Datenschutz-Akademie » Datenschutz-News » Das chinesische Datenschutzgesetz PIPL
Datenschutzgesetz China: Personal Information Protection Law (PIPL)
China hat am 20. August 2021 das Gesetz zum Schutz personenbezogener Daten (Englisch „Personal Information Protection Law“ und abgekürzt „PIPL“) verabschiedet. Das neue Personal Information Protection Law (PIPL) übernimmt verschiedene Prinzipien aus der DSGVO und ist Chinas erstes umfassendes Datenschutzgesetz und wird am 1. November 2021 in Kraft treten.
PIPL ist für jedes Unternehmen mit Daten oder Geschäften in China von entscheidender Bedeutung. Es wird die Einhaltung der chinesischen Sicherheits- und Datengesetze und -vorschriften noch komplexer machen und eines von vielen in den letzten Jahren verabschiedeten Gesetzen, neben dem Cybersecurity Law, dem Data Security Law und dem Kryptografiegesetz. Wie bei allen chinesischen Gesetzen üblich, sind viele der Konzepte und Anforderungen sehr allgemein gehalten. Experten gehen davon aus, dass in den kommenden Monaten weitere Einzelheiten in Verordnungen und praktischen Anleitungen festgelegt werden. Spannend ist insbesondere ob das chinesische Datenschutzniveau mit dem europäischen Standard der DSGVO vergleichbar ist.
Das Gesetz reguliert die Verarbeitung von durch die Wirtschaft und insbesondere große Internetfirmen. Staatliche Stellen bleiben von dem Personal Information Protection Law größtenteils ausgenommen.
Wichtigste Informationen über das chinesische Personal Information Protection Law
- Das chinesische Datenschutzgesetzt heißt im englischen Personal Information Protection Law und wird als „PIPL“ abgekürzt
- PIPL tritt ab dem 01. November 2021 in Kraft
- Das neue Gesetz übernimmt Prinzipien aus der europäischen DSGVO
- PIPL reguliert die Verarbeitung von personenbezogenen Daten in der Wirtschaft
- Staatliche Stellen bleiben von dem Personal Information Protection Law größtenteils ausgenommen
Inhalt zum Thema Personal Information Protection Law:
Datenschutzgesetz China : Anwendungsbereich des PIPL
Regularien für große Tech-Konzerne Chinas
Nach Inkrafttreten des Gesetzes dürfen chinesische Tech-Konzerne personenbezogene Daten nur in bestimmten Fällen verarbeiten. Um die umfangreiche Datensammlung zu unterbinden, sollen Daten nur noch zweckgebunden gespeichert werden, zudem ist eine Einwilligung der Betroffenen notwendig. Schon seit einigen Monaten gehen chinesische Behörden zunehmend gegen Datenschutzverstöße vor.
Auswirkungen auf deutsche Unternehmen
Ähnlich wie in der DSGVO knüpft der Anwendungsbereich des Gesetzes an eine geschäftliche Tätigkeit in China, bei welcher personenbezogene Daten dortiger Bürger verarbeitet werden, so dass auch europäische Unternehmen betroffen sein können. Hieraus folgt dann die Pflicht zur Stellung eines Repräsentanten vor Ort und zur Berichterstattung gegenüber den chinesischen Aufsichtsbehörden. Ebenfalls aus der DSGVO bekannt ist die Androhung von Bußgeldern im Falle von Verstößen gegen das Gesetz. Auch in China können diese nun in die Millionen (Euro) gehen. Das chinesische Datenschutzgesetz enthält Regularien für den Transfers personenbezogener Daten, nach aktuellem Stand scheint die Datenübermittlung in die EU, aufgrund des geltenden hohen Datenschutzniveaus, als uneingeschränkt möglich.
PIPL vs. DSGVO
Gemeinsamkeiten
Ähnlich wie die DSGVO definiert auch PIPL „personenbezogene Daten“ als alle Arten von Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen und in elektronischer oder anderer Form gespeichert werden, mit Ausnahme von anonymisierten Informationen.
Auch das chinesische Datenschutzgesetz versteht unter der „Verarbeitung personenbezogener Daten“ das Erheben, Speichern, Verwenden, Anpassung oder Veränderung, Übermitteln, Bereitstellen, Veröffentlichen und Löschen personenbezogener Daten.
Ähnlich wie in der DSGVO ergibt sich aus dem PIPL die Pflicht zur Stellung eines Repräsentanten vor Ort und zur Berichterstattung gegenüber den chinesischen Aufsichtsbehörden, bei geschäftlichen Tätigkeiten und derVerarbeitung personenbezogener Daten chinesischer Bürger.
Eine weitere Gemeinsamkeit ist der Umgang mit Bußgeldern und Sanktionen. Auch in China sind Bußgeldstrafen in Millionenhöhe möglich.
PIPL enthält ebenfalls ein Verbot des Transfers personenbezogener Daten chinesischer Staatsbürger in Staaten mit einem niedrigeren Datenschutzniveau als in China.
Unterschiede
Ein wesentlicher Unterschied zur DSGVO ist, dass die Volksrepublik China eine gesetzlich legitimierte staatliche Überwachungspraxis durchführt. Diese Praktiken werden sich vermutlich auch nach Inkrafttreten des PIPL nicht ändern. Anders als die europäische DSGVO richtet sich das chinesische Datenschutzgesetz gegen die in China weitverbreitete Preisdiskriminierung im Onlinehandel richtet. Dabei geht datenschutzrechtlich um die Profilbildung aufgrund personenbezogener Daten und die darauf resultierende „personalisierte Preisbildung“. So bekommen in China bspw. Nutzer von Smartphone des Hersteller Apples höhere Preise beim Kauf von Reisetickets angezeigt als Nutzer anderer Herstellermarken.
Inhalte Personal Information Protection Law
Das PIPL besteht aus 74 Artikeln in 8 Kapiteln, nämlich:
- Allgemeine Bestimmungen;
- Regeln für die Verarbeitung personenbezogener Daten;
- Regeln für die grenzüberschreitende Bereitstellung von personenbezogenen Daten;
- Rechte des Einzelnen bei der Verarbeitung personenbezogener Daten;
- Pflichten der Verantwortlichen bei der Verarbeitung personenbezogener Daten;
- Behörden, die für den Schutz personenbezogener Daten zuständig sind;
- Gesetzliche Haftung; und
- Sonstige Bestimmungen.
Extraterritoriale Wirkung
Die PIPL hat extraterritoriale Wirkung und gilt für die folgenden Verarbeitungstätigkeiten:
- die Verarbeitung personenbezogener Daten natürlicher Personen innerhalb Chinas; und
- die Verarbeitung außerhalb Chinas von personenbezogenen Daten natürlicher Personen, die sich in China aufhalten, wenn es sich um eine solche Verarbeitung handelt:
- zum Zweck der Bereitstellung von Produkten oder Dienstleistungen für natürliche Personen in China;
- um das Verhalten natürlicher Personen in China zu analysieren/auszuwerten; oder
- andere durch Gesetze und Verwaltungsvorschriften vorgeschriebene Umstände.
Zuständige Behörden
Das PIPL sorgt für mehr Klarheit bei der Verteilung der Zuständigkeiten zwischen den Behörden und bezeichnet die zentralen und lokalen Behörden mit Zuständigkeiten nach dem Gesetz als die Behörden, die Aufgaben und Verantwortlichkeiten im Bereich des Schutzes personenbezogener Daten wahrnehmen (PI Protection Authorities). Die Aufteilung der Zuständigkeiten ist wie folgt:
- die nationale Cyberspace-Verwaltung (z. B. die Cyberspace-Verwaltung Chinas oder CAC) ist für die umfassende Planung und Koordinierung des Schutzes personenbezogener Daten und der damit verbundenen Aufsichts- und Verwaltungsarbeit zuständig;
- die zuständigen Ministerien und Abteilungen des Staates sind in ihrem jeweiligen Zuständigkeitsbereich für den Schutz personenbezogener Daten sowie für die Überwachung und Verwaltung zuständig; und
- die zuständigen Abteilungen der Kommunalverwaltungen auf Kreisebene oder darüber werden ebenfalls bestimmte Aufgaben und Verantwortlichkeiten in Bezug auf den Schutz personenbezogener Daten und die damit verbundene Aufsicht und Verwaltung in Übereinstimmung mit den staatlichen Vorschriften wahrnehmen.
Grundlage für die Verarbeitung
Das PIPL sieht die folgenden Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor, von denen mindestens eine gegeben sein muss, damit die Verarbeitung rechtmäßig ist:
- Einwilligung der betroffenen Personen;
- Notwendigkeit für den Abschluss oder die Erfüllung von Verträgen, an denen die betroffene Person beteiligt ist, oder Notwendigkeit für die Durchführung der Personalverwaltung in Übereinstimmung mit den gesetzlich verabschiedeten arbeitsrechtlichen Vorschriften und Systemen und den gesetzlich geschlossenen Tarifverträgen;
- die Notwendigkeit zur Erfüllung gesetzlicher Aufgaben oder rechtlicher Verpflichtungen;
- um auf Notfälle im Bereich der öffentlichen Gesundheit zu reagieren oder um das Leben, die Gesundheit und die Sicherheit von natürlichen Personen in Notfällen zu schützen;
- die Verarbeitung personenbezogener Daten in angemessenem Umfang zur Durchführung von Nachrichtenberichten, zur Überwachung der öffentlichen Meinung und für andere Handlungen im öffentlichen Interesse;
- die Verarbeitung personenbezogener Daten, die von den betroffenen Personen oder auf andere rechtmäßige Weise veröffentlicht wurden, im angemessenen Rahmen und in Übereinstimmung mit den PIPL; und
- andere Umstände, die durch Gesetze und Verwaltungsvorschriften festgelegt sind.
Datentransfer personenbezogener Daten
Die grenzüberschreitende Übermittlung personenbezogener Daten darf nur zu legitimen Zwecken, wie z. B. geschäftlichen Erfordernissen, erfolgen, und der Übermittler ist verpflichtet, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Verarbeitungstätigkeiten des Empfängers im Ausland den im PIPL festgelegten Schutzstandards entsprechen.
Darüber hinaus sind sowohl eine angemessene Rechtsgrundlage als auch die Zustimmung der betroffenen Personen erforderlich, damit eine solche Übermittlung rechtmäßig ist.
Rechtsgrundlage
Die Rechtsgrundlage für die grenzüberschreitende Übermittlung personenbezogener Daten im Rahmen des PIPL ist unter anderem:
- das Bestehen einer von der Cyberspace-Verwaltung organisierten Sicherheitsüberprüfung, wenn der Übermittler ein Betreiber kritischer Informationsinfrastrukturen (KRITIS) ist oder der Umfang der betroffenen personenbezogenen Daten den vom CAC festgelegten Schwellenwert erreicht;
- Erlangung einer Zertifizierung zum Schutz personenbezogener Daten durch eine professionelle Agentur gemäß den Regeln des CAC;
- Abschluss einer Vereinbarung mit dem Empfänger im Ausland auf der Grundlage eines vom CAC formulierten Standardvertrags; oder
- andere Bedingungen, die in Gesetzen, Verwaltungsvorschriften oder dem CAC vorgesehen sind.
Die Umsetzung der Regelung für die grenzüberschreitende Übertragung wird von weiteren Vorschriften des CAC abhängen, einschließlich der Ausarbeitung eines Standardvertragsformulars.
Einwilligung
Die betroffenen Personen müssen über folgende Punkte informiert werden und ihre gesonderte Einwilligung zur grenzüberschreitenden Übermittlung ihrer personenbezogenen Daten geben:
- Name und Kontaktdaten des Empfängers in Übersee;
- die Zwecke und Methoden der Verarbeitung;
- die Arten der betroffenen personenbezogenen Daten; und
- die Methoden und Verfahren zur Ausübung der Rechte, die in der PIPL mit dem ausländischen Empfänger vorgesehen sind.
Unabhängig davon, ob es eine Rechtsgrundlage gibt und die Zustimmung erteilt wurde, ist es Unternehmen strengstens untersagt, in China gespeicherte personenbezogene Daten ohne die Zustimmung der chinesischen Behörden an ausländische Justiz- oder Strafverfolgungsbehörden weiterzugeben. Für internationale Unternehmen, die gegenüber den Aufsichtsbehörden in ihren eigenen Ländern Berichtspflichten haben, ist dies ein schwieriges Thema.
Betroffenenrechte
Das PIPL räumt Betroffenen verschiedene Rechte in Bezug auf ihre persönlichen Daten ein, darunter:
- Recht auf Kenntnisnahme und Entscheidung bezüglich ihrer persönlichen Daten;
- das Recht, die Verarbeitung ihrer persönlichen Daten einzuschränken oder zu verbieten;
- das Recht auf Einsichtnahme und Kopie ihrer persönlichen Daten bei den Verarbeitern;
- Recht auf Übertragbarkeit ihrer persönlichen Daten;
- das Recht auf Berichtigung und Löschung ihrer personenbezogenen Daten; und
- das Recht, von den Verarbeitern eine Erläuterung der Verarbeitungsvorschriften zu verlangen.
Die nahen Verwandten einer natürlichen Person können diese Rechte für ihre eigenen legitimen und gerechtfertigten Interessen nach dem Tod der natürlichen Person ausüben, es sei denn, die verstorbene Person hat zu Lebzeiten andere Vorkehrungen getroffen.
Pflichten des Verantwortlichen
Das PIPL erlegt den Verarbeitern personenbezogener Daten verschiedene Verpflichtungen auf, darunter die Verpflichtung:
- Interne Managementsysteme und Betriebsverfahren zu formulieren;
- eine vertrauliche Verwaltung für personenbezogene Daten einzuführen;
- entsprechende technische Sicherheitsmaßnahmen wie Verschlüsselung und Anonymisierung zu ergreifen;
- die betriebliche Berechtigung für personenbezogene Daten angemessen festzulegen und regelmäßige Sicherheitsschulungen und -trainings für das Betriebspersonal anzubieten;
- Notfallpläne für Sicherheitsvorfälle in Bezug auf personenbezogene Daten zu formulieren und umzusetzen;
- regelmäßige Audits zur Einhaltung der Vorschriften durchzuführen; und
- andere Sicherheitsmaßnahmen zu ergreifen, die durch Gesetze und Vorschriften vorgeschrieben sind.
Bestimmte Unternehmen (z. B. KRITIS-Betreiber, Verarbeiter sensibler personenbezogener Daten, Unternehmen, die wichtige Internetplattformen mit einer großen Zahl von Nutzern anbieten, und komplexe Arten von Unternehmen) unterliegen strengeren Verpflichtungen wie der Ernennung eines Datenschutzbeauftragten und/oder eines unabhängigen Aufsichtsgremiums, der Durchführung von Datenschutz-Folgenabschätzungen für die Verarbeitungstätigkeiten und der Veröffentlichung regelmäßiger Berichte zur sozialen Verantwortung.
Im Falle eines Datenvorfalls sind die Verarbeiter verpflichtet, „sofortige“ Abhilfemaßnahmen zu ergreifen und die Datenschutzbehörden und alle betroffenen Personen zu benachrichtigen.
Sanktionen
Verstöße gegen das PIPL können mit einer Verwaltungsstrafe von bis zu 50 Mio. Renminbi (RMB) oder 5 % des Unternehmensumsatzes aus dem letzten Jahr geahndet werden (es ist unklar, ob es sich dabei um einen lokalen oder globalen Betrag handelt).
Zu den weiteren Sanktionen gehören die Aufforderung zur Berichtigung, eine Verwarnung, die Beschlagnahme illegaler Gewinne, die Aussetzung oder Einstellung des Dienstes, die Einstellung des Betriebs zur Berichtigungund der Entzug von Betriebsgenehmigungen oder Geschäftslizenzen.
Der Verantwortliche oder andere unmittelbar haftende Personen können auch individuell haftbar gemacht und mit einer Geldstrafe belegt oder mit einem Verbot belegt werden, als Geschäftsführer, Aufsichtsperson, leitender Angestellter oder Datenschutzbeauftragter tätig zu werden.
Wenn die Verarbeitungstätigkeit die Rechte oder Interessen einer großen Zahl von Personen verletzt, kann die Staatsanwaltschaft (d. h. die für die Strafverfolgung zuständige Behörde), Verbraucherschutzorganisationen oder eine andere von der Cyberspace-Verwaltung benannte Organisation eine Klage im öffentlichen Interesse einleiten.
Fazit zum Datenschutzgesetz China
Das neue Gesetz wird den Umgang mit personenbezogenen Daten in China neugestalten. Dazu gehört auch die Einführung von Maßnahmen, um mit den sich entwickelnden Technologien rund um Gesichtserkennung, KI und Datenanalyse umzugehen. Chinesischen Bürgern werden als Verbrauchern vor großen Anbietern und der Sammlung von Daten geschützt.
Der Grundgedanke des chinesischen Gesetzes PIPL ist also durchaus vergleichbar zur europäischen DSGVO. Allerdings behält sich der Staat weiterhin Rechte vor, die die Überwachung chinesischer Staatsbürger legitimieren. PIPL trifft auch keine regulierenden Vorschriften in Bezug auf das geplante Sozialkreditsystem „Social Score“. Die chinesische Regierung plant personenbezogenen Daten chinesischer Bürger dazu zu verwenden, datenbasierte Belohnung oder Sanktionierung zu vollstrecken.
Organisationen die regelmäßig Daten in China oder von chinesischen Staatsbürgern verarbeiten, sollten einen Vertreter vor Ort benennen, welcher als Ansprechpartner für chinesische Behörden in Bezug auf Datenverarbeitungen zuständig ist. Ähnlich wie bei der europäischen DSGVO muss der zuständige Ansprechpartner den zuständigen Behörden mitgeteilt werden.
- Internes Kontrollsystem - 10. September 2024
- TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten - 8. Januar 2024
- Audit-Management: Audits effizienter umsetzen - 26. Oktober 2023