8.2 Japan, Südkorea & Singapur
Modul 8: Datenschutzgesetze in Asien-Pazifik & Afrika
Vergleicht die Datenschutzgesetze Japans (APPI), Südkoreas (PIPA) und Singapurs (PDPA) und erklärt ihre Bedeutung im APEC-CBPR-Rahmen.
Learning Material
1 pagesDatenschutz in Japan, Südkorea und Singapur
Ostasien und Südostasien haben in den vergangenen Jahren beachtliche Datenschutzregelungen entwickelt. Japan, Südkorea und Singapur gehören zu den ausgereiftesten Rechtsordnungen der Region – sie sind für deutsche Unternehmen mit Asien-Pazifik-Aktivitäten unmittelbar relevant.
Japan: Act on Protection of Personal Information (APPI)
Japans Datenschutzgesetz existiert seit 2003, wurde aber durch eine grundlegende Novelle, die im April 2022 in Kraft trat, auf den Stand moderner Datenschutzstandards gebracht. Die Personal Information Protection Commission (PPC) ist als unabhängige Behörde für Aufsicht und Durchsetzung zuständig. Unternehmen müssen Datenpannen innerhalb von 30 Tagen melden – sowohl an die PPC als auch an betroffene Personen. Besonders bedeutsam: Die EU hat Japan im Jahr 2019 einen Angemessenheitsbeschluss erteilt. Damit können personenbezogene Daten aus der EU nach Japan ohne zusätzliche Schutzmaßnahmen übermittelt werden – ein erheblicher Vorteil für deutsch-japanischen Datenaustausch.
Südkorea: Personal Information Protection Act (PIPA)
Südkoreas PIPA gilt als eines der strengsten Datenschutzgesetze Asiens. Das Gesetz enthält detaillierte Regelungen zu Einwilligung, Zweckbindung, Datensparsamkeit und Betroffenenrechten. Die zuständige Behörde, die Personal Information Protection Commission (PIPC), hat eine ausgeprägte Durchsetzungsgeschichte mit erheblichen Bußgeldern gegen internationale Konzerne. PIPA gilt extraterritorial: Ausländische Unternehmen, die personenbezogene Daten südkoreanischer Bürger verarbeiten, unterliegen dem Gesetz. Die Besonderheit: Verstöße können nicht nur mit Bußgeldern, sondern auch strafrechtlich verfolgt werden.
Singapur: Personal Data Protection Act (PDPA)
Singapurs PDPA aus dem Jahr 2012 wurde durch eine Novelle 2021 erheblich verschärft. Die auffälligste Änderung: Die Meldefrist für schwerwiegende Datenpannen wurde auf nur 3 Tage verkürzt – eine der kürzesten Fristen weltweit. Ergänzt wurde das Gesetz um ein Recht auf Datenübertragbarkeit sowie ein Recht auf Datenlöschung. Der Personal Data Protection Commission (PDPC) stehen Bußgelder von bis zu SGD 1 Million oder – für größere Organisationen – bis zu 10 % des Jahresumsatzes zur Verfügung.
APEC Cross-Border Privacy Rules (CBPR)
Alle drei Länder sind am APEC CBPR-System beteiligt. Dieses freiwillige Rahmenwerk ermöglicht zertifizierten Unternehmen einen vereinfachten Datenaustausch über Grenzen hinweg – vergleichbar mit den EU-Standardvertragsklauseln, jedoch auf APEC-Ebene. Für multinationale Unternehmen im Pazifikraum bietet die CBPR-Zertifizierung eine praktische Compliance-Brücke zwischen verschiedenen nationalen Rechtssystemen.
Relevanz für deutsche Unternehmen
Wer japanische, südkoreanische oder singapurische Kundendaten verarbeitet, braucht eine dokumentierte Rechtsgrundlage, lokale Ansprechpartner (je nach Umsatz und Datenmenge) und konforme Datenpannen-Prozesse. Die kurzen Meldefristen – insbesondere Singapurs 3-Tage-Frist – erfordern gut eingespielte interne Incident-Response-Strukturen.