Chinas DSGVO: Schutz von personenbezogenen Daten in China (PIPL)

Als Antwort auf die DSGVO trat in China im November 2021 das Gesetz zum Schutz personenbezogener Daten (中华人民共和国个人信息保护法) in Kraft. Auch im Deutschen wird das Gesetz gerne als PIPL (Personal Information Protection Law) abgekürzt. Das Gesetz baut auf dem Cybersicherheitsgesetz der Volksrepublik China und dem Datensicherheitsgesetz auf und spezifiziert die gesetzlichen Rahmenbedingungen für das Sammeln und den Umgang mit personenbezogenen Daten.

Wie sind personenbezogene Daten durch die PIPL definiert?

Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person dienen und in elektronischer oder sonstiger Form gespeichert werden. Es ist dabei nicht notwendig, dass die Informationen zum Identifizieren einer konkreten Person ausreichend sind. Der Gesetzestext bleibt bei der Definition dennoch vage und nennt, im Vergleich zur DSGVO, keine konkreten Beispiele wie E-Mail-Adresse und Führerschein. Unwiderruflich anonymisierte Daten sind von den gesetzlichen Vorgaben ausgenommen.

Darüber hinaus definiert das Gesetz sensible personenbezogene Daten als diejenigen Daten, die in den falschen Händen das persönliche Wohl und Eigentum stark gefährden können. Als Beispiele werden biometrische Daten, Religion, Behinderungen, Gesundheit, Finanzdaten und der Wohnort aufgeführt. Außerdem fallen alle personenbezogenen Daten von Minderjährigen unter 14 Jahren in diese Kategorie.

Wer ist vom Gesetz zum Schutz personenbezogener Daten betroffen?

Der Fokus der PIPL liegt im Schutz der Privatsphäre und der personenbezogenen Daten von chinesischen Bürgern. Das Gesetz ist entsprechend für alle Firmen in China relevant, die mit personenbezogenen Daten arbeiten.

Unter bestimmten Voraussetzungen geht der Anwendungsbereich des Gesetzes über die Landesgrenzen Chinas hinaus. Sofern ein Unternehmen personenbezogene Daten von chinesischen Bürgern verarbeitet, das Verhalten von chinesischen Bürgern auswertet oder Produkte und Dienstleistungen in China anbietet, müssen die Vorgaben des Gesetzes ebenfalls eingehalten werden; selbst wenn die Firma keinen Sitz in China hat. In diesem Fall ist das Unternehmen insbesondere dazu verpflichtet, einen Datenschutzbeauftragten in China zu benennen und dessen Kontaktinformationen an die zuständigen Behörden in China zu kommunizieren.

Wichtige Abweichungen zur DSGVO

In vielen Aspekten orientiert sich das Gesetz an den Rahmenbedingungen der DSGVO. Dennoch gibt es gewisse Unterschiede, denen sich betroffene Firmen bewusst sein sollten.

Einwilligungen

Identisch zur DSGVO ist für das Sammeln und Verarbeiten von personenbezogenen Daten eine Einwilligung der betroffenen Person notwendig. Diese Einwilligung muss explizit und freiwillig erfolgen und der Nutzer muss darüber aufgeklärt sein, wofür seine Daten verwendet werden. Ebenfalls muss der Nutzer seine Einwilligung jederzeit widerrufen können. Die PIPL definiert allerdings folgende Ausnahmen, in denen personenbezogene Daten ohne vorherige Einwilligung genutzt werden dürfen:

• Erfüllung von vertraglichen oder gesetzlichen Pflichten
• In Notfällen, um die Gesundheit oder das Leben einer Person zu wahren oder Eigentum zu schützen
• In einem angemessenen Umfang bei Berichtserstattungen, die im öffentliche Interesse sind
• Beim Verarbeiten von personenbezogenen Daten, die bereits auf legalem Wege erlangt oder freiwillig zur Verfügung gestellt wurden

Es gibt allerdings keine Ausnahme für die Verarbeitung von personenbezogenen Daten im Rahmen von berechtigtem Interesse. Ebenfalls sind die Kriterien für das erneute Einholen einer Einwilligung deutlich strenger: Ändert sich der Verwendungszweck, die Auswertungsmethode oder die Kategorisierung der personenbezogenen Daten, so muss eine erneute Einwilligung eingeholt und die Person über die Änderungen aufgeklärt werden.

Weitergabe an Dritte

Die Regelungen für die Weitergabe von personenbezogenen Daten an Dritte sind ein wichtiger und sehr ausführlicher Teil der PIPL und wurden seit deren Inkrafttreten weiter konkretisiert. Entscheidend ist ebenfalls, ob die Daten beim Export an einen Dritten die chinesischen Landesgrenzen verlassen.

Grundsätzlich muss der Nutzer seine explizite Einwilligung geben, bevor seine personenbezogenen Daten an einen Dritten überführt werden. Dabei muss offengelegt werden, wer der Dritte ist und wofür die Daten genau genutzt werden. Gleichzeitig muss der Website-Betreiber sicherstellen, dass die Daten vom Dritten nur in genau dem Umfang verwendet werden, dem der Nutzer zugestimmt hat.

Werden die Daten an einen Dritten außerhalb Chinas übersendet, sind weitere Regeln zu beachten. Es muss sichergestellt werden, dass der Empfänger der Daten entsprechende Datenschutzvorkehrungen trifft, die mindestens alle gesetzlichen Vorgaben der PIPL erfüllt. Hierzu nennt das Gesetz drei mögliche Vorgehensweisen.

1. Sicherheitsaudit

Der Ablauf eines Sicherheitsaudits durch die "Cyberspace Administration of China" (CAC) wurde von dieser im Juli 2022 im Rahmen der "Maßnahmen zur Sicherheitsbewertung für ausgehende Datenübertragungen" (数据出境安全评估办法) definiert. Diese geben zunächst vor, dass ein solcher Sicherheitsaudit verpflichtend ist, sofern der Betreiber

• wichtige Daten, wie im Datensicherheitsgesetz definiert, an den Dritten weitergibt,
• in die Kategorie von kritischer Informationsinfrastruktur, wie im Cybersicherheitsgesetz definiert, fällt,
• die personenbezogenen Daten von mehr als 1.000.000 Personen verarbeitet (ohne zeitliche Begrenzung),
• oder im letzten Kalenderjahr von mehr als 100.000 Personen personenbezogenen Daten oder von mehr als 10.000 Personen sensible personenbezogene Daten an Dritte außerhalb Chinas übermittelt hat.

Trifft eine dieser Bedingungen auf den Betreiber zu, ist der Sicherheitsaudit die einzige Möglichkeit, um eine Genehmigung für die Übermittelung von personenbezogenen Daten an einen Dritten außerhalb Chinas zu erhalten.

Der erste Schritt des Sicherheitaudit ist eine ausführliche Selbstprüfung durch den Betreiber sowie die Erstellung eines zugehörigen Berichts, der dann beim CAC eingereicht wird. Diese Prüfung muss die folgenden Aspekte berücksichtigen:

• Eine Beurteilung der Notwendigkeit für die Übersendung der personenbezogenen Daten an einen Dritten außerhalb Chinas, sowie deren Legalität und Legitimität.
• Die Art und Weise, wie die Daten vom Dritten verarbeitet werden.
• Informationen über die Daten, die an den Dritten übermittelt werden, unter anderem deren Menge und Sensibilität.
• Die vom Dritten getroffenen Maßnahmen, um die Daten zu sichern.
• Eine Analyse von möglichen Gefahren, denen die Daten während oder nach dem Export ausgesetzt sind und so in falsche Hände geraten könnten.
• Definitionen von verschiedenen Kanälen, über die die betroffenen Personen ihre Rechte im Zusammenhang mit den eigenen Daten ausüben können.
• Eine Bewertung der vertraglichen Regelungen zwischen dem Betreiber und dem Dritten hinsichtlich der Verarbeitung von personenbezogenen Daten.

Nach Abschluss der Selbstprüfung sind der zugehörige Bericht sowie die relevanten Vertragsdokumente zwischen dem Betreiber und dem Dritten zunächst bei der Provinzbehörde des CAC einzureichen. Dort werden die Unterlagen innerhalb von wenigen Tagen kontrolliert und, sofern diese in Ordnung sind, an die nationale Ebene des CACs weitergegeben. Nach einer erneuten Prüfung der Unterlagen leitet das CAC innerhalb von wenigen Wochen einen Sicherheitsaudit ein.

Sofern die Ergebnisse dieses Sicherheitsaudits ebenfalls positiv ausfallen, erhält der Betreiber eine Genehmigung für den Export von personenbezogenen Daten an den Dritten. Diese Genehmigung ist für zwei Jahre gültig. Für eine Verlängerung müssen die Schritte des Sicherheitaudits erneut durchlaufen werden. Ebenso muss der Sicherheitsaudit schon vorab wiederholt werden, falls es signifikante Änderungen im Zusammenhang mit dem Export der Daten an den Dritten gibt.

2. Standardvertrag

Auf den ersten Blick klingt der Abschluss eines Vertrags zwischen dem Website-Betreiber und dem Dritten, der die personenbezogenen Daten erhalten soll, relativ unkompliziert - vor allem, da es sich um ein Standarddokument handelt, das direkt von der chinesischen Cyberspace-Behörde zur Verfügung gestellt wird. Diese hat die Vorgehensweise hierzu im Februar 2023 in den "Maßnahmen zu Standardverträgen für den Export personenbezogener Daten" (个人信息出境标准合同办法) näher beschrieben. Bei genauerer Betrachtung trügt der erste Eindruck und es steckt deutlich mehr an Komplexität hinter dieser Option.

Zunächst gibt es mehrere Voraussetzungen, die der Website-Betreiber erfüllen muss, um überhaupt einen solchen Standardvertrag abschließen zu können. Diese sind in vielen Punkten das Gegenstück zu den Bedingungen, unter denen ein Sicherheitsaudit durchgeführt werden muss. Für den Standardvertrag muss der Website-Betreiber

• nicht in die Kategorie von kritischer Informationsinfrastruktur, wie im Cybersicherheitsgesetz definiert, fallen
• die personenbezogenen Daten von weniger als 1.000.000 Personen verarbeiten,
• und im letzten Kalenderjahr von weniger als 100.000 Personen personenbezogenen Daten sowie von weniger als 10.000 Personen sensible personenbezogene Daten an Dritte außerhalb Chinas übermittelt haben.

Das zugehörige Vertragsdokument ist den vom CAC veröffentlichten Maßnahmen zu Standardverträgen für den Export personenbezogener Daten beigelegt und kann entsprechend online bezogen werden. Der Vertrag definiert erwartungsgemäß die Rechte und Pflichten der beiden Parteien im Hinblick auf den Schutz und die Verarbeitung der personenbezogenen Daten. Ebenso werden die Rechte der chinesischen Bürger, deren Daten verarbeitet werden, beschrieben und Kontaktmöglichkeiten, die bereitgestellt werden müssen, konkretisiert.

Besonders hervorzugeben sind jedoch einige der Pflichten, die der Dritte erfüllen muss. So dürfen die personenbezogenen Daten nur für die Dauer der Verarbeitung gespeichert und müssen anschließend gelöscht werden. Gleichzeitig stimmt der Dritte zu, dass er hinsichtlich der Pflichten des Vertrags von den chinesischen Behörden, insbesondere dem CAC, beaufsichtigt wird, und auf Anfrage entsprechende Informationen an die Behörden in China offenlegen muss sowie mögliche Rechtsstreite im Zusammenhang mit dem Vertrag in China ausgefechtet werden.

Der Standardvertrag ist jedoch nicht das einzige Dokument, was für diesen Prozess benötigt wird. Es muss darüber hinaus eine Datenschutz-Folgenabschätzung durchgeführt werden und dazu ein umfangreicher Bericht bei den Behörden in China zusammen mit dem Vertragsdokument eingereicht werden. Im Rahmen dieser Folgenabschätzung müssen konkrete Firmenprozesse, bei denen personenbezogene Daten an einen Dritten übermittelt werden, nach vorgegebenen Kriterien unter die Lupe genommen werden. Dazu zählen beispielsweise die gesetzliche Grundlage für die Verarbeitung der Daten und das Einholen der notwendigen Zustimmung des Nutzers.

Nicht zu unterschätzen ist ebenso, dass der Bericht gleichzeitig eine Einschätzung der Datenschutzregeln im Land des Dritten auf die Erfüllung des Standardvertrags erwartet. Die Datenschutz-Folgenabschätzung bedarf also rechtlicher Analysen beider Parteien, weshalb die Unterstützung durch Datenschutz-Experten oder eine Rechtsberatung auf beiden Seiten zu empfehlen ist.

3. Datenschutz-Zertifizierung

Die dritte Option zur Übermittelung von personenbezogenen Daten an einen Dritten außerhalb Chinas ist laut der PIPL eine entsprechende Datenschutz-Zertifizierung. Bislang haben die verantwortlichen Behörden in China jedoch nicht spezifiziert, wie dieser Prozess genau abläuft. Solange es hierzu keine weiterführenden Informationen gibt, besteht diese Option nur in der Theorie.

Strafen

Verstößt ein Unternehmen gegen die Vorgaben des Gesetzes zum Schutz personenbezogener Daten, sind Strafen bis zu 50 Millionen RMB (etwa 7 Millionen Euro) oder bis zu 5 % des Jahresumsatzes des Unternehmens sowie dem Entzug aller illegal erzielten Umsätze möglich.

Sie sind sich nicht sicher, inwieweit Sie vom Gesetz zum Schutz personenbezogener Daten in China betroffen sind?

Mit mehreren Jahren Erfahrung im Hosting von den verschiedensten Webseiten, Webshops und Webapplikationen, darunter bspw. Buchungsplattformen oder Online-Expos, in China hilft Ihnen weber.cloud China gerne bei Ihren offenen Fragen. Unsere Experten beraten Sie gerne zum Betrieb Ihrer Website in China und allen damit verbundenen Themen. Bei tiefergehenden rechtlichen Fragen können wir Ihnen auch gerne einen Kontakt zu unseren deutschsprachigen Partner-Rechtsanwälten in China vermitteln. 

Klingt spannend? Dann freuen wir uns über Ihre Kontaktaufnahme.

Die Inhalte dieses Artikels wurden mit größtmöglicher Sorgfalt und nach bestem Gewissen zusammengestellt. Die weber.digital GmbH übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung unserer Wissensdatenbank entstehen, wird ausgeschlossen, soweit diese nicht auf Vorsatz oder grober Fahrlässigkeit beruhen.

Unsere Wissensdatenbank enthält externe Verlinkungen auf anderen Webseiten, auf deren Inhalt wir keinen Einfluss haben. Aus diesem Grund kann die weber.digital GmbH für diese Inhalte auch keine Gewähr übernehmen. Für die Inhalte und Richtigkeit der bereitgestellten Informationen ist der jeweilige Anbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar. Bei Bekanntwerden einer solchen Rechtsverletzung wird der Link umgehend entfernt.