Live Chat Software by Kayako |
Chinas DSGVO: Schutz von personenbezogenen Daten in China (PIPL)Gepostet von Marc Füßlein, zuletzt bearbeitet von Marc Füßlein an 24 März 2023 16:46
|
|
Als Antwort auf die DSGVO trat in China im November 2021 das Gesetz zum Schutz personenbezogener Daten (中华人民共和国个人信息保护法) in Kraft. Auch im Deutschen wird das Gesetz gerne als PIPL (Personal Information Protection Law) abgekürzt. Das Gesetz baut auf dem Cybersicherheitsgesetz der Volksrepublik China und dem Datensicherheitsgesetz auf und spezifiziert die gesetzlichen Rahmenbedingungen für das Sammeln und den Umgang mit personenbezogenen Daten. Wie sind personenbezogene Daten durch die PIPL definiert?Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person dienen und in elektronischer oder sonstiger Form gespeichert werden. Es ist dabei nicht notwendig, dass die Informationen zum Identifizieren einer konkreten Person ausreichend sind. Der Gesetzestext bleibt bei der Definition dennoch vage und nennt, im Vergleich zur DSGVO, keine konkreten Beispiele wie E-Mail-Adresse und Führerschein. Unwiderruflich anonymisierte Daten sind von den gesetzlichen Vorgaben ausgenommen. Darüber hinaus definiert das Gesetz sensible personenbezogene Daten als diejenigen Daten, die in den falschen Händen das persönliche Wohl und Eigentum stark gefährden können. Als Beispiele werden biometrische Daten, Religion, Behinderungen, Gesundheit, Finanzdaten und der Wohnort aufgeführt. Außerdem fallen alle personenbezogenen Daten von Minderjährigen unter 14 Jahren in diese Kategorie. Wer ist vom Gesetz zum Schutz personenbezogener Daten betroffen?Der Fokus der PIPL liegt im Schutz der Privatsphäre und der personenbezogenen Daten von chinesischen Bürgern. Das Gesetz ist entsprechend für alle Firmen in China relevant, die mit personenbezogenen Daten arbeiten. Unter bestimmten Voraussetzungen geht der Anwendungsbereich des Gesetzes über die Landesgrenzen Chinas hinaus. Sofern ein Unternehmen personenbezogene Daten von chinesischen Bürgern verarbeitet, das Verhalten von chinesischen Bürgern auswertet oder Produkte und Dienstleistungen in China anbietet, müssen die Vorgaben des Gesetzes ebenfalls eingehalten werden; selbst wenn die Firma keinen Sitz in China hat. In diesem Fall ist das Unternehmen insbesondere dazu verpflichtet, einen Datenschutzbeauftragten in China zu benennen und dessen Kontaktinformationen an die zuständigen Behörden in China zu kommunizieren. Wichtige Abweichungen zur DSGVOIn vielen Aspekten orientiert sich das Gesetz an den Rahmenbedingungen der DSGVO. Dennoch gibt es gewisse Unterschiede, denen sich betroffene Firmen bewusst sein sollten. EinwilligungenIdentisch zur DSGVO ist für das Sammeln und Verarbeiten von personenbezogenen Daten eine Einwilligung der betroffenen Person notwendig. Diese Einwilligung muss explizit und freiwillig erfolgen und der Nutzer muss darüber aufgeklärt sein, wofür seine Daten verwendet werden. Ebenfalls muss der Nutzer seine Einwilligung jederzeit widerrufen können. Die PIPL definiert allerdings folgende Ausnahmen, in denen personenbezogene Daten ohne vorherige Einwilligung genutzt werden dürfen:
Es gibt allerdings keine Ausnahme für die Verarbeitung von personenbezogenen Daten im Rahmen von berechtigtem Interesse. Ebenfalls sind die Kriterien für das erneute Einholen einer Einwilligung deutlich strenger: Ändert sich der Verwendungszweck, die Auswertungsmethode oder die Kategorisierung der personenbezogenen Daten, so muss eine erneute Einwilligung eingeholt und die Person über die Änderungen aufgeklärt werden. Weitergabe an DritteDie Regelungen für die Weitergabe von personenbezogenen Daten an Dritte sind ein wichtiger und sehr ausführlicher Teil der PIPL und wurden seit deren Inkrafttreten weiter konkretisiert. Entscheidend ist ebenfalls, ob die Daten beim Export an einen Dritten die chinesischen Landesgrenzen verlassen. Grundsätzlich muss der Nutzer seine explizite Einwilligung geben, bevor seine personenbezogenen Daten an einen Dritten überführt werden. Dabei muss offengelegt werden, wer der Dritte ist und wofür die Daten genau genutzt werden. Gleichzeitig muss der Website-Betreiber sicherstellen, dass die Daten vom Dritten nur in genau dem Umfang verwendet werden, dem der Nutzer zugestimmt hat. Werden die Daten an einen Dritten außerhalb Chinas übersendet, sind weitere Regeln zu beachten. Es muss sichergestellt werden, dass der Empfänger der Daten entsprechende Datenschutzvorkehrungen trifft, die mindestens alle gesetzlichen Vorgaben der PIPL erfüllt. Hierzu nennt das Gesetz drei mögliche Vorgehensweisen. 1. SicherheitsauditDer Ablauf eines Sicherheitsaudits durch die "Cyberspace Administration of China" (CAC) wurde von dieser im Juli 2022 im Rahmen der "Maßnahmen zur Sicherheitsbewertung für ausgehende Datenübertragungen" (数据出境安全评估办法) definiert. Diese geben zunächst vor, dass ein solcher Sicherheitsaudit verpflichtend ist, sofern der Betreiber
Trifft eine dieser Bedingungen auf den Betreiber zu, ist der Sicherheitsaudit die einzige Möglichkeit, um eine Genehmigung für die Übermittelung von personenbezogenen Daten an einen Dritten außerhalb Chinas zu erhalten. Der erste Schritt des Sicherheitaudit ist eine ausführliche Selbstprüfung durch den Betreiber sowie die Erstellung eines zugehörigen Berichts, der dann beim CAC eingereicht wird. Diese Prüfung muss die folgenden Aspekte berücksichtigen:
Nach Abschluss der Selbstprüfung sind der zugehörige Bericht sowie die relevanten Vertragsdokumente zwischen dem Betreiber und dem Dritten zunächst bei der Provinzbehörde des CAC einzureichen. Dort werden die Unterlagen innerhalb von wenigen Tagen kontrolliert und, sofern diese in Ordnung sind, an die nationale Ebene des CACs weitergegeben. Nach einer erneuten Prüfung der Unterlagen leitet das CAC innerhalb von wenigen Wochen einen Sicherheitsaudit ein. Sofern die Ergebnisse dieses Sicherheitsaudits ebenfalls positiv ausfallen, erhält der Betreiber eine Genehmigung für den Export von personenbezogenen Daten an den Dritten. Diese Genehmigung ist für zwei Jahre gültig. Für eine Verlängerung müssen die Schritte des Sicherheitaudits erneut durchlaufen werden. Ebenso muss der Sicherheitsaudit schon vorab wiederholt werden, falls es signifikante Änderungen im Zusammenhang mit dem Export der Daten an den Dritten gibt. 2. StandardvertragAuf den ersten Blick klingt der Abschluss eines Vertrags zwischen dem Website-Betreiber und dem Dritten, der die personenbezogenen Daten erhalten soll, relativ unkompliziert - vor allem, da es sich um ein Standarddokument handelt, das direkt von der chinesischen Cyberspace-Behörde zur Verfügung gestellt wird. Diese hat die Vorgehensweise hierzu im Februar 2023 in den "Maßnahmen zu Standardverträgen für den Export personenbezogener Daten" (个人信息出境标准合同办法) näher beschrieben. Bei genauerer Betrachtung trügt der erste Eindruck und es steckt deutlich mehr an Komplexität hinter dieser Option. Zunächst gibt es mehrere Voraussetzungen, die der Website-Betreiber erfüllen muss, um überhaupt einen solchen Standardvertrag abschließen zu können. Diese sind in vielen Punkten das Gegenstück zu den Bedingungen, unter denen ein Sicherheitsaudit durchgeführt werden muss. Für den Standardvertrag muss der Website-Betreiber
Das zugehörige Vertragsdokument ist den vom CAC veröffentlichten Maßnahmen zu Standardverträgen für den Export personenbezogener Daten beigelegt und kann entsprechend online bezogen werden. Der Vertrag definiert erwartungsgemäß die Rechte und Pflichten der beiden Parteien im Hinblick auf den Schutz und die Verarbeitung der personenbezogenen Daten. Ebenso werden die Rechte der chinesischen Bürger, deren Daten verarbeitet werden, beschrieben und Kontaktmöglichkeiten, die bereitgestellt werden müssen, konkretisiert. Besonders hervorzugeben sind jedoch einige der Pflichten, die der Dritte erfüllen muss. So dürfen die personenbezogenen Daten nur für die Dauer der Verarbeitung gespeichert und müssen anschließend gelöscht werden. Gleichzeitig stimmt der Dritte zu, dass er hinsichtlich der Pflichten des Vertrags von den chinesischen Behörden, insbesondere dem CAC, beaufsichtigt wird, und auf Anfrage entsprechende Informationen an die Behörden in China offenlegen muss sowie mögliche Rechtsstreite im Zusammenhang mit dem Vertrag in China ausgefechtet werden. Der Standardvertrag ist jedoch nicht das einzige Dokument, was für diesen Prozess benötigt wird. Es muss darüber hinaus eine Datenschutz-Folgenabschätzung durchgeführt werden und dazu ein umfangreicher Bericht bei den Behörden in China zusammen mit dem Vertragsdokument eingereicht werden. Im Rahmen dieser Folgenabschätzung müssen konkrete Firmenprozesse, bei denen personenbezogene Daten an einen Dritten übermittelt werden, nach vorgegebenen Kriterien unter die Lupe genommen werden. Dazu zählen beispielsweise die gesetzliche Grundlage für die Verarbeitung der Daten und das Einholen der notwendigen Zustimmung des Nutzers. Nicht zu unterschätzen ist ebenso, dass der Bericht gleichzeitig eine Einschätzung der Datenschutzregeln im Land des Dritten auf die Erfüllung des Standardvertrags erwartet. Die Datenschutz-Folgenabschätzung bedarf also rechtlicher Analysen beider Parteien, weshalb die Unterstützung durch Datenschutz-Experten oder eine Rechtsberatung auf beiden Seiten zu empfehlen ist. 3. Datenschutz-ZertifizierungDie dritte Option zur Übermittelung von personenbezogenen Daten an einen Dritten außerhalb Chinas ist laut der PIPL eine entsprechende Datenschutz-Zertifizierung. Bislang haben die verantwortlichen Behörden in China jedoch nicht spezifiziert, wie dieser Prozess genau abläuft. Solange es hierzu keine weiterführenden Informationen gibt, besteht diese Option nur in der Theorie. StrafenVerstößt ein Unternehmen gegen die Vorgaben des Gesetzes zum Schutz personenbezogener Daten, sind Strafen bis zu 50 Millionen RMB (etwa 7 Millionen Euro) oder bis zu 5 % des Jahresumsatzes des Unternehmens sowie dem Entzug aller illegal erzielten Umsätze möglich.
| |
|