PIPL: Datenschutz made in China
Bislang war China nicht für einen strengen Datenschutz bekannt, doch das könnte sich nun ändern: Am 20. August 2021 verabschiedete der Nationale Volkskongress Chinas mit dem „Personal Information Protection Law“ („PIPL“) (Version in Mandarin, inoffizielle englische Übersetzung) ein nationales Gesetz zum Schutz persönlicher Daten. Es wird am 1. November 2021 in Kraft treten und sodann – zusammen unter anderem mit dem Cybersecurity Law (“CSL”) und dem Data Security Law („DSL“) – den Datenschutz in China erstmals umfassend regeln. Die Umsetzungsfrist von etwas mehr als zwei Monaten für das PIPL ist denkbar kurz. Zudem können Unternehmen in China bei der Umsetzung der neuen Anforderungen nicht auf tradierte Grundsätze und Auslegungen von bereits existierenden Datenschutzvorschriften zurückgreifen.
Maßgebliche Regelungen – DS-GVO auf Chinesisch?
Trotz Unterschieden ähnelt das PIPL in vielerlei Hinsicht der europäischen Datenschutz-Grundverordnung („DS-GVO“), auch weil es die Datenverarbeitung im Grundsatz für unzulässig erklärt und einen Katalog von Erlaubnistatbeständen aufstellt. Einige zentrale Punkte werden im Folgenden dargestellt.
Räumlicher Anwendungsbereich: Exterritoriale Wirkung
Das PIPL gilt im Grundsatz für die Verarbeitung personenbezogener Daten von natürlichen Personen innerhalb der Grenzen der Volksrepublik China (Art. 3 PIPL). Daneben entfaltet es wie die DS-GVO (dort ebenfalls Art. 3) aber auch exterritoriale Wirkung durch seine Anwendbarkeit auf die Verarbeitung personenbezogener Daten außerhalb Chinas, wenn
- der Zweck der Datenverarbeitung darin besteht, Produkte oder Dienstleistungen für natürliche Personen bereitzustellen, die sich in China befinden,
- Aktivitäten sich in China befindender natürlicher Personen analysiert oder bewertet werden, oder
- sonstige Gesetze oder Verwaltungsvorschriften dies anordnen.
Grundsätze der Datenverarbeitung und weitere Gemeinsamkeiten
Art. 4 PIPL enthält Legaldefinitionen der personenbezogenen Daten und der Datenverarbeitung, die denen des Art. 4 DS-GVO entsprechen. Im Übrigen finden sich im PIPL aus Art. 5 DS-GVO bekannte Grundsätze der Datenverarbeitung wieder. So muss die Datenverarbeitung auf rechtmäßige und transparente Weise erfolgen sowie die Grundsätze der Zweckbindung und Datenminimierung einhalten (Art. 5-7 PIPL). Zudem muss der Datenverarbeitende Maßnahmen vornehmen, um die Richtigkeit und Sicherheit der personenbezogenen Daten zu gewährleisten (Art. 8 und 9 PIPL).
Erlaubnistatbestände
Ähnlich wie Art. 6 DS-GVO enthält das PIPL eine Reihe von Tatbeständen, die eine Datenverarbeitung erlauben (Art. 13 PIPL). Demnach ist eine Datenverarbeitung rechtmäßig, wenn
- der Betroffene eingewilligt hat (Nr. 1),
- sie zur Vertragserfüllung notwendig ist (Nr. 2),
- die Erfüllung gesetzlicher Vorgaben sie erfordert (Nr. 3),
- sie zur Reaktion auf einen öffentlichen Gesundheitsnotstand notwendig ist (Nr. 4),
- sie im angemessenen Umfang im Rahmen der Medienberichterstattung geschieht (Nr. 5),
- die Information bereits offengelegt wurde und die Verarbeitung in einem angemessenen Umfang erfolgt (Nr. 6), oder
- sie anderweitig rechtlich erlaubt ist (Nr. 7).
Im Unterschied zu Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO ist ein die Interessen, Grundfreiheiten und Grundrechte des Betroffenen überwiegendes legitimes Interesse an der Datenverarbeitung kein Erlaubnistatbestand.
Es bleibt abzuwarten, ob die der DS-GVO ähnlichen Normen des PIPL ähnlich der DS-GVO ausgelegt werden. Auch zur Auslegung der Erlaubnistatbestände gibt es bislang kaum Stellungnahmen von den zuständigen öffentlichen Stellen.
Besondere Vorschriften beim Auslandsdatentransfer
Trotz der vielen Gemeinsamkeiten stellt das PIPL teilweise noch höhere Anforderungen an die Rechtmäßigkeit von Auslandsdatentransfers als die DS-GVO. Werden personenbezogene Daten an Stellen außerhalb Chinas übermittelt, müssen die betroffenen Personen über die Übermittlung informiert werden, muss deren ausdrückliche Zustimmung zur Übermittlung eingeholt werden und ist sicherzustellen, dass die Datenempfänger ähnliche Datenschutzstandards erfüllen (Art. 39 PIPL).
Ähnlich wie unter der DS-GVO soll es Standardvertragsklauseln gegeben, die einen Auslandsdatentransfer ermöglichen. Eine Veröffentlichung dieser Standardvertragsklauseln durch die zuständige Behörde, die Cyberspace Administration of China, ist allerdings noch nicht erfolgt.
Unklare Voraussetzungen für die Datenlokalisierung
Betreiber kritischer Informationsinfrastrukturen und Verarbeiter, deren Datenverarbeitung einen bestimmten (noch nicht festgelegten) Schwellenwert erreicht, sind verpflichtet, die personenbezogenen Daten innerhalb der Volkrepublik China zu speichern (Art. 40 PIPL). Sofern die Betreiber und Verarbeiter die Daten ins Ausland übermitteln müssen, ist der Transfer nur erlaubt, wenn diese eine behördliche Sicherheitsbewertung durchlaufen haben. Der Begriff der kritischen Informationsinfrastruktur ist im PIPL selbst nicht definiert, wird in jüngeren chinesischen Rechtsakten (wie den „Regulations on the Security and Protection of Critical Information Infrastructure“ vom 1. September 2021) allerdings weit verstanden. In diesem Zusammenhang ist ebenfalls zu beachten, dass auch andere chinesische Gesetze – insbesondere das CSL – den Transfer in China erhobener Daten ins Ausland etwa von einer Sicherheitsüberprüfung abhängig machen oder sogar ganz verbieten.
Empfindliche Sanktionen bei Verstößen
Ebenso wie die DS-GVO sieht das PIPL empfindliche Strafen bei Verstößen vor (Art. 66 PIPL). So können die Aufsichtsbehörden etwa Abhilfemaßnahmen anordnen, Geldbußen verhängen oder sogar die Stilllegung des Geschäftsbetriebs anordnen. Die Geldbuße kann bis zu 50 Millionen RMB oder 5 % des vorausgegangen Jahresumsatzes der jeweiligen Organisation betragen – und damit sogar die DS-GVO übertreffen.
Auswirkungen PIPL auf europäische Unternehmen
Nicht zuletzt weil das PIPL aufgrund seiner exterritorialen Wirkung auch für Datenverarbeitungen außerhalb Chinas gelten kann und bei Verstößen erhebliche Nachteile drohen, müssen auch deutsche und europäische Unternehmen das PIPL ernst nehmen. Konkret sollten Unternehmen zunächst ihren Umsetzungsstand und die zur vollständigen Einhaltung der gesetzlichen Anforderungen notwendigen Schritte analysieren. Sodann sollten sie ihre Prozesse entsprechend anpassen, geeignete Datenschutzrichtlinien und -prozesse einführen und die zugehörige Dokumentation erstellen. Im Ergebnis wird die Einhaltung der rechtlichen Anforderungen für (multinationale) Unternehmen noch ein Stück komplizierter.
Angemessenheitsbeschluss der EU-Kommission?
Abzuwarten bleibt zudem, ob das PIPL auch für die Rechtmäßigkeit des Datentransfers nach China unter der DS-GVO Konsequenzen haben wird. Angesichts der neuen Vorschriften könnte man schließlich annehmen, dass nunmehr ein angemessenes Schutzniveau besteht und die Europäische Kommissionen einen Angemessenheitsbeschluss erlassen könnte (Art. 45 DS-GVO). Allerdings spricht dagegen nicht nur das momentane geopolitische Klima, sondern auch die sehr weitreichende Datenverarbeitung durch chinesische Behörden, der durch das PIPL keine effektiven Grenzen gesetzt werden. Insofern drohte ein Angemessenheitsbeschluss mit hoher Wahrscheinlichkeit ebenso zu scheitern wie jener für die USA (Europäischer Gerichtshof kippt EU-U.S. Privacy Shield - Noerr).
Ausblick
In China aktive Unternehmen oder sonstige Unternehmen, die personenbezogene Daten chinesischer Bürger verarbeiten, sollten ihre Prozesse prüfen, gegebenenfalls anpassen und die Entwicklungen im Blick behalten. Insbesondere sollten Unternehmen prüfen, ob ihnen das PIPL konkrete Pflichten auferlegt, etwa das Unterlassen bestimmter Auslandsdatentransfers, die Datenlokalisierung in China oder die Berichtserstattung gegenüber chinesischen Aufsichtsbehörden. Die sich dynamisch entwickelnde Rechtslage in China ist weiterhin genau zu beobachten, insbesondere mit Blick auf mögliche weitere Gesetze und Verwaltungsvorschriften, die den Anwendungsbereich des PIPL erweitern, sowie Konkretisierungen des PIPL durch die Verwaltungs- und Gerichtspraxis. Letzteres gilt umso mehr, als für viele einzelne Bestimmungen noch unklar ist, wie diese interpretiert und umgesetzt werden.
Zwar stellt das PIPL in vielerlei Hinsicht einen Schritt in Richtung eines global stärker harmonisierter Datenschutzrechts dar, doch sollten sich (multinationale) Unternehmen bewusst sein, dass sie für globale Datentransfers nun weitere Hürden überwinden müssen.