—

unter Hinweis auf den Vertrag über die Europäische Union, den Vertrag über die Arbeitsweise der Europäischen Union und die Artikel 6, 7, 8, 11, 16, 47 und 52 der Charta der Grundrechte der Europäischen Union,

—

unter Hinweis auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (1) und auf andere einschlägige europäische Rechtsakte im Bereich des Datenschutzes,

—

unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015 in der Rechtssache C-362/14 (Maximillian Schrems gegen Data Protection Commissioner) (2),

—

unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 21. Dezember 2016 in den verbundenen Rechtssachen C-203/15 (Tele2 Sverige AB gegen Post- och telestyrelsen) und C-698/15 (Secretary of State for the Home Department gegen Tom Watson und andere) (3),

—

unter Hinweis auf seine Entschließung vom 12. Dezember 2017 mit dem Titel „Auf dem Weg zu einer Strategie für den digitalen Handel“ (4),

—

unter Hinweis auf das Dokument der Artikel-29-Datenschutzgruppe vom 6. Februar 2018 mit dem Titel „Referenzgrundlage für Angemessenheit“ (5), das eine Orientierungshilfe für die Kommission und den Europäischen Datenschutzausschuss (EDSA) nach der Datenschutz-Grundverordnung (DSGVO) für die Beurteilung des Datenschutzniveaus in Drittländern und internationalen Organisationen darstellt,

—

unter Hinweis auf die Stellungnahme des Europäischen Datenschutzausschusses vom 5. Dezember 2018 zum Entwurf des Angemessenheitsbeschlusses EU-Japan‚

—

unter Hinweis auf den Entwurf eines Durchführungsbeschlusses der Kommission gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum angemessenen Schutz personenbezogener Daten durch Japan (COM(2018)XXXX),

—

unter Hinweis auf die Erkenntnisse, zu denen eine Ad-hoc-Delegation des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres im Oktober 2017 auf ihrer Reise nach Japan gelangt ist, die im Rahmen der Verhandlungen über die Angemessenheit organisiert wurde und bei der Gespräche mit den maßgeblichen japanischen Behörden und Interessengruppen über die grundlegenden Kriterien geführt wurden, die die Kommission bei ihrem Angemessenheitsbeschluss berücksichtigen muss,

—

gestützt auf Artikel 123 Absatz 2 seiner Geschäftsordnung,

A.

in der Erwägung, dass die DSGVO seit dem 25. Mai 2018 gilt; in der Erwägung, dass die Kriterien, die die Kommission bei der Bewertung der Angemessenheit des in einem Drittland oder bei einer internationalen Organisation gebotenen Schutzniveaus berücksichtigen muss, in Artikel 45 Absatz 2 der DSGVO festgelegt sind;

B.

in der Erwägung, dass die Kommission insbesondere die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art — auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten — sowie die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden und die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen berücksichtigen muss;

C.

in der Erwägung, dass der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 in der Rechtssache C-362/14 (Maximillian Schrems / Data Protection Commissioner) klargestellt hat, dass ein angemessener Schutz in einem Drittland als „der Sache nach gleichwertig“ zu dem in der Europäischen Union aufgrund der Richtlinie 95/46/EG im Licht der Charta garantierten Schutzniveau zu verstehen ist;

D.

in der Erwägung, dass Japan einer der wichtigsten Handelspartner der EU ist und vor Kurzem ein Wirtschaftspartnerschaftsabkommen (WPA) zwischen diesen beiden Parteien abgeschlossen wurde, in dem gemeinsame Werte und Grundsätze verankert sind und gleichzeitig die für die Partner jeweils heiklen Punkte berücksichtigt wurden; in der Erwägung, dass die gemeinsame Anerkennung der Grundrechte einschließlich der Privatsphäre und des Datenschutzes eine wichtige Basis für den Angemessenheitsbeschluss darstellt, der die Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU nach Japan bilden wird;

E.

in der Erwägung, dass die Ad-hoc-Delegation des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres in Japan darauf hingewiesen wurde, dass die japanischen Behörden und Interessengruppen nicht nur an der Anwendung der Bestimmungen der neuen DSGVO interessiert sind, sondern auch einen robusten und hochwertigen Mechanismus für die Übermittlung personenbezogener Daten zwischen der EU und Japan einrichten wollen, der die im Rechtsrahmen der EU verankerten Kriterien hinsichtlich eines Schutzniveaus, das als der Sache nach gleichwertig zu dem vom Datenschutzrecht der EU gewährten Schutz gelten kann, erfüllen würde;

F.

in der Erwägung, dass die Übermittlung personenbezogener Daten zwischen der EU und Japan zu kommerziellen Zwecken vor dem Hintergrund der immer stärkeren Digitalisierung der Weltwirtschaft ein wichtiger Bestandteil der Beziehungen zwischen der EU und Japan ist; in der Erwägung, dass dieser Übermittlung die uneingeschränkte Wahrung des Rechts auf den Schutz personenbezogener Daten und des Rechts auf Privatsphäre zugrunde liegen sollte; in der Erwägung, dass eines der grundlegenden Ziele der EU der Schutz der Grundrechte gemäß der Charta der Grundrechte der Europäischen Union ist;

G.

in der Erwägung, dass die EU und Japan im Januar 2017 Gespräche aufgenommen haben, um die Übermittlung personenbezogener Daten zu gewerblichen Zwecken im Wege der allerersten „gegenseitigen Angemessenheitsfeststellung“ zu erleichtern; in der Erwägung, dass das Parlament in seiner Entschließung vom 12. Dezember 2017 mit dem Titel „Auf dem Weg zu einer Strategie für den digitalen Handel“ ausdrücklich festgestellt hat, dass „Angemessenheitsbeschlüsse […] ein grundlegender Mechanismus bei der Absicherung der Übertragung personenbezogener Daten von der EU in ein Drittland sind“;

H.

in der Erwägung, dass der Angemessenheitsbeschluss für Übermittlungen personenbezogener Daten nach Japan der erste Beschluss dieser Art wäre, der nach den neuen und strengeren Bestimmungen der DSGVO erlassen wird;

I.

in der Erwägung, dass Japan vor Kurzem sein Datenschutzrecht modernisiert und gestärkt hat, um es an die internationalen Standards und insbesondere an die Garantien und individuellen Rechte anzupassen, die vom neuen europäischen Datenschutz-Regelwerk gewährt werden; in der Erwägung, dass der japanische Rechtsrahmen für den Datenschutz aus mehreren Säulen besteht, wobei das Gesetz über den Schutz personenbezogener Informationen (Act on Protection of Personal Information, APPI) das Kernstück des Rechtsrahmens ist;

J.

in der Erwägung, dass das japanische Kabinett am 12. Juni 2018 eine Kabinettsverordnung erlassen hat, mit der dem Ausschuss für den Schutz personenbezogener Informationen (Personal Information Protection Commission, PPC) als der für die Verwaltung und Durchführung des APPI zuständigen Behörde die Befugnis übertragen wird, auf der Grundlage von Artikel 6 des Gesetzes die erforderlichen Maßnahmen zur Überbrückung der Unterschiede zwischen den Systemen und Verfahren Japans und des betreffenden Landes zu ergreifen, um einen angemessenen Umgang mit den aus diesem Land übertragenen personenbezogenen Informationen zu gewährleisten; in der Erwägung, dass in dem Beschluss festgelegt ist, dass hierzu auch die Befugnis gehört, den Schutz weiter zu stärken, indem der PPC strengere Bestimmungen annimmt, die die Bestimmungen des APPI und der Kabinettsverordnung ergänzen und darüber hinausgehen; in der Erwägung, dass diese strengeren Bestimmungen dem Beschluss zufolge für japanische Unternehmen verbindlich und ihnen gegenüber durchsetzbar wären;

K.

in der Erwägung, dass dem Entwurf eines Durchführungsbeschlusses der Kommission zum angemessenen Schutz personenbezogener Daten durch Japan als Anhang I die vom PPC am 15. Juni 2018 angenommenen ergänzenden Bestimmungen beigefügt sind, die auf Artikel 6 des APPI beruhen, der dem PPC ausdrücklich erlaubt, strengere Bestimmungen — unter anderem zur Erleichterung des grenzüberschreitenden Datenverkehrs — anzunehmen; in der Erwägung, dass die ergänzenden Bestimmungen noch nicht öffentlich einsehbar sind;

L.

in der Erwägung, dass diese ergänzenden Bestimmungen dem Zweck dienen sollen, größere Unterschiede zwischen dem japanischen und dem europäischen Datenschutzrecht auszuräumen, sodass ein angemessener Umgang mit den auf der Grundlage eines Angemessenheitsbeschlusses aus der EU übermittelten personenbezogenen Informationen gewährleistet ist, was in erster Linie für besonders schützenswerte personenbezogene Informationen („sensible Daten“), gespeicherte personenbezogene Daten, die Festlegung eines Nutzungszwecks, Einschränkungen aufgrund des Nutzungszwecks, Einschränkungen hinsichtlich der Übermittlung an einen Dritten in einem anderen Land und anonym verarbeitete Informationen gilt;

M.

in der Erwägung, dass die ergänzenden Bestimmungen für jedes mit personenbezogenen Informationen umgehende Unternehmen rechtsverbindlich wären, an das auf der Grundlage eines Angemessenheitsbeschlusses personenbezogene Daten aus der EU übermittelt werden und das diese Bestimmungen und die damit verbundenen Rechte und Pflichten daher einhalten muss, und diese Bestimmungen sowohl vom PPC als auch von japanischen Gerichten durchgesetzt werden könnten;

N.

in der Erwägung, dass die ergänzenden Bestimmungen mit dem Ziel, einen der Sache nach gleichwertigen Schutz der aus der EU nach Japan übermittelten personenbezogenen Daten zu gewährleisten, zusätzliche Schutzmechanismen schaffen, die auf der Grundlage von strengeren Kriterien für die oder Einschränkungen der Verarbeitung der aus der EU übertragenen personenbezogenen Daten beruhen, was beispielsweise bei besonders schützenswerten personenbezogenen Informationen, Weiterübermittlungen, anonymen Daten und einer Zweckbindung gelten würde;

O.

in der Erwägung, dass das japanische Datenschutzregelwerk zwischen „personenbezogenen Informationen“ und „personenbezogenen Daten“ unterscheidet und in manchen Fällen auf eine besondere Kategorie personenbezogener Daten, nämlich „gespeicherte personenbezogene Daten“, Bezug nimmt;

P.

in der Erwägung, dass das Konzept der „personenbezogenen Informationen“ nach Artikel 2 Absatz 1 des APPI alle Informationen über eine lebende Person umfasst, die die Identifizierung dieser Person ermöglichen; in der Erwägung, dass in der Definition zwischen zwei Kategorien personenbezogener Informationen unterschieden wird, nämlich (i) Codes zur Personenidentifizierung und (ii) anderen personenbezogenen Informationen, mit denen eine bestimmte Person identifiziert werden kann; in der Erwägung, dass unter die zweite Kategorie Informationen fallen, die an sich keine Identifizierung ermöglichen, aber — sofern sie entsprechend mit anderen Informationen kombiniert werden — die Identifizierung einer bestimmten Person möglich machen;

Q.

in der Erwägung, dass es sich bei „personenbezogenen Daten“ nach Artikel 2 Absatz 4 des APPI um personenbezogene Informationen handelt, die eine Datensammlung mit personenbezogenen Informationen usw. bilden; in der Erwägung, dass in Artikel 2 Absatz 1 des APPI festgelegt ist, dass die Informationen in diesen Datensammlungen systematisch geordnet sind, was in etwa dem Konzept eines Dateisystems gemäß Artikel 2 Absatz 1 der DSGVO entspricht; in der Erwägung, dass der Begriff „personenbezogene Daten“ nach Artikel 4 Nummer 1 der DSGVO alle Informationen bezeichnet, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; in der Erwägung, dass eine natürliche Person als identifizierbar angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; in der Erwägung, dass bei der Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern;

R.

in der Erwägung, dass es sich bei „gespeicherten personenbezogenen Daten“ nach Artikel 2 Absatz 7 des APPI um personenbezogene Daten handelt, die ein mit personenbezogenen Informationen umgehendes Unternehmen offenlegen, berichtigen, durch Hinzufügung oder Löschung von Inhalten ändern, ihre Nutzung beenden, sie löschen oder ihre Weiterleitung an Dritte beenden darf und bei denen es sich weder um Daten, die aufgrund einer Kabinettsverordnung als möglicherweise das öffentliche oder ein anderes Interesse gefährdend eingestuft werden, wenn ihr Vorliegen oder ihr Nichtvorliegen bekannt wird, noch um Daten, die innerhalb eines durch Kabinettsverordnung festgelegten Zeitraums von höchstens einem Jahr gelöscht werden müssen, handelt; in der Erwägung, dass die ergänzenden Bestimmungen den Begriff der „gespeicherten personenbezogenen Daten“ an den Begriff der „personenbezogenen Daten“ angleichen, damit sichergestellt ist, dass bestimmte, mit den „gespeicherten personenbezogenen Daten“ verbundene Einschränkungen der individuellen Rechte nicht für aus der EU übermittelte Daten gelten;

S.

in der Erwägung, dass das japanische Datenschutzrecht, das Gegenstand des Entwurfs eines Durchführungsbeschlusses ist, mehrere Branchen, sofern sie personenbezogene Daten zu bestimmten Zwecken verarbeiten, aus seinem Geltungsbereich ausschließt; in der Erwägung, dass der Entwurf eines Durchführungsbeschlusses nicht für die Übermittlung personenbezogener Daten aus der EU an einen Empfänger gelten würde, der unter eine der erwähnten Ausnahmeregelungen im japanischen Datenschutzrecht fällt;

T.

in der Erwägung, dass der Entwurf eines Durchführungsbeschlusses bei Weiterübermittlungen personenbezogener Daten aus der EU von Japan an ein Drittland den Rückgriff auf Übermittlungsinstrumente ausschließt, die keine rechtsverbindliche Beziehung zwischen dem japanischen Ausführer der Daten und dem Einführer der Daten in dem Drittland herstellen und nicht den erforderlichen Schutz gewährleisten; in der Erwägung, dass dies beispielsweise beim grenzübergreifenden Regelwerk über Privatsphäre der Asiatisch-Pazifischen Wirtschaftskooperation (APEC CBPR) der Fall wäre, dem die japanische Volkswirtschaft angehört, da der Schutz in diesem Regelwerk nicht auf einer verbindlichen Vereinbarung zwischen dem Aus- und dem Einführer im Rahmen ihrer bilateralen Beziehung beruht und keinesfalls dem Schutz entspricht, der durch das APPI in Kombination mit den ergänzenden Bestimmungen gewährleistet wird;

U.

in der Erwägung, dass der Europäische Datenschutzausschuss in seiner Stellungnahme vom 5. Dezember 2018 auf der Grundlage der von der Kommission zur Verfügung gestellten Unterlagen geprüft hat, ob der japanische Rechtsrahmen für den Datenschutz ausreichende Garantien für ein angemessenes Datenschutzniveau für natürliche Personen bietet; in der Erwägung, dass der Europäische Datenschutzausschuss die Bemühungen der Kommission und des japanischen PPC begrüßt, die Konvergenz zwischen dem japanischen und dem europäischen Rechtsrahmen zu fördern, um die Übermittlung personenbezogener Daten zu erleichtern; in der Erwägung, dass der Europäische Datenschutzausschuss anerkennt, dass die Verbesserungen, die durch die ergänzenden Vorschriften vorgenommen wurden, um einige der Unterschiede zwischen den beiden Rechtsrahmen zu überbrücken, sehr wichtig sind und gut aufgenommen werden; in der Erwägung, dass er darauf hinweist, dass es nach wie vor eine Reihe von Bedenken gibt, wie etwa in Bezug auf den Schutz personenbezogener Daten, die während ihres Lebenszyklus von der EU nach Japan übermittelt werden, und empfiehlt, dass die Kommission weitere Nachweise und Erläuterungen zu den aufgeworfenen Fragen vorlegt und die wirksame Anwendung der Vorschriften sorgfältig überwacht;

V.

in der Erwägung, dass dem Entwurf eines Durchführungsbeschlusses außerdem ein Schreiben des Justizministers vom 14. September 2018 beigefügt ist, in dem auf ein Dokument des Justizministeriums und mehrerer Ministerien und Agenturen zur Erhebung und Nutzung personenbezogener Informationen durch die japanischen Behörden für Zwecke der Strafverfolgung und der nationalen Sicherheit verwiesen wird, das einen Überblick über den geltenden Rechtsrahmen enthält, die Kommission über die auf höchster Ebene der Ministerien und Agenturen unterzeichneten offiziellen Darstellungen, Zusicherungen und Zusagen informiert und dem Durchführungsbeschluss als Anhang II beigefügt ist;

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.