Chinas Datenschutz rüstet auf

Kerstin Ullrich

• 3. Dezember 2021 10:56
• Bearbeitet

Bislang war die europäische Datenschutzgrundverordnung weltweit das Maß aller Dinge. Jetzt ziehen andere Staaten nach – mit Konsequenzen für die Geschäftspartner. Was sich für Unternehmen durch Chinas Personal Information Protection Law (PIPL) ändert.

 

Seit 1. November 2021 ist das chinesische Gesetz zum Schutz personenbezogener Daten in Kraft getreten (zur inoffiziellen Übersetzung der Stanford University) und analog zur Datenschutzgrundverordnung (DSGVO) entfalten viele Vorschriften extraterritoriale Wirkung. Damit bildet das PIPL einen weiteren Baustein in der Gesetzeslandschaft, den China in diesem Zusammenhang neben dem Cybersecurity Law (seit 2017) und Data Security Law (seit 1. September 2021) auf den Weg gebracht hat. Verantwortlich für die Überwachung sind je nach Gesetz unterschiedliche Behörden in China. Für PIPL ist es die Cyberspace Administration of China (CAC). 

 

Unternehmen, die unter chinesisches Recht fallen, mussten bereits rechtzeitig ihre Prozesse überprüfen und anpassen, zum Beispiel hinsichtlich der Verarbeitung von Mitarbeiter- oder Kundendaten. Hier orientiert sich das PIPL an den Vorgaben der DSGVO, so dass Personen über die Verarbeitung ihrer Daten grundsätzlich informiert werden müssen. Bei der Verarbeitung muss z. B. auf Datensparsamkeit geachtet werden und Personen wird ein Recht auf Widerspruch sowie Löschung eingeräumt.  

 

Der lange Arm Chinas 

 

Der lange Arm des Gesetzes sorgt allerdings dafür, dass es eine weitreichende Wirkung auch auf Geschäftspartner oder Datenverarbeiter außerhalb Chinas entfaltet. In den ersten Artikeln des PIPL wird ausdrücklich eine extraterritoriale Wirkung festgeschrieben. Bereits im Juni 2021 hat die CAC daher einen Entwurf mit spezifischen Vorschriften für die Automobilindustrie veröffentlicht, der fast alle Teilnehmer der Lieferkette betrifft, unter anderem Werkstätten, Händler, Hersteller, Zulieferer oder Versicherungen. In dem Entwurf wird dem PIPL folgend festgelegt, welche Daten ausschließlich im Fahrzeug verarbeitet werden dürfen, welche Genauigkeit z. B. bei Sensoren zulässig ist oder wann eine Zustimmung zur Verarbeitung von personenbezogenen Daten von Fahrern oder Passagieren einzuholen ist.  

 

Global agierende Unternehmen können ebenfalls unter das PIPL fallen, sobald sie Waren oder Dienstleistungen für Personen in der VR China zur Verfügung stellen, das Verhalten dieser Personen analysieren oder bewerten oder andere Bereiche der Verordnungen dies vorschreiben. Dies klärt die CAC in einem Schreiben, der einige Bestandteile der Gesetze näher definiert – was wird als “wichtige Daten” angesehen oder welche regulatorischen Anforderungen gelten für eine grenzüberschreitende Datenübermittlung, wenn unter Umständen Daten von Einzelpersonen oder Organisationen in China betroffen sind.  

 

Grundsätzlich sind Aufwände bei europäischen Geschäftspartnern zu erwarten – analog zu europäischen Auftragsverarbeitungsverträgen gemäß DSGVO. Eine Veröffentlichung von Standardvertragsklauseln, ähnlich denen der DSGVO, ist durch die CAC allerdings noch nicht erfolgt. Für die Verarbeitung von größeren Datenmengen ist vorgesehen, dass diese nicht außerhalb Chinas erfolgen darf und Unternehmen dann Berichtspflichten gegenüber den chinesischen Behörden unterliegen. Dass die neuen Vorschriften durchgesetzt werden, ist wahrscheinlich, denn das chinesische Strafszenario sieht die Verhängung von Geldstrafen von bis zu umgerechnet 6,5 Millionen Euro vor oder bis zu 5 % des Vorjahresumsatzes. Auch eine Abwertung im chinesischen “Corporate Social Credit System” ist vorgesehen.  

 

Der DSGVO gleichgestellt? 

 

Wie bereits bei dem U.S. - EU-Privacy Shield, bzw. dem Vorgängermodell Safe-Harbor, dem durch den europäischen Gerichtshof 2020 endgültig eine Absage erteilt wurde, ist auch für das chinesische Pendant bislang nicht zu erwarten, dass es einen Angemessenheitsbeschluss laut DSGVO (Art. 45) erhält. Damit würde durch die EU bestätigt, dass Daten von Personen in China dem gleichen Schutzniveau unterliegen, wie in der europäischen Union. Denn trotz PIPL gelten die Vorschriften größtenteils nicht für staatliche Stellen und der Zugriff der chinesischen Behörden auf Personendaten bleibt weiterhin erhalten. 

0 1

• 

  Kerstin Ullrich

  • 21. Juni 2023 11:50

  Neue Modalitäten im Standardvertrag in Kraft  

  Eine Übermittlung von personenbezogenen Daten aus China heraus ist unter anderem im Rahmen eines “Standardvertrag” möglich. Die Modalitäten dafür wurden durch die Cyberspace Administration of China (CAC) am 22. Februar verkündet. Dazu gehört beispielsweise, dass die betroffenen Personen der Übermittlung von Daten zugestimmt haben müssen. Ausführliche Informationen dazu bietet zum Beispiel German Trade & Invest und die Rechtsanwälte Rödl & Partner.  

  Die Regelungen sind seit 1. Juni 2023 in Kraft. Unternehmen sind aufgefordert, diese bis zum 30. November 2023 umzusetzen. 

  0

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.