan einzureichen. Eine solche Beschwerde ist auch im Zusammenhang mit einem Verstoß gegen das APPI möglich. Nach Artikel 19 des „Basic Consumer Act“ (62) müssen sich die lokalen Regierungen bemühen, bei Beschwerden eine Mediation einzuleiten und den Parteien das erforderliche Fachwissen zur Verfügung zu stellen. Diese Mechanismen zur Schlichtung von Streitigkeiten scheinen mit einer Schlichtungsrate von 91,2 % für mehr als 75 000 Beschwerdefälle im Jahr 2015 sehr effektiv zu sein.

(105)

Verstöße eines PIHBO gegen die Bestimmungen des APPI können zivilrechtliche Klagen sowie Strafverfahren und Sanktionen nach sich ziehen. Erstens kann eine Person, wenn sie der Ansicht ist, dass ihre Rechte nach den Artikeln 28, 29 und 30 APPI verletzt wurden, Unterlassungsansprüche geltend machen, indem sie das Gericht auffordert, einen PIHBO anzuweisen, ihrem Antrag nach einer dieser Bestimmungen nachzukommen, d. h. gespeicherte personenbezogene Daten offenzulegen (Artikel 28), falsche gespeicherte personenbezogene Daten zu berichtigen (Artikel 29) oder die rechtswidrige Verarbeitung oder Weitergabe an Dritte einzustellen (Artikel 30). Eine solche Klage kann ohne Bezugnahme auf Artikel 709 des Bürgerlichen Gesetzbuches (63) oder auf das Deliktsrecht (64) erhoben werden. Das bedeutet insbesondere, dass der Einzelne keinen Schaden nachweisen muss.

(106)

Zweitens kann die betroffene Person, wenn eine mutmaßliche Verletzung nicht die Rechte des Einzelnen nach den Artikeln 28, 29 und 30, sondern allgemeine Datenschutzgrundsätze oder -pflichten des PIHBO betrifft, eine Zivilklage gegen den Unternehmer auf der Grundlage der deliktsrechtlichen Bestimmungen des japanischen Bürgerlichen Gesetzbuches, insbesondere des Artikels 709, einreichen. Zwar ist für eine Klage nach Artikel 709 neben dem Verschulden (Vorsatz oder Fahrlässigkeit) ein Nachweis für einen Schaden erforderlich, dieser kann jedoch nach Artikel 710 des Bürgerlichen Gesetzbuches sowohl materiell als auch immateriell sein. Die Höhe des Schadensersatzes ist nicht begrenzt.

(107)

Was die verfügbaren Rechtsbehelfe betrifft, so ist in Artikel 709 des japanischen Bürgerlichen Gesetzbuches eine finanzielle Entschädigung vorgesehen. In der japanischen Rechtsprechung wurde dieser Artikel jedoch so ausgelegt, dass er auch das Recht verleiht, eine einstweilige Verfügung zu erwirken (65). Wenn eine betroffene Person somit eine Klage nach Artikel 709 des Bürgerlichen Gesetzbuches einreicht und geltend macht, dass ihre Rechte oder Interessen durch einen Verstoß des Beklagten gegen eine Bestimmung des APPI verletzt wurden, kann diese Klage neben einem Schadensersatzanspruch auch einen Antrag auf Unterlassung umfassen, insbesondere mit dem Ziel, jede rechtswidrige Verarbeitung zu unterbinden.

(108)

Drittens hat eine betroffene Person neben zivilrechtlichen (deliktsrechtlichen) Rechtsbehelfen auch die Möglichkeit, bei einem Staatsanwalt oder einem Kriminalbeamten Beschwerde gegen APPI-Verletzungen einzureichen, die zu strafrechtlichen Sanktionen führen können. Kapitel VII des APPI enthält eine Reihe von strafrechtlichen Bestimmungen. Die wichtigste dieser Bestimmungen (Artikel 84) betrifft die Nichtbeachtung von Anordnungen der PPC nach Artikel 42 Absätze 2 und 3 durch den PIHBO. Kommt ein Unternehmer einer Anordnung der PPC nicht nach, kann der PPC-Vorsitzende (sowie jeder andere Regierungsbeamte) (66) den Fall an die Staatsanwaltschaft oder die Kriminalpolizei weiterleiten und so die Einleitung eines Strafverfahrens anstoßen. Ein Verstoß gegen eine Anordnung der PPC wird mit einem mit Zwangsarbeit verbundenen Freiheitsentzug von bis zu sechs Monaten oder mit einer Geldstrafe von bis zu 300 000 Yen geahndet. Weitere Bestimmungen des APPI, die Sanktionen bei APPI-Verstößen im Hinblick auf die Rechte und Interessen von betroffenen Personen vorsehen, sind Artikel 83 APPI (über die „Weitergabe oder heimliche Verwendung“ einer Datenbank mit personenbezogenen Informationen „zum Zwecke der Erzielung … illegaler Gewinne“) und Artikel 88 Ziffer i APPI (über die Unterlassung einer ordnungsgemäßen Unterrichtung des PIHBO durch einen Dritten, wenn dieser nach Artikel 26 Absatz 1 APPI personenbezogene Daten erhält, insbesondere über die Einzelheiten des vorherigen eigenen Erwerbs dieser Daten durch den Dritten). Das anwendbare Strafmaß für solche Verstöße gegen das APPI sind jeweils ein mit Zwangsarbeit verbundener Freiheitsentzug von bis zu einem Jahr oder eine Geldstrafe von bis zu 500 000 Yen (im Falle von Artikel 83) oder eine Geldbuße von bis zu 100 000 Yen (im Falle von Artikel 88 Ziffer i). Zwar dürfte bereits die Androhung einer strafrechtlichen Sanktion eine starke abschreckende Wirkung auf die die Verarbeitungsvorgänge des PIHBO leitende Geschäftsführung und die die Daten handhabenden Einzelpersonen haben, jedoch stellt Artikel 87 APPI klar, dass, wenn ein Vertreter, Arbeitnehmer oder sonstiger Mitarbeiter einer juristischen Person einen Verstoß nach den Artikeln 83 bis 85 APPI begangen hat, „der Täter bestraft und eine in den einschlägigen Artikeln festgelegte Geldstrafe gegen die genannte juristische Person verhängt wird“. In diesem Fall kann sowohl der Arbeitnehmer als auch das Unternehmen mit Sanktionen bis zum vollen Höchstbetrag belegt werden.

(109)

Schließlich können Einzelpersonen auch Rechtsbehelfe gegen die Handlungen oder Unterlassungen der PPC einlegen. In dieser Hinsicht bietet das japanische Recht mehrere Möglichkeiten der behördlichen und gerichtlichen Rechtsbehelfe.

(110)

Ist eine Einzelperson mit der Vorgehensweise der PPC nicht einverstanden, so kann sie nach dem Verwaltungsbeschwerdeprüfungsgesetz (67) einen verwaltungsbehördlichen Rechtsbehelf einlegen. Umgekehrt kann eine Einzelperson, wenn die PPC ihrer Ansicht nach hätte handeln sollen, dies aber nicht getan hat, die PPC nach Artikel 36-3 dieses Gesetzes ersuchen, eine Anordnung zu erlassen oder eine behördliche Richtlinie bereitzustellen, wenn sie der Ansicht ist, dass „eine Anordnung oder eine behördliche Richtlinie, die für die Behebung der Verletzung erforderlich ist, nicht erlassen oder durchgesetzt worden ist“.

(111)

Was Rechtsbehelfe angeht, so kann eine Einzelperson, die mit einer behördlichen Verfügung der PPC nicht einverstanden ist, nach dem Verwaltungsrechtsstreitigkeitengesetz eine Mandamus-Klage (68) erheben, mit der sie das Gericht ersucht, die PPC anzuweisen, weitere Maßnahmen zu treffen (69). In bestimmten Fällen kann das Gericht auch eine einstweilige Anordnung im Mandamus-Verfahren erlassen, um einen nicht wiedergutzumachenden Schaden zu verhindern (70). Darüber hinaus kann eine Einzelperson nach demselben Gesetz die Aufhebung eines Beschlusses der PPC beantragen (71).

(112)

Schließlich kann eine Person auch eine Klage auf staatlichen Schadensersatz gegen die PPC nach Artikel 1 Absatz 1 des Staatshaftungsgesetzes erheben, wenn ihr ein Schaden entstanden ist, weil eine von der PPC an einen Unternehmer gerichtete Anordnung rechtswidrig war oder die PPC ihre Befugnisse nicht ausgeübt hat.

(113)

Die Kommission hat auch die Beschränkungen und Garantien bewertet, einschließlich der Kontrollmechanismen und der Rechtsbehelfe für den Einzelnen, die nach japanischem Recht in Bezug auf die Erhebung und nachfolgende Verwendung personenbezogener Daten, die Unternehmern in Japan von Behörden im öffentlichen Interesse übermittelt werden, insbesondere zur Strafverfolgung und zur nationalen Sicherheit (im Folgenden „staatlicher Zugriff“), verfügbar sind. In diesem Zusammenhang hat die japanische Regierung der Kommission offizielle Erklärungen, Zusicherungen und Verpflichtungen zukommen lassen, die auf höchster Minister- und Behördenebene unterzeichnet wurden und in Anhang II dieses Beschlusses enthalten sind.

(114)

Als eine Form der Ausübung öffentlicher Gewalt muss der staatliche Zugriff in Japan in voller Übereinstimmung mit dem Gesetz erfolgen (Legalitätsprinzip). In diesem Zusammenhang enthält die japanische Verfassung Bestimmungen, die die Erhebung personenbezogener Daten durch Behörden beschränken und präzisieren. Wie bereits in Bezug auf die Verarbeitung durch Unternehmer erwähnt, hat der japanische Oberste Gerichtshof, gestützt auf Artikel 13 der Verfassung, der unter anderem das Recht auf Freiheit schützt, das Recht auf Privatsphäre und Datenschutz anerkannt (72). Ein wichtiger Aspekt dieses Rechts ist, dass personenbezogene Informationen nicht ohne Zustimmung des Betroffenen an Dritte weitergegeben werden dürfen (73). Daraus ergibt sich ein Recht auf den wirksamen Schutz personenbezogener Daten vor Missbrauch und (insbesondere) rechtswidrigem Zugriff. Zusätzlicher Schutz wird durch Artikel 35 der Verfassung über das Recht aller Personen auf die Sicherheit ihrer Häuser, Papiere und Güter gewährleistet, der von den Behörden verlangt, für sämtliche „Durchsuchungen und Beschlagnahmen“ einen Gerichtsbeschluss zu erwirken, der aus „hinreichendem Grund“ (74) erlassen wird. In seinem Urteil vom 15. März 2017 (Rechtssache GPS) hat der Oberste Gerichtshof präzisiert, dass ein solcher Gerichtsbeschluss immer dann erforderlich ist, wenn der Staat in einer Weise in die Privatsphäre eingreift („eindringt“), die den Willen des Einzelnen unterdrückt, wenn also „Zwangsermittlungen“ durchgeführt werden. Ein Richter darf einen solchen Beschluss nur aufgrund eines konkreten Verdachts auf Straftaten erlassen, d. h. wenn ihm Beweismittel vorgelegt wurden, auf deren Grundlage davon ausgegangen werden kann, dass die von den Ermittlungen betroffene Person eine Straftat begangen hat (75). Folglich haben die japanischen Behörden keine rechtliche Befugnis, personenbezogene Informationen mittels Zwangsmaßnahmen zu erheben, wenn noch kein Gesetzesverstoß vorliegt (76), z. B. um eine Straftat oder eine andere Sicherheitsgefährdung zu verhindern (wie dies bei Ermittlungen aus Gründen der nationalen Sicherheit der Fall ist).

(115)

Unter dem Vorbehalt des Rechtsprinzips muss jede Datenerhebung im Rahmen obligatorischer Ermittlungen gesondert gesetzlich genehmigt werden (wie z. B. in Artikel 197 Absatz 1 der Strafprozessordnung („StPO“) über die Zwangserhebung von Informationen zum Zwecke strafrechtlicher Ermittlungen vorgesehen). Diese Anforderung gilt auch für den Zugriff auf elektronische Informationen.

(116)

Darüber hinaus garantiert Artikel 21 Absatz 2 der Verfassung die Geheimhaltung sämtlicher Kommunikationsmittel, wobei Beschränkungen nur durch Rechtsvorschriften aus Gründen des öffentlichen Interesses zulässig sind. Nach Artikel 4 des „Telecommunications Business Act“, wonach die Vertraulichkeit der von einem Telekommunikationsdiensteanbieter verwalteten Kommunikation nicht verletzt werden darf, wird diese Geheimhaltungspflicht auf der Ebene des geltenden Rechts umgesetzt. Dies wurde als Verbot der Offenlegung von Kommunikationsinformationen ausgelegt, sofern nicht die Zustimmung der Nutzer oder eine der ausdrücklichen Ausnahmen von der strafrechtlichen Haftung nach dem Strafgesetzbuch vorliegt (77).

(117)

Die Verfassung garantiert ferner das Recht auf Zugang zu den Gerichten (Artikel 32) und das Recht, den Staat auf Schadensersatz zu verklagen, wenn eine Person durch die rechtswidrige Handlung eines Beamten Schaden erlitten hat (Artikel 17).

(118)

Was insbesondere das Recht auf Datenschutz betrifft, so sind in Kapitel III, Abschnitte 1, 2 und 3 des APPI allgemeine Grundsätze festgelegt, die alle Sektoren umfassen, unter anderem auch den öffentlichen Sektor. So sieht insbesondere Artikel 3 APPI vor, dass alle personenbezogenen Informationen in Übereinstimmung mit dem Grundsatz der Achtung der Persönlichkeit des Einzelnen zu handhaben sind. Sobald personenbezogene Informationen, auch als Teil elektronischer Aufzeichnungen, von Behörden (78) erfasst („empfangen“) wurden, unterliegt ihre Verarbeitung dem APPIHAO (79). Dazu gehört grundsätzlich (80) auch die Verarbeitung personenbezogener Informationen zu strafrechtlichen Zwecken oder zur Wahrung der nationalen Sicherheit. Das APPIHAO sieht unter anderem vor, dass Behörden i) personenbezogene Informationen nur insoweit speichern dürfen, als dies für die Erfüllung ihrer Aufgaben erforderlich ist, ii) diese Informationen nicht ohne Begründung zu einem „ungerechtfertigten“ Zweck verwenden oder an Dritte weitergeben dürfen, iii) den Zweck angeben und diesen nicht über das Maß hinaus ändern dürfen, das vernünftigerweise als relevant für den ursprünglichen Zweck angesehen werden kann (Zweckbindung), iv) die gespeicherten personenbezogenen Informationen grundsätzlich nicht zu anderen Zwecken verwenden oder einem Dritten zur Verfügung stellen dürfen und, wenn sie dies für erforderlich halten, den Zweck oder die Art der Verwendung durch Dritte beschränken, v) sich bemühen, die Richtigkeit der Informationen zu gewährleisten (Datenqualität), vi) die erforderlichen Maßnahmen für die ordnungsgemäße Verwaltung der Informationen und zur Vermeidung von Veröffentlichung, Verlust oder Beschädigung (Datensicherheit) ergreifen, und vii) sich bemühen, alle Beschwerden über die Verarbeitung der Informationen ordnungsgemäß und zügig zu bearbeiten (81).

(119)

Das japanische Recht enthält eine Reihe von Beschränkungen für den Zugang zu und die Verwendung von personenbezogenen Daten für Strafverfolgungszwecke sowie Aufsichts- und Rechtsbehelfsverfahren, die ausreichende Garantien bieten, damit diese Daten wirksam vor unrechtmäßigen Eingriffen und Missbrauch geschützt werden können.

(120)

Im japanischen Rechtsrahmen ist die Erhebung elektronischer Informationen für Strafverfolgungszwecke auf der Grundlage eines Gerichtsbeschlusses (Zwangserhebung) oder eines Ersuchens um freiwillige Offenlegung zulässig.

(121)

Wie in Erwägungsgrund 115 dargelegt, muss jede Datenerhebung im Rahmen von Zwangsermittlungen gesondert gesetzlich genehmigt sein und darf nur auf der Grundlage eines Gerichtsbeschlusses erfolgen, der „aus hinreichendem Grund erlassen wurde“ (Artikel 35 der Verfassung). Was Ermittlungen in Strafsachen betrifft, so spiegelt sich diese Anforderung in den Bestimmungen der StPO wider. Nach Artikel 197 Absatz 1 StPO sind Zwangsmaßnahmen „nur dann anzuwenden, wenn in der StPO besondere Bestimmungen vorgesehen sind“. In Bezug auf die Erfassung elektronischer Informationen sind die einzigen relevanten (82) Rechtsgrundlagen in dieser Hinsicht Artikel 218 StPO (Durchsuchung und Beschlagnahme) und Artikel 222-2 StPO, wonach Zwangsmaßnahmen zur Abhörung der elektronischen Kommunikation ohne Zustimmung einer der Parteien auf der Grundlage anderer Gesetze, nämlich des Gesetzes über die Abhörung zur Strafverfolgung („Abhörgesetz“), durchgeführt werden. In beiden Fällen ist ein Gerichtsbeschluss erforderlich.

(122)

So kann nach Artikel 218 Absatz 1 StPO ein Staatsanwalt, ein Staatsanwaltsgehilfe oder ein Kriminalbeamter, wenn dies für die Aufklärung einer Straftat erforderlich ist, eine Durchsuchung oder Beschlagnahme (auch von Aufzeichnungen) nach einem von einem Richter im Voraus ausgestellten Gerichtsbeschluss durchführen (83). Ein solcher Beschluss muss unter anderem den Namen des Verdächtigen oder Beschuldigten, Angaben zur vorgeworfenen Straftat (84), zu den zu beschlagnahmenden elektromagnetischen Aufzeichnungen und zu dem/den zu durchsuchenden „Ort oder Gegenständen“ enthalten (Artikel 219 Absatz 1 StPO).

(123)

Was das das Abfangen von Kommunikation betrifft, so erlaubt Artikel 3 des Abhörgesetzes solche Maßnahmen nur unter strengen Auflagen. Insbesondere müssen die Behörden vorab einen Gerichtsbeschluss erwirken, der nur für die Aufklärung bestimmter schwerer Straftaten (die im Anhang des Gesetzes aufgeführt sind) (85) und nur dann erlassen werden darf, wenn es „äußerst schwierig ist, auf andere Weise den Täter zu ermitteln bzw. die Situation/Details der Begehung zu klären“ (86). Nach Artikel 5 des Abhörgesetzes wird der Gerichtsbeschluss für einen begrenzten Zeitraum erlassen und kann vom Richter mit zusätzlichen Auflagen versehen werden. Darüber hinaus sind im Abhörgesetz weitere Garantien vorgesehen, zum Beispiel die notwendige Anwesenheit von Zeugen (Artikel 12 und 20), das Verbot, die Kommunikation bestimmter privilegierter Gruppen (wie Ärzte oder Rechtsanwälte) abzuhören (Artikel 15), die Pflicht, die Abhörmaßnahmen auch vor Ablauf der Geltungsdauer des Gerichtsbeschlusses zu beenden, wenn sie nicht mehr gerechtfertigt sind (Artikel 18), oder die allgemeine Pflicht, innerhalb von dreißig Tagen nach Beendigung der Abhörmaßnahmen die betroffene Einzelperson zu unterrichten und ihr Zugang zu den Aufzeichnungen zu gewähren (Artikel 23 und 24).

(124)

Bei allen Zwangsermittlungen auf der Grundlage eines Gerichtsbeschlusses darf die Durchsuchung nur in dem Umfang durchgeführt werden, der „für die Erreichung ihres Ziels erforderlich ist“ — wenn also die mit der Durchsuchung verfolgten Ziele nicht auf andere Weise erreicht werden können (Artikel 197 Absatz 1 StPO). Zwar sind die Kriterien für die Beurteilung der Notwendigkeit im Gesetz nicht weiter spezifiziert, der japanische Oberste Gerichtshof hat jedoch entschieden, dass der Richter, der einen Gerichtsbeschluss erlässt, eine Gesamtbewertung vornehmen sollte, bei der insbesondere Folgendes zu berücksichtigen ist: i) die Schwere der Straftat und die Art ihrer Begehung, ii) der Wert und die Bedeutung der als Beweismittel zu beschlagnahmenden Objekte, iii) die Wahrscheinlichkeit (das Risiko), dass Beweise versteckt oder vernichtet werden, und iv) das Ausmaß, in dem die Beschlagnahme zu einem Schaden für die betroffene Person führen könnte (87).

(125)

Im Rahmen ihrer Zuständigkeit können Behörden elektronische Informationen auch auf der Grundlage von Ersuchen um freiwillige Offenlegung erheben. Hierbei handelt es sich um eine nicht obligatorische Form der Zusammenarbeit, bei der das Ersuchen nicht gerichtlich durchgesetzt werden kann (88), sodass die Behörden von der Pflicht befreit sind, einen Gerichtsbeschluss zu erwirken.

(126)

Soweit sich ein solches Ersuchen an einen Unternehmer richtet und personenbezogene Informationen betrifft, muss der Unternehmer die Anforderungen des APPI erfüllen. Nach Artikel 23 Absatz 1 APPI dürfen Unternehmer personenbezogene Informationen nur in bestimmten Fällen ohne Einwilligung des Betroffenen Dritten gegenüber offenlegen, unter anderem, wenn die Offenlegung „auf Gesetzen und Verordnungen beruht“ (89). Im Bereich der Strafverfolgung ist Rechtsgrundlage für solche Anfragen Artikel 197 Absatz 2 StPO, nach dem „private Organisationen aufgefordert werden können, über wesentliche Aspekte der Ermittlungen Bericht zu erstatten.“ Da ein solches „Anfrageformular“ nur im Rahmen strafrechtlicher Ermittlungen zulässig ist, wird dabei stets ein konkreter Verdacht auf eine bereits begangene Straftat vorausgesetzt (90). Da solche Ermittlungen in der Regel von der Präfekturpolizei durchgeführt werden, gelten darüber hinaus die Beschränkungen nach Artikel 2 Absatz 2 des Polizeigesetzes (91). Danach sind die Tätigkeiten der Polizei „streng begrenzt“ auf die Erfüllung ihrer Aufgaben und Pflichten (d. h. die Verhütung, Bekämpfung und Aufklärung von Straftaten). Darüber hinaus muss die Polizei bei der Erfüllung ihrer Aufgaben unparteiisch, unvoreingenommen und fair handeln und darf ihre Befugnisse niemals „in einer Weise missbrauchen, die den in der japanischen Verfassung garantierten Rechten und Freiheiten des Einzelnen zuwiderläuft“ (zu denen, wie bereits erwähnt, das Recht auf Privatsphäre und Datenschutz gehört) (92).

(127)

Insbesondere im Hinblick auf Artikel 197 Absatz 2 StPO hat die Nationale Polizeibehörde (National Police Agency — NPA) als unter anderem für alle die Kriminalpolizei betreffenden Angelegenheiten zuständige Zentralbehörde der Präfekturpolizei (93) Weisungen zur „ordnungsgemäßen Verwendung schriftlicher Anfragen in Ermittlungsangelegenheiten“ erteilt. Nach dieser Mitteilung müssen Anfragen anhand eines vorher festgelegten Formulars („Formular Nr. 49“ bzw. „Anfrageformular“) (94) gestellt werden und Aufzeichnungen „über bestimmte Ermittlungen“ betreffen; die angeforderten Informationen müssen „für [diese] Ermittlungen unbedingt erforderlich“ sein. In jedem Fall muss der leitende Ermittler „die Notwendigkeit, den Inhalt usw. [der] jeweiligen Anfrage in vollem Umfang prüfen“ und die interne Zustimmung eines hochrangigen Beamten einholen.

(128)

Darüber hinaus hat der japanische Oberste Gerichtshof in zwei Urteilen aus den Jahren 1969 und 2008 (95) Beschränkungen in Bezug auf nicht obligatorische Maßnahmen festgelegt, die einen Eingriff in das Recht auf Privatsphäre darstellen (96). Der Gerichtshof war insbesondere der Ansicht, dass derartige Maßnahmen „angemessen“ sein und sich innerhalb „allgemein zulässiger Grenzen“ bewegen müssen, d. h. sie müssen für die Ermittlung eines Verdächtigen (Beweisaufnahme) notwendig sein und „mit geeigneten Methoden zur Erreichung des Zwecks [der] Ermittlungen durchgeführt werden“ (97). Die Urteile zeigen, dass dies eine Prüfung der Verhältnismäßigkeit unter Berücksichtigung aller Umstände des Falles erfordert (z. B. des Ausmaßes des Eingriffs in das Recht auf Privatsphäre, einschließlich der Erwartungen hinsichtlich der Privatsphäre, der Schwere der Straftat, der Wahrscheinlichkeit, verwertbare Beweise zu erhalten, der Relevanz dieser Beweise, möglicher alternativer Untersuchungsmethoden usw.) (98).

(129)

Abgesehen von diesen Beschränkungen für die Ausübung der öffentlichen Gewalt wird von Unternehmern erwartet, dass sie selbst die Notwendigkeit und „Rationalität“ der Weitergabe an einen Dritten überprüfen („bestätigen“) (99). Dazu gehört auch die Frage, ob ihnen die Zusammenarbeit dem Gesetz nach untersagt ist. Derart widersprüchliche rechtliche Verpflichtungen können sich insbesondere aus Geheimhaltungsverpflichtungen wie etwa nach Artikel 134 Strafgesetzbuch (über das Verhältnis zwischen einem Arzt, Anwalt, Priester usw. und seinem Gegenüber) ergeben. Ferner muss „jede Person, die im Telekommunikationsbereich tätig ist, während ihrer Tätigkeit die Geheimnisse anderer wahren, die ihr in Bezug auf die vom Telekommunikationsdiensteanbieter verwaltete Kommunikation bekannt geworden sind“ (Artikel 4 Absatz 2 des Telekommunikationsgesetzes). Diese Verpflichtung wird durch die in Artikel 179 des Telekommunikationsgesetzes festgelegte Sanktion gestützt, nach dem jede Person, die gegen den Grundsatz der Geheimhaltung von Kommunikation, die von einem Telekommunikationsdiensteanbieter verwaltet wird, verstoßen hat, sich einer Straftat schuldig macht und mit einem mit Zwangsarbeit verbundenen Freiheitsentzug von bis zu zwei Jahren oder mit einer Geldstrafe von bis zu einer Million Yen bestraft werden muss (100). Auch wenn diese Vorschrift nicht uneingeschränkt gilt und insbesondere Maßnahmen erlaubt, die gegen die Geheimhaltung von Kommunikation verstoßen, wenn es sich um „gerechtfertigte Handlungen“ im Sinne des Artikels 35 Strafgesetzbuch (101) handelt, so gilt diese Ausnahme jedoch nicht für die Beantwortung nicht obligatorischer Ersuchen von Behörden um Offenlegung elektronischer Informationen nach Artikel 197 Absatz 2 StPO.

(130)

Nach der Erhebung durch die japanischen Behörden fallen personenbezogene Informationen in den Anwendungsbereich des APPIHAO. Dieses Gesetz regelt die Handhabung (Verarbeitung) „gespeicherter personenbezogener Informationen“ und sieht in diesem Zusammenhang eine Reihe von Beschränkungen und Garantien vor (siehe Erwägungsgrund 118) (102). Darüber hinaus ergeben sich aus der Tatsache, dass ein Verwaltungsorgan personenbezogene Informationen „nur dann [speichern darf], wenn die Speicherung für die Erfüllung der durch Gesetze und Vorschriften vorgesehenen Aufgaben erforderlich ist“ (Artikel 3 Absatz 1 APPIHAO), — zumindest indirekt — Beschränkungen für die Ersterhebung.

(131)

In Japan fällt die Erhebung elektronischer Informationen im Bereich der Strafverfolgung in erster Linie (103) in die Zuständigkeit der Präfekturpolizei (104), die in dieser Hinsicht verschiedenen Aufsichtsebenen unterliegen.

(132)

Erstens muss die Polizei in allen Fällen, in denen elektronische Informationen mit Zwangsmitteln erhoben werden (Durchsuchung und Beschlagnahme), vorab einen Gerichtsbeschluss erwirken (siehe Erwägungsgrund 121). Daher wird die Erhebung in diesen Fällen einer vorherigen richterlichen Prüfung unterzogen, die auf einem strengen Standard für den „hinreichenden Grund“ basiert.

(133)

Auch wenn bei Anträgen auf freiwillige Offenlegung keine Ex-ante-Kontrolle durch einen Richter vorgesehen ist, können Unternehmer, an die solche Anfragen gerichtet sind, Letztere ablehnen, ohne negative Folgen befürchten zu müssen (und müssen die Auswirkungen einer Offenlegung auf den Schutz der Privatsphäre beachten). Darüber hinaus arbeiten die Polizeibeamten nach Artikel 192 Absatz 1 StPO stets mit dem zuständigen Staatsanwalt (und der Präfekturkommission für öffentliche Sicherheit) zusammen und koordinieren mit diesem ihre Maßnahmen (105). Der Staatsanwalt wiederum kann die erforderlichen allgemeinen Anweisungen zur Festlegung von Standards für eine faire Ermittlung erteilen und/oder spezifische Anordnungen in Bezug auf eine konkrete Ermittlung (Artikel 193 StPO) erlassen. Werden solche Anweisungen und/oder Anordnungen nicht befolgt, kann die Staatsanwaltschaft Disziplinarmaßnahmen einleiten (Artikel 194 StPO). Die Präfekturpolizei arbeitet somit unter der Aufsicht der Staatsanwaltschaft.

(134)

Zweitens kann nach Artikel 62 der Verfassung jedes Haus des japanischen Parlaments Ermittlungen in Bezug auf die Regierung durchführen, auch im Hinblick auf die Rechtmäßigkeit der Informationserhebung durch die Polizei. Zu diesem Zweck kann sie die Vorladung und Vernehmung von Zeugen und/oder die Vorlage von Aufzeichnungen verlangen. Diese Ermittlungsbefugnisse sind im Parlamentsgesetz, insbesondere in Kapitel XII, näher geregelt. Insbesondere sieht Artikel 104 des Parlamentsgesetzes vor, dass das Kabinett, Behörden und andere Teile der Regierung „den Anträgen eines Hauses oder eines seiner Ausschüsse auf Vorlage von Berichten und Aufzeichnungen, die für die Prüfung von Ermittlungen erforderlich sind, nachkommen müssen“. Eine Verweigerung der Zusammenarbeit ist nur dann zulässig, wenn die Regierung einen nachvollziehbaren Grund angibt, der vom Parlament akzeptiert wird, oder wenn sie eine förmliche Erklärung abgibt, dass die Vorlage der Berichte oder Aufzeichnungen „den nationalen Interessen ernsthaft schaden würde“ (106). Darüber hinaus können Parlamentsmitglieder dem Kabinett schriftliche Anfragen stellen (Artikel 74, 75 des Parlamentsgesetzes), und in der Vergangenheit wurde in solchen „schriftlichen Anfragen“ auch die Handhabung personenbezogener Informationen durch die Verwaltung thematisiert (107). Die Rolle des Parlaments bei der Kontrolle der Exekutive wird durch Berichterstattungspflichten gestärkt, zum Beispiel nach Artikel 29 des Abhörgesetzes.

(135)

Drittens unterliegt die Präfekturpolizei auch innerhalb der Exekutive einer unabhängigen Aufsicht. Dazu gehören insbesondere die Präfekturkommissionen für öffentliche Sicherheit, die auf Präfekturebene eingerichtet wurden, um die demokratische Verwaltung und die politische Neutralität der Polizei zu gewährleisten (108). Die Kommissionen setzen sich aus Mitgliedern zusammen, die vom Präfekturgouverneur mit Zustimmung der Präfekturversammlung ernannt werden (aus einem Kreis von Bürgern, die in den fünf vorhergehenden Jahren keine Polizeibeamten waren) und eine feste Amtszeit haben (Entlassung nur aus wichtigem Grund) (109). Nach den vorliegenden Informationen sind sie nicht weisungsgebunden und können daher als vollständig unabhängig betrachtet werden (110). Was die Aufgaben und Befugnisse der Präfekturkommissionen für öffentliche Sicherheit angeht, so sind sie nach Artikel 38 Absatz 3 in Verbindung mit Artikel 2 und Artikel 36 Absatz 2 des Polizeigesetzes für den „Schutz der Rechte und Freiheiten des Einzelnen“ zuständig. Zu diesem Zweck sind sie befugt, alle Ermittlungstätigkeiten der Präfekturpolizei zu „beaufsichtigen“ (111), auch die Erhebung personenbezogener Daten. Insbesondere können die Kommissionen „der Präfekturpolizei im Einzelnen oder in konkreten Einzelfällen, in denen das Fehlverhalten von Polizeibediensteten untersucht wird, erforderlichenfalls Anweisungen erteilen“ (112). Wenn der Leiter der Präfekturpolizei (113) eine solche Anweisung erhält oder selbst auf ein mögliches Fehlverhalten (einschließlich Gesetzesverstößen und sonstigen Pflichtverletzungen) aufmerksam wird, hat er diesem Verdacht umgehend nachzugehen und das Untersuchungsergebnis der Präfekturkommission für öffentliche Sicherheit zu melden (Artikel 56 Absatz 3 des Polizeigesetzes). Wenn die Kommission dies als notwendig ansieht, kann sie auch eines ihrer Mitglieder benennen, das den Stand der Umsetzung überprüft. Das Verfahren wird fortgesetzt, bis die Präfekturkommission für öffentliche Sicherheit davon überzeugt ist, dass der Vorfall angemessen behandelt wurde.

(136)

Im Hinblick auf die ordnungsgemäße Anwendung des APPIHAO verfügt der zuständige Minister oder Behördenleiter (z. B. der Generalkommissar der NPA) über Durchsetzungsbefugnisse, die der Aufsicht durch das Ministerium für innere Angelegenheiten und Kommunikation (Ministry of Internal Affairs and Communications — MIC) unterliegen. Nach Artikel 49 APPIHAO kann das MIC von den Leitern der Verwaltungsorgane (Ministern) „Berichte über den Stand der Durchsetzung dieses Gesetzes einholen“. Zu dieser Aufsichtsfunktion tragen die 51 „Informationszentralen“ des MIC (eine in jeder Präfektur in ganz Japan) bei, die jedes Jahr Tausende von Anfragen von Einzelpersonen bearbeiten (114) (wobei wiederum mögliche Gesetzesverstöße aufgedeckt werden können). Wenn das MIC dies für die Einhaltung des Gesetzes für notwendig hält, kann es vom betreffenden Verwaltungsorgan verlangen, Erläuterungen und Materialien vorzulegen sowie eine Stellungnahme zur Handhabung personenbezogener Informationen abzugeben (Artikel 50 und 51 APPIHAO).

(137)

Neben der amtlichen Aufsicht haben Einzelpersonen auch verschiedene Möglichkeiten, individuellen Rechtsschutz zu erhalten, sowohl durch unabhängige Behörden (wie die Präfekturkommissionen für öffentliche Sicherheit oder die PPC) als auch durch die japanischen Gerichte.

(138)

Erstens sind Verwaltungsorgane in Bezug auf die von ihnen erhobenen personenbezogenen Informationen verpflichtet, „sich um eine ordnungsgemäße und zügige Bearbeitung von Beschwerden zu bemühen“, wenn es um die spätere Verarbeitung dieser Informationen geht (Artikel 48 APPIHAO). Auch wenn Kapitel IV des APPIHAO über die Rechte des Einzelnen keine Anwendung auf personenbezogene Informationen findet, die in „Dokumenten über Gerichtsverfahren und beschlagnahmte Gegenstände“ (Artikel 53-2 Absatz 2 StPO) enthalten sind — zu denen personenbezogene Informationen gehören, die im Rahmen von strafrechtlichen Ermittlungen erhoben wurden —, können Einzelpersonen eine Beschwerde einreichen, indem sie sich auf die allgemeinen Datenschutzgrundsätze wie beispielsweise die Verpflichtung berufen, personenbezogene Informationen nur dann zu speichern, „wenn die Speicherung zur Erfüllung von [Strafverfolgungsfunktionen] erforderlich ist“ (Artikel 3 Absatz 1 APPIHAO).

(139)

Darüber hinaus wird mit Artikel 79 des Polizeigesetzes Personen, die Bedenken in Bezug auf die „Ausübung von Pflichten“ durch Polizeikräfte haben, das Recht eingeräumt, eine Beschwerde bei der (zuständigen) unabhängigen Präfekturkommission für öffentliche Sicherheit einzureichen. Die Kommission wird solche Beschwerden „gewissenhaft“ und in Übereinstimmung mit Gesetzen und lokalen Verordnungen bearbeiten und den Beschwerdeführer schriftlich über die Ergebnisse informieren. Ausgehend von ihrer Befugnis, die Präfekturpolizei in Bezug auf „Fehlverhalten der Polizeikräfte“ (Artikel 38 Absatz 3 und Artikel 43-2 Absatz 1 des Polizeigesetzes) zu beaufsichtigen und ihr „Anweisungen zu erteilen“, kann sie die Präfekturpolizei auffordern, Fakten zu untersuchen, geeignete Maßnahmen auf der Grundlage der Ergebnisse dieser Untersuchung zu ergreifen und über die Ergebnisse zu berichten. Ist sie der Auffassung, dass die von der Polizei durchgeführte Untersuchung nicht zufriedenstellend war, kann die Kommission auch Anweisungen zur Bearbeitung der Beschwerde erteilen.

(140)

Um die Bearbeitung von Beschwerden zu erleichtern, hat die NPA eine „Bekanntmachung“ über die ordnungsgemäße Bearbeitung von Beschwerden über die Amtsausübung durch Polizeibeamte an die Polizei und die Präfekturkommissionen für öffentliche Sicherheit gerichtet. Darin legt die NPA Normen für die Auslegung und Umsetzung des Artikels 79 des Polizeigesetzes fest. Unter anderem muss die Präfekturpolizei ein „System für die Bearbeitung von Beschwerden“ einrichten und alle Beschwerden „umgehend“ bearbeiten und der zuständigen Präfekturkommission für öffentliche Sicherheit melden. Beschwerden sind in der Bekanntmachung definiert als Anträge auf Korrektur „eines besonderen Nachteils, der auf ein rechtswidriges oder unangemessenes Verhalten zurückzuführen ist“ (115), oder „der Unterlassung einer notwendigen Maßnahme durch einen Polizeibeamten in Erfüllung seiner Pflichten“ (116) sowie als „Beanstandung einer unangemessenen Art der Amtsausübung durch einen Polizeibeamten“. In diesen weit gefassten sachlichen Anwendungsbereich der Beschwerde fällt daher jede mutmaßlich rechtswidrige Erhebung von Daten, und der Beschwerdeführer muss nicht nachweisen, dass ihm aus den Maßnahmen des Polizeibeamten ein Schaden erwachsen ist. Wichtig ist, dass nach der Bekanntmachung (unter anderem) Ausländer Hilfe bei der Formulierung einer Beschwerde erhalten. Nach Eingang einer Beschwerde müssen die Präfekturkommissionen für öffentliche Sicherheit dafür sorgen, dass die Präfekturpolizei den Sachverhalt prüft, „entsprechend dem Ergebnis der Prüfung“ Maßnahmen trifft und über die Ergebnisse Bericht erstattet. Hält die Kommission die Prüfung für unzureichend, so erteilt sie eine Anweisung zur Bearbeitung der Beschwerde, die die Präfekturpolizei befolgen muss. Auf der Grundlage der eingegangenen Berichte und der getroffenen Maßnahmen teilt die Kommission dem Beschwerdeführer unter anderem mit, welche Maßnahmen getroffen wurden, um der Beschwerde abzuhelfen. In ihrer Bekanntmachung weist die NPA mit Nachdruck darauf hin, dass Beschwerden „in ernsthafter Weise“ bearbeitet werden sollten und dass das Ergebnis „innerhalb einer Zeitspanne“ mitgeteilt werden sollte, „die unter Berücksichtigung der sozialen Normen und des gesunden Menschenverstands angemessen erscheint“.

(141)

Zweitens hat die japanische Regierung, da die Rechtsbehelfe naturgemäß im Ausland in einem fremden System und in einer Fremdsprache eingelegt werden müssen, von ihren Befugnissen Gebrauch gemacht, um ein spezifisches von der PPC verwaltetes und beaufsichtigtes Verfahren für die Bearbeitung und Erledigung von Beschwerden in diesem Bereich zu schaffen, damit Unionsbürgern, deren personenbezogene Daten an Unternehmer in Japan übermittelt und dann von den Behörden eingesehen werden, der Rechtsbehelf erleichtert wird. Dieses Verfahren stützt sich auf die Kooperationspflicht, die den japanischen Behörden im Rahmen des APPI auferlegt wurde, und auf die besondere Rolle der PPC bei internationalen Datenübermittlungen aus Drittländern nach Artikel 6 APPI und der „Grundlegenden Richtlinie“ (die von der japanischen Regierung durch Kabinettsverordnung festgelegt wurde). Die Einzelheiten dieses Verfahrens sind in den offiziellen Erklärungen, Zusicherungen und Verpflichtungen der japanischen Regierung dargelegt, die diesem Beschluss als Anhang II beigefügt ist. Das Verfahren, für das keine Antragsbefugnis gilt, steht Einzelpersonen unabhängig davon offen, ob sie einer Straftat verdächtigt oder beschuldigt werden.

(142)

Im Rahmen des Verfahrens kann eine Person, die den Verdacht hat, dass ihre aus der Europäischen Union übermittelten Daten von Behörden in Japan (einschließlich der für die Strafverfolgung zuständigen Behörden) unter Verstoß gegen die geltenden Vorschriften erhoben oder verwendet wurden, eine Beschwerde an die PPC richten (selbst oder über ihre Datenschutzbehörde im Sinne des Artikels 51 DSGVO). Die PPC ist verpflichtet, die Beschwerde zu bearbeiten und in einem ersten Schritt die zuständigen Behörden, einschließlich der zuständigen Aufsichtsbehörden, darüber zu informieren. Diese Behörden sind verpflichtet, mit der PPC zusammenzuarbeiten, „auch durch Bereitstellung der erforderlichen Informationen und der entsprechenden Materialien, damit die PPC prüfen kann, ob die Erhebung oder die spätere Verwendung personenbezogener Informationen im Einklang mit den geltenden Vorschriften erfolgt ist“ (117). Diese Pflicht, die sich aus Artikel 80 APPI ergibt (der bestimmt, dass die japanischen Behörden mit der PPC zusammenarbeiten müssen), gilt ganz allgemein und damit auch für die Überprüfung von Ermittlungsmaßnahmen dieser Behörden, die sich zudem in schriftlichen Zusicherungen der zuständigen Ministerien und Behördenleiter zu einer solchen Zusammenarbeit verpflichtet haben (siehe Anhang II).

(143)

Ergibt die Bewertung, dass ein Verstoß gegen die geltenden Vorschriften vorliegt, „umfasst die Zusammenarbeit der betroffenen Behörden mit der PPC die Verpflichtung, den Verstoß zu beheben“, was im Falle der rechtswidrigen Erhebung personenbezogener Informationen auch die Löschung dieser Daten einschließt. Wichtig ist, dass diese Verpflichtung unter der Aufsicht der PPC erfüllt wird, die „vor Abschluss der Bewertung bestätigt, dass der Verstoß vollständig behoben wurde“.

(144)

Sobald die Bewertung abgeschlossen ist, unterrichtet die PPC die Person innerhalb eines angemessenen Zeitraums über das Ergebnis der Bewertung und gegebenenfalls über durchgeführte Korrekturmaßnahmen. Gleichzeitig informiert die PPC die Person auch über die Möglichkeit, von der zuständigen Behörde eine Bestätigung des Ergebnisses zu verlangen, und die Identität der Behörde, bei der ein solcher Antrag auf Bestätigung zu stellen ist. Die Möglichkeit, eine solche Bestätigung einschließlich der Gründe für die Entscheidung der zuständigen Behörde zu erhalten, kann der betroffenen Person bei allen weiteren Schritten von Nutzen sein, etwa bei der Einlegung von Rechtsbehelfen. Die Herausgabe detaillierter Informationen über das Ergebnis der Bewertung kann Beschränkungen unterliegen, sofern berechtigte Gründe vorliegen, dass die Übermittlung dieser Informationen ein Risiko für laufende Ermittlungen darstellen könnte.

(145)

Drittens kann eine Person, die mit einem richterlichen Beschlagnahmebeschluss (Gerichtsbeschluss) (118) bezüglich ihrer personenbezogenen Daten oder mit den Maßnahmen der Polizei oder Staatsanwaltschaft, die einen solchen Beschluss vollstrecken, nicht einverstanden ist, einen Antrag auf Aufhebung oder Änderung dieses Beschlusses oder dieser Maßnahmen stellen (Artikel 429 Absatz 1, Artikel 430 Absätze 1 und 2 StPO, Artikel 26 des Abhörgesetzes) (119). Wenn das überprüfende Gericht zu dem Ergebnis gelangt, dass entweder der Gerichtsbeschluss selbst oder seine Vollstreckung („Beschlagnahmeverfahren“) rechtswidrig ist, gibt es dem Antrag statt und ordnet die Rückgabe der beschlagnahmten Gegenstände an (120).

(146)

Viertens kann sich eine Person, die der Ansicht ist, dass die Erhebung ihrer personenbezogenen Informationen im Rahmen einer strafrechtlichen Ermittlung rechtswidrig war, im Rahmen ihres Strafverfahrens auf diese Rechtswidrigkeit berufen — als indirektere Form der gerichtlichen Kontrolle. Wenn das Gericht zustimmt, werden die Beweismittel in dem fraglichen Verfahren nicht zugelassen.

(147)

Schließlich kann ein Gericht nach Artikel 1 Absatz 1 des Staatshaftungsgesetzes Schadensersatz gewähren, wenn ein Beamter, der die öffentliche Gewalt des Staates ausübt, in Erfüllung seiner Aufgaben in rechtswidriger und schuldhafter (vorsätzlicher oder fahrlässiger) Weise der betroffenen Person Schaden zugefügt hat. Nach Artikel 4 des Staatshaftungsgesetzes richtet sich die Haftung des Staates auf Schadensersatz nach den Bestimmungen des japanischen Bürgerlichen Gesetzbuches. In diesem Zusammenhang sieht Artikel 710 des Bürgerlichen Gesetzbuches vor, dass die Haftung auch immaterielle Schäden (z. B. in Form von „psychischer Belastung“) umfasst, die nicht das Eigentum betreffen. Dazu gehören auch Fälle, in denen die Privatsphäre einer Person durch rechtswidrige Überwachung und/oder die Erhebung ihrer personenbezogenen Informationen (z. B. durch die rechtswidrige Vollstreckung eines Gerichtsbeschlusses) verletzt wurde (121).

(148)

Neben finanziellem Schadensersatz können Einzelpersonen aufgrund ihrer Persönlichkeitsrechte nach Artikel 13 der japanischen Verfassung unter bestimmten Voraussetzungen auch Unterlassungsansprüche (z. B. die Löschung ihrer von Behörden erhobenen personenbezogenen Daten) geltend machen (122).

(149)

In Bezug auf all diese Rechtsbehelfe sieht der von der japanischen Regierung geschaffene Streitschlichtungsprozess vor, dass sich eine Person, die mit dem Ergebnis des Verfahrens weiterhin unzufrieden ist, an die PPC wenden kann, „die die Person über die verschiedenen Möglichkeiten und genauen Verfahren zur Einlegung von Rechtsbehelfen nach japanischen Gesetzen und Vorschriften informiert“. Darüber hinaus „steht [die PCC] der Person unterstützend zur Seite und berät sie beispielsweise bei der Einleitung weiterer Maßnahmen bei der zuständigen Verwaltungs- oder Justizbehörde“.

(150)

Dazu gehört auch die Inanspruchnahme der Verfahrensrechte nach der Strafprozessordnung. Beispielsweise „informiert die PPC, wenn die Untersuchung ergibt, dass eine Person in einem Strafverfahren als Verdächtiger gilt, die betroffene Person über diese Tatsache“ (123) sowie über die Möglichkeit nach Artikel 259 StPO, die Strafverfolgungsbehörde um Benachrichtigung zu bitten, sobald diese beschließt, auf ein Strafverfahren zu verzichten. Ergibt die Untersuchung ferner, dass ein Verfahren im Zusammenhang mit den personenbezogenen Informationen der Person eingeleitet wurde und der Fall inzwischen abgeschlossen ist, informiert die PPC die Person darüber, dass die Fallakte nach Artikel 53 StPO (und Artikel 4 des Act on Final Criminal Case Records (Gesetz über das abschließende Strafregister)) eingesehen werden kann. Der Zugang zu dieser Akte ist wichtig, da sie der Person dabei hilft, die gegen sie durchgeführten Ermittlungen besser zu verstehen und somit gegebenenfalls eine gerichtliche Klage (z. B. eine Schadensersatzklage) vorzubereiten, falls sie der Ansicht ist, dass ihre Daten unrechtmäßig erhoben oder verwendet wurden.

(151)

Nach Auskunft der japanischen Behörden gibt es in Japan kein Gesetz, auf dessen Grundlage Zwangsanfragen zur Einholung von Informationen oder „administrative Abhörmaßnahmen“ außerhalb strafrechtlicher Ermittlungen zulässig wären. Aus Gründen der nationalen Sicherheit dürfen Informationen daher nur aus einer Informationsquelle, die für jedermann frei zugänglich ist, oder durch freiwillige Offenlegung bezogen werden. Unternehmer, die ein Ersuchen um freiwillige Zusammenarbeit (in Form der Offenlegung elektronischer Informationen) erhalten, sind rechtlich nicht verpflichtet, diese Informationen zur Verfügung zu stellen (124).

(152)

Nach den vorliegenden Informationen sind zudem nur vier staatliche Stellen befugt, elektronische Informationen, die sich im Besitz japanischer Unternehmer befinden, aus Gründen der nationalen Sicherheit einzuholen, nämlich i) das Nachrichten- und Untersuchungsbüro des Kabinetts (Cabinet Intelligence & Research Office — CIRO), ii) das Verteidigungsministerium (Ministry of Defence — MOD), iii) die Polizei (sowohl die NPA (125) als auch die Präfekturpolizei) und iv) der Nachrichtendienst für öffentliche Sicherheit (Public Security Intelligence Agency — PSIA). Das CIRO erhebt jedoch niemals Informationen direkt bei Unternehmern, auch nicht durch das Abfangen von Kommunikation. Wenn es Informationen von anderen staatlichen Behörden erhält, um sie für das Kabinett zu analysieren, müssen diese anderen Behörden ihrerseits die Rechtsvorschriften einhalten, einschließlich der in diesem Beschluss analysierten Beschränkungen und Garantien. Seine Tätigkeit ist daher im Zusammenhang mit der Übermittlung von Daten nicht von Belang.

(153)

Nach den vorliegenden Informationen erfasst das MOD (elektronische) Informationen auf der Grundlage des MOD-Errichtungsgesetzes (MOD Establishment Act). Nach Artikel 3 dieses Gesetzes hat das MOD die Aufgabe, die Streitkräfte zu verwalten und zu führen und „die damit verbundenen Angelegenheiten zu regeln, um den Frieden und die Unabhängigkeit des Landes sowie die nationale Sicherheit zu gewährleisten“. Artikel 4 Absatz 4 sieht vor, dass das MOD für die „Verteidigung und den Schutz“, für die von den Streitkräften zu ergreifenden Maßnahmen sowie für die Entsendung von Truppen zuständig ist, einschließlich der Erhebung der für die Erfüllung dieser Aufgaben erforderlichen Informationen. Sie ist nur im Rahmen der freiwilligen Kooperation befugt, (elektronische) Informationen bei Unternehmern zu erheben.

(154)

Die Präfekturpolizei hingegen ist unter anderem für die „Aufrechterhaltung der öffentlichen Sicherheit und Ordnung“ verantwortlich (Artikel 35 Absatz 2 in Verbindung mit Artikel 2 Absatz 1 Polizeigesetz). In diesem Zuständigkeitsbereich darf die Polizei Informationen erheben, jedoch nur auf freiwilliger Basis ohne rechtliche Wirkung. Zudem ist die Tätigkeit der Polizei „streng begrenzt“ auf das, was für die Erfüllung ihrer Aufgaben erforderlich ist. Darüber hinaus muss sie „unparteiisch, neutral, unvoreingenommen und fair“ handeln und darf ihre Befugnisse niemals „in einer Weise missbrauchen, die den in der japanischen Verfassung garantierten Rechten und Freiheiten des Einzelnen zuwiderläuft“ (Artikel 2 Polizeigesetz).

(155)

Der PSIA schließlich kann Untersuchungen nach dem Gesetz zur Verhütung subversiver Tätigkeiten (Subversive Activities Prevention Act — SAPA) und dem Gesetz über die Kontrolle von Organisationen, die wahllos Massenmorde verübt haben (Act on the Control of Organisations Who Have Committed Acts of Indiscriminate Mass Murder — ACO), durchführen, wenn diese Untersuchungen notwendig sind, um den Erlass von Kontrollmaßnahmen gegen bestimmte Organisationen vorzubereiten (126). Nach beiden Gesetzen kann die Kommission für die Prüfung der öffentlichen Sicherheit auf Antrag des Generaldirektors des PSIA bestimmte „Verfügungen“ erlassen (Überwachung/Verbote im Falle des ACO (127), Auflösung/Verbote im Falle des SAPA (128)), und in diesem Zusammenhang kann der PSIA Ermittlungen durchführen (129). Nach den vorliegenden Informationen werden diese Ermittlungen stets auf freiwilliger Basis durchgeführt, was bedeutet, dass der PSIA eine Person nicht zwingen darf, personenbezogene Informationen zur Verfügung zu stellen (130). Kontrollen und Untersuchungen dürfen nur in dem für die Erreichung des Kontrollzwecks erforderlichen Mindestumfang durchgeführt werden und keinesfalls dazu dienen, die durch die japanische Verfassung garantierten Rechte und Freiheiten „unverhältnismäßig“ zu beschränken (Artikel 3 Absatz 1 SAPA/ACO). Zudem darf der PSIA nach Artikel 3 Absatz 2 SAPA/ACO solche Kontrollen oder die zur Vorbereitung solcher Kontrollen durchgeführten Untersuchungen unter keinen Umständen missbrauchen. Hat ein PSIA-Mitarbeiter seine Befugnisse nach dem jeweiligen Gesetz missbraucht, indem er eine Person zu etwas gezwungen hat, wozu sie nicht verpflichtet ist, oder indem er in die Ausübung der Rechte einer Person eingegriffen hat, so kann er nach Artikel 45 SAPA oder Artikel 42 ACO strafrechtlich verfolgt werden. Schließlich schreiben beide Gesetze ausdrücklich vor, dass ihre Bestimmungen, einschließlich der darin gewährten Befugnisse, „unter keinen Umständen Gegenstand einer erweiterten Auslegung sein dürfen“ (Artikel 2 SAPA/ACO).

(156)

In allen in diesem Abschnitt beschriebenen Fällen des staatlichen Zugriffs aus Gründen der nationalen Sicherheit gelten die vom japanischen Obersten Gerichtshof für freiwillige Ermittlungen festgelegten Beschränkungen, was bedeutet, dass die Erhebung von (elektronischen) Informationen den Grundsätzen der Erforderlichkeit und Angemessenheit entsprechen muss („angemessene Vorgehensweise“) (131). Wie die japanischen Behörden ausdrücklich bestätigt haben, „werden Informationen nur erhoben und verarbeitet, soweit dies für die Erfüllung der besonderen Aufgaben der zuständigen Behörde sowie aufgrund besonderer Bedrohungen erforderlich ist“. Damit ist „ausgeschlossen, dass aus Gründen der nationalen Sicherheit massenweise und anlassunabhängig personenbezogene Informationen erhoben oder auf sie zugegriffen wird“ (132).

(157)

Nach ihrer Erhebung fallen außerdem alle personenbezogenen Informationen, die von Behörden zum Zwecke der nationalen Sicherheit gespeichert wurden, in Bezug auf die spätere Speicherung, Verwendung und Offenlegung unter den Schutz des APPIHAO (siehe Erwägungsgrund 118).

(158)

Die Erhebung personenbezogener Informationen zum Zwecke der nationalen Sicherheit unterliegt mehreren Aufsichtsebenen durch die drei Staatsgewalten.

(159)

Erstens kann das japanische Parlament über seine Fachausschüsse die Rechtmäßigkeit von Ermittlungen auf der Grundlage seiner parlamentarischen Kontrollbefugnisse prüfen (Artikel 62 der Verfassung, Artikel 104 des Parlamentsgesetzes; siehe Erwägungsgrund 134). Diese Aufsichtsfunktion wird durch besondere Pflichten zur Berichterstattung über die Tätigkeiten unterstützt, die auf der Grundlage einiger der oben genannten Rechtsgrundlagen (133) ausgeübt werden.

(160)

Zweitens gibt es innerhalb der Exekutive mehrere Aufsichtsmechanismen.

(161)

In Bezug auf das MOD wird die Aufsicht durch das Büro des Generalinspektors für die Einhaltung gesetzlicher Vorschriften (Inspector General's Office of Legal Compliance — IGO) (134) wahrgenommen, das auf der Grundlage von Artikel 29 des MOD-Errichtungsgesetzes als Dienststelle innerhalb des MOD unter der Aufsicht des Verteidigungsministers (dem es untersteht), jedoch unabhängig von den operativen Abteilungen des MOD eingerichtet wurde. Das IGO hat die Aufgabe, die Einhaltung der Gesetze und Vorschriften sowie die ordnungsgemäße Erfüllung der Aufgaben durch die MOD-Beamten sicherzustellen. Zu seinen Kompetenzen gehört die Befugnis zur Durchführung sogenannter Verteidigungskontrollen (Defence Inspections), sowohl in regelmäßigen Abständen („ordentliche Verteidigungskontrollen“) als auch im Einzelfall („außerordentliche Verteidigungskontrollen“), die in der Vergangenheit auch den ordnungsgemäßen Umgang mit personenbezogenen Informationen umfasst haben (135). Im Rahmen dieser Kontrollen kann das IGO Standorte (Büros) betreten und die Vorlage von Dokumenten oder Informationen verlangen, einschließlich einer Stellungnahme des stellvertretenden Verteidigungsministers. Die Kontrolle wird mit einem Bericht an den Verteidigungsminister abgeschlossen, in dem die Ergebnisse und Verbesserungsmaßnahmen dargelegt werden (deren Umsetzung durch weitere Kontrollen nochmals überprüft werden kann). Der Bericht wiederum bildet die Grundlage für Anweisungen des Verteidigungsministers, die zur Bewältigung der Situation erforderlichen Maßnahmen zu treffen; der Stellvertretende Vizeminister ist mit der Durchführung dieser Maßnahmen beauftragt und hat über die Folgemaßnahmen Bericht zu erstatten.

(162)

Was die Präfekturpolizei betrifft, so wird die Aufsicht von den unabhängigen Präfekturkommissionen für öffentliche Sicherheit gewährleistet, wie in Erwägungsgrund 135 im Zusammenhang mit der Strafverfolgung erläutert wurde.

(163)

Schließlich darf der PSIA, wie angegeben, nur insoweit Ermittlungen durchführen, als dies im Hinblick auf den Erlass einer Verbots-, Auflösungs- oder Überwachungsanordnung im Rahmen des SAPA/ACO erforderlich ist, und für diese Anordnungen wird die Ex-ante-Aufsicht durch die unabhängige (136) Prüfungskommission für öffentliche Sicherheit (Public Security Examination Commission) gewährleistet. Darüber hinaus werden ordentliche/regelmäßige Kontrollen (in deren Rahmen die Tätigkeiten des PSIA umfassend untersucht werden) (137) und außerordentliche interne Kontrollen (138) der Tätigkeiten einzelner Abteilungen/Büros usw. von speziell benannten Inspektoren durchgeführt, die damit einhergehen können, dass die Leiter der jeweiligen Abteilungen usw. Anweisungen zur Ergreifung von Korrektur- oder Verbesserungsmaßnahmen erhalten.

(164)

Diese Aufsichtsmechanismen, die durch die Möglichkeit für Einzelpersonen, die Intervention der PPC als unabhängige Aufsichtsbehörde anzustoßen, weiter verstärkt werden (siehe Abschnitt 168 weiter unten), bieten einen angemessenen Schutz vor dem Risiko des Missbrauchs der Kompetenzen japanischer Behörden im Bereich der nationalen Sicherheit und vor jeder rechtswidrigen Erhebung von elektronischen Informationen.

(165)

Was den individuellen Rechtsschutz betrifft, so sind die Verwaltungsorgane in Bezug auf die von ihnen erhobenen und somit „gespeicherten“ personenbezogenen Informationen verpflichtet, „sich um eine ordnungsgemäße und zügige Bearbeitung von Beschwerden zu bemühen“, wenn es um eine solche Verarbeitung geht (Artikel 48 APPIHAO).

(166)

Darüber hinaus haben Einzelpersonen (auch im Ausland lebende Ausländer) anders als bei strafrechtlichen Ermittlungen grundsätzlich ein Recht auf Offenlegung (139), Berichtigung (einschließlich Löschung) und Aussetzung der Verwendung/Weitergabe nach dem APPIHAO. Dessen ungeachtet kann der Leiter des Verwaltungsorgans die Offenlegung von Informationen verweigern, „wenn es berechtigte Gründe gibt, … die darauf hindeuten, dass die Offenlegung der nationalen Sicherheit schaden könnte“ (Artikel 14 Ziffer iv APPIHAO), und zwar ohne angeben zu müssen, ob solche Informationen vorhanden sind (Artikel 17 APPIHAO). Zwar kann eine Person nach Artikel 36 Absatz 1 Ziffer i APPIHAO die Aussetzung der Verwendung oder die Löschung beantragen, falls das Verwaltungsorgan die Informationen rechtswidrig erhalten hat oder sie über das zur Erreichung des angegebenen Zwecks erforderliche Maß hinaus speichert/verwendet, die Behörde kann den Antrag jedoch ablehnen, wenn sie feststellt, dass die Aussetzung der Verwendung „die ordnungsgemäße Durchführung der Angelegenheiten im Zusammenhang mit dem Zweck der Verwendung der gespeicherten personenbezogenen Informationen aufgrund der Art der genannten Angelegenheiten behindern könnte“ (Artikel 38 APPIHAO). Wenn es jedoch möglich ist, Teile, die einer Ausnahme unterliegen, problemlos zu trennen und abzugrenzen, müssen die Verwaltungsorgane zumindest eine teilweise Offenlegung gewähren (siehe z. B. Artikel 15 Absatz 1 APPIHAO) (140).

(167)

In jedem Fall muss das Verwaltungsorgan innerhalb einer bestimmten Frist (von 30 Tagen, die unter bestimmten Voraussetzungen um weitere 30 Tage verlängert werden kann) einen schriftlichen Beschluss fassen. Wenn der Antrag abgelehnt oder nur teilweise bewilligt wird oder wenn die Person das Verhalten des Verwaltungsorgans aus anderen Gründen als „rechtswidrig oder ungerecht“ ansieht, kann die Person eine behördliche Überprüfung auf der Grundlage des Verwaltungsbeschwerdeprüfungsgesetzes beantragen (141). In einem solchen Fall muss der Leiter des Verwaltungsorgans, das über die Beschwerde entscheidet, die Kontrollstelle für die Offenlegung von Informationen und den Schutz personenbezogener Informationen (Information Disclosure and Personal Information Protection Review Board, Artikel 42 und 43 APPIHAO) konsultieren, ein unabhängiges Fachgremium, dessen Mitglieder vom Premierminister mit Zustimmung der beiden Häuser des Parlaments ernannt werden. Nach den vorliegenden Informationen kann die Kontrollstelle eine Untersuchung (142) durchführen und in diesem Zusammenhang das Verwaltungsorgan auffordern, die gespeicherten personenbezogenen Informationen, einschließlich der als Verschlusssache eingestuften Inhalte, sowie weitere Informationen und Dokumente vorzulegen. Der dem Beschwerdeführer sowie dem Verwaltungsorgan übermittelte und veröffentlichte Abschlussbericht ist zwar nicht rechtlich verbindlich, ihm wird aber in fast allen Fällen gefolgt (143).Darüber hinaus hat die Person die Möglichkeit, die Entscheidung über die Beschwerde auf der Grundlage des Verwaltungsrechtsstreitigkeitengesetzes vor Gericht anzufechten. Dies gibt den Weg frei für eine gerichtliche Kontrolle in Bezug auf die Anwendung der nationalen Sicherheitsausnahme(n), einschließlich der Frage, ob eine solche Ausnahme missbraucht wurde oder noch immer gerechtfertigt ist.

(168)

Um die Ausübung der oben genannten Rechte nach dem APPIHAO zu erleichtern, hat das MIC 51 „Informationszentralen“ eingerichtet, die umfassende Informationen über diese Rechte, die geltenden Antragsverfahren und mögliche Rechtsbehelfe bereitstellen (144). Die Verwaltungsorgane müssen „Informationen zur Verfügung stellen, die zur Identifizierung der gespeicherten personenbezogenen Informationen beitragen“ (145), und „andere geeignete Maßnahmen unter dem Aspekt der Erleichterung für die Person treffen, die den Antrag zu stellen beabsichtigt“ (Artikel 47 Absatz 1 APPIHAO).

(169)

Wie im Falle von strafrechtlichen Ermittlungen können auch im Bereich der nationalen Sicherheit Einzelpersonen Rechtsbehelfe einlegen, indem sie sich direkt an die PPC wenden. Dadurch wird das spezifische Streitschlichtungsverfahren ausgelöst, das die japanische Regierung für EU-Bürger eingerichtet hat, deren personenbezogene Daten im Rahmen dieses Beschlusses übermittelt werden (siehe ausführliche Erläuterungen in den Erwägungsgründen 141 bis 144 und 149).

(170)

Darüber hinaus können Einzelpersonen Rechtsschutz in Form einer Schadensersatzklage nach dem Staatshaftungsgesetz, das auch immaterielle Schäden erfasst, und unter bestimmten Voraussetzungen die Löschung der erhobenen Daten verlangen (siehe Erwägungsgrund 147).

(171)

Die Kommission ist der Auffassung, dass das APPI, ergänzt durch die Ergänzenden Vorschriften in Anhang I, in Verbindung mit den offiziellen Erklärungen, Zusicherungen und Verpflichtungen in Anhang II ein Schutzniveau für aus der Europäischen Union übermittelte personenbezogene Daten gewährleistet, das der Sache nach demjenigen gleichwertig ist, das durch die Verordnung (EU) 2016/679 garantiert wird.

(172)

Darüber hinaus ist die Kommission der Auffassung, dass die Aufsichtsmechanismen und Rechtsbehelfe im japanischen Recht es insgesamt ermöglichen, Verstöße durch empfangende PIHBO zu erkennen und in der Praxis zu ahnden und der betroffenen Person Rechtsbehelfe anzubieten, um Zugang zu den sie betreffenden personenbezogenen Daten zu erhalten und schließlich die Berichtigung oder Löschung dieser Daten zu erwirken.

(173)

Schließlich ist die Kommission auf der Grundlage der verfügbaren Informationen über die japanische Rechtsordnung, einschließlich der in Anhang II enthaltenen Erklärungen, Zusicherungen und Verpflichtungen der japanischen Regierung, der Auffassung, dass jeder Eingriff in die Grundrechte der Personen, deren personenbezogene Daten aus der Europäischen Union an Japan übermittelt werden, durch japanische Behörden aus Gründen des öffentlichen Interesses, insbesondere aus Gründen der Strafverfolgung und der nationalen Sicherheit, auf das zur Erreichung des betreffenden berechtigten Ziels unbedingt erforderliche Maß beschränkt ist und dass ein wirksamer Rechtsschutz vor solchen Eingriffen besteht.

(174)

Daher ist die Kommission in Anbetracht der Feststellungen dieses Beschlusses der Auffassung, dass Japan ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die aus der Europäischen Union an PIHBO in Japan, die dem APPI unterliegen, übermittelt werden, es sei denn, der Empfänger gehört zu einer der in Artikel 76 Absatz 1 APPI genannten Kategorien und der Verarbeitungszweck entspricht ganz oder teilweise einem der in dieser Bestimmung vorgesehenen Zwecke.

(175)

Auf dieser Grundlage kommt die Kommission zu dem Schluss, dass der Angemessenheitsstandard nach Artikel 45 der Verordnung (EU) 2016/679, wie er unter Berücksichtigung der Charta der Grundrechte der Europäischen Union insbesondere im Schrems-Urteil (146) ausgelegt wurde, erfüllt ist.

(176)ß

Nach der Rechtsprechung des Gerichtshofs (147) und Artikel 45 Absatz 4 der Verordnung (EU) 2016/679 sollte die Kommission nach Erlass eines Angemessenheitsbeschlusses die relevanten Entwicklungen in dem Drittland fortlaufend überwachen, um festzustellen, ob Japan weiterhin ein im Wesentlichen gleichwertiges Schutzniveau bietet. Eine solche Kontrolle ist auf jeden Fall erforderlich, wenn der Kommission Informationen vorliegen, die Anlass zu begründeten Zweifeln geben.

(177)

Daher sollte die Kommission die Situation in Bezug auf den Rechtsrahmen und die tatsächliche Praxis bei der Verarbeitung personenbezogener Daten, wie in diesem Beschluss bewertet, fortlaufend überwachen, einschließlich der Einhaltung der in Anhang II enthaltenen Erklärungen, Zusicherungen und Verpflichtungen durch die japanischen Behörden. Um diesen Prozess zu erleichtern, wird von den japanischen Behörden erwartet, dass sie die Kommission über wesentliche Entwicklungen im Zusammenhang mit diesem Beschluss informieren, und zwar sowohl in Bezug auf die Verarbeitung personenbezogener Daten durch Unternehmer als auch auf die Beschränkungen und Schutzmaßnahmen, die für den Zugriff der Behörden auf personenbezogene Daten gelten. Dies sollte auch für Beschlüsse der PPC nach Artikel 24 APPI gelten, mit denen das Schutzniveau eines Drittlands als dem in Japan garantierten Schutzniveau gleichwertig anerkannt wird.

(178)

Damit die Kommission ihre Kontrollfunktion wirksam ausüben kann, sollten die Mitgliedstaaten die Kommission über alle relevanten Maßnahmen der nationalen Datenschutzbehörden (data protection authorities; im Folgenden „DPA“) informieren, insbesondere über Anfragen oder Beschwerden von betroffenen EU-Bürgern in Bezug auf die Übermittlung personenbezogener Daten aus der Europäischen Union an Unternehmer in Japan. Ferner sollte die Kommission über jegliche Hinweise darauf informiert werden, dass die Maßnahmen der japanischen Behörden, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder für die nationale Sicherheit zuständig sind, einschließlich der Aufsichtsbehörden, nicht das erforderliche Schutzniveau gewährleisten.

(179)

Die Mitgliedstaaten und ihre Organe müssen die notwendigen Maßnahmen treffen, um Rechtsakten der Unionsorgane nachzukommen, da für diese Rechtsakte eine Vermutung der Rechtmäßigkeit gilt, sodass sie Rechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge eines Vorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden. Daher ist ein nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlassener Angemessenheitsbeschluss der Kommission für alle Organe der Mitgliedstaaten, an die er gerichtet ist, einschließlich ihrer unabhängigen Aufsichtsbehörden, verbindlich. Gleichzeitig muss das nationale Recht, wie vom Gerichtshof im Schrems-Urteil (148) erläutert und in Artikel 58 Absatz 5 der Verordnung anerkannt wurde, wenn eine DPA, auch auf eine Beschwerde hin, die Vereinbarkeit eines Angemessenheitsbeschlusses der Kommission mit den Grundrechten des Einzelnen auf Privatsphäre und Datenschutz infrage stellt, Rechtsbehelfe vorsehen, die es ihr ermöglichen, diese Rügen vor einem nationalen Gericht geltend zu machen, das im Zweifelsfall das Verfahren aussetzen und ein Vorabentscheidungsverfahren beim Gerichtshof einleiten muss (149).

(180)

In Anwendung des Artikels 45 Absatz 3 der Verordnung (EU) 2016/679 (150) und angesichts der Tatsache, dass sich das von der japanischen Rechtsordnung gewährte Schutzniveau ändern könnte, sollte die Kommission nach der Annahme dieses Beschlusses regelmäßig prüfen, ob die Feststellungen über die Angemessenheit des von Japan gewährleisteten Schutzniveaus noch sachlich und rechtlich gerechtfertigt sind.

(181)

Zu diesem Zweck sollte dieser Beschluss innerhalb von zwei Jahren nach seinem Inkrafttreten einer ersten Überprüfung unterzogen werden. Nach dieser ersten Überprüfung entscheidet die Kommission in enger Abstimmung mit dem nach Artikel 93 Absatz 1 DSGVO eingesetzten Ausschuss je nach Ergebnis, ob der Zweijahreszyklus beibehalten werden sollte. In jedem Fall sollten die anschließenden Überprüfungen mindestens alle vier Jahre stattfinden (151). Die Überprüfung sollte sich auf alle Aspekte der Funktionsweise dieses Beschlusses erstrecken, insbesondere auf die Anwendung der Ergänzenden Vorschriften (unter besonderer Berücksichtigung des Schutzes im Falle von Weiterübermittlungen), die Anwendung der Vorschriften über die Einwilligung, auch im Falle des Widerrufs, die Wirksamkeit der Ausübung der Rechte des Einzelnen sowie die Beschränkungen und Garantien in Bezug auf den staatlichen Zugriff, einschließlich des in Anhang II dieses Beschlusses dargelegten Rechtsbehelfsmechanismus. Gegenstand der Überprüfung sollte ferner die Wirksamkeit der Aufsicht und Durchsetzung in Bezug auf die Vorschriften sein, die für PIHBO sowie im Bereich der Strafverfolgung und der nationalen Sicherheit gelten.

(182)

Zur Durchführung der Überprüfung sollte die Kommission mit der PPC zusammenkommen, gegebenenfalls unter Mitwirkung anderer japanischer Behörden, die für den staatlichen Zugriff zuständig sind, einschließlich der zuständigen Aufsichtsbehörden. Die Teilnahme an diesem Treffen sollte Vertretern der Mitglieder des Europäischen Datenschutzausschusses offenstehen. Im Rahmen der gemeinsamen Überprüfung sollte die Kommission die PPC auffordern, umfassende Informationen über alle Aspekte, die für die Feststellung der Angemessenheit von Belang sind, vorzulegen, auch über die Beschränkungen und Garantien in Bezug auf den staatlichen Zugriff (152). Die Kommission sollte auch Erläuterungen zu allen für diesen Beschluss maßgeblichen, ihr vorliegenden Informationen einholen, einschließlich öffentlicher Berichte von japanischen Behörden oder anderen Beteiligten in Japan, der EDPB, einzelnen DPA, zivilgesellschaftlichen Gruppen, Medienberichten oder jeder anderen verfügbaren Informationsquelle.

(183)

Auf der Grundlage der gemeinsamen Überprüfung sollte die Kommission einen öffentlichen Bericht erstellen, der dem Europäischen Parlament und dem Rat vorgelegt wird.

(184)

Kommt die Kommission auf der Grundlage der regelmäßigen und unangekündigten Kontrollen oder anderer verfügbarer Informationen zu dem Schluss, dass das Schutzniveau der japanischen Rechtsordnung nicht mehr als im Wesentlichen gleichwertig mit demjenigen in der Europäischen Union angesehen werden kann, sollte sie die zuständigen japanischen Behörden darüber informieren und verlangen, dass innerhalb eines bestimmten, angemessenen Zeitrahmens geeignete Maßnahmen ergriffen werden. Dazu gehören auch die Vorschriften, die sowohl für Unternehmer gelten als auch für japanische Behörden, die für die Strafverfolgung oder die nationale Sicherheit zuständig sind. Ein entsprechendes Verfahren würde zum Beispiel eingeleitet, wenn Weiterübermittlungen — auch auf der Grundlage von Beschlüssen der PPC nach Artikel 24 APPI, mit denen das Schutzniveau eines Drittlands als dem in Japan garantierten Schutzniveau gleichwertig anerkannt wird — nicht mehr mit Garantien vorgenommen werden, die die Kontinuität des Schutzes im Sinne des Artikels 44 DSGVO gewährleisten.

(185)

Wenn die zuständigen japanischen Behörden am Ende des festgelegten Zeitraums nicht glaubhaft gemacht haben, dass dieser Beschluss weiterhin auf einem angemessenen Schutzniveau beruht, sollte die Kommission in Anwendung von Artikel 45 Absatz 5 der Verordnung (EU) 2016/679 das Verfahren einleiten, das zur teilweisen oder vollständigen Aussetzung oder Aufhebung dieses Beschlusses führt. Alternativ sollte die Kommission das Verfahren zur Änderung dieses Beschlusses einleiten, indem sie insbesondere Datenübermittlungen zusätzlichen Bedingungen unterwirft oder den Anwendungsbereich der Angemessenheitsfeststellung auf Datenübermittlungen beschränkt, für die die Kontinuität des Schutzes im Sinne des Artikels 44 DSGVO gewährleistet ist.

(186)

Konkret sollte die Kommission das Verfahren zur Aussetzung oder Aufhebung einleiten, wenn Hinweise darauf vorliegen, dass die Ergänzenden Vorschriften in Anhang I von Unternehmern, die nach diesem Beschluss personenbezogene Daten erhalten, nicht eingehalten und/oder nicht wirksam durchgesetzt werden, oder dass die japanischen Behörden den Erklärungen, Zusicherungen und Verpflichtungen in Anhang II nicht nachkommen.

(187)

Die Kommission sollte ferner die Einleitung des Verfahrens zur Änderung, Aussetzung oder Aufhebung dieses Beschlusses in Betracht ziehen, wenn die zuständigen japanischen Behörden im Rahmen der gemeinsamen Überprüfung oder anderweitig nicht die Informationen oder Erläuterungen liefern, die für die Bewertung des Schutzniveaus für personenbezogene Daten, die aus der Europäischen Union an Japan übermittelt werden, oder für die Einhaltung dieses Beschlusses erforderlich sind. In diesem Zusammenhang sollte die Kommission Überlegungen dazu anstellen, inwieweit die relevanten Informationen aus anderen Quellen bezogen werden können.

(188)

In Fällen hinreichend begründeter Dringlichkeit, zum Beispiel, wenn eine schwerwiegende Verletzung von Rechten betroffener Personen droht, sollte die Kommission erwägen, nach Artikel 93 Absatz 3 der Verordnung (EU) 2016/679 in Verbindung mit Artikel 8 der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (153) einen Beschluss zur Aussetzung oder Aufhebung dieses Beschlusses zu erlassen, der unmittelbar gelten sollte.

(189)

Der Europäische Datenschutzausschuss hat seine Stellungnahme (154) veröffentlicht, der bei der Ausarbeitung dieses Beschlusses Rechnung getragen wurde.

(190)

Das Europäische Parlament hat eine Entschließung zu einer Strategie für den digitalen Handel verabschiedet, in der die Kommission aufgefordert wird, der Annahme von Angemessenheitsbeschlüssen mit wichtigen Handelspartnern unter den in der Verordnung (EU) 2016/679 festgelegten Bedingungen als grundlegenden Mechanismus bei der Absicherung der Übertragung personenbezogener Daten aus der Europäischen Union Vorrang einzuräumen und sie zu beschleunigen (155).Das Europäische Parlament hat auch eine Entschließung zu der Angemessenheit des von Japan gewährten Schutzes personenbezogener Daten (156) verabschiedet.

(191)

Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 93 Absatz 1 DSGVO eingesetzten Ausschusses —