Am 23. Januar 2019 verabschiedete die Europäische Kommission den Angemessenheitsbeschluss in Bezug auf Datenschutz für Japan, der am selben Tag in Kraft trat; ein Abkommen auf der Grundlage des im Juli letzten Jahres zwischen der Europäischen Union und Japan geschlossenen Freihandelsabkommens. Dadurch entsteht der weltweit größte Raum für sicheren Datenverkehr.

Die DSGVO[1] gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung der Vertragsparteien in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht.

Dementsprechend, hat dieser Beschluss Auswirkungen auf die Vorbereitung und Gestaltung aller Verträge, an denen direkt oder indirekt Unternehmen mit Sitz in Japan beteiligt sind, um Datenschutzaspekte korrekt vorauszusehen.

Die regulatorischen Grundlagen dafür sind wie folgt:

  1. Die DSGVO regelt ausdrücklich, dass die Übermittlung von personenbezogenen Daten, die verarbeitet werden oder werden sollen, nur dann an ein Drittland oder eine internationale Organisation außerhalb des Europäischen Wirtschaftsraums (die Länder der Europäischen Union sowie Liechtenstein, Island und Norwegen) erfolgt, wenn die an der Verarbeitung beteiligten Parteien sicherstellen, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird.
  2. Die Artikel 13 und 14 legen die Verpflichtung des für die Datenverarbeitung Verantwortlichen fest, in Übereinstimmung mit dem Informationsrecht, das die Vorschriften den betroffenen Personen gewähren, vorzugehen, immer im Falle einer ersten Erhebung.
  3. Diese Information muss gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, personenbezogene Daten an ein Drittland oder eine Internationale Organisation zu übermitteln, sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission umfassen. Bei Vorhandensein einem solchen Beschluss, ist keine besondere Genehmigung zu diesem Zweck erforderlich.
  4. Alternativ sehen die Artikel 46, 47 und 49 Absatz 1 Unterabsatz 2 die geeignete oder angemessene Garantien und die Möglichkeit vor, eine Kopie davon zu erhalten oder einen Verweis auf wo sie verfügbar sind (von der Kommission gemäß dem Prüfverfahren genehmigte Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften, gemäß der DSGVO genehmigte Verhaltensregeln zusammen mit rechtsverbindlichen Verpflichtungen zur Anwendung geeigneter Garantien, gemäß der DSGVO genehmigter Zertifizierungsmechanismus, Vertragsklauseln, ausdrückliche Einwilligung der betroffenen Person nach Unterrichtung über die Risiken, etc.). Darüber hinaus sieht Artikel 49 Ausnahmen wie vertragliche Erforderlichkeit und berechtigtes Interesse vor, sofern bestimmte Voraussetzungen erfüllt sind.

Die Datenschutzbestimmungen bieten auch Schutz für personenbezogene Daten im Zusammenhang mit beruflichen Positionen, d.h. personenbezogene Daten, unter anderem von Vertretern natürlicher Personen der an der Unterzeichnung oder Ausführung eines Vertrages beteiligten juristischen Personen, konkretisiert im neuen Organgesetz zum Datenschutz und zur Gewährleistung digitaler Rechte (LOPD), in dem festgelegt wird dass, diese Offenlegung durch ein berechtigtes Interesse geschützt ist (Art. 6.1.f) DSGVO).

In diesem Sinne, wenn einer der Unterzeichner oder die an einem Vertrag beteiligten Parteien ein japanisches Unternehmen ist, wird es in jedem Fall die personenbezogenen Daten des Unterzeichners der gegnerischen Partei zusammen mit anderen Daten von Dritten erhalten, wenn der Vertrag diese beinhaltet.

Infolgedessen wird es zu einem internationalen Datenübermittlung außerhalb des EWR kommen.

Da es daher notwendig ist, im Vertrag immer die Daten anzugeben, die zur Gewährleistung des Informationsrecht gemäß Artikel 13 DSGVO erforderlich sind, muss der Unterzeichner über Folgendes informiert werden:

a) Die in Art. 13 DSGVO vorgesehenen Informationen für alle Fälle, unabhängig davon, ob es sich um einen internationalen Datentransfer handelt oder nicht.

b) Die Absicht des Verantwortlichen, die Daten in ein Drittland außerhalb des EWR zu übermitteln.

c) Und ab dem 23. Januar 2019 können alle Verträge, die dies erfordern, -in den in diesem Artikel genannten Fällen- ihre Datenschutzbestimmungen erheblich vereinfachen, indem sie lediglich auf das Vorhandensein eines Angemessenheitsbeschlusses der Kommission vom 23. Januar 2019 hinweisen, um die regulatorischen Anforderungen für die internationale Übermittlung personenbezogener Daten zu erfüllen.

Wie in Art. 45.1 der DSGVO erwähnt, ist von nun an keine weitere besondere Genehmigung mehr erforderlich.

 

 

Andreas Terán

Vilá Abogados

 

Für weitere Informationen wenden Sie sich bitte an:

va@vila.es

 

8. Februar 2019

 

 

[1] VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Relevante Informationsquelle