China: Herausforderungen des Datenschutzgesetzes

Als erstes umfassendes und spezielles Gesetz zum Schutz personenbezogener Daten in China trat das PRC Personal Information Protection Law ("PIPL") am 1. November 2021 in Kraft.
Im Vergleich zum Cybersicherheitsgesetz der VR China und dem Zivilgesetzbuch der VR China, die ebenfalls Rechtsvorschriften zum Schutz personenbezogener Daten enthalten, verfeinert das neue PIPL die Regeln und geht näher auf die Verarbeitung personenbezogener Daten und die grenzüberschreitende Bereitstellung personenbezogener Daten, die Rechte von Einzelpersonen bei der Verarbeitung und die Pflichten von Verarbeitern personenbezogener Daten usw. ein. Dieses neue Gesetz stellt die Unternehmen bei der Verarbeitung personenbezogener Daten von Mitarbeitern (EPI – Employee Personal Information) im Rahmen ihrer täglichen Arbeit vor erhebliche Herausforderungen. Unternehmen sollten die folgenden Punkte beachten:

1. Die Arbeitgeber müssen die Arbeitnehmer informieren und ihre Zustimmung zur Verarbeitung von EPI einholen. In besonderen Situationen ist die ausdrückliche Zustimmung der Arbeitnehmer erforderlich.

Grundsätzlich muss ein Arbeitgeber bei der Erhebung, Aufbewahrung, Nutzung, Verarbeitung oder Übermittlung von EPI die Arbeitnehmer über den Namen und die Kontaktdaten des Verarbeiters, den Zweck und die Methode der Verarbeitung, die Art der betroffenen EPI und die Aufbewahrungsfrist sowie über die Möglichkeiten und Verfahren zur Ausübung der gesetzlichen Rechte der Arbeitnehmer informieren. Der Arbeitgeber muss die Zustimmung der Arbeitnehmer einholen.
In den folgenden Fällen muss der Arbeitgeber die ausdrückliche Zustimmung der Beschäftigten einholen:
  • Verarbeitung sensibler EPI
Sensible EPI sind Informationen, die, wenn sie an die Öffentlichkeit gelangen oder unrechtmäßig verwendet werden, leicht zu einer Verletzung der Menschenwürde führen oder die persönliche oder materielle Sicherheit einer natürlichen Person beeinträchtigen können. Dazu gehören biometrische Identifikationsdaten, religiöse Überzeugungen, spezifische Identitätsdaten, medizinische und gesundheitliche Informationen, Finanzkonten, persönliche Aufenthaltsorte usw. sowie alle personenbezogenen Daten von Minderjährigen unter 14 Jahren.
  • Weitergabe von EPI an Dritte
Der Arbeitgeber muss die Mitarbeiter über den Namen des Empfängers und die Kontaktinformationen, den Zweck und die Methode der Verarbeitung sowie die Art der betroffenen EPI informieren. Der Arbeitgeber muss dann die ausdrückliche Zustimmung der Mitarbeiter einholen.
  • Offenlegung von EPI gegenüber der Öffentlichkeit
Leider definiert das Gesetz nicht, was unter "Öffentlichkeit" zu verstehen ist. So ist beispielsweise unklar, ob eine Ankündigung der Personalabteilung, dass gegen einen Mitarbeiter arbeitsrechtliche Maßnahmen im Unternehmen ergriffen werden, als Offenlegung der persönlichen Daten des Mitarbeiters gegenüber der Öffentlichkeit zu betrachten ist. Daher müssen Unternehmen bei Ankündigungen, die EPI betreffen, in Zukunft vorsichtig sein.
  • Das Sammeln persönlicher Bilder von Mitarbeitern oder die Installation von persönlichen Identifikationsgeräten an einem öffentlichen Ort zu anderen Zwecken als der Aufrechterhaltung der öffentlichen Sicherheit.

2. Die Einwilligung der Arbeitnehmer kann ausgenommen werden, wenn die Verarbeitung für Zwecke der Personalverwaltung erforderlich ist

Ausnahmsweise ist die Einwilligung der Arbeitnehmer, selbst die ausdrückliche, nicht zwingend erforderlich, wenn die Verarbeitung der EPI für die Erfüllung des Arbeitsvertrags oder für die Durchführung der Personalverwaltung gemäß den geltenden Beschäftigungsrichtlinien oder Tarifverträgen notwendig ist.
Auf der Grundlage der obigen Ausführungen kann ein Arbeitgeber EPI wie Name, Geschlecht, Ausweisnummer, Wohnanschrift, E-Mail-Adresse, Ausbildung und beruflicher Werdegang u. a. für die oben genannten Zwecke ohne vorherige Einwilligung verarbeiten. Darüber hinaus kann ein Arbeitgeber zu Zwecken der Personalverwaltung seine Beschäftigungspolitik durch die Einhaltung gesetzlicher Verfahren oder durch den Abschluss von Tarifverträgen mit den Arbeitnehmern festlegen, die die Verarbeitung bestimmter EPI umfassen. In solchen Fällen ist die Zustimmung der Arbeitnehmer zur Verarbeitung solcher EPI nicht erforderlich.
Das Gesetz sieht jedoch vor, dass solche Ausnahmen nur dann gelten, wenn sie für die Personalverwaltung erforderlich sind. Im Gesetz wird nicht näher erläutert, welche Art von EPI als für die Personalverwaltung erforderlich angesehen wird. Rechtlich gesehen muss der Arbeitgeber die Zustimmung des Arbeitnehmers für die Verarbeitung einholen, wenn die in der Beschäftigungspolitik vorgesehenen EPI nicht als für die Personalverwaltung erforderlich angesehen werden. Darüber hinaus kann der Arbeitgeber auch mit dieser Regelung nicht von seiner Meldepflicht entbunden werden.

3. Besondere Anforderungen für die grenzüberschreitende Bereitstellung von EPI

Wenn ein Arbeitgeber EPI im Ausland zur Verfügung stellen möchte, muss er zunächst die gesetzlichen Anforderungen erfüllen, wie z. B. eine von der nationalen Cyberspace-Behörde organisierte Sicherheitsbewertung akzeptieren, eine von einer qualifizierten professionellen Institution ausgestellte Zertifizierung zum Schutz personenbezogener Daten erhalten oder einen von der nationalen Cyberspace-Behörde formulierten Standardvertrag mit dem Empfänger im Ausland unterzeichnen.
Darüber hinaus muss der Arbeitgeber die Mitarbeiter über den Namen und die Kontaktdaten des ausländischen Empfängers, den Zweck und die Methode der Verarbeitung, die Art der betroffenen EPI sowie die Art und Weise und das Verfahren informieren, wie die Mitarbeiter ihre Rechte gegenüber dem ausländischen Empfänger geltend machen können. Der Arbeitgeber muss die ausdrückliche Zustimmung der Arbeitnehmer einholen. Von dieser ausdrücklichen Zustimmung kann nicht abgewichen werden.

4. Der Arbeitgeber muss die gesetzlichen Bestimmungen zur Aufbewahrung und Löschung von EPI einhalten

Die Aufbewahrungsfrist für EPI entspricht dem Mindestzeitraum für die Verwirklichung des Zwecks der Verarbeitung. Der Arbeitgeber löscht die EPI proaktiv, wenn der Zweck erfüllt ist oder nicht erfüllt werden kann, wenn die EPI für den Verarbeitungszweck nicht mehr erforderlich sind oder wenn der Arbeitnehmer seine Einwilligung widerruft, es sei denn, die Einwilligung ist nicht gesetzlich vorgeschrieben. Tut der Arbeitgeber dies nicht, kann der Arbeitnehmer vom Arbeitgeber die Löschung der EPI verlangen. Ist die gesetzlich vorgesehene Aufbewahrungsfrist jedoch noch nicht abgelaufen oder ist es technisch schwierig, die EPI zu löschen, kann der Arbeitgeber diese personenbezogenen Daten aufbewahren und die erforderlichen Maßnahmen zum Schutz der Sicherheit ergreifen, er muss jedoch die Verarbeitung dieser EPI einstellen.

Zu ergreifende Maßnahmen

Verarbeitet der Arbeitgeber die EPI nicht im Einklang mit dem Gesetz, kann er zur Berichtigung aufgefordert oder verwarnt werden, oder die rechtswidrigen Einkünfte können beschlagnahmt werden. Die Nichtbehebung kann zu Sanktionen gegen den Arbeitgeber und seine unmittelbar zuständigen oder verantwortlichen Mitarbeiter führen. Wenn der Arbeitgeber dem Arbeitnehmer einen Schaden zufügt, kann er für diesen Schaden haftbar gemacht werden.
Auf der Grundlage der obigen Ausführungen sollten die Unternehmen sicherstellen, dass sie bei der Verarbeitung von EPI in ihrem Tagesgeschäft die gesetzlichen Vorschriften einhalten. Die Umsetzung des PIPL ist ein umfassendes Projekt, das die Zusammenarbeit von Teams wie den Rechts- und technischen Abteilungen erfordert. Zusätzlich zu den allgemeinen Maßnahmen, die das Unternehmen ergreift, um EPI gesetzeskonform zu verarbeiten, kann die Personalabteilung insbesondere Folgendes tun
  1. Sortieren der EPI, die derzeit vom Unternehmen verarbeitet werden, und Bewertung, ob sie für die Zwecke der Personalverwaltung erforderlich sind. Das Unternehmen kann dann beschließen, unnötige Informationen zu löschen.
  2. Durchführung eines internen Audits, um zu prüfen, ob die Verarbeitung der einzelnen EPI den gesetzlichen Anforderungen entspricht.
  3. Aktualisierung der Beschäftigungspolitik oder Abschluss von Tarifverträgen mit den Beschäftigten, um sicherzustellen, dass die für das Personalmanagement erforderlichen EPI von der Unternehmenspolitik abgedeckt werden, oder Einholung der Zustimmung der Beschäftigten zur Verarbeitung von EPI; und
  4. Aktualisierung der Personalverwaltungsverfahren für die Verarbeitung von EPI gemäß den gesetzlichen Vorschriften und Gewährleistung der Umsetzung dieser Verfahren in der täglichen Arbeit.
zum Artikel der AHK