Zu 20.08.2021 wurde ein neues Datenschutzgesetz „Personal Information Protection Law“ – kurz PIPL in China verabschiedet. Jenes tritt zum 01.11.2021 in Kraft und kann als chinesisches Pendant zur DSGVO gesehen werden. Eine erste inoffizielle Übersetzung zu diesem Gesetz hat die Stanford University hier veröffentlicht.
GELTUNGSBEREICH, GELDSTRAFEN,…
PIPL gilt für alle Stellen die personenbezogene Daten natürlicher Personen innerhalb der Grenzen der Volksrepublik China verarbeiten und dabei unabhängig über Zweck und Verarbeitung entscheiden. Es weist tatsächlich viele Ähnlichkeiten zur DSGVO auf und beinhaltet auch Sanktionen bei Nichteinhaltung in Form von Geldstrafen (bis zu 1 Mio RMB, sowie 10.000 bis 100.000 RMB für die beteiligten Privatpersonen!, sowie bei schwerwiegenden Verstößen bis zu 50 Mio. RMB oder 5% des Vorjahresumsatzes und 100.00 bis 1 Mio RMB für die beteiligten Privatpersonen) oder der Aufnahme in die chinesische „Blacklist“ für Unternehmen. Zudem hat eine Beteiligung auch Auswirkungen auf das soziale Credit System in China, welches für die dort lebenden Menschen im Alltag schwerwiegende Folgen haben kann bei negativer Bilanz.
WELCHE UNTERNEHMEN BETRIFFT DAS NEUE DATENSCHUTZGESETZ IN CHINA?
Das Datenschutzgesetz PIPL gilt für die grenzüberschreitende Übermittlung personenbezogener Daten und ist extraterritorial anwendbar. Wenn man als verarbeitende Stelle personenbezogene Daten außerhalb Chinas übermittelt, muss man hierfür entsprechende Rechtsgrundlagen beachten und einhalten, Sie umfassend über die Verarbeitung informieren und sicherstellen, dass das Zielland vergleichbare Datenschutzstandards zu PIPL gewährleistet.
Interessant ist, dass die chinesische Regierung sich weitreichende Befugnisse bei der Verarbeitung personenbezogener Daten eingeräumt hat. Staatliche Einrichtungen dürfen zur Erfüllung gesetzlicher Aufgaben! personenbezogene Daten verarbeiten.
WESENTLICHE MERKMALE DES PIPL
Das neue Gesetz sagt, die Verarbeitung muss einen „klaren und angemessenen Zweck“ haben und die Erhebung soll wie in der DSGVO nur in dem Maße stattfinden, wie notwendig um jenen zu erfüllen.
Die verarbeitende Stelle wird zudem in zur sicheren Verarbeitung verpflichtet. Hierzu verlangt China einige Verpflichtungen im Bereich Compliance ab wie z. B. das Festlegen von Verfahren, Verpflichtungen, technisch- organisatorische Maßnahmen zur Gewährleistung der Datensicherheit und die Durchführung von Verarbeitungstätigkeiten mit Risikobewertung. Spätestens hier wäre anzuraten die datenschutzrechtlichen Belange vor Ort von einem chinesischen Datenschutzbeauftragten umsetzen zu lassen. Doch ist dieser verpflichtend? Auch hier ist noch nichts definitives zu finden, sondern nur von einem noch festzulegendem Schwellenwert des Verarbeitungsvolumina zu lesen .Es ist vielmehr in erster Linie verpflichtend für ausländische Unternehmen einen Repräsentanten zu benennen, der sich um die Belange der datenschutzrechtlichen Angelegenheiten in China kümmert. In der inoffiziellen Stanford-Übersetzung kann ich jedoch nichts darüber finden, dass dies nicht gleichzeitig der Datenschutzbeauftragte sein kann. Somit macht es Sinn jenen zugleich als Repräsentanten zu benennen und präventiv zwei Fliegen mit einer Klappe zu schlagen.
Interessant wird es zudem bei den Rechtsansprüchen betroffener Personen. Die chinesische Datenschutzbehörde verlangt eine Einwilligung, sowie eine ausführliche Informationspflicht der betroffenen Personen, ohne dabei näher zu erläutern in welcher Form eine Einholung der Einwilligung abverlangt wird. Diese Einwilligung muss erneuert werden, wenn sich der Zweck ändert.
WEITERE POTENZIELLE RISIKEN FÜR DEUTSCHE UNTERNEHMEN IN CHINA
Eingangs bin ich ja schon auf die horrenden Summen und Sanktionen eingegangen, welche bei Verstoß gegen das Datenschutzgesetz in China gelten werden.
Darüber hinaus möchte ich aber noch eine interessante Gesetzgebung beleuchten, welche wir bereits aus den USA kennen. PIPL gilt auch im Ausland wie eine Art verlängerter, wenn die nationale Sicherheit, das öffentliche Interesse oder die legitimen Interessen chinesischer Bürger oder Unternehmen bedroht sind. Somit ist auch China ein klassischer Kandidat für zwingende zusätzliche Maßnahmen bei Standardvertragsklauseln.
Es besteht die Möglichkeit, dass man als deutsches Unternehmen vor der Übermittlung von Daten ins Ausland eine Unternehmensprüfung chinesischer Behörden bzgl. Datenschutz aushalten muss. Besonders wenn ein Unternehmen als Betreiber von „kritischen Infrastrukturen“ Daten in erheblichem Maße verarbeitet ist hiervon auszugehen. Leider wird nicht näher darauf eingegangen was denn nun in China so unter „kritischer Infrastruktur“ zu verstehen ist.Quergelesen aus einer „Vorschrift für kritische Infrastrukturen“ welche am 01.09.21 in Kraft getreten ist, gehe ich mutmaßlich von „Unternehmen die in wichtigen Branchen oder Bereichen tätig sind, darunter öffentliche Kommunikations- und Informationsdienste, Energie, Verkehr, Wasser, Finanzen, öffentliche Dienste, elektronische Behördendienste, Landesverteidigung oder andere wichtige Netzwerkeinrichtungen oder Informationssysteme, die im Falle einer Störung, eines Schadens oder eines Datenlecks die nationale Sicherheit in China gefährden können.
FAZIT
Es ist definitiv jedem Unternehmen stark anzuraten in ihren chinesischen Dependancen sämtliche datenschutzrechtlichen Angelegenheiten genauestens von einem Spezialisten vor Ort prüfen zu lassen.