Das neue chinesische Datenschutzgesetz PIPL ist da!

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 22.08.2021

Das neue Personal Information Protection Law (PIPL) wurde am 20. August 2021 verabschiedet und tritt zum 1. November 2021 in Kraft. Trotz dessen, dass das neue Gesetz zahlreiche Prinzipien aus der DS-GVO überträgt, gibt es noch erhebliche Unterschiede zur europäischen und deutschen Datenschutzgesetzgebung. In einem Gespräch mit der Deutschen Welle China, dessen Inhalte im Folgenden wiedergegeben sind, beleuchte ich die Anforderungen und Unterschiede des PIPL zum EU-Datenschutz.

Eine vorläufige inoffizielle Übersetzung des Gesetzes gibt es unter diesem Link: https://digichina.stanford.edu/news/translation-personal-information-protection-law-peoples-republic-china-effective-nov-1-2021

---

Die Datenschutzgesetzgebung in China ist vielen Experten zufolge fast genauso strikt wie die von Europa. Was ist dann der wesentliche Unterschied?

 - Tatsächlich werden schon seit geraumer Zeit Prinzipien aus dem europäischen Datenschutzrecht in das chinesische Recht übernommen, insbesondere auch jüngst aus der DS-GVO, und da ist das PIPL nicht das einzige Gesetz, auch das Chinese Cybersecurity Law (CSL) beispielsweise enthält Datenschutzregelungen.

- Das Problem ist vielschichtig: Zum einen kennt man in China keine Verfassungstradition des Datenschutzes, wie wir sie in Europa und insbesondere in Deutschland schon seit Jahrzehnten mit dem Volkszählungsurteil von 1983 begründet haben. Zum anderen hat die Volksrepublik China eine ebenso gesetzlich begründete umfassende Überwachungspraxis und in der Vergangenheit war es durchaus so, dass der Datenschutz unter Unternehmen und Privatpersonen nicht immer effektiv durchgesetzt wurde. Zwar kann man einerseits hohe Bußgelder und Strafen infolge von Datenschutzverstößen androhen, aber letztlich ist jede gesetzliche Regelung nur so effektiv wie ihre Kontrollintensität. Außerdem sind die Aufsichtsbehörden in China nicht unabhängig.

- Der Datenschutz wird in China vor allem unter wirtschaftlichen und politischen Gesichtspunkten betrachtet, auch mit Blick auf die nationale Sicherheit: Indem man Regelungen schafft, die den europäischen ähnlich sind, können sich chinesische Technologieexporteure, die vielfach von der DSGVO erfasst sind, besser auf deren Regelungen einstellen. Und man hat natürlich Sorge angesichts einer unkontrollierten Massendatenerhebung von Privatkonzernen, die jenseits der staatlichen Kontrolle stattfindet. Auch darum finden sich in den Gesetzen Chinas beispielsweise Pflichten zur Datenlokalisierung, womit die Daten chinesischer Bürger nicht ohne Weiteres in das Ausland übermittelt werden dürfen – und das betrifft natürlich auch deutsche Unternehmen in China.

Wird dieses neue Gesetz als Waffe gegen chinesische Tech-Firmen eingesetzt?

- Natürlich hat der chinesische Staat Sorgen, dass die chinesischen Techkonzerne immer mächtiger werden und versucht dieser Entwicklung auf verschiedenem Wege zu begegnen und deshalb wurden und werden solche Gesetze durchaus als „Waffe“ eingesetzt.

- Man hat außerdem auch Sorge davor, dass sich Entwicklungen in sozialen Medien verselbstständigen und eventuell chinakritische Tendenzen im eigenen Land nicht mehr zu kontrollieren sind, wie beispielsweise bei den Protesten in Hongkong ersichtlich wurde. Auch hat sich Anfang dieses Jahres am Fall der App „Clubhouse“ gezeigt, dass neue digitale Räume durchaus von der chinesischen Bevölkerung genutzt werden, um auch offene regierungskritische Gespräche zu führen.

- Neben der Regulierung kauft sich der Staat außerdem in wichtige Unternehmen aus der Tech-Branche ein, wie jüngst die Beteiligung des chinesischen Staates an „Bytedance“ zeigt, dem Mutterkonzern der erfolgreichen internationalen Kurzvideoplattform „TikTok“.

Schützt dieses Gesetz auch normale Bürger vor staatlichen Eingriffen?

In erster Linie nicht, da dies nicht der Schutzzweck des Gesetzes ist – es geht vor allem um landeseigene Unternehmen, ausländische Unternehmen und ausländische Behörden im Verhältnis zum (chinesischen) Bürger. Die Überwachungsgesetzgebung ist demgegenüber auch in der Volksrepublik China bereichsspezifischer Natur. Über Pflichten zur Datenlokalisierung kann aber mittelbar ein Schutz des chinesischen Bürgers gegenüber ausländischen Behörden gewährleistet werden.

Welches Risiko birgt das neue Gesetz für deutsche Unternehmen in China?

- Obwohl die verabschiedete Fassung noch nicht veröffentlicht wurde, dürfte schon jetzt klar sein, dass das Gesetz eine erhebliche extraterritoriale Wirkung entfaltet und damit auch ausländische Unternehmen betrifft, die in der Volksrepublik China geschäftlich tätig sind, darunter fallen z.B. Pflichten, Repräsentanzen zu Datenschutzfragen in China aufzubauen, bestimmte Auslandsdatentransfers zu unterlassen oder Berichtspflichten gegenüber den chinesischen Aufsichtsbehörden. Für Plattformbetreiber bzw. Social Networks gibt es darüber hinaus besonders strenge Pflichten, so z.B. ein unabhängiges Aufsichtskomitee zu bestimmen. Für diesen Bereich sind tatsächlich auch Parallelen zur aktuellen europäischen Plattformregulierung erkennbar.

- Vor allem die Datenlokalisierung und der eingeschränkte Auslandsdatentransfer dürften vielen Unternehmen nicht nur hierzulande Sorge bereiten, und die Tatsache, dass die gesetzlichen Regelungen auf Chinesisch verfasst sind und behördliche, sprachliche sowie natürlich auch gewisse kulturelle Barrieren bestehen. Hinzu tritt die oft erkennbare Auslegungsflexibilität chinesischer Rechtsvorschriften: So existieren auch im neuen PIPL verhältnismäßig unspezifische behördliche Genehmigungserfordernisse.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen

/