Internationales Wirtschaftsrecht

Das neue chinesische Datenschutzgesetz PIPL

Rechtsrahmen

Die chinesische Legislative hat am 20.08.2021 das neue Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law – PIPL) verabschiedet. Das Gesetz tritt zum 01.11.2021 in Kraft. Es schafft einen neuen einheitlichen Rechtsrahmen zum Schutz personenbezogener Daten und baut auf bereits bestehender Gesetzgebung auf, namentlich dem chinesischen Verbraucherschutzgesetz von 2014, dem Cybersecurity-Gesetz (CSL) von 2017, den Zivilrechtsreformgesetzen von 2017 und 2021, dem Datensicherheitsgesetz (DSL)  von 2021, sowie den bereits bestehenden sogenannten nationalen Datenschutzleitlinien.

Hintergrund

Das PIPL soll in erster Linie Tätigkeiten der Datenerhebung und Datenverarbeitung der chinesischen Privatwirtschaft und der größeren in China tätigen Internetkonzerne regulieren und dient gleichzeitig als präventives Instrument zur Schadensbegrenzung bei Datendiebstahl und bei Datenlecks – so haben die chinesischen Behörden im Jahr 2020 allein 107 größere Datenlecks registriert. Für deutsche Unternehmen hat das Gesetz Relevanz, weil es ausdrücklich auch auf ausländische Unternehmen Anwendung findet. Zudem gilt es auch dann, wenn die Daten chinesischer Kunden/Konsumenten außerhalb des Landes erhoben und verarbeitet werden.

Grundsätze

  • Mit dem PIPL wird ein einheitlicher Rechtsrahmen bezüglich der Verarbeitung personenbezogener Daten geschaffen.
  • Klare Regeln zur Rechtmäßigkeit von Datenerhebung und -verarbeitung. Gab es vorher relative Unklarheit, wann die Datenverarbeitung rechtmäßig war, legt das neue Datenschutzgesetz fest, dass eine Datenverarbeitung rechtmäßig ist, nämlich wenn
    • Eine ausdrückliche Einwilligung des Betroffenen vorliegt und dieser vorher über die Vorgänge der Datenerhebung und -verarbeitung informiert wurde
    • Zur Erfüllung eines Vertrages, wenn die betroffene Person Vertragspartei ist
    • Zur Durchführung der Personalverwaltung im Unternehmen
    • Zur Erfüllung gesetzlicher Aufgaben oder Verpflichtungen
    • Als Reaktion auf plötzliche Zwischenfälle im Bereich der öffentlichen Gesundheit oder Schutz des Lebens, der Gesundheit oder des Eigentums von Personen unter Notfallbedingungen
    • Handlungen im öffentlichen Interesse für die Nachrichtenberichterstattung und Medienaufsicht in einem angemessenen Rahmen
    • Andere Umstände vorliegen, die sich aus spezifischen Gesetzen und Verwaltungsvorschriften ergeben
  • Staatliche Stellen sind vom Datenschutzgesetz grundsätzlich ausgenommen.
  • Die Datenverarbeitung darf nicht den Zweck haben, dass dies zur Gestaltung personalisierter Handelsbedingungen geschieht und dadurch beispielsweise personalisierte Preise generiert werden.
  • Extraterritoriale Geltung: Besonderheit ist, dass das Datenschutzgesetz nicht nur für Unternehmen in China gilt, welche in China personenbezogene Daten erheben und verarbeiten, sondern nach Artikel 3 PIPL auch extraterritorial gilt, also wenn im Ausland personenbezogene Daten von chinesischen Bürgern erhoben und verarbeitet werden, und zwar dann, wenn diese der Bereitstellung von Produkten oder Dienstleistungen oder der Analyse des Verhaltens dienen. Von den Regelungen betroffen sein kann damit also auch ein Unternehmen, welches in China lediglich über eine Handelsvertretung tätig ist. 
Beispiel: Das Unternehmen für Kältetechnik in Rottweil ist zwar in China aktiv, hat dort aber keine eigene Tochtergesellschaft. Es unterhält jedoch direkte Kundenbeziehungen nach China und legt hierfür personalisierte Kundendaten zur Bereitstellung der Produkte an. Hierbei muss es die Regeln zur Rechtmäßigkeit der Datenerhebung nach dem PIPL einhalten, beispielsweise nur solche Daten erheben, die auch wirklich für die Durchführung der Vertragsbeziehung erforderlich sind. Im Zweifelsfall ist es ratsam, direkte Einwilligungen der betroffenen Kunden einzuholen.
  • Betroffenenrechte: Das Gesetz stattet die Betroffenen in den Artikeln 44-49 PIPL mit einem generellen Auskunftsrecht bezüglich Datenerhebung und Datenverarbeitung aus und gibt ihnen das Recht eine Kopie der Daten zu erhalten, Daten zu berichtigen und ggf. den Widerruf einer Einwilligung zu erteilen.

Internationaler Datentransfer

Für deutsche Unternehmen von besonderer Relevanz ist der grenzüberschreitende Datentransfer. Der die Volksrepublik China verlassende internationale Datentransfer wurde durch das Cybersecurity-Gesetz (CSL) stark reguliert. Namentlich geschah dies durch Artikel 37 CSL, der eine Pflicht zur Datenlokalisierung in China und dass Daten grundsätzlich innerhalb Chinas gespeichert werden müssen, vorsieht und durch Artikel 35 CSL, welcher für den Auslandsdatentransfer grundsätzlich eine Sicherheitsbewertung erforderlich gemacht hat. Das PIPL sieht nun Erleichterungen vor. Spezifisch muss nur noch eine der folgenden Voraussetzungen erfüllt sein:
  • Ausdrückliche Zustimmung des Betroffenen in den Auslandsdatentransfer (Artikel 39 CSL)
  • Erfolgreiche Sicherheitsüberprüfung durch die chinesischen Behörden oder eine lizensierte Agentur (Artikel 40 PIPL)
  • Verwendung von chinesischen Standarddatentransferklauseln
In der Praxis reicht jedoch regelmäßig allein die ausdrückliche Zustimmung des Betroffenen (Artikel 39 CSL) nicht aus. Der Rechtsrahmen des Cybersecurity-Gesetz (CSL) setzt nämlich in den allermeisten Städten und Provinzen bereits ein eigenes Erfordernis zur Einführung einer behördlichen Sicherheitsüberprüfung durch das sogenannte Multi Level Protection Scheme.
Besondere Hürden gibt es zudem beim internationalen Datentransfer persönlicher sensibler Daten wie Medizindaten und im Kontext kritischer Infrastruktur, wie Kommunikationssysteme, Energie- und Wasserversorgung, der öffentlichen Verwaltung und der Rüstungsindustrie.
Für gewisse Branchen haben die zuständigen Regulierungsbehörden bereits ein Katalog zu sogenannten „wichtigen Daten“ veröffentlicht. Falls dies der Fall ist und Sie solche wichtige Daten verarbeiten, müssen regelmäßige Risikobewertungen durchgeführt und die Berichte der zuständigen Behörde übermittelt werden.

Sanktionsmechanismen des Gesetzes

Registrieren die chinesischen Behörden eine Verletzung der neuen Datenschutzvorgaben, so können empfindliche Sanktionen verhängt werden. Diese gehen über die Einziehung der illegalen Gewinne, Geldbußen bis 50 Mio. RMB oder 5 Prozent des Vorjahresumsatzes gegenüber dem Unternehmen und Geldbußen bis 1 Mio. RMB gegenüber direkt verantwortlichen Personen. In schweren Fällen kann auch die zur Handlungsfähigkeit des Unternehmens notwendige Geschäftslizenz entzogen werden.  Genannt ist außerdem, dass verantwortliche Personen für eine bestimmte Zeit eine Tätigkeit als Geschäftsführer, Aufsichtsrat oder leitender Angestellter untersagt werden kann. In der Praxis ist bislang noch nicht klar, inwiefern der Sanktionsrahmen von den Behörden auch tatsächlich ausgeschöpft wird und ob ausländische Unternehmen hier nach gleichen Grundsätzen behandelt werden.
Beispiel: Ein Unternehmen für Werkzeugtechnik aus Böblingen unterhält eine Tochtergesellschaft in Peking. Die Tochtergesellschaft nutzt personenbezogene Daten der chinesischen Kunden, um automatisch personalisierte Preise zu erstellen. Die chinesischen Behörden könnten dies als Verstoß gegen die Bestimmungen des PIPL werten. In der Konsequenz könnte der Tochtergesellschaft ein empfindliches Bußgeld oder gar der Entzug der Geschäftslizenz drohen.

Weiterführende Literatur