Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Das ‘Personal Information Protection Law of the People’s Republic of China’ (hierin kurz als ‘Personal Information Protection Law’ oder PIPL bezeichnet) ist ein Bundesdatenschutzgesetz, das am 20. August 2021 verabschiedet wurde und am 1. November 2021 in Kraft trat. Das PIPL ergänzt das im Juni 2021 verabschiedete ‘Data Security Law’ (DSL). Es wurde zum Schutz der Privatsphäre und der personenbezogenen Daten chinesischer Bürger entwickelt und erfordert Compliance-Initiativen seitens chinesischer Organisationen und ausländischer, in China tätiger Unternehmen.

Unternehmen, für die bereits andere internationale Datenschutzgesetze gelten, wie z. B. die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union, haben durch die Einhaltung dieser Datenschutzgesetze schon einen großen Beitrag für die  erforderliche PIPL-Konformität geleistet.

Das PIPL bietet Rechtsschutz für „natürliche Personen“, die im gesamten Wortlaut des Gesetzes allgemein als „Einzelpersonen“ bezeichnet werden. Dies entspricht dem in Kanada vorgeschlagenen Datenschutzgesetz, dem ‘Canada Consumer Protection Act’ (CPPA). Der Begriff hat hier die gleiche Bedeutung wie die Bezeichnung „betroffene Personen“, die in einer Reihe anderer internationaler Datenschutzgesetze verwendet wird. Es handelt sich dabei um diejenigen natürlichen Personen, deren Daten von Organisationen erhoben und verwendet werden dürfen und deren Einwilligung für diese Erhebung und Verwendung in vielen Fällen eingeholt werden muss.

Im PIPL werden die Sammlung, Verarbeitung, Freigabe, Speicherung usw. von personenbezogenen Daten als „Handhabung“ bezeichnet. Analog hierzu werden Organisationen, die diese personenbezogenen Daten verarbeiten, als „Verarbeiter personenbezogener Daten“ bezeichnet. Artikel 73 definiert Verarbeiter personenbezogener Daten als: „Organisationen und Einzelpersonen, die bei der Verarbeitung personenbezogener Daten selbständig über die Verarbeitungszwecke entscheiden.“ (übersetzt von Usercentrics). Obwohl vernünftigerweise davon ausgegangen werden kann, dass die meiste Datenverarbeitung von Unternehmen durchgeführt wird, gilt das PIPL auch für andere Rechtsträger. Gemäß Artikel 72 gilt das PIPL nicht für natürliche Personen, die personenbezogene Daten aus familiären oder persönlichen Gründen verarbeiten.

Die Bezeichnung „Verarbeiter personenbezogener Daten“ ist vergleichbar mit der Bezeichnung „Verantwortlicher“ im Sinne anderer internationaler Datenschutzvorschriften wie der DSGVO. Das heißt, sie bezieht sich auf die Rechtsträger, die die Datenerhebung einleiten, bei Bedarf die Einwilligung einholen, die Datenverarbeitung organisieren, mit Dritten Verträge über die Verarbeitung von Daten schließen, usw.

Eine weitere Ähnlichkeit mit der DSGVO besteht darin, dass es verschiedene Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten von Einzelpersonen gibt. Eine davon ist die Einholung von Einwilligungen betroffener Personen, die anderen sechs erfordern jedoch keine Einwilligung der betroffenen Person.

Gemäß Abschnitt 1, Artikel 13 dürfen personenbezogene Daten nur dann verarbeitet werden, wenn der Verarbeiter personenbezogener Daten mindestens eine der folgenden Bedingungen erfüllt:

1. Einholung der Einwilligung von Einzelpersonen;
2. Soweit dies für den Abschluss oder die Erfüllung eines Vertrags, an dem die Einzelperson beteiligt ist, erforderlich ist, oder soweit dies erforderlich ist, um die Aufgaben des Personalmanagements gemäß den rechtmäßig formulierten Arbeitsregeln und -strukturen sowie rechtmäßig abgeschlossenen Tarifverträgen durchzuführen;
3. Soweit dies zur Erfüllung gesetzlich vorgeschriebener Aufgaben und Verantwortlichkeiten oder gesetzlich vorgeschriebener Verpflichtungen erforderlich ist;
4. Soweit dies erforderlich ist, um auf plötzliche Vorfälle zu reagieren, die die öffentliche Gesundheit betreffen oder um das Leben und die Gesundheit natürlicher Personen oder die Sicherheit ihres Eigentums unter Notfallbedingungen zu schützen;
5. Zur Verarbeitung personenbezogener Daten in einem angemessenen Rahmen für die Zwecke der Nachrichtenberichterstattung, Überwachung der öffentlichen Meinung und ähnlicher Aktivitäten des öffentlichen Interesses;
6. Bei der Verarbeitung personenbezogener Daten, die von den betroffenen Personen selbst oder anderweitig bereits rechtmäßig offengelegt wurden, in einem angemessenen Rahmen gemäß den Bestimmungen dieses Gesetzes.
7. Im Rahmen sonstiger Umstände nach Maßgabe der anwendbaren Gesetze und Verwaltungsvorschriften.

Im Unterschied zur DSGVO enthält das PIPL keine Regelung, die der des „berechtigten Interesses“ ähnelt und es Unternehmen ermöglicht, personenbezogene Daten zu verarbeiten, ohne zuerst die Einwilligung der betroffenen Personen einzuholen, solange die Daten auf legalem Wege erfasst werden und ein berechtigter Grund für ihre Verwendung vorliegt.

Damit die Einwilligung von Einzelpersonen als wirksam erteilt betrachtet werden kann, muss sie gemäß Abschnitt 1, Artikel 14, sowohl freiwillig als auch ausdrücklich und wissentlich erteilt werden. In rechtlichen oder verwaltungstechnischen Fällen ist eine gesonderte bzw. schriftliche Einwilligung einzuholen. Gemäß Artikel 15 muss die Einwilligung der Einzelpersonen auch jederzeit widerrufbar sein.

Wenn sich die Zwecke für die Erfassung personenbezogener Daten, die Verarbeitungsmethode oder die Kategorien der verarbeiteten personenbezogenen Daten ändern, muss eine neue Einwilligung von den Einzelpersonen eingeholt werden, um diese Änderungen widerzuspiegeln.

Kapitel 4 (Artikel 44-50) beschreibt die Rechte von Einzelpersonen gemäß des PIPL, es sei denn, andere gesetzliche oder verwaltungsrechtliche Vorschriften haben Vorrang:

• das Recht zu erfahren, welche personenbezogenen Daten ein Verarbeiter zu der betroffenen Person hat
• das Recht, der Verarbeitung personenbezogener Daten zu widersprechen
• das Recht, auf personenbezogene Daten zuzugreifen und Abschriften anzufertigen
• das Recht auf Datenübertragbarkeit
• das Recht auf Berichtigung falscher oder fehlerhafter Daten
• das Recht auf Ergänzung unvollständiger Daten
• das Recht auf Löschung
• das Recht, sich die Regeln für die Verarbeitung personenbezogener Daten von den Verarbeitern erklären zu lassen
• Ein persönliches Klagerecht

Interessanterweise sind Einzelpersonen auf der Grundlage verschiedener Gründe zur Klage berechtigt. Sie können Klage erheben, wenn ihre Rechte verletzt werden, z. B. wenn sie einen legitimen Antrag stellen, der abgelehnt wird, oder wenn der Verarbeiter ihre Rechte auf andere Weise verletzt. Chinesische Behörden können sich beteiligen, wenn ein Verarbeiter die Rechte einer großen Personengruppe verletzt oder einer großen Personengruppe Schäden verursacht (dies ist im PIPL nicht näher definiert) und können im Namen der Öffentlichkeit eine zivilrechtliche Verfolgung gegen den Verarbeiter einleiten.

Unternehmen dürfen keine Geschäfte mit Einzelpersonen verweigern, die der Verarbeitung ihrer personenbezogenen Daten nicht zustimmen.

Kapitel 1, Artikel 3 beschreibt, dass das PIPL für „die Aktivitäten zur Verarbeitung von personenbezogenen Daten natürlicher Personen innerhalb der Grenzen der Volksrepublik China“ (übersetzt von Usercentrics) gilt. Wie die DSGVO und einige andere Gesetze hat es jedoch auch einen extraterritorialen Geltungsbereich und gilt für die Verarbeitung personenbezogener Daten chinesischer Personen außerhalb Chinas, wenn:

• der Zweck darin besteht, innerhalb der Grenzen Produkte oder Dienstleistungen für natürliche Personen bereitzustellen;
• sich die Verarbeitung auf die „Analyse oder Bewertung von Aktivitäten natürlicher Personen innerhalb der Grenzen“ (übersetzt von Usercentrics) bezieht; oder
• sonstige, in Gesetzen oder Verwaltungsvorschriften vorgesehene Umstände vorliegen.

Inwieweit die chinesischen Aufsichtsbehörden diese Bestimmungen anwenden, wird jedoch erst abzuschätzen sein, wenn das PIPL eine Weile in Kraft gewesen ist.

Das PIPL schreibt anders als z. B. der California Consumer Protection Act (CCPA) keine Einhaltungsgrenzen vor. Daher müssen die Verarbeiter die Vorschriften unabhängig vom Umsatz des Unternehmens oder der Anzahl der Einzelpersonen, deren Daten sie in einem bestimmten Jahr verarbeiten, einhalten.

Artikel 4 definiert personenbezogene Daten als „alle Arten von Informationen, die auf elektronischem oder anderem Wege aufgezeichnet wurden und sich auf identifizierte oder identifizierbare natürliche Personen beziehen“ (übersetzt von Usercentrics). Anonymisierte Daten werden nicht berücksichtigt. (Weitere Informationen (auf Englisch): Data Anonymization: The What, Why, and How of Data Anonymization.)

Hier unterscheidet sich das PIPL von vielen anderen Gesetzen, da es keine expliziten Beispiele wie Name, E-Mail-Adresse, Führerscheinnummer, Krankenakten usw. vorsieht. Mit dieser Formulierung ist der Geltungsbereich jedoch ausreichend weit gefasst, sodass keine häufige Aktualisierung erforderlich ist, z. B. im Fall von technologischen Änderungen.

Darüber hinaus definiert das PIPL die Handhabung von personenbezogenen Daten als „Erfassung, Speicherung, Verwendung, Verarbeitung, Übertragung, Bereitstellung, Offenlegung, Löschung usw.“ (übersetzt von Usercentrics).

Wie viele andere aktuelle Datenschutzgesetze befasst sich das PIPL direkt mit dem Thema personenbezogener Daten sensibler Natur oder von Daten, die sich auf Kinder beziehen. Artikel 28 besagt:

„… personenbezogene Daten, die, sobald sie weitergegeben oder unrechtmäßig genutzt wurden, die Würde natürlicher Personen leicht verletzen oder die Sicherheit von natürlichen Personen oder deren Eigentum gravierend schädigen könnten, einschließlich Informationen über biometrische Merkmale, religiöse Überzeugungen, einen speziell zugewiesenen Status, die medizinische Gesundheit, Finanzkonten, die individuelle Standortverfolgung usw., sowie personenbezogene Daten von Minderjährigen unter 14 Jahren.“ (übersetzt von Usercentrics).

Vor der Verarbeitung sensibler personenbezogener Daten muss eine gesonderte ausdrückliche Einwilligung von Einzelpersonen – oder den Eltern/Erziehungsberechtigten eines Kindes – eingeholt werden. Darüber hinaus sind ein eindeutiger „spezifischer Zweck und Erfüllungsgrund“ mit „strengen Schutzmaßnahmen“ sowie zusätzliche Offenlegungen gegenüber Personen erforderlich, deren sensible personenbezogene Daten verarbeitet werden, wie in den Artikeln 28 und 30 beschrieben.

Gemäß Artikel 17 müssen Personen, die personenbezogene Daten verarbeiten, die betroffenen Einzelpersonen vor der Verarbeitung ihrer personenbezogenen Daten „wahrheitsgetreu, genau und vollständig … unter Verwendung einer klaren und leicht verständlichen Sprache“ (übersetzt von Usercentrics) benachrichtigen. Dies beinhaltet die Bereitstellung von:

• Name des Datenverarbeiters
• Angaben zur Kontaktaufnahme mit dem Datenverarbeiter
• Die Kategorien der zu verarbeitenden personenbezogenen Daten
• Zweck(e) der Handhabung personenbezogener Daten von betroffenen Einzelpersonen
• Aufbewahrungsfrist
• Methoden, mit denen Einzelpersonen ihre Datenschutzrechte ausüben können (Artikel 17)
• Alle anderen Anforderungen gemäß den gesetzlichen oder verwaltungsrechtlichen Vorschriften

Die Aufbewahrungsfristen für Daten sollten nur so kurz wie zwingend erforderlich sein, um den Zweck der Handhabung der personenbezogenen Daten gemäß Artikel 19 zu erfüllen. Die Dauer der Aufbewahrungsfrist kann jedoch durch andere einschlägige gesetzliche oder verwaltungsrechtliche Vorschriften beeinflusst werden.

Gemäß Artikel 25 dürfen Datenverarbeiter die betreffenden personenbezogenen Daten nicht offenlegen, es sei denn, es wurde eine separate ausdrückliche Einwilligung eingeholt.

Die Datenverarbeiter müssen Sicherheitsmaßnahmen ergreifen, um Informationen vor Verstößen oder anderen unbefugten Zugriffen zu schützen, sowie Datenschutz-Folgenabschätzungen für bestimmte Aktivitäten zur Datenverarbeitung durchführen. Unter bestimmten Umständen müssen sie einen Datenschutzbeauftragten ernennen. Wenn sich die Datenverarbeitungsstelle außerhalb Chinas befindet, muss (ähnlich wie im Rahmen der DSGVO) ein Vertreter in China benannt werden, und es müssen regelmäßige Audits der Praktiken zur Datenverarbeitung durchgeführt werden.

Die Datenverarbeiter müssen außerdem die Genehmigung der chinesischen Behörden bezüglich der Bereitstellung von personenbezogenen Daten, die sie verarbeiten und die in China gespeichert sind, von ausländischen Justiz- oder Strafverfolgungsbehörden einholen. Weitere Einzelheiten über den Umfang dieser Anforderung bzw. den Umgang mit Genehmigungen sind vom Gesetz jedoch nicht festgelegt.

Interessanterweise richtet sich Artikel 58 explizit an Verarbeiter von personenbezogenen Daten, die „wichtige Internetplattformdienste“ mit einem großen Nutzerbestand bereitstellen und komplexe Geschäftsmodelle haben. Ihre Verpflichtungen sind die folgenden:

1. Einrichtung und Vervollständigung von Compliance-Systemen und -Strukturen für den Schutz personenbezogener Daten gemäß den staatlichen Vorschriften und Einrichtung einer unabhängigen Stelle, die hauptsächlich aus externen Mitgliedern besteht, um die Bedingungen des Schutzes personenbezogener Daten zu überwachen;
2. Einhaltung der Grundsätze in Bezug auf Offenheit, Fairness und Gerechtigkeit, Formulierung von Regeln für die Plattform und Klärung der Standards für die Verarbeitung personenbezogener Daten durch Anbieter von Produkten oder Dienstleistungen innerhalb der Plattform und ihrer Pflichten zum Schutz personenbezogener Daten;
3. Einstellung der Bereitstellung von Dienstleistungen für Anbieter von Produkten oder Dienstleistungen auf der Plattform, soweit diese bei der Verarbeitung personenbezogener Daten wesentlich gegen Gesetze oder Verwaltungsvorschriften verstoßen;
4. Regelmäßige Freigabe von Berichten zur sozialen Verantwortung in Bezug auf den Schutz personenbezogener Daten und Annahme der Überwachung durch die Gesellschaft.

Auf Webseiten wie Facebook, YouTube und Instagram, die in anderen Ländern über eine große Präsenz mit hohen Nutzerzahlen verfügen, kann in China jedoch nicht zugegriffen werden.

In bestimmten Fällen sind Datenverarbeiter von der Pflicht, betroffene Personen verständlich und rechtzeitig zu benachrichtigen, befreit – z. B. in Notfällen, wenn es um den Schutz des Lebens, der Gesundheit oder der Sicherheit von natürlichen Personen und ihrem Eigentum geht. Nach Ablauf der Notfallsituation müssen die Datenverarbeiter dann jedoch die erforderlichen Meldungen und Informationen bereitstellen.

Wie bereits erwähnt, werden anonymisierte Daten nicht auf dieselbe Weise klassifiziert bzw. unterliegen anonymisierte Daten in vielen Fällen nicht denselben Rechtsgrundlagen und anderen Anforderungen wie personenbezogene Daten, die weiterhin identifizierbar sind.

Wenn Datenverarbeiter personenbezogene Daten an Dritte oder „betraute Personen“ weitergeben, sollten sie gemäß Artikel 21 zur Regelung der folgenden Punkte eine Vereinbarung abschließen:

• Zweck der „anvertrauten Handhabung“ personenbezogener Daten
• Zeitlimit
• Verarbeitungsmethode
• Kategorien der relevanten personenbezogenen Daten
• Schutzmaßnahmen
• Rechte und Pflichten beider Seiten

Der Datenverarbeiter sollte die Maßnahmen zur Datenverarbeitung durch die betrauten Personen stets überwachen. Die betrauten Personen sind außerdem gesetzlich verpflichtet, die Vertragsbedingungen einzuhalten, die personenbezogenen Daten bei Beendigung der Beziehung zurückzugeben und sie dürfen ohne Einwilligung des ursprünglichen Datenverarbeiters keine personenbezogenen Daten an weitere Parteien weitergeben.

Die internationale Übermittlung personenbezogener Daten wird ähnlich wie im Rahmen der DSGVO in Kapitel 3 (Artikel 38-43) ausführlich behandelt. Datenverarbeiter müssen mindestens eine der folgenden Bedingungen erfüllen:

• Erfolgreiches Durchlaufen einer Sicherheitsbewertung, die vom chinesischen Amt für Cybersicherheit und Informatisierung gemäß Artikel 40 organisiert wird;
• Eine Zertifizierung zum Schutz personenbezogener Daten, die von einer Fachstelle gemäß den Bestimmungen des chinesischen Amts für Cybersicherheit und Informatisierung durchgeführt wird;
• Abschluss eines Vertrags mit der ausländischen Empfängerseite gemäß einem Standardvertrag, der vom chinesischen Amt für Cybersicherheit und Informatisierung formuliert wurde, zur Vereinbarung der Rechte und Verantwortlichkeiten beider Seiten;
• Andere Bedingungen, die gemäß den anwendbaren Gesetzen oder Verwaltungsvorschriften oder vom chinesischen Amt für Cybersicherheit und Informatisierung vorgeschrieben sind.

Andere Verträge oder Abkommen können auch Bestimmungen enthalten, die internationale Datenübermittlungen zulassen.

Datenverarbeiter, die personenbezogene Daten außerhalb Chinas bereitstellen, müssen die betreffenden Einzelpersonen über Folgendes in Kenntnis setzen:

• Name des empfangenden Rechtsträgers bzw. Ansprechpartners
• Kontaktmethode
• Kategorien personenbezogener Daten
• Verarbeitungszweck
• Verarbeitungsmethoden
• Verfahren, anhand welcher Einzelpersonen ihre Rechte gegenüber dem ausländischen Rechtsträger ausüben können

Im Fall, dass „ein Leck, eine Verzerrung oder ein Verlust vorliegt oder potenziell vorliegt“ (übersetzt von Usercentrics), müssen die Datenverarbeiter unverzüglich Maßnahmen ergreifen und die für den Schutz personenbezogener Daten zuständigen Mitarbeiter und Abteilungen sowie die betroffenen Einzelpersonen informieren. Die Mitteilung muss Folgendes enthalten:

1. Die betroffenen Datenkategorien und Ursachen sowie die möglichen Schäden, die durch das (potenzielle) Leck, die (potenzielle) Verzerrung oder den (potenziellen) Verlust entstehen könnten;
2. Die vom Datenverarbeiter ergriffenen Abhilfemaßnahmen sowie etwaige Maßnahmen, die Einzelpersonen zur Schadensminderung ergreifen können;
3. Methode der Kontaktaufnahme mit dem Datenverarbeiter.

Bei Verstößen gegen die Vorschriften zur Verarbeitung personenbezogener Daten oder bei Verstößen gegen die Schutzpflichten in diesem Zusammenhang bzw. einer Nichtdurchsetzung dieser und anschließender Ablehnung einer Korrektur kann den zuständigen Abteilungen eine Geldstrafe von bis zu 1 Mio. RMB auferlegt werden; direkt verantwortliche Mitarbeiter müssen mit einer Geldstrafe zwischen 10.000 und 100.000 RMB (etwas mehr als 1.500 bis 15.000 US-Dollar) rechnen. Darüber hinaus sind die verantwortlichen Rechtsträger zur Umsetzung der folgenden Maßnahmen verpflichtet:

• Auftragskorrektur
• Konfiszierung rechtswidriger Einkünfte
• Anordnung einer vorläufigen Suspendierung oder Beendigung von Programmen, die Daten auf rechtswidrige Weise verarbeiten

Im Fall “besonders schwerwiegender Umstände” einer rechtswidrigen Verarbeitung können die chinesischen Regulierungsbehörden Geldstrafen von bis zu 50 Mio. RMB (ca. 7,7 Mio. US-Dollar) bzw. in Höhe von bis zu 5 Prozent des Vorjahresbruttoumsatzes des Datenverarbeiters verhängen. (Es wird nicht angegeben, ob es sich dabei um ausschließlich in China erwirtschafteten Umsatz oder um international erwirtschafteten Umsatz handelt.) Bei Verstößen gegen die Datenschutzbestimmungen durch Datenverarbeiter kann eine Suspendierung oder Beendigung des Betriebs oder eine Aufhebung der Geschäftslizenz erfolgen. Es kann außerdem die Entfernung von Apps aus App Stores angeordnet werden.

Gegen direkt verantwortliche Mitarbeiter werden Geldstrafen zwischen 100.000 und 1 Mio. RMB (zwischen ca. 15.000 und 150.000 US-Dollar) verhängt. Es kann ihnen zudem untersagt werden, für einen bestimmten Zeitraum Positionen als „Geschäftsführer, Vorgesetzter, hochrangiger Manager oder Datenschutzbeauftragter“ (übersetzt von Usercentrics) auszuüben.

Mit dem in diesem Jahr verabschiedeten ‘Data Security Law’ und dem ‘Personal Information Protection Law’ hat China ein starkes Rahmenwerk eingeführt, um die Aktivitäten in- und ausländischer Unternehmen in Bezug auf den Datenschutz und den Schutz der Rechte chinesischer Einzelpersonen zu regeln. Obwohl das PIPL viele Ähnlichkeiten mit der DSGVO aufweist, ist es in vielerlei Hinsicht strenger und wird sich mit der Zeit auf der Grundlage der sich entwickelnden Technologien, der Erwartungen der Verbraucher und der Rechtsmeinung weiterentwickeln. Unternehmen, die in den großen chinesischen Markt eintreten möchten, sollten sich in jedem Fall von einem qualifizierten Rechtsberater beraten lassen.

Haben Sie Fragen dazu, wie sich das PIPL auf Ihr Unternehmen auswirken könnte? Dann kontaktieren Sie gerne einen unserer Experten!