Chinas neues Datenschutzgesetz: Firmen müssen reagieren

Bald werden ausländische Firmen auf neue Herausforderungen im chinesischen Markt stoßen, denn China hat neue Regelungen für den Datenschutz von Personen festgelegt: ab dem ersten November 2021 wird das Datenschutzgesetz für personenbezogene Informationen (PIPL) in Kraft treten. Obwohl es einige Ähnlichkeiten zwischen dem PIPL und dem europäischen GDPR gibt, ist es besonders wichtig für Firmen, die entscheidenden Unterschiede im Auge zu behalten. Im Folgenden bieten wir einen Einblick in die letzten Entwicklungen und schauen uns an, welche Vorbereitungsmöglichkeiten es für Firmen gibt.

In letzter Zeit ist viel passiert im Bereich Datenschutz in China. Mit dem PIPL gibt es mittlerweile drei Gesetze:

• Das Cyber Security Law (CSL): seit 2017
• Das Data Security Law (DSL): seit dem 1. September 2021
• Das Personal Information Protection Law (PIPL): tritt am 1. November 2021 in Kraft

Zusammen bilden sie den aktuellen Rahmen für den Umgang mit Daten innerhalb und mit dem PIPL und DSL auch außerhalb der Volksrepublik China. Das PIPL ist dabei eine besondere Entwicklung, die auf den Schutz der Daten von Individuen ausgerichtet ist – ein Bereich, der zuvor vernachlässigt wurde. Ein Verstoß des Gesetzes kann zu Bußgeldstrafen von bis zu 50 Millionen RMB (6,5 Millionen Euro) führen, oder sogar zu einem Geschäftsverbot und strafgerichtlicher Verfolgung. Darüber hinaus können auch für den Datenschutz verantwortliche Privatpersonen mit Bußgeldern von bis zu 1 Millionen RMB (130.000 Euro) bestraft werden.

Ein Blick auf das PIPL

Während das Zivilgesetzbuch, das im Januar 2021 in Kraft trat, die rechtliche Grundlage für den Schutz von persönlichen Daten definiert, bietet das PIPL Richtlinien zur Umsetzung von Datenschutz. Wichtig dabei ist es, das Einverständnis der Personen zum Verarbeiten ihrer Daten zu bekommen, sowie den Zweck und die Methoden der Verarbeitung transparent zu machen. Firmen müssen ebenfalls ein spezielles Einverständnis einholen, wenn Daten veröffentlicht oder an Dritte weitergegeben werden, oder für sogenannte „vertrauliche personenbezogene Informationen“, definiert nach Artikel 28. Außerdem muss es die Möglichkeit für Individuen geben, ihr Einverständnis zu widerrufen.

Unsichtbare Barrieren

Bis hierhin scheinen die Vorschriften sehr ähnlich zu denen des GDPR. Wo ausländische Firmen jedoch auf Schwierigkeiten stoßen, ist der Transfer von Daten. Die Firma muss sicherstellen, dass die Verwendung von Daten im Ausland mit den spezifischen Regulationen des PIPLs konform ist. Die Herausforderung dabei ist, dass Firmen sich nun sowohl an das GDPR wie auch an das PIPL halten müssen und durch die unterschiedlichen Anforderungen mehr Kosten und Aufwand entsteht. Besonders wichtig beim PIPL ist dabei die Vorschrift, dass wenn die Menge der personenbezogenen Daten ein gewisses (und bis jetzt, undefiniertes) Limit überschreitet, sie innerhalb Chinas gespeichert werden müssen. Weil diese Regel jegliche Daten von chinesischen natürlichen Personen betrifft, sind Firmen außerhalb Chinas, die diese Daten besitzen, ebenfalls betroffen. Ein weiteres Hindernis ist die Unklarheit der Gesetzte, besonders wenn es im DSL um die Klassifizierung von „wichtigen Daten“ geht, die weitere Sicherheitsüberprüfungen unterlaufen müssen, bevor sie transferiert werden können.

Besonders Firmen, die von ihren globalen Systemen profitieren, können aus diesen Gründen von den neuen Einschränkungen in der Zukunft betroffen sein.

Wie bereitet man sich vor?

Es gibt einige Möglichkeiten, wie Firmen vorgehen können, von der kompletten Lokalisierung der Daten, bis zum Einbauen von rechtlichen Schritten, um so viele Daten wie möglich zu transferieren. Natürlich haben beide Richtungen Vor- und Nachteile: während bei der Lokalisierung Daten aus China abgesondert sind, bringt der Transfer einige Kosten und Risiken mit sich. Eine Herausforderung für die Transfer-Möglichkeit ist momentan, dass viele Aspekte noch definiert werden müssen, wie die Kategorisierung der verschiedenen Arten von Daten und Richtlinien für verschiedene Sektoren. Nichtsdestotrotz haben wir einige Schritte zusammengefasst, die Firmen in die Wege leiten können, um so gut wie möglich vorbereitet zu sein:

• Als erstes sollte eine verantwortliche Person für den Umgang mit personenbezogenen Daten festgelegt werden (Artikel 52), für Firmen im Ausland ist es wichtig, eine gute Vertretung innerhalb Chinas zu finden.
• Firmen sollten ihre Maßnahmen zum Schutz für personenbezogene Daten überarbeiten und an das PIPL anpassen (besonders im Bezug auf Einverständnis und dessen Revidierung), außerdem ist es wichtig, die Maßnahmen aktuell zu halten (Artikel 54).
• Je nach Firmengröße, Art der Nutzung der Daten und vorhandenen Ressourcen sollten Firmen sich überlegen, ob die Datentransfer-Option mit den notwendigen Prozessen zur Einhaltung des PIPL, oder Schritte in Richtung der Lokalisierung der Daten sich besser eignet.

Über Richard Hoffmann

Richard Hoffmann ist ein internationaler Rechtsanwalt mit dem Schwerpunkt China. 2012 gründete er in China eine Rechts- und Steuerberatungskanzlei für den deutschen Mittelstand. In kürzester Zeit wuchs sie zur größten Kanzlei in dem Bereich und der Region heran. Schließlich wurde sie Ende 2019 mit 70 Mitarbeitern erfolgreich verkauft. Heute ist er Eigentümer einer international ausgerichteten Rechtsanwaltskanzlei in Heidelberg mit zehn Kooperationsbüros in China und Vorstandsmitglied von ECOVIS International.

Quellen:

https://www.china-briefing.com/news/the-prc-personal-information-protection-law-final-a-full-translation/

https://www.europeanchamber.com.cn/en/press-releases/3367/european_chamber_stance_on_china_s_data_security_law_and_personal_protection_law

https://www.eurobiz.com.cn/data-the-harsh-realities-of-controlling-the-worlds-newest-commodity/