Verfahren : 2018/2979(RSP)
Werdegang im Plenum
Entwicklungsstadium in Bezug auf das Dokument : B8-0561/2018

Eingereichte Texte :

B8-0561/2018

Aussprachen :

Abstimmungen :

PV 13/12/2018 - 9.12

Angenommene Texte :

P8_TA(2018)0529

ENTSCHLIESSUNGSANTRAG
PDF 319kWORD 59k
10.12.2018
PE631.583v01-00
 
B8-0561/2018

eingereicht im Anschluss an eine Erklärung der Kommission

gemäß Artikel 123 Absatz 2 der Geschäftsordnung


zu der Angemessenheit des von Japan gewährten Schutzes personenbezogener Daten (2018/2979(RSP))


Claude Moraes im Namen des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres

Entschließung des Europäischen Parlaments zu der Angemessenheit des von Japan gewährten Schutzes personenbezogener Daten (2018/2979(RSP))  
B8-0561/2018

Das Europäische Parlament,

–  unter Hinweis auf den Vertrag über die Europäische Union (EUV), den Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und die Artikel 6, 7, 8, 11, 16, 47 und 52 der Charta der Grundrechte der Europäischen Union,

–  unter Hinweis auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(1) und auf andere einschlägige europäische Rechtsakte im Bereich des Datenschutzes,

–  unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015 in der Rechtssache C‑362/14 (Maximillian Schrems gegen Data Protection Commissioner)(2),

–  unter Hinweis auf das Urteil des Gerichtshofs der Europäischen Union vom 21. Dezember 2016 in den verbundenen Rechtssachen C-203/15 (Tele2 Sverige AB gegen Post- och telestyrelsen) und C-698/15 (Secretary of State for the Home Department gegen Tom Watson und andere)(3),

–  unter Hinweis auf seine Entschließung vom 12. Dezember 2017 mit dem Titel „Auf dem Weg zu einer Strategie für den digitalen Handel“(4),

–  unter Hinweis auf das Dokument der Artikel-29-Datenschutzgruppe vom 6. Februar 2018 mit dem Titel „Referenzgrundlage für Angemessenheit“(5), das eine Orientierungshilfe für die Kommission und den Europäischen Datenschutzausschuss (EDSA) nach der Datenschutz-Grundverordnung (DSGVO) für die Beurteilung des Datenschutzniveaus in Drittländern und internationalen Organisationen darstellt,

–  unter Hinweis auf den Entwurf eines Durchführungsbeschlusses der Kommission gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum angemessenen Schutz personenbezogener Daten durch Japan (COM(2018)XXXX),

–  unter Hinweis auf die Erkenntnisse, zu denen eine Ad-hoc-Delegation des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres im Oktober 2017 auf ihrer Reise nach Japan gelangt ist, die im Rahmen der Verhandlungen über die Angemessenheit organisiert wurde und bei der Gespräche mit den maßgeblichen japanischen Behörden und Interessengruppen über die grundlegenden Kriterien geführt wurden, die die Kommission bei ihrem Angemessenheitsbeschluss berücksichtigen muss,

–  gestützt auf Artikel 123 Absatz 2 seiner Geschäftsordnung,

A.  in der Erwägung, dass die DSGVO seit dem 25. Mai 2018 gilt; in der Erwägung, dass die Kriterien, die die Kommission bei der Bewertung der Angemessenheit des in einem Drittland oder bei einer internationalen Organisation gebotenen Schutzniveaus berücksichtigen muss, in Artikel 45 Absatz 2 der DSGVO festgelegt sind;

B.  in der Erwägung, dass die Kommission insbesondere die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art – auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten – sowie die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden und die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen berücksichtigen muss;

C.  in der Erwägung, dass der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 in der Rechtssache C-362/14 (Maximillian Schrems / Data Protection Commissioner) klargestellt hat, dass ein angemessener Schutz in einem Drittland als „der Sache nach gleichwertig“ zu dem in der Europäischen Union aufgrund der Richtlinie 95/46/EG im Licht der Charta garantierten Schutzniveau zu verstehen ist;

D.  in der Erwägung, dass Japan einer der wichtigsten Handelspartner der EU ist und vor Kurzem ein Wirtschaftspartnerschaftsabkommen (WPA) zwischen diesen beiden Parteien abgeschlossen wurde, in dem gemeinsame Werte und Grundsätze verankert sind und gleichzeitig die für die Partner jeweils heiklen Punkte berücksichtigt wurden; in der Erwägung, dass die gemeinsame Anerkennung der Grundrechte einschließlich der Privatsphäre und des Datenschutzes eine wichtige Basis für den Angemessenheitsbeschluss darstellt, der die Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU nach Japan bilden wird;

E.  in der Erwägung, dass die Ad-hoc-Delegation des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres in Japan darauf hingewiesen wurde, dass die japanischen Behörden und Interessengruppen nicht nur an der Anwendung der Bestimmungen der neuen DSGVO interessiert sind, sondern auch einen robusten und hochwertigen Mechanismus für die Übermittlung personenbezogener Daten zwischen der EU und Japan einrichten wollen, der die im Rechtsrahmen der EU verankerten Kriterien hinsichtlich eines Schutzniveaus, das als der Sache nach gleichwertig zu dem vom Datenschutzrecht der EU gewährten Schutz gelten kann, erfüllen würde;

F.  in der Erwägung, dass die Übermittlung personenbezogener Daten zwischen der EU und Japan zu kommerziellen Zwecken vor dem Hintergrund der immer stärkeren Digitalisierung der Weltwirtschaft ein wichtiger Bestandteil der Beziehungen zwischen der EU und Japan ist; in der Erwägung, dass dieser Übermittlung die uneingeschränkte Wahrung des Rechts auf den Schutz personenbezogener Daten und des Rechts auf Privatsphäre zugrunde liegen sollte; in der Erwägung, dass eines der grundlegenden Ziele der EU der Schutz der Grundrechte gemäß der Charta der Grundrechte der Europäischen Union ist;

G.  in der Erwägung, dass die EU und Japan im Januar 2017 Gespräche aufgenommen haben, um die Übermittlung personenbezogener Daten zu gewerblichen Zwecken im Wege der allerersten „gegenseitigen Angemessenheitsfeststellung“ zu erleichtern; in der Erwägung, dass das Parlament in seiner Entschließung vom 12. Dezember 2017 mit dem Titel „Auf dem Weg zu einer Strategie für den digitalen Handel“ ausdrücklich festgestellt hat, dass „Angemessenheitsbeschlüsse […] ein grundlegender Mechanismus bei der Absicherung der Übertragung personenbezogener Daten von der EU in ein Drittland sind“;

H.  in der Erwägung, dass der Angemessenheitsbeschluss für Übermittlungen personenbezogener Daten nach Japan der erste Beschluss dieser Art wäre, der nach den neuen und strengeren Bestimmungen der DSGVO erlassen wird;

I.  in der Erwägung, dass Japan vor Kurzem sein Datenschutzrecht modernisiert und gestärkt hat, um es an die internationalen Standards und insbesondere an die Garantien und individuellen Rechte anzupassen, die vom neuen europäischen Datenschutz-Regelwerk gewährt werden; in der Erwägung, dass der japanische Rechtsrahmen für den Datenschutz aus mehreren Säulen besteht, wobei das Gesetz über den Schutz personenbezogener Informationen (Act on Protection of Personal Information, APPI) das Kernstück des Rechtsrahmens ist;

J.  in der Erwägung, dass das japanische Kabinett am 12. Juni 2018 eine Kabinettsverordnung erlassen hat, mit der dem Ausschuss für den Schutz personenbezogener Informationen (Personal Information Protection Commission, PPC) als der für die Verwaltung und Durchführung des APPI zuständigen Behörde die Befugnis übertragen wird, auf der Grundlage von Artikel 6 des Gesetzes die erforderlichen Maßnahmen zur Überbrückung der Unterschiede zwischen den Systemen und Verfahren Japans und des betreffenden Landes zu ergreifen, um einen angemessenen Umgang mit den aus diesem Land übertragenen personenbezogenen Informationen zu gewährleisten; in der Erwägung, dass in dem Beschluss festgelegt ist, dass hierzu auch die Befugnis gehört, den Schutz weiter zu stärken, indem der PPC strengere Bestimmungen annimmt, die die Bestimmungen des APPI und der Kabinettsverordnung ergänzen und darüber hinausgehen; in der Erwägung, dass diese strengeren Bestimmungen dem Beschluss zufolge für japanische Unternehmen verbindlich und ihnen gegenüber durchsetzbar wären;

K.  in der Erwägung, dass dem Entwurf eines Durchführungsbeschlusses der Kommission zum angemessenen Schutz personenbezogener Daten durch Japan als Anhang I die vom PPC am 15. Juni 2018 angenommenen ergänzenden Bestimmungen beigefügt sind, die auf Artikel 6 des APPI beruhen, der dem PPC ausdrücklich erlaubt, strengere Bestimmungen – unter anderem zur Erleichterung des grenzüberschreitenden Datenverkehrs – anzunehmen; in der Erwägung, dass die ergänzenden Bestimmungen noch nicht öffentlich einsehbar sind;

L.  in der Erwägung, dass diese ergänzenden Bestimmungen dem Zweck dienen sollen, größere Unterschiede zwischen dem japanischen und dem europäischen Datenschutzrecht auszuräumen, sodass ein angemessener Umgang mit den auf der Grundlage eines Angemessenheitsbeschlusses aus der EU übermittelten personenbezogenen Informationen gewährleistet ist, was in erster Linie für besonders schützenswerte personenbezogene Informationen („sensible Daten“), gespeicherte personenbezogene Daten, die Festlegung eines Nutzungszwecks, Einschränkungen aufgrund des Nutzungszwecks, Einschränkungen hinsichtlich der Übermittlung an einen Dritten in einem anderen Land und anonym verarbeitete Informationen gilt;

M.  in der Erwägung, dass die ergänzenden Bestimmungen der Kommission zufolge für jedes mit personenbezogenen Informationen umgehende Unternehmen rechtsverbindlich wären, an das auf der Grundlage eines Angemessenheitsbeschlusses personenbezogene Daten aus der EU übermittelt werden und das diese Bestimmungen und die damit verbundenen Rechte und Pflichten daher einhalten muss, und diese Bestimmungen sowohl vom PPC als auch von japanischen Gerichten durchgesetzt werden könnten; in der Erwägung, dass manche japanischen Experten die Verbindlichkeit der ergänzenden Bestimmungen anzweifeln;

N.  in der Erwägung, dass die ergänzenden Bestimmungen mit dem Ziel, einen der Sache nach gleichwertigen Schutz der aus der EU nach Japan übermittelten personenbezogenen Daten zu gewährleisten, zusätzliche Schutzmechanismen schaffen, die auf der Grundlage von strengeren Kriterien für die oder Einschränkungen der Verarbeitung der aus der EU übertragenen personenbezogenen Daten beruhen, was beispielsweise bei besonders schützenswerten personenbezogenen Informationen, Weiterübermittlungen, anonymen Daten und einer Zweckbindung gelten würde;

O.  in der Erwägung, dass das japanische Datenschutzregelwerk zwischen „personenbezogenen Informationen“ und „personenbezogenen Daten“ unterscheidet und in manchen Fällen auf eine besondere Kategorie personenbezogener Daten, nämlich „gespeicherte personenbezogene Daten“, Bezug nimmt;

P.  in der Erwägung, dass das Konzept der „personenbezogenen Informationen“ nach Artikel 2 Absatz 1 des APPI alle Informationen über eine lebende Person umfasst, die die Identifizierung dieser Person ermöglichen; in der Erwägung, dass in der Definition zwischen zwei Kategorien personenbezogener Informationen unterschieden wird, nämlich (i) Codes zur Personenidentifizierung und (ii) anderen personenbezogenen Informationen, mit denen eine bestimmte Person identifiziert werden kann; in der Erwägung, dass unter die zweite Kategorie Informationen fallen, die an sich keine Identifizierung ermöglichen, aber – sofern sie entsprechend mit anderen Informationen kombiniert werden – die Identifizierung einer bestimmten Person möglich machen;

Q.  in der Erwägung, dass es sich bei „personenbezogenen Daten“ nach Artikel 2 Absatz 4 des APPI um personenbezogene Informationen handelt, die eine Datensammlung mit personenbezogenen Informationen usw. bilden; in der Erwägung, dass in Artikel 2 Absatz 1 des APPI festgelegt ist, dass die Informationen in diesen Datensammlungen systematisch geordnet sind, was in etwa dem Konzept eines Dateisystems gemäß Artikel 2 Absatz 1 der DSGVO entspricht; in der Erwägung, dass der Begriff „personenbezogene Daten“ nach Artikel 4 Nummer 1 der DSGVO alle Informationen bezeichnet, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; in der Erwägung, dass eine natürliche Person als identifizierbar angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; in der Erwägung, dass bei der Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern;

R.  in der Erwägung, dass es sich bei „gespeicherten personenbezogenen Daten“ nach Artikel 2 Absatz 7 des APPI um personenbezogene Daten handelt, die ein mit personenbezogenen Informationen umgehendes Unternehmen offenlegen, berichtigen, durch Hinzufügung oder Löschung von Inhalten ändern, ihre Nutzung beenden, sie löschen oder ihre Weiterleitung an Dritte beenden darf und bei denen es sich weder um Daten, die aufgrund einer Kabinettsverordnung als möglicherweise das öffentliche oder ein anderes Interesse gefährdend eingestuft werden, wenn ihr Vorliegen oder ihr Nichtvorliegen bekannt wird, noch um Daten, die innerhalb eines durch Kabinettsverordnung festgelegten Zeitraums von höchstens einem Jahr gelöscht werden müssen, handelt; in der Erwägung, dass die ergänzenden Bestimmungen den Begriff der „gespeicherten personenbezogenen Daten“ an den Begriff der „personenbezogenen Daten“ angleichen, damit sichergestellt ist, dass bestimmte, mit den „gespeicherten personenbezogenen Daten“ verbundene Einschränkungen der individuellen Rechte nicht für aus der EU übermittelte Daten gelten;

S.  in der Erwägung, dass das japanische Datenschutzrecht, das Gegenstand des Entwurfs eines Durchführungsbeschlusses ist, mehrere Branchen, sofern sie personenbezogene Daten zu bestimmten Zwecken verarbeiten, aus seinem Geltungsbereich ausschließt; in der Erwägung, dass der Entwurf eines Durchführungsbeschlusses nicht für die Übermittlung personenbezogener Daten aus der EU an einen Empfänger gelten würde, der unter eine der erwähnten Ausnahmeregelungen im japanischen Datenschutzrecht fällt;

T.  in der Erwägung, dass der Entwurf eines Durchführungsbeschlusses bei Weiterübermittlungen personenbezogener Daten aus der EU von Japan an ein Drittland den Rückgriff auf Übermittlungsinstrumente ausschließt, die keine rechtsverbindliche Beziehung zwischen dem japanischen Ausführer der Daten und dem Einführer der Daten in dem Drittland herstellen und nicht den erforderlichen Schutz gewährleisten; in der Erwägung, dass dies beispielsweise beim grenzübergreifenden Regelwerk über Privatsphäre der Asiatisch-Pazifischen Wirtschaftskooperation (APEC CBPR) der Fall wäre, dem die japanische Volkswirtschaft angehört, da der Schutz in diesem Regelwerk nicht auf einer verbindlichen Vereinbarung zwischen dem Aus- und dem Einführer im Rahmen ihrer bilateralen Beziehung beruht und keinesfalls dem Schutz entspricht, der durch das APPI in Kombination mit den ergänzenden Bestimmungen gewährleistet wird;

U.  in der Erwägung, dass dem Entwurf eines Durchführungsbeschlusses außerdem ein Schreiben des Justizministers vom 14. September 2018 beigefügt ist, in dem auf ein Dokument des Justizministeriums und mehrerer Ministerien und Agenturen zur Erhebung und Nutzung personenbezogener Informationen durch die japanischen Behörden für Zwecke der Strafverfolgung und der nationalen Sicherheit verwiesen wird, das einen Überblick über den geltenden Rechtsrahmen enthält, die Kommission über die auf höchster Ebene der Ministerien und Agenturen unterzeichneten offiziellen Darstellungen, Zusicherungen und Zusagen informiert und dem Durchführungsbeschluss als Anhang II beigefügt ist;

1.  nimmt die detaillierte Analyse der Kommission in ihrem Entwurf eines Durchführungsbeschlusses über die Angemessenheit mit Blick auf die Garantien einschließlich der Kontroll- und Rechtsbehelfsmechanismen zur Kenntnis, die für die Verarbeitung von Daten durch Unternehmen und für den Zugang der japanischen Behörden zu Daten insbesondere im Bereich der Strafverfolgung und der nationalen Sicherheit gelten;

2.  stellt fest, dass Japan außerdem parallel die Anerkennung des Schutzes personenbezogener Daten, die gemäß Artikel 23 des APPI aus Japan in die EU übermittelt werden, vorbereitet, wodurch weltweit erstmalig eine „zweigleisige“ Angemessenheitsfeststellung erfolgen könnte, auf deren Grundlage der weltgrößte Raum freier und sicherer Datenströme entstehen könnte;

3.  begrüßt diese Entwicklung als Ausdruck der weltweiten Verbreitung hoher Datenschutzstandards; weist jedoch darauf hin, dass dies keinesfalls dazu führen darf, dass die EU bei ihren Angemessenheitsbeschlüssen nach dem Gegenseitigkeitsprinzip verfährt; ruft in Erinnerung, dass die Kommission bei ihren Angemessenheitsbeschlüssen nach der DSGVO die rechtliche und tatsächliche Lage in dem jeweiligen Drittland, Gebiet, Bereich oder in der jeweiligen internationalen Organisation objektiv bewerten muss;

4.  weist darauf hin, dass der Gerichtshof der Europäischen Union geurteilt hat, dass der Ausdruck „angemessenes Schutzniveau“ kein dem in der Unionsrechtsordnung garantierten identisches Schutzniveau voraussetzt, aber so zu verstehen ist, „dass verlangt wird, dass das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union aufgrund der DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist“;

5.  stellt fest, dass das Recht auf Privatsphäre und den Schutz personenbezogener Daten sowohl in Japan als auch in der EU zwar von der Verfassung garantiert wird, die Bestimmungen der EU und Japans aber nicht vollständig aneinander angeglichen werden können, da es sowohl in der Verfassungsstruktur als auch in der Kultur Unterschiede gibt;

6.  nimmt die Änderungen des APPI zur Kenntnis, die am 30. Mai 2017 in Kraft getreten sind; begrüßt die erheblichen Verbesserungen;

7.  stellt fest, dass der sachliche Anwendungsbereich der Angemessenheitsfeststellung in Artikel 1 des Entwurfs eines Durchführungsbeschlusses nicht hinreichend definiert ist, was der Tatsache geschuldet ist, dass das APPI mehrere Kategorien von Unternehmen und Verarbeitungsaktivitäten aus seinem sachlichen Geltungsbereich ausschließt; fordert die Kommission auf, die Auswirkungen dieser Ausnahmen auf die aus der EU nach Japan übermittelten personenbezogenen Daten eingehender und detaillierter zu erläutern, in Artikel 1 des Entwurfs eines Durchführungsbeschlusses eindeutig anzugeben, welche Übermittlungen personenbezogener Daten aus der EU in den Anwendungsbereich des Angemessenheitsbeschlusses fallen, und darauf hinzuweisen, dass die jeweiligen Verarbeitungsvorgänge bei Übermittlungen personenbezogener Daten im Wege der manuellen Verarbeitung in den Geltungsbereich des Beschlusses fallen müssten, wenn die Daten in Japan elektronisch weiterverarbeitet werden;

8.  ist der Ansicht, dass das japanische und das europäische Datenschutzsystem nach dem Erlass des geänderten APPI und der DSGVO im Jahr 2016 zahlreiche Parallelen mit Blick auf Grundsätze, Garantien, individuelle Rechte sowie Kontroll- und Durchsetzungsmechanismen aufweisen; hebt insbesondere die Einrichtung einer unabhängigen Überwachungsbehörde (des PPC) durch das geänderte APPI hervor;

9.  stellt jedoch fest, dass der PPC selbst zu dem Schluss gelangt ist, dass es trotz zahlreicher Parallelen zwischen den beiden Systemen große Unterschiede gibt; stellt außerdem fest, dass der PPC am 15. Juni 2018 die ergänzenden Bestimmungen angenommen hat, um für einen besseren Schutz der aus der EU übermittelten personenbezogenen Daten zu sorgen;

10.  begrüßt die zahlreichen wichtigen klärenden Erläuterungen in den ergänzenden Bestimmungen einschließlich der Angleichung des Begriffs der „anonymisierten personenbezogenen Informationen“ im APPI an die Begriffsbestimmung von „anonymen Informationen“ in der DSGVO;

11.  ist der Ansicht, dass der durch die ergänzenden Bestimmungen gewährte zusätzliche Schutz ausschließlich für Übermittlungen gilt, die im Rahmen der Angemessenheitsbeschlüsse getätigt werden; ruft in Erinnerung, dass manche Datenübermittlungen in Anbetracht des Geltungsbereichs des Angemessenheitsbeschlusses künftig nach diesen anderen verfügbaren Mechanismen vorgenommen werden;

12.  weist darauf hin, dass der durch die ergänzenden Bestimmungen gewährte zusätzliche Schutz auf aus Europa übermittelte personenbezogene Daten beschränkt ist, weshalb Unternehmen, die gleichzeitig japanische und europäische personenbezogene Daten verarbeiten müssen, gezwungen sind, die ergänzenden Bestimmungen im Wege beispielsweise einer technischen („Kennzeichnung“) oder organisatorischen Lösung (etwa der Speicherung in einer gesonderten Datenbank) einzuhalten, damit diese personenbezogenen Daten während ihres gesamten „Lebenszyklus“ ausfindig gemacht werden können; fordert die Kommission auf, hier überwachend tätig zu werden, damit keine Schlupflöcher entstehen, mit denen die Betreiber die Verpflichtungen in den ergänzenden Bestimmungen umgehen könnten, indem sie Daten über Drittländer übermitteln;

13.  stellt fest, dass die Bestimmung des Begriffs „personenbezogene Daten“ im APPI Daten ausschließt, bei denen durch eine Kabinettsverordnung festgelegt wurde, dass sie aufgrund ihrer Nutzungsmethode die Rechte und Interessen eines Einzelnen höchstwahrscheinlich nicht schädigen; fordert die Kommission eindringlich auf, der Frage nachzugehen, ob dieses auf Schädigungen beruhende Konzept mit der Vorgehensweise der EU, bei der jegliche Verarbeitung personenbezogener Daten in den Geltungsbereich des Datenschutzrechts fällt, vereinbar ist; nimmt jedoch auch zur Kenntnis, dass dieses Konzept nur in wenigen Fällen zur Anwendung kommen würde;

14.  stellt außerdem fest, dass die Definition des Begriffs „personenbezogene Informationen“ im APPI auf Informationen beschränkt ist, mit denen eine bestimmte Person identifiziert werden kann; nimmt ferner zur Kenntnis, dass diese Definition die vom Europäischen Gerichtshof eindeutig getroffene und in der DSGVO enthaltene Klarstellung, wonach personenbezogene Informationen auch dann als personenbezogene Daten betrachtet werden sollten, wenn sie lediglich zum „Aussondern“ einer Person herangezogen werden können, nicht einschließt;

15.  ist besorgt darüber, dass die engere Definition des Begriffs „personenbezogene Daten“ (auf der Grundlage der Definition des Begriffs „personenbezogene Informationen“) im APPI das Kriterium der „Gleichwertigkeit der Sache nach“ zur DSGVO und zur Rechtsprechung des Europäischen Gerichtshofs möglicherweise nicht erfüllt; stellt deshalb die Aussage im Entwurf eines Durchführungsbeschlusses infrage, wonach EU-Daten stets in die APPI-Kategorie der „personenbezogenen Daten“ fallen würden; fordert die Kommission auf, die praktischen Auswirkungen der unterschiedlichen Konzepte im Zuge der Anwendung des Angemessenheitsbeschlusses und seiner regelmäßigen Überprüfung eingehend zu überwachen;

16.  fordert die Kommission auf, weitere Klarstellungen vorzuweisen und die japanischen Behörden erforderlichenfalls um zusätzliche verbindliche ergänzende Bestimmungen zu ersuchen, damit dafür gesorgt ist, dass sämtliche personenbezogenen Daten im Sinne der DSGVO bei ihrer Übermittlung nach Japan geschützt sind;

17.  nimmt mit Sorge zur Kenntnis, dass im Gegensatz zum EU-Recht weder das APPI noch die Leitlinien des PPC Rechtsvorschriften über automatisierte Entscheidungsfindung und Profiling enthalten und dass dieses Thema nur in bestimmten sektoralen Vorschriften behandelt wird, ohne dass ein umfassender genereller Rechtsrahmen mit substanziellen und robusten Schutzmechanismen gegen automatisierte Entscheidungsfindung und Profiling geboten wird; fordert die Kommission auf, darzulegen, inwiefern dies im japanischen Datenschutzregelwerk angegangen wird, damit für ein gleichwertiges Maß an Schutz gesorgt ist; ist der Ansicht, dass dies in Anbetracht der aktuellen Profiling-Fälle um Facebook und Cambridge Analytica besonders wichtig ist;

18.  vertritt die Auffassung, dass es in Anbetracht der Referenzgrundlage für Angemessenheit des EDSA und aufgrund der Tatsache, dass es im APPI keine gesonderten Bestimmungen gibt, weiterer detaillierter Klärungen mit Blick auf Direktmarketing bedarf, mit denen der gleichwertige Schutz personenbezogener Daten durch Japan nachgewiesen wird;

19.  ist mit Blick auf Weiterübermittlungen der Ansicht, dass – auch wenn die Kombination aus den APPI-Regeln und den ergänzenden Bestimmungen einen höheren Schutz als den durch das APEC CBPR gebotenen gewährleisten würde – der in den ergänzenden Bestimmungen vorgesehenen Lösung, die darin besteht, dass die betroffenen Personen in der EU vorab um ihre Zustimmung zur Weitergabe an einen Dritten in einem anderen Land gebeten werden, bestimmte wichtige Elemente fehlen, die die betroffenen Personen für die Erteilung ihrer Zustimmung benötigen, da nicht ausdrücklich festgelegt ist, was mit dem Konzept der Informationen über die Umstände der Übermittlung – wie etwa das Bestimmungsdrittland der Datenweiterleitung –, die der Betroffene für die Entscheidung über die Zustimmung benötigt, nach Artikel 13 der DSGVO gemeint ist; stellt außerdem fest, dass die Konsequenzen einer Verweigerung der Zustimmung zur Weiterleitung der personenbezogenen Daten für die betroffene Person in dem Entwurf eines Durchführungsbeschlusses nicht erläutert werden;

20.  fordert die Kommission auf, näher zu beurteilen und darzulegen, ob die Unabhängigkeit des PPC vollständig mit den Anforderungen, die von der Rechtsprechung des Europäischen Gerichtshofs etabliert wurden und in der DSGVO niedergelegt sind, in Einklang zu bringen ist;

21.  bedauert mit Blick auf die wirksame Durchsetzung des APPI, dass die Höhe etwaiger Bußgelder, die von den Strafverfolgungsbehörden verhängt werden können, nicht dafür ausreicht, die tatsächliche Einhaltung des Gesetzes zu gewährleisten, da sie mit Blick auf die Schwere des Verstoßes offenbar weder verhältnismäßig noch wirksam oder abschreckend ist; stellt jedoch fest, dass im APPI auch strafrechtliche Sanktionen einschließlich einer Freiheitsstrafe vorgesehen sind; fordert die Kommission auf, Informationen über den tatsächlichen Rückgriff auf Bußgelder und strafrechtliche Sanktionen in der Vergangenheit vorzulegen;

22.  stellt fest, dass der PPC die Datenverarbeitungsaktivitäten der Strafverfolgungsbehörden zwar nicht überwacht, es jedoch andere Kontrollmechanismen gibt, zu denen beispielsweise die Aufsicht durch die unabhängige Kommission der Präfektur für Öffentliche Sicherheit gehört; weist darauf hin, dass der Ausschuss für die Kontrolle der Offenlegung von Informationen und des Schutzes personenbezogener Informationen zwar ebenfalls gewisse Zuständigkeiten in diesem Bereich besitzt, da er beispielsweise Zugangsanträge prüft und Stellungnahmen veröffentlicht, weist jedoch darauf hin, dass diese Befugnisse nicht rechtlich bindend sind; begrüßt, dass sich die EU und Japan auf die Einrichtung eines gesonderten Rechtsbehelfsmechanismus geeinigt haben, der vom PPC verwaltet und kontrolliert wird und bei der Verarbeitung personenbezogener Daten in den Bereichen Strafverfolgung und nationale Sicherheit herangezogen werden kann;

23.  stellt fest, dass Unternehmen nach dem japanischen Gesetz über den Schutz personenbezogener Informationen bei Verwaltungsorganen (Japanese Act on the Protection of Personal Information held by Administrative Organs, APPIHAO) außerdem „freiwillig“ Daten an die Strafverfolgungsbehörden weitergeben können; weist darauf hin, dass dies weder in der DSGVO noch in der Polizei-Richtlinie vorgesehen ist, und ist besorgt darüber, dass dies nicht das Kriterium der „Gleichwertigkeit der Sache nach“ mit der DSGVO erfüllen könnte;

24.  kennt die Medienberichte über die japanische Behörde für Nachrichten-Aufklärung, die etwa 1 700 Personen beschäftigt und über mindestens sechs Überwachungseinheiten verfügt, die rund um die Uhr Telefonate, E-Mails und andere Formen der Kommunikation überwachen;(6) ist besorgt darüber, dass diese Einrichtung der willkürlichen Massenüberwachung in dem Entwurf eines Durchführungsbeschlusses nicht einmal erwähnt wird; fordert die Kommission auf, mehr Informationen über Massenüberwachung in Japan bereitzustellen; ist ernsthaft besorgt darüber, dass diese Massenüberwachung den Kriterien, die der Europäische Gerichtshof im Schrems-Urteil (Rechtssache C‑362/14) festgelegt hat, nicht standhalten wird;

25.  bedauert, dass das Dokument zur Erhebung und Nutzung personenbezogener Informationen durch die japanischen Behörden für Zwecke der Strafverfolgung und der nationalen Sicherheit, das Bestandteil von Anhang II des Entwurfs eines Durchführungsbeschlusses ist, nicht dieselbe rechtsverbindliche Wirkung wie die ergänzenden Bestimmungen hat;

Schlussfolgerungen

26.  fordert die Kommission auf, zusätzliche Belege und Erläuterungen zu den oben genannten Sachverhalten vorzulegen, damit nachgewiesen wird, dass das japanische Datenschutz-Regelwerk ein angemessenes Maß an Schutz gewährleistet, das der Sache nach dem vom europäischen Datenschutzrecht gewährten Schutz gleichwertig ist;

27.  ist der Ansicht, dass dieser Angemessenheitsbeschluss außerdem ein klares Signal an Länder weltweit aussenden kann, dass eine Annäherung an die hohen Datenschutzstandards der EU überaus greifbare Ergebnisse hervorbringt; hebt in diesem Zusammenhang die große Bedeutung dieses Angemessenheitsbeschlusses als Präzedenzfall für künftige Partnerschaften mit anderen Ländern hervor, die über ein modernes Datenschutzrecht verfügen;

28.  beauftragt seinen Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, die Entwicklungen in diesem Bereich einschließlich der beim Gerichtshof anhängigen Rechtssachen weiter zu beobachten und die Folgemaßnahmen zu den in dieser Entschließung abgegebenen Empfehlungen zu überwachen;

°

°  °

29.  beauftragt seinen Präsidenten, diese Entschließung dem Rat, der Kommission, den Regierungen und Parlamenten der Mitgliedstaaten, dem Europäischen Datenschutzausschuss, dem Europäischen Datenschutzbeauftragten, dem nach Artikel 93 Absatz 1 der Datenschutz-Grundverordnung eingesetzten Ausschuss, dem Europarat und der Regierung Japans zu übermitteln.

(1)

ABl. L 119 vom 4.5.2016, S. 1.

(2)

ECLI:EU:C:2015:650.

(3)

ECLI:EU:C:2016:970.

(4)

ABl. C 369 vom 11.10.2018, S. 22.

(5)

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108, vom EDSA auf seiner ersten Vollversammlung gebilligt.

(6)

Ryan Gallagher: „The Untold Story of Japan’s Secret Spy Agency“ (Die nicht erzählte Geschichte der geheimen japanischen Nachrichtendienste), The Intercept, 19. Mai 2018, https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

Letzte Aktualisierung: 13. Dezember 2018Rechtlicher Hinweis