China beim Datenschutz mit PIPL auf der Überholspur?
von , veröffentlicht am 26.08.2021Wie der Kollege Kipker dankenswerterweise in seinem Blockbeitrag schon erwähnt hat, hat China am 20. August sein Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law - PIPL) verabschiedet. Es tritt schon zum 01.11.21 in Kraft. Ausländische Unternehmen, die in China tätig sind, unterliegen den neuen Datenschutzgesetzen des Landes, auch wenn die Daten außerhalb des Landes erhoben werden – ähnlich wie in der EU nach dem Marktortprinzip der DSGVO.
Hier in den USA wird ein nationales Datenschutzgesetz weiter im Kongress diskutiert, nachdem einige US-Bundesstaaten mit eigenen Gesetzen vorgeprescht sind. Das PIPL dürfte den Druck verstärken, zu einem Ergebnis zu gelangen.
In der Vergangenheit war in China die Einwilligung die einzige Voraussetzung für die Verarbeitung personenbezogener Daten. Andere Rechtsgrundlagen waren in nationalen Leitlinien enthalten, die nicht unbedingt rechtsverbindlich waren. Mit dem PIPL werden erstmals zusätzliche Rechtsgrundlagen als verbindliches Recht festgelegt und vorgesehen, dass eine Einwilligung nicht erforderlich ist – u.a. für folgende Fälle:
- zur Erfüllung eines Vertrags, wenn die betroffene Person Vertragspartei ist, oder wenn dies für die Durchführung der Personalverwaltung im Einklang mit der rechtmäßig formulierten Beschäftigungspolitik der Unternehmen und den rechtmäßig geschlossenen Tarifverträgen erforderlich ist;
- zur Erfüllung gesetzlicher Aufgaben oder Verpflichtungen;
- als Reaktion auf plötzliche Zwischenfälle im Bereich der öffentlichen Gesundheit oder Schutz des Lebens, der Gesundheit oder des Eigentums von Personen unter Notfallbedingungen;
- Handlungen im öffentlichen Interesse für die Nachrichtenberichterstattung und Medienaufsicht in einem angemessenen Rahmen; oder
- die Verarbeitung personenbezogener Daten, die von den betroffenen Personen übermittelt wurden, oder anderer rechtmäßig übermittelter personenbezogener Daten, jeweils in einem angemessenen Umfang.
Zwei Punkte fallen mir besonders auf:
1. Interessant für alle Kolleginnen und Kollegen, die sich mit M&A beschäftigen: In Artikel 22 des PIPL ist festgelegt, dass ein für die Verarbeitung Verantwortlicher, der personenbezogene Daten aufgrund einer Fusion, Spaltung, Auflösung oder eines Konkurses usw. übertragen muss, die betroffenen Personen über den Namen und die Kontaktinformationen der empfangenden Partei informieren muss. Die empfangende Partei muss per Gesetz die Verpflichtungen des ursprünglichen für die Datenverarbeitung Verantwortliche erfüllen. Ändert die empfangende Partei den ursprünglichen Verarbeitungszweck oder die Verarbeitungsmethode, muss sie erneut die Einwilligung der betroffenen Personen einholen.
2. Beim neuralgischen Punkt „Datenspeichung zwingend in China“ gibt es Lockerungen: Zur Rekapitulation: Das 2017 in Kraft getretene Cybersecurity-Gesetz CSL sieht vor, dass die erfassten Unternehmen (CIIOs) personenbezogene Daten in China speichern müssen und sich bei grenzüberschreitenden Datenübertragungen einer von der Cyberspace Administration of China (CAC) genehmigten Sicherheitsbewertung unterziehen müssen. Das PIPL erweitert jedoch den Anwendungsbereich über die CIIOs hinaus auf Unternehmen, die personenbezogene Daten verarbeiten, die einen von der CAC festgelegten Schwellenwert überschreiten.
Allerdings können andere Unternehmen, die nicht unter die oben genannten Kategorien fallen, personenbezogene Daten aus China in Zukunft auf eine der folgenden Weisen ins Ausland übertragen:
- Nach Erhalt einer Zertifizierung zum Schutz personenbezogener Daten, die von einer professionellen Institution durchgeführt wird oder
- Unterzeichnung des von der CAC formulierten Standardvertrags mit den Empfängern im Ausland.
Diese Bestimmung ermöglicht es, Unternehmen von dem aufwändigeren Verfahren der staatlichen Sicherheitsüberprüfung zu befreien. Diese Ausnahmeregelung stellt eine wesentliche Änderung gegenüber den früheren Anforderungen im Rahmen des Entwurfs der Verordnungen zur grenzüberschreitenden Datenübermittlung dar, die für die meisten Unternehmen in China eine Datenlokalisierung vorschrieben. Der Standardvertrag ähnelt den EU-Standardvertragsklauseln (SCC) der DSGVO, aber die CAC hat den vollständigen Text des Standardvertrags noch nicht veröffentlicht. Sobald der Standardvertrag veröffentlicht ist, sollten Unternehmen, die personenbezogene Daten ins Ausland übertragen müssen, ihre bestehenden Datenübertragungsvereinbarungen überprüfen und überarbeiten, um sie mit der offiziellen Vorlage in Einklang zu bringen.
Abschlussbemerkung: Das PIPL deckt auch die Einführung von Maßnahmen zur Bewältigung der sich entwickelnden Technologien in den Bereichen Gesichtserkennung, (künstliche Intelligenz) und Datenanalyse ab. Das geht teilweise über die DSGVO hinaus. Die chinesische Regierung konzentriert sich aber auch verstärkt auf nationale Sicherheitsrisiken im Zusammenhang mit dem grenzüberschreitenden Transfer sensibler Daten.
Was meinen Sie: Ist das neue Gesetz ein weiteres Regulierungsinstrument, das die chinesische Regierung einsetzen kann, um gegen Unternehmensverhalten vorzugehen, das sie als unvereinbar mit nationalen Interessen ansieht?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
5 Kommentare
Kommentare als Feed abonnierenIn einigen Bereichen könnte das PIPL stärker sein als die Datenschutz-Grundverordnung. Aber natürlich müssen solche Urteile abgewartet werden, bis das Gesetz in der Praxis angewandt wird, aber da der Starttermin nur noch wenige Monate entfernt ist, könnten bald Beweise vorliegen. Das Ergebnis könnte sein, dass China zum einzigen bedeutenden Konkurrenten der EU wird, wenn es darum geht, Einfluss auf die Entwicklung anderer nationaler Datenschutzgesetze zu nehmen, zumindest bis Indien sein Gesetz in Kraft setzt oder die USA feststellen, dass sie konkurrieren müssen.
Lieber Herr Spies, vielen Dank für Ihren Beitrag zum PIPL.
Erlauben Sie mir folgende (provokante !?) Überlegungen: hat das PIPL das Zeug für einen Angemessenheitsbeschluss der EU? Und: reicht das "Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser [SCC] Klauseln..." Fn 12 Durchführungsbeschluss SCC? Können wir pbD jetzt schneller nach China geben als in die USA? Gehen die TechFirms jetzt nach China statt nach Irland?
Mit der "unabhängigen Datenschutzbehörde" in China dürfte es etwas schwierig werden. Von den Rechtsgarantien für die Betroffenen ganz zu schweigen.
Ach nun, "Rechtsgaranten für die Beroffenen" - hübsch in China, aber auch hierzulande: Hinweis für neue Leser (eingefügt Ende August 2021): Ein auf dem Beck-Blog häufiger und regelmäßiger Kommentator wird unter meinen Beiträgen von mir persönlich seit einigen Monaten nicht mehr als Diskussionspartner akzeptiert. Ich sperre seine Beiträge. Der Grund sind seine ständige Verstöße gegen die hier geltenden Regeln, die auch die Blog-Redaktion häufig veranlasst haben, seine Beiträge zu sperren. Konkreter Anlass dafür, dass ich diesen Kommentare-Schreiber unter meinen Beiträgen überhaupt nicht mehr akzeptiere - ohne Blick auf den jeweiligen konkreten Inhalt - ist ................", dass er anderer Auffassung ist als manchmal ich und ich keine Sachargumente dagegen habe,
Ein großes Problem sind die divergierenden Zuständigkeiten, die nach PIPL wie folgt aufgeteilt:
(1) Die nationale Cyberspace-Verwaltung (die CAC) ist für die umfassende Planung und Koordinierung des Schutzes personenbezogener Daten und die damit verbundene Aufsichts- und Verwaltungsarbeit zuständig;
(2) die zuständigen Ministerien und Abteilungen des Staatsrats sind in ihrem jeweiligen Zuständigkeitsbereich für den Schutz personenbezogener Daten sowie für die Überwachung des Gesetzes und Verwaltung zuständig; und
(3) auch noch die zuständigen Abteilungen der Kommunalverwaltungen auf Kreisebene oder darüber werden ebenfalls bestimmte Aufgaben und Verantwortlichkeiten in Bezug auf den Schutz personenbezogener Daten wahrnehmen.
Das verheißt wenig Gutes.