Das Gesetz zum Schutz personenbezogener Daten (PIPL) tritt in China am 1. November in Kraft. Auch wenn das Gesetz auf den ersten Blick wie das chinesische Äquivalent der DSGVO erscheinen mag, dürfen wir die konzeptionellen Unterschiede zwischen dem europäischen und dem chinesischen Datenschutzkonzept nicht vergessen.
Gleichzeitig zeichnet sich hinter den an die Vorgaben der DSGVO erinnernden PIPLRegeln die Überlegenheit des chinesischen Staates nach nationaler Sicherheit und Datenlokalisierung gegenüber dem Schutz von Daten natürlicher Personen ab, die im europäischen Ansatz jedoch Vorrang genießen.
Es ist wichtig zu betonen, dass die PIPL wie die DSGVO eine extraterritoriale (grenzüberschreitende) Wirkung hat, also die Regeln sind auch für alle Datenverantwortlichen außerhalb Chinas bindend, deren Zweck es ist, chinesischen Bürgern Waren und Dienstleistungen bereitzustellen oder die Aktivitäten natürlicher Personen in China zu analysieren und ein Profil zu erstellen.
Gleichzeitig nimmt die regulatorische Lösung des PIPL eine spezifische chinesische Art an: es kann sich der Anwendungsbereich des PIPL bei sonstigen Umständen", die in bestimmten Gesetzen / Verwaltungsvorschriften festgelegt sind, weiter ausdehnen. Dies schafft die Möglichkeit, der chinesische Staat könnte die Anwendung des PIPL willkürlich auf weitere Fälle ausdehnen, was für ausländische Unternehmen mit internationalen Beziehungen zu China ein unsicheres Umfeld schaffen würde. Ebenso besorgniserregend ist, dass der ohnehin schon extrem hohe Bußgeldsatz der DSGVO vom chinesischen Regime noch übertroffen wird; es erlaubt, eine Datenschutzstrafe von bis zu 5 % des Vorjahresumsatzes des Unternehmens zu verhängen.
Auch die Tatsache, dass die Einwilligung die Rechtsgrundlagen der Datenverarbeitung dominiert, vereinfacht die Situation der für die Verarbeitung Verantwortlichen nicht. Während sich die DSGVO zunehmend auf die Anwendbarkeit mehrerer alternativer Rechtsgrundlagen, wie beispielsweise berechtigte Interessen, hinbewegt hat, anstatt sich auf frühere Beiträge zu konzentrieren, ist der chinesische PIPL nicht einmal mit dem Konzept der Datenverwaltung auf Grundlage berechtigter Interessen vertraut.
Europäische Datenverantwortliche mit Bezug zu China können dadurch belastet werden, dass neben der Dokumentation der aus der DSGVO bekannten Folgenabschätzungen und dem Aufbau entsprechender organisatorischer technischer Maßnahmen eine zusätzliche Verpflichtung besteht, ihre Datenverarbeitung regelmäßig durch die chinesische Datenschutzbehörde prüfen zu lassen.
Chinas nationale Sicherheitsbemühungen spiegeln sich auch gut in den Datenlokalisierungsbestimmungen von PIPL wider. Behörden sind verpflichtet, personenbezogene Daten innerhalb Chinas zu speichern und dürfen nur in ganz besonderen Ausnahmefällen mit besonderer Erlaubnis nach einer Sicherheitsrisikobewertung mit Unterstützung staatlicher Aufsichtsbehörden exportiert werden. Auch bei nichtstaatlichen Stellen wurde die Datenübertragung stark eingeschränkt. Neben dem aus der DSGVO bekannten Grundsatz, dass Daten außerhalb Chinas den gleichen Schutz genießen sollen wie die Datenverarbeitung innerhalb Chinas (analoges Modell zu europäischen Datenübertragungsmechanismen), und betroffene Personen vor der Datenübermittlung gesondert informiert und um Zustimmung gefragt werden sollten.
Eine weitere Ergänzung zur Datenübertragung besteht darin, dass ausländische Organisationen, die Daten in einer Weise verarbeiten, die die Rechte und Interessen chinesischer Staatsbürger verletzt oder die nationale Sicherheit oder das öffentliche Interesse Chinas gefährdet, auf eine öffentlich zugängliche schwarze Liste" gesetzt werden können. Die Teilnehmer der Liste dürfen nicht am Empfang von aus China exportierten Daten teilnehmen.
Aus dem oben Gesagten ist ersichtlich, dass es für alle Unternehmen mit Wirtschaftsbeziehungen zu China einer sehr gründlichen Vorbereitung bedarf, um weltweit unterschiedliche Datenschutzregimes gleichzeitig einhalten zu können.
Überschneidungen sind selbstverständlich gegeben, aber angesichts unterschiedlicher Detailregelungen ist ein globales Datenmanagement gesondert aufzustellen.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
