Das Thema
Als Land der Technik und der damit verbundenen Datenströme hat nun auch die Volksrepublik China (kurz China) im Datenschutzrecht nachgezogen. Am 01.11.2021 trat das Personal Information Protection Law in Kraft. Worum es sich bei dem Gesetz handelt und welche weiteren datenschutzrechtlich relevanten Regelungen für internationale Unternehmen wichtig sind, wird in diesem Beitrag erläutert. Darüber hinaus gibt der Artikel erste Hinweise darauf, was Unternehmen zukünftig beachten müssen, wenn sie Daten aus China international verarbeiten.
Personal Information Protection Law (PIPL)
Das PIPL – als neuestes Datenschutzgesetz Chinas – orientiert sich eng an der europäischen DSGVO. Die Datenverarbeitung wird im Grundsatz ebenfalls für unzulässig erklärt und ein Katalog von Erlaubnistatbeständen aufgestellt. Im Gegensatz zur DSGVO sind jedoch nur Privatunternehmen, nicht hingegen staatliche Einrichtungen von Einschränkungen betroffen.
Sinn und Zweck ist es, die Rechte und Interessen an personenbezogenen Daten zu schützen, den Umgang mit diesen zu standardisieren und deren sinnvolle Nutzung zu fördern.
Grundsätzlich findet das PIPL für die Verarbeitung personenbezogener Daten von natürlichen Personen innerhalb der Grenzen Chinas Anwendung. Es entfaltet durch Art. 3 PIPL jedoch auch exterritoriale Wirkung auf die Verarbeitung personenbezogener Daten, außerhalb Chinas, wenn
- der Zweck der Datenverarbeitung darin besteht, Produkte oder Dienstleistungen für natürliche Personen bereitzustellen, die sich in China befinden,
- Aktivitäten sich in China befindender natürlicher Personen analysiert oder bewertet werden oder
- sonstige Gesetze oder Verwaltungsvorschriften dies anordnen.
Ebenso wie die DSGVO sieht das PIPL empfindliche Strafen bei Verstößen vor (Art. 66 ff. PIPL). Den Aufsichtsbehörden stehen Maßnahmen von der Verhängung von Geldbußen bis zur Stilllegung des Geschäftsbetriebs zur Verfügung. Dabei können Geldbußen bis zu 50 Millionen RMB (entspricht rund 7.3 Millionen USD) oder 5 % des vorausgegangenen Jahresumsatzes der jeweiligen Organisation betragen. Erst im Juli 2022 wurde Didi Global Inc., ein chinesisches Unternehmen vergleichbar mit Uber, mit einer Geldbuße in Höhe von 1,2 Milliarden USD wegen diverser datenschutzrechtlicher Verstöße sanktioniert.
Das PIPL stellt zwar das neueste der datenschutzrechtlichen Gesetze in China dar, ist jedoch stets im Zusammenhang mit dem Cybersecurity Law und dem Data Security Law zu betrachten. Nur unter Beachtung aller Gesetze kann sich ein Unternehmen mit Marktaktivität in China datenschutzkonform verhalten.
Cybersecurity Law (CSL)
Das CSL ist bereits seit Juni 2017 in Kraft und damit Chinas erste datenschutzrechtliche Regelung. Es befasst sich insbesondere mit der IT-Sicherheit und dem Verhalten im Internet. Im Vordergrund stand bei der Gesetzgebung die Erhaltung der „Souveränität über den Cyberspace“ und die nationale Sicherheit Chinas – im Gegensatz zur DSGVO, welche primär das Individuum schützt.
Der Anwendungsbereich erstreckt sich dabei auf natürliche und juristische Personen, die im Gebiet Chinas Informationen erheben, verarbeiten oder verbreiten. Betroffen sind somit auch ausländische Unternehmen mit Niederlassungen in China aber auch solche mit in China ansässigen Kunden.
Im CSL wird außerdem ein strenger Umgang mit kritischer Informationsinfrastruktur (KII) geregelt. In dessen Einklang definiert die von der Cyberspace Administration of China (CAC) erlassene KII-Sicherheitsverordnung KII als
“wichtige Netzwerkeinrichtungen, Informationssysteme usw. in wichtigen Branchen und Bereichen wie öffentliche Kommunikations- und Informationsdienste, Energie, Verkehr, Wasser, Finanzen, öffentliche Dienste, elektronische Behördendienste und Verteidigungstechnologien, die im Falle einer Beschädigung, eines Funktionsausfalls oder eines Datenlecks die nationale Sicherheit, die Volkswirtschaft und den Lebensunterhalt der Bevölkerung oder das öffentliche Interesse ernsthaft gefährden könnten”.
Betreiber von KII haben eine Reihe erweiterter Sicherheitsverpflichtungen, einschließlich der Speicherung aller persönlichen Informationen und wichtiger Daten innerhalb Chinas, die während ihrer Tätigkeit in China gesammelt oder erhoben wurden, zu beachten. Aus diesem Grund ist es für Unternehmen wichtig zu prüfen, ob sie Betreiber von KII sind.
Das CSL regelt ebenfalls Sanktionen für Unternehmen und Netzwerkbetreiber. Diese und auch die für sie handelnden Personen können danach zur Rechenschaft gezogen werden. Für Gesetzesverstöße sind sowohl Geldbußen bis ca. 130.000 USD als auch weitere Strafen, wie der Entzug bestimmter Lizenzen, die Suspendierung der Geschäftsaktivitäten sowie die vollständige Einstellung der Geschäftstätigkeit der Netzwerkbetreiber vorgesehen.
Data Security Law (DSL)
Das DSL regelt die Datenaktivtäten in China und soll die allgemeine Datensicherheit gewährleisten. Dabei gilt es nicht nur für elektronische und nicht-elektronische Datenaktivitäten innerhalb Chinas, sondern auch für internationale Datenverarbeitungstätigkeiten, wenn die nationale Sicherheit oder das öffentliche Interesse Chinas gefährdet sind.
Das Gesetz ergänzt dabei das CSL und ist eng mit diesem verlinkt – die Bestimmung des CSL für das Sicherheitsmanagement beim Export von Daten durch Betreiber von KII gelten auch weiterhin. Als Neuerung ist ein einheitliches Verfahren in Bezug auf die Sicherheitsüberprüfung, das sogenannte Security Assessment, in Art. 24 DSL geschaffen worden. Hierzu hat die CAC unlängst einen Maßnahmenkatalog erlassen.
Die Nichteinhaltung des DSL zieht ebenfalls erhebliche Strafen nach sich. Sowohl auf Unternehmen als auch deren Vertreter können schwere Sanktionen, wie Verwaltungsstrafen (Geldbußen und Entzug der Geschäftslizenz), zivilrechtliche Haftungen sowie strafrechtliche Verfolgung zukommen.
Auslandsdatentransfer
Für Unternehmen, die international tätig sind, ist insbesondere der Datentransfer ins chinesische Ausland rechtlich von erheblicher Bedeutung.
Wie hoch die Anforderungen an den datenschutzkonformen Datentransfer für Unternehmen sind, hängt vor allem davon ab, ob sie zur KII zählen. Entsprechend strengere Maßnahmen mit hohen Umsetzungsanforderungen, sind in einem solchen Fall zu ergreifen.
Aber auch alle anderen Unternehmen sollten die allgemeinen datenschutzrechtlichen Vorschriften ernst nehmen. Gemäß Art. 38 PIPL muss für einen rechtmäßigen Datentransfer außerhalb der Grenzen Chinas eine der folgenden vier Bedingungen vorliegen:
- Bestehen einer von der CAC organisierten Sicherheitsprüfung gem. Art. 40 PIPL.
- Das Unternehmen muss sich einer Zertifizierung zum Schutz personenbezogener Daten unterziehen, welche von einer spezialisierten Stelle gemäß den Bestimmungen der CAC durchgeführt wird.
- Abschluss eines Vertrages des in China sitzenden Unternehmens mit dem die Daten empfangenden Unternehmen in Übereinstimmung mit einem (vorgegebenen) Standardvertrag (PRC SCC), der von der CAC formuliert wurde, wobei die Rechte und Pflichten beider Seiten vereinbart werden.
- Andere Bedingungen, die in Gesetzen der Verwaltungsvorschriften oder von der CAC vorgesehen sind.
Da die Gesetze noch neu und teils sehr offen formuliert sind, bestehen in vielen Punkten für die Praxis noch Unsicherheiten. Es gilt abzuwarten, wie die CAC einzelne Tatbestände zukünftig konkretisiert. Gerade aus diesem Grund sollten Unternehmen schon jetzt diverse Maßnahmen als Mindeststandard ergreifen, um möglichst datenschutzkonform zu agieren. So kann den örtlichen Behörden zumindest gezeigt werden, dass man gewillt und bemüht ist, den chinesischen Datenschutz zu erfüllen, und somit eventuellen Sanktionen entgegengewirkt werden. Bestenfalls wird die Behörde im Falle eines Verstoßes zunächst eine Verwarnung anstelle einer Strafe aussprechen. Ein Restrisiko aufgrund der bereits erwähnten Unsicherheiten bleibt jedoch.
Ein besonderes Augenmerk sollte auch auf die Nutzung von Software US-amerikanischer Unternehmen und dem damit einhergehendem möglichen Datentransfer in die USA gelegt werden. Durch den sogenannten Cloud Act können US-Behörden sämtliche Daten von US-amerikanischen Unternehmen erlangen – egal in welchem Land die Daten gespeichert werden. Die Nutzung von z.B. US-Cloudanbietern wird nicht nur nach europäischem Datenschutzrecht kritisch gesehen, auch hinsichtlich der neuen chinesischen Datenschutzgesetze ist hier besondere Sorgfalt zu wahren. Derzeit lässt sich noch nicht endgültig einschätzen, wie die chinesischen Behörden diese Problematik bewerten werden.
Handlungsempfehlungen
Um für eventuelle Überprüfungen oder Anfragen durch chinesische Behörden, insbesondere der CAC, vorbereitet zu sein, ist es für jedes in China datenverarbeitende Unternehmen ratsam, die folgenden Maßnahmen durchzuführen:
- Personal Information Protection Impact Assessment (PIPIA): Es sollte ein Datenschutzmanagementsystem inklusive einer PIPIA eingeführt und erarbeitet werden. Die PIPIA ist stets Voraussetzung für die Übermittlung von personenbezogenen Daten ins Ausland. Das Konzept und die zwingenden Voraussetzungen zur Durchführung der PIPIA werden in den Art. 55 und 56 PIPL erwähnt und gleichen der Datenschutz-Folgenabschätzung der DSGVO.
- Multi-Level Protection Scheme (MLPS): Durch das MLPS wird zunächst intern durch das Unternehmen und anschließend extern durch Prüfung von der chinesischen Regierung anerkannter Dienstleister eine Kategorisierung der innerhalb des Unternehmens verarbeiteten Daten und der damit verbundenen Risiken für die Cybersicherheit vorgenommen.
- Einwilligung Betroffener: Zum rechtmäßigen Datentransfer von personenbezogenen Daten ist gemäß Art. 39 PIPL die Einwilligung der betroffenen natürlichen Personen in China einzuholen.
- Abschluss von chinesischen Standardvertragsklauseln (PRC SCC): Derzeit liegt ein Entwurf der PRC SCC vor. Es wird damit gerechnet, dass die CAC eine finale Version Ende dieses Jahres veröffentlicht. Bis zu diesem Zeitpunkt sollten entsprechende Übergangsmöglichkeiten angedacht werden.
- Datenminimierung: Insgesamt sollte der Datenfluss durch Unternehmen von in China erhobenen personenbezogenen Daten möglichst auf ein Minimum beschränkt und wenn möglich anonymisiert werden.
Fazit
Es ist damit zu rechnen, dass China zukünftig gerade mit Blick auf die zunehmenden politischen Spannungen ein besonderes Augenmerk auf die Einhaltung des Datenschutzes durch Unternehmen legen wird. Dabei werden insbesondere der internationale Datentransfer und seine behördlichen Auslegungsmechanismen von Bedeutung sein. Hierbei scheint es zudem problematisch zu sein, wenn beim internationalen Datentransfer auch noch US-basierte „Cloud Provider“ genutzt werden, was praktisch häufig der Fall sein dürfe. Es kommt daher viel Arbeit auf in China tätige Unternehmen zu.
Aufgrund der hohen Sanktionen lohnt es sich, jetzt aktiv zu werden. Um Unternehmen datenschutzkonform aufzustellen, empfiehlt es sich daher dringend, sich mit dem aktuellen chinesischen Datenschutzrecht auseinanderzusetzen und die empfohlenen Handlungsmaßnahmen zeitnah umzusetzen.