Personal Information Protection Law
PIPL stellt deutsche Unternehmen vor Herausforderungen
Ab November 2021 tritt das erste umfassende chinesische Datenschutzgesetz in Kraft. Ziel des Gesetzes ist es, Datenmissbrauch und das Sammeln von Daten durch private Firmen zu unterbinden. Auch für deutsche Unternehmen dürften die neuen Regelungen von großer Bedeutung sein, da China der wichtigste Handelspartner Deutschlands ist. Unabhängig davon, ob Unternehmen personenbezogene Daten innerhalb oder außerhalb Chinas erheben, entfalten die chinesischen Datenschutzregelungen auch außerhalb der Grenzen Chinas Wirkung - vergleichbar zur europäischen Datenschutzgrundverordnung (DSGVODSGVO). Auch deutsche Unternehmen sind daher gezwungen, sich mit den künftigen chinesischen Vorgaben zum DatenschutzDatenschutz auseinanderzusetzen. Alles zu DSGVO auf CIO.de Alles zu Datenschutz auf CIO.de
Was regelt PIPL?
Im Rahmen von PIPL werden zunächst allgemeine Datenschutzgrundsätze geregelt. So dürfen Datenerhebungen nur noch aus angemessenen Gründen erfolgen. Zudem gilt das Prinzip des notwendigen Minimums, welches die übermäßige Sammlung von Daten untersagt. Was darunter jedoch genau zu verstehen ist und wo die Grenzen gezogen werden, bleibt offen.
Neu ist das sogenannte Datenlokalisierungsprinzip, wonach personenbezogene Daten innerhalb Chinas zu speichern sind, wenn die Datenmenge einen bestimmten Grenzwert übersteigt. Eine Speicherung im Ausland, z.B. über Cloudserver oder eigene Rechenzentren, dürfte dann nicht mehr möglich sein. Zukünftig treffen Unternehmen ferner Berichtspflichten gegenüber den chinesischen Aufsichtsbehörden.
Neben diesen allgemeinen Prinzipien macht PIPL auch konkretere Vorgaben zu speziellen Bereichen:
Unternehmen müssen künftig zum Beispiel darüber informieren, dass sie Nutzungsdaten erheben und tracken.
Unternehmen sind ab Inkrafttreten von PIPL dazu verpflichtet, das Einverständnis der Nutzerinnen und Nutzer einzuholen und Auskunft über die "Grundsätze, Zwecke und Methoden" der Datenerhebung zu geben.
Videoüberwachungen sind nur noch zulässig, wenn vorher darauf hingewiesen wurde.
Eine individuelle algorithmische Preisdifferenzierung zwischen Nutzern wird verboten.
Internationale Datentransfers aus China heraus werden durch PIPL unter Umständen erheblich erschwert. Für bestimmte Vorgänge wird eine vorherige Zustimmung chinesischer Behörden erforderlich sein, für deren Erteilung jedoch vergleichsweise unspezifische Vorgaben gelten - dies öffnet einen erheblichen Spielraum für Behörden und kann zu erheblichen Rechtsunsicherheiten führen. Zudem müssen in China geschäftlich tätige Unternehmen, die personenbezogene Daten ins Ausland übertragen möchten, den von der Cyberspace Administration of China veröffentlichten Standardvertrag verwenden.
Besonderer Schutz sensibler Daten
Das Gesetz unterscheidet zudem zwischen allgemeinen persönlichen Daten und sensiblen Daten. Zur zweiten Kategorie zählen etwa die religiöse Überzeugung, biometrische Merkmale, medizinische und gesundheitliche Informationen, Bewegungsprofile und Finanzkonten. Für den Umgang mit sensiblen Daten gelten gesteigerte Schutzanforderungen. Datenerhebungen und Datenverarbeitungen sind dann nur noch zu bestimmten Zwecken zulässig und begründet möglich.
DSGVO als Vorbild - auch bei Bußgeldern
Auffallend sind die Gemeinsamkeiten von PIPL und DSGVO: Der extraterritoriale Geltungsbereich, die Prinzipien der Nutzerinformation und Zustimmung sowie der besondere Schutz sensibler Daten finden sich sowohl in der DSGVO als auch in den chinesischen Datenschutzgesetzen. Wie die DSGVO sieht auch das chinesische Datenschutzgesetz bei Verstößen empfindliche Bußgelder vor: Unternehmen, die gegen die neuen Regelungen verstoßen, drohen Bußgelder von bis zu 50 Mio. Yuan (6,6 Mio. Euro) oder in Höhe von bis zu 5 Prozent des Jahresumsatzes. Die DSGVO verfügt über ähnliche Regelungen. Schwerwiegende Verstößen können sogar mit einem Tätigkeitsverbot sanktioniert werden. Doch nicht nur den Unternehmen drohen bei Zuwiderhandlungen hohe Strafen - auch verantwortliche Personen können bei Datenschutzverstößen Strafen bis zu 1 Mio. Yuan (130.000 Euro) drohen.
Dennoch unterscheiden sich die Regelungsregime bei genauerem Hinsehen. Zwar räumt auch das chinesische Gesetz Einzelpersonen Rechtsmittel gegen Datenschutzverstöße ein. Eine Vielfalt an Betroffenenrechten wie Auskunfts- oder Löschrechte sucht man jedoch vergeblich. Dass der Anwendungsbereich des neuen Gesetzes auf private Unternehmen begrenzt ist, stellt einen weiteren Unterschied zur DSGVO dar, die grundsätzlich auch von allen öffentlichen Stellen zu beachten ist.
Die Ziele von PIPL
Das neue Gesetz richtet sich vor allem an Unternehmen aus dem Technologiesektor. Plattformbetreiber und soziale Netzwerke unterliegen dabei besonders strengen Pflichten. Sie müssen unter anderem ein unabhängiges Aufsichtskomitee bestimmen. Staatliche Stellen sind hingegen vom Anwendungsbereich des Gesetzes ausgenommen.
Der Schutz der Nutzerinnen und Nutzer dürfte daher nicht die einzige Motivation Chinas für den Erlass des Gesetzes sein. Durch die Angleichung an andere Datenschutzgesetze wie die DSGVO können chinesische Unternehmen sich unter Umständen auch auf ausländische Vorgaben einstellen und diese besser umsetzen - bislang wurden Datentransfers nach China von den europäischen bzw. deutschen Datenschutzaufsichtsbehörden mangels vergleichbaren Schutzniveaus als kritisch bewertet und besonders beobachtet. Zudem bedeutet das neue Gesetz eine weitere Kontrollmöglichkeit für Datenverarbeitungen.
Lesetipp: Chinese Cybersecurity Law - Der mühsame Weg über die digitale Seidenstraße
Ob sich die kritische Einstellungen der Datenschutzaufsichten mit PIPL ändert, ist jedoch zu bezweifeln. Denn trotz der teilweise sehr strengen datenschutzrechtlichen Vorgaben dürfte das neue chinesische Gesetz nicht den Datenschutzstandard der DSGVO erreichen. Damit dürfte die Volksrepublik China kein angemessenes Schutzniveau im Sinne der DSGVO und des Schrems II-Urteils bieten. Dafür fehlt es an der Durchsetzbarkeit von Betroffenenrechten und der Anwendbarkeit des Gesetzes auf staatliche Stellen.
Das gilt es für Unternehmen zukünftig zu beachten
Spätestens zum 1. November 2021 sollten in China tätige Unternehmen ihre Datenschutzrichtlinien überarbeiten und diese mit den neuen gesetzlichen Vorgaben in Einklang bringen. Das neue Gesetz sieht vor, dass Unternehmen einen Ansprechpartner für Datenschutzfragen vor Ort bestimmen und durch regelmäßige Prüfungen die Einhaltung der Gesetze überwachen. Ob Unternehmen die gesetzlichen Vorgaben einhalten, soll regelmäßig kontrolliert werden. Zu diesem Zweck empfiehlt sich eine ausführliche Dokumentation datenschutzrechtlich relevanter Prozesse und Handlungen.
Wie die gesetzlichen Vorgaben in der Praxis umgesetzt und ausgelegt werden, bleibt abzuwarten. Da die Durchsetzung des Gesetzes nicht durch eine zentrale Datenschutzbehörde erfolgt, sondern verschiedenen nationalen und regionalen Behörden überlassen bleibt, droht ein regulatorischer Flickenteppich. Angesichts der Zielrichtung des Gesetzes ist außerdem derzeit noch ungewiss, wie konsequent die chinesischen Behörden das Gesetz gegenüber ausländischen Unternehmen durchsetzen.
Trotzdem sollten sich in China tätige Unternehmen dringend mit den neuen Regelungen vertraut machen. Es empfiehlt sich zudem, die Verantwortlichen neu zu schulen und Mitarbeiter auf die neuen Datenschutzregelungen aufmerksam zu machen. Dass die neuen Regelungen Chinas der DSGVO ähneln, könnte deutschen Unternehmen, die im Umgang mit der DSGVO mittlerweile geschult sind, durchaus helfen und eventuell gar einen Wettbewerbsvorteil bieten. (bw)