Neueste Beiträge
Archive
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014

Zu 20.08.2021 wurde ein neues Datenschutzgesetz „Personal Information Protection Law“ – kurz PIPL in China verabschiedet. Jenes tritt zum 01.11.2021 in Kraft und kann als chinesisches Pendant zur DSGVO gesehen werden. Eine erste inoffizielle Übersetzung zu diesem Gesetz hat die Stanford University hier veröffentlicht.
GELTUNGSBEREICH, GELDSTRAFEN,…
PIPL gilt für alle Stellen die personenbezogene Daten natürlicher Personen innerhalb der Grenzen der Volksrepublik China verarbeiten und dabei unabhängig über Zweck und Verarbeitung entscheiden. Es weist tatsächlich viele Ähnlichkeiten zur DSGVO auf und beinhaltet auch Sanktionen bei Nichteinhaltung in Form von Geldstrafen (bis zu 1 Mio RMB, sowie 10.000 bis 100.000 RMB für die beteiligten Privatpersonen!, sowie bei schwerwiegenden Verstößen bis zu 50 Mio. RMB oder 5% des Vorjahresumsatzes und 100.00 bis 1 Mio RMB für die beteiligten Privatpersonen) oder der Aufnahme in die chinesische „Blacklist“ für Unternehmen. Zudem hat eine Beteiligung auch Auswirkungen auf das soziale Credit System in China, welches für die dort lebenden Menschen im Alltag schwerwiegende Folgen haben kann bei negativer Bilanz.
WELCHE UNTERNEHMEN BETRIFFT DAS NEUE DATENSCHUTZGESETZ IN CHINA?
Das Datenschutzgesetz PIPL gilt für die grenzüberschreitende Übermittlung personenbezogener Daten und ist extraterritorial anwendbar. Wenn man als verarbeitende Stelle personenbezogene Daten außerhalb Chinas übermittelt, muss man hierfür entsprechende Rechtsgrundlagen beachten und einhalten, Sie umfassend über die Verarbeitung informieren und sicherstellen, dass das Zielland vergleichbare Datenschutzstandards zu PIPL gewährleistet.
Interessant ist, dass die chinesische Regierung sich weitreichende Befugnisse bei der Verarbeitung personenbezogener Daten eingeräumt hat. Staatliche Einrichtungen dürfen zur Erfüllung gesetzlicher Aufgaben! personenbezogene Daten verarbeiten.
WESENTLICHE MERKMALE DES PIPL
Das neue Gesetz sagt, die Verarbeitung muss einen „klaren und angemessenen Zweck“ haben und die Erhebung soll wie in der DSGVO nur in dem Maße stattfinden, wie notwendig um jenen zu erfüllen.
Die verarbeitende Stelle wird zudem in zur sicheren Verarbeitung verpflichtet. Hierzu verlangt China einige Verpflichtungen im Bereich Compliance ab wie z. B. das Festlegen von Verfahren, Verpflichtungen, technisch- organisatorische Maßnahmen zur Gewährleistung der Datensicherheit und die Durchführung von Verarbeitungstätigkeiten mit Risikobewertung. Spätestens hier wäre anzuraten die datenschutzrechtlichen Belange vor Ort von einem chinesischen Datenschutzbeauftragten umsetzen zu lassen. Doch ist dieser verpflichtend? Auch hier ist noch nichts definitives zu finden, sondern nur von einem noch festzulegendem Schwellenwert des Verarbeitungsvolumina zu lesen .Es ist vielmehr in erster Linie verpflichtend für ausländische Unternehmen einen Repräsentanten zu benennen, der sich um die Belange der datenschutzrechtlichen Angelegenheiten in China kümmert. In der inoffiziellen Stanford-Übersetzung kann ich jedoch nichts darüber finden, dass dies nicht gleichzeitig der Datenschutzbeauftragte sein kann. Somit macht es Sinn jenen zugleich als Repräsentanten zu benennen und präventiv zwei Fliegen mit einer Klappe zu schlagen.
Interessant wird es zudem bei den Rechtsansprüchen betroffener Personen. Die chinesische Datenschutzbehörde verlangt eine Einwilligung, sowie eine ausführliche Informationspflicht der betroffenen Personen, ohne dabei näher zu erläutern in welcher Form eine Einholung der Einwilligung abverlangt wird. Diese Einwilligung muss erneuert werden, wenn sich der Zweck ändert.
WEITERE POTENZIELLE RISIKEN FÜR DEUTSCHE UNTERNEHMEN IN CHINA
Eingangs bin ich ja schon auf die horrenden Summen und Sanktionen eingegangen, welche bei Verstoß gegen das Datenschutzgesetz in China gelten werden.
Darüber hinaus möchte ich aber noch eine interessante Gesetzgebung beleuchten, welche wir bereits aus den USA kennen. PIPL gilt auch im Ausland wie eine Art verlängerter, wenn die nationale Sicherheit, das öffentliche Interesse oder die legitimen Interessen chinesischer Bürger oder Unternehmen bedroht sind. Somit ist auch China ein klassischer Kandidat für zwingende zusätzliche Maßnahmen bei Standardvertragsklauseln.
Es besteht die Möglichkeit, dass man als deutsches Unternehmen vor der Übermittlung von Daten ins Ausland eine Unternehmensprüfung chinesischer Behörden bzgl. Datenschutz aushalten muss. Besonders wenn ein Unternehmen als Betreiber von „kritischen Infrastrukturen“ Daten in erheblichem Maße verarbeitet ist hiervon auszugehen. Leider wird nicht näher darauf eingegangen was denn nun in China so unter „kritischer Infrastruktur“ zu verstehen ist.Quergelesen aus einer „Vorschrift für kritische Infrastrukturen“ welche am 01.09.21 in Kraft getreten ist, gehe ich mutmaßlich von „Unternehmen die in wichtigen Branchen oder Bereichen tätig sind, darunter öffentliche Kommunikations- und Informationsdienste, Energie, Verkehr, Wasser, Finanzen, öffentliche Dienste, elektronische Behördendienste, Landesverteidigung oder andere wichtige Netzwerkeinrichtungen oder Informationssysteme, die im Falle einer Störung, eines Schadens oder eines Datenlecks die nationale Sicherheit in China gefährden können.
FAZIT
Es ist definitiv jedem Unternehmen stark anzuraten in ihren chinesischen Dependancen sämtliche datenschutzrechtlichen Angelegenheiten genauestens von einem Spezialisten vor Ort prüfen zu lassen.
Ähnliche Artikel
Unzulässige Newsletter: Wie...
Ein Newsletter ist auch in Zeiten von Facebook und Video-Werbung das erfolgreichste...
- By Nico Becker
- Allgemein
Aufsichtsbehörde verhängt...
Der baden-württembergische Datenschutzbeauftragte Stefan Brink hat in Deutschland nun...
- By Ingo Kaiser
- Allgemein
Bayerischer...
Bereits im Jahr 2017 untersagte das Bayerische Landesamt für Datenschutzaufsicht...
- By Ingo Kaiser
- Allgemein