Am 1. November 2021 ist in China das Personal Information Protection Law (PIPL) in Kraft getreten, das vielzählige Prinzipien aus der Datenschutz-Grundverordnung (DSGVO) überträgt. Das neue Gesetz schließt viele Datenschutzlücken, denn es werden in China erstmalig personenbezogene Daten umfassend geschützt. Mit diesem Gesetz wird vor allem die Unterbindung des Datenmissbrauchs durch private Unternehmen bezweckt. Das PIPL stellt somit viele Firmen in China vor erhebliche Herausforderungen.
Doch das chinesische Datenschutzgesetz entfaltet seine Wirkung auch außerhalb der territorialen Grenzen der Volksrepublik und somit werden teilweise auch europäische Unternehmer in Handlungszwang gesetzt.
Art der Daten
Die Definition der personenbezogenen Daten ist das Eingangstor zur Anwendung der Datenschutzgesetze. Nach der DSGVO sind mit dem Begriff alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dies gilt nunmehr auch in China. Das bedeutet, dass auch Daten mit einfachem Personenbezug geschützt werden, wie beispielsweise die IP-Adresse.
Datenschutzgrundsätze
Das PIPL legt weiterhin die übergeordneten Prinzipien der Datenverarbeitung fest, ähnlich wie in Art. 5 DSGVO. Es werden allgemeine Datenschutzgrundsätze geregelt, wie Zweckbindung und Datenminimierung.
Rechtsgrundlage
Die Zulässigkeit der Verarbeitung folgt in China nun ebenfalls dem Prinzip des Verbots mit Erlaubnisvorbehalt. Ohne Rechtsgrundlage ist die Verarbeitung unzulässig. Demnach ist die Verarbeitung personenbezogener Daten in China nur rechtmäßig, wenn eine der nachfolgenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung gegeben und diese Einwilligung muss auch in der Volksrepublik wie nach der DSGVO bestimmte Kriterien erfüllen, damit sie wirksam ist;
- die Verarbeitung ist erforderlich für den Abschluss oder die Erfüllung eines Vertrages;
- die Verarbeitung ist zur Erfüllung gesetzlicher Verpflichtungen erforderlich;
- die Verarbeitung ist erforderlich, um auf plötzliche Zwischenfälle im Bereich der öffentlichen Gesundheit zu reagieren oder das Leben und die Gesundheit natürlicher Personen oder die Sicherheit ihres Eigentums zu schützen;
- die personenbezogenen Daten werden in einem angemessenen Umfang verarbeitet zur Durchführung von Nachrichtenberichterstattung, Überwachung der öffentlichen Meinung und zu anderen Aktivitäten im öffentlichen Interesse;
- die personenbezogenen Daten wurden von der betroffenen Person selbst oder auf eine andere Weise bereits rechtmäßig offengelegt, in einem angemessenen Umfang und in Übereinstimmung mit den Bestimmungen des PIPL;
- andere Umstände, die in Gesetzen und Verwaltungsvorschriften in China vorgesehen sind.
Die im PIPL vorgesehenen Rechtsgrundlagen ähneln stark der DSGVO. Eine neue Rechtsgrundlage für die Verarbeitung personenbezogener Daten wird jedoch im vorletzten Punkt verankert, in dem festgelegt wird, dass bei der Verarbeitung zuvor offengelegter personenbezogener Daten innerhalb eines logischen Umfangs eine Einwilligung nicht zwingend erforderlich ist.
Besondere Kategorien personenbezogener Daten
Der Umgang mit besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) ist ebenfalls ähnlich zur DSGVO geregelt.
Es findet eine Unterscheidung zwischen besonderen Kategorien personenbezogener Daten (sprich: sensibler Daten) und allgemeiner personenbezogener Daten statt. Als sensible Daten werden im Gesetz Informationen über biometrische Merkmale, religiöse Überzeugungen, den Gesundheitszustand, Finanzkonten, die Verfolgung des individuellen Standorts sowie personenbezogene Daten von Minderjährigen unter 14 Jahren genannt.
Für den Umgang mit sensiblen Daten gelten hohe Schutzanforderungen, so dass deren Verarbeitung nur zu bestimmten Zwecken möglich und nur nach gesonderter Zustimmung des Betroffenen zulässig ist.
Betroffenenrechte
In Kapitel IV des chinesischen Datenschutzgesetzes werden die Rechte der Betroffenen geregelt. Betroffene Personen haben u.a. das Recht über ihre Daten zu entscheiden und unter Umständen Verarbeitungen einzuschränken oder zu verweigern.
Informationspflichten
Unternehmen müssen künftig gewisse Informationspflichten gegenüber den Betroffenen erfüllen. Die Informationen müssen, ähnlich wie in der DSGVO festgeschrieben, noch vor der Verarbeitung dem Betroffenen vollständig und in einer leicht verständlichen Sprache mitgeteilt werden.
Die Betroffenen haben einen Anspruch auf folgende Informationen:
- die Kontaktdaten des Verantwortlichen,
- den Zweck der Verarbeitung,
- die Verarbeitungsmethoden,
- die Kategorien der betroffenen Daten,
- die Speicherdauer,
- Methoden und Verfahren zur Ausübung der im PIPL vorgesehenen Rechte,
- andere Punkte, die in Gesetzen oder Verwaltungsvorschriften vorgesehen sind, müssen ebenfalls mitgeteilt werden.
Auftragsverarbeitung
Wenn man Dritte mit der Verarbeitung personenbezogener Daten beauftragt, muss zukünftig eine Vereinbarung über den Zweck, die Frist, die Kategorien personenbezogener Daten, die Schutzmaßnahmen, die Rechte und Pflichten beider Parteien und die Überwachung der Verarbeitung abgeschlossen werden. Diese Anforderungen weisen eine starke Ähnlichkeit zu Art. 28 DSGVO auf.
Videoüberwachung
Videoaufnahmen sind nur noch nach vorheriger Information zulässig. Die Platzierung eines Hinweisschilds ist Pflicht.
Standardvertragsklauseln
Standardvertragsklauseln sollen zukünftig ebenfalls zum Einsatz kommen, damit eine möglichst rechtssichere grenzüberschreitende Verarbeitung von personenbezogenen Daten gewährleistet wird. Die Veröffentlichung der Standardvertragsklauseln ist jedoch noch nicht erfolgt.
Bußgeld
Die DSGVO wurde auch bei der Verhängung von Bußgeldern als Vorbild herangezogen. Das chinesische Datenschutzgesetz sieht in Art. 66 bei Datenschutzverstößen nunmehr empfindliche Bußgelder vor. Unternehmen, die gegen die Anforderungen des PIPL verstoßen, drohen Bußgelder von bis zu 50 Mio. Yuan (6,6 Mio. Euro) oder i.H.v. bis zu 5 Prozent des Jahresumsatzes. Doch die hohen Strafen drohen nicht nur juristischen Personen. Gegen die direkt verantwortliche Person und andere direkt verantwortliche Mitarbeiter können Geldstrafen zwischen 100.000 und eine Million Yuan verhängt werden. Weiterhin kann auch beschlossen werden, dass sie für eine Zeit lang einem Tätigkeitsverbot unterliegen und ihre Positionen als Direktor, Vorgesetzter, hochrangiger Manager oder Datenschutzbeauftragter nicht bekleiden dürfen.
Unterschiede und Problematik
Man merkt, dass das von der DSGVO stark inspirierte neue Gesetz in China auch einige Unterschiede hierzu aufweist.
Den größten Unterschied stellt wohl der Anwendungsbereich des chinesischen Gesetzes dar. Die DSGVO gilt sowohl für öffentliche als auch für nicht-öffentliche Stellen. Währenddessen ist das chinesische Gesetz lediglich auf private Unternehmen begrenzt. Nur subsidiär gilt PIPL auch für staatliche Organe.
Noch ein wesentlicher Unterschied besteht darin, dass man in China keine Verfassungstradition des Datenschutzes kennt. Ein Recht mit Verfassungsrang stellt das PIPL auch nicht dar. Vor allem darf der Staat weiterhin alle Freiheiten haben, seine Bürger umfangreich zu überwachen. Anders sieht die Lage in Europa aus. Privatsphäre und Datenschutz sind zwei Grundrechte, die in den EU-Verträgen und in der EU-Charta der Grundrechte verankert sind. Die Charta enthält ein ausdrückliches Recht auf den Schutz personenbezogener Daten (Artikel 8).
Erwähnenswert ist letztlich auch, dass die Aufsichtsbehörden in China nicht unabhängig sind. Eine Voraussetzung für die Effektivität von Aufsichtsbehörden in Europa ist deren Unabhängigkeit, die in Art. 52 DSGVO festgelegt ist. Maßgeblich ist, dass die EU-Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse frei von Weisungen und einer Rechtsaufsicht handeln können und keiner Einflussnahme ausgesetzt sind.
In China hatte man von jeher Probleme damit, den Datenschutz unter Unternehmen und Privatpersonen effektiv durchzusetzen. Man kann zwar hohe Bußgelder und Sanktionen infolge von Datenschutzverstößen androhen, aber letztlich ist jedes Gesetz nur so effektiv wie seine Kontrollintensität.
Worauf müssen europäische Unternehmen achten
Das PIPL stellt nicht nur chinesische verantwortliche Stellen vor neue Herausforderungen. Es sind auch europäische Unternehmen betroffen, die in der Volksrepublik China geschäftlich tätig sind.
Als ersten Schritt sollten deshalb europäische Unternehmen in China ihre Datenschutz-Regelungen den neuen gesetzlichen Anforderungen des PIPL anpassen.
Für Internetplattformbetreiber gibt es darüber hinaus besonders strenge Pflichten die in Art. 58 des chinesischen Datenschutzgesetzes geregelt sind. Beispielsweise soll ein unabhängiges Aufsichtskomitee bestimmt werden und es sollen regelmäßig Berichte über die soziale Verantwortung im Bereich des Datenschutzes veröffentlicht werden.
Fazit
Mit Inkrafttreten des chinesischen Datenschutzgesetzes werden Datenschutzrechte betroffener Personen in China gestärkt und gleichzeitig den Unternehmen strenge Pflichten auferlegt. Das Gesetz verursacht einen Mehraufwand für Unternehmen, die geschäftlich in China tätig sind und Verstöße können, ähnlich wie bei der DSGVO, sehr teuer werden. International agierende Unternehmen sollten sich deshalb gut mit den gesetzlichen Vorgaben des PIPL vertraut machen und entsprechende Maßnahmen ergreifen.
