China beim Datenschutz mit PIPL auf der Überholspur?
Gespeichert von Dr. Axel Spies am
Wie der Kollege Kipker dankenswerterweise in seinem Blockbeitrag schon erwähnt hat, hat China am 20. August sein Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law - PIPL) verabschiedet. Es tritt schon zum 01.11.21 in Kraft. Ausländische Unternehmen, die in China tätig sind, unterliegen den neuen Datenschutzgesetzen des Landes, auch wenn die Daten außerhalb des Landes erhoben werden – ähnlich wie in der EU nach dem Marktortprinzip der DSGVO.
Hier in den USA wird ein nationales Datenschutzgesetz weiter im Kongress diskutiert, nachdem einige US-Bundesstaaten mit eigenen Gesetzen vorgeprescht sind. Das PIPL dürfte den Druck verstärken, zu einem Ergebnis zu gelangen.
In der Vergangenheit war in China die Einwilligung die einzige Voraussetzung für die Verarbeitung personenbezogener Daten. Andere Rechtsgrundlagen waren in nationalen Leitlinien enthalten, die nicht unbedingt rechtsverbindlich waren. Mit dem PIPL werden erstmals zusätzliche Rechtsgrundlagen als verbindliches Recht festgelegt und vorgesehen, dass eine Einwilligung nicht erforderlich ist – u.a. für folgende Fälle:
- zur Erfüllung eines Vertrags, wenn die betroffene Person Vertragspartei ist, oder wenn dies für die Durchführung der Personalverwaltung im Einklang mit der rechtmäßig formulierten Beschäftigungspolitik der Unternehmen und den rechtmäßig geschlossenen Tarifverträgen erforderlich ist;
- zur Erfüllung gesetzlicher Aufgaben oder Verpflichtungen;
- als Reaktion auf plötzliche Zwischenfälle im Bereich der öffentlichen Gesundheit oder Schutz des Lebens, der Gesundheit oder des Eigentums von Personen unter Notfallbedingungen;
- Handlungen im öffentlichen Interesse für die Nachrichtenberichterstattung und Medienaufsicht in einem angemessenen Rahmen; oder
- die Verarbeitung personenbezogener Daten, die von den betroffenen Personen übermittelt wurden, oder anderer rechtmäßig übermittelter personenbezogener Daten, jeweils in einem angemessenen Umfang.
Zwei Punkte fallen mir besonders auf:
1. Interessant für alle Kolleginnen und Kollegen, die sich mit M&A beschäftigen: In Artikel 22 des PIPL ist festgelegt, dass ein für die Verarbeitung Verantwortlicher, der personenbezogene Daten aufgrund einer Fusion, Spaltung, Auflösung oder eines Konkurses usw. übertragen muss, die betroffenen Personen über den Namen und die Kontaktinformationen der empfangenden Partei informieren muss. Die empfangende Partei muss per Gesetz die Verpflichtungen des ursprünglichen für die Datenverarbeitung Verantwortliche erfüllen. Ändert die empfangende Partei den ursprünglichen Verarbeitungszweck oder die Verarbeitungsmethode, muss sie erneut die Einwilligung der betroffenen Personen einholen.
2. Beim neuralgischen Punkt „Datenspeichung zwingend in China“ gibt es Lockerungen: Zur Rekapitulation: Das 2017 in Kraft getretene Cybersecurity-Gesetz CSL sieht vor, dass die erfassten Unternehmen (CIIOs) personenbezogene Daten in China speichern müssen und sich bei grenzüberschreitenden Datenübertragungen einer von der Cyberspace Administration of China (CAC) genehmigten Sicherheitsbewertung unterziehen müssen. Das PIPL erweitert jedoch den Anwendungsbereich über die CIIOs hinaus auf Unternehmen, die personenbezogene Daten verarbeiten, die einen von der CAC festgelegten Schwellenwert überschreiten.
Allerdings können andere Unternehmen, die nicht unter die oben genannten Kategorien fallen, personenbezogene Daten aus China in Zukunft auf eine der folgenden Weisen ins Ausland übertragen:
- Nach Erhalt einer Zertifizierung zum Schutz personenbezogener Daten, die von einer professionellen Institution durchgeführt wird oder
- Unterzeichnung des von der CAC formulierten Standardvertrags mit den Empfängern im Ausland.
Diese Bestimmung ermöglicht es, Unternehmen von dem aufwändigeren Verfahren der staatlichen Sicherheitsüberprüfung zu befreien. Diese Ausnahmeregelung stellt eine wesentliche Änderung gegenüber den früheren Anforderungen im Rahmen des Entwurfs der Verordnungen zur grenzüberschreitenden Datenübermittlung dar, die für die meisten Unternehmen in China eine Datenlokalisierung vorschrieben. Der Standardvertrag ähnelt den EU-Standardvertragsklauseln (SCC) der DSGVO, aber die CAC hat den vollständigen Text des Standardvertrags noch nicht veröffentlicht. Sobald der Standardvertrag veröffentlicht ist, sollten Unternehmen, die personenbezogene Daten ins Ausland übertragen müssen, ihre bestehenden Datenübertragungsvereinbarungen überprüfen und überarbeiten, um sie mit der offiziellen Vorlage in Einklang zu bringen.
Abschlussbemerkung: Das PIPL deckt auch die Einführung von Maßnahmen zur Bewältigung der sich entwickelnden Technologien in den Bereichen Gesichtserkennung, (künstliche Intelligenz) und Datenanalyse ab. Das geht teilweise über die DSGVO hinaus. Die chinesische Regierung konzentriert sich aber auch verstärkt auf nationale Sicherheitsrisiken im Zusammenhang mit dem grenzüberschreitenden Transfer sensibler Daten.
Was meinen Sie: Ist das neue Gesetz ein weiteres Regulierungsinstrument, das die chinesische Regierung einsetzen kann, um gegen Unternehmensverhalten vorzugehen, das sie als unvereinbar mit nationalen Interessen ansieht?