• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • #ArbeitsRechtKurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • Wearables
    Quelle : CMSHS 07.02.2023 - 13:30 Von Daniela Rindone
  • Wann ist ein Kündigungsschreiben wirksam unterschrieben?
    Quelle : Buse 07.02.2023 - 08:00
  • Mutterschutz: BAG hält an 280-Tage-Rückrechnung fest
    Quelle : Beck-Blog 07.02.2023 - 06:00 Von Christian.Rolfs
  • Kappungsgrenze im Sozialplan darf Schwerbehinderte nicht benachteiligen
    Quelle : Beck-Blog 06.02.2023 - 13:24 Von Christian.Rolfs
  • „Hätte hätte Fahrradkette“ – Schadensersatz bei Verstoß gegen das NachwG
    Quelle : ADVANT Beiten 06.02.2023 - 13:00 Von Dr. Erik Schmid
  • Kopftuchverbot für Lehrerinnen: Berlin scheitert mit Verfassungsbeschwerde
    Quelle : Beck-Blog 04.02.2023 - 20:15 Von stoffels
  • BAG zur Verjährung von Urlaubsabgeltungsansprüchen
    Quelle : Beck-Blog 02.02.2023 - 20:33 Von stoffels
  • Aktuelles zur Massenentlassungsanzeige – Stolpersteine in der Praxis
    Quelle : Küttner Feed 02.02.2023 - 08:00
  • Digital Services Act: New obligations for many online services as of 17 February already
    Quelle : ADVANT Beiten 01.02.2023 - 13:00 Von Dr Andreas Lober
  • Digital Services Act: Neue Pflichten für viele Online-Dienste bereits ab dem 17. Februar 2023
    Quelle : ADVANT Beiten 01.02.2023 - 13:00 Von Dr. Andreas Lober
  • Digital Services Act: Neue Pflichten für viele Online-Dienste be-reits ab dem 17. Februar 2023
    Quelle : ADVANT Beiten 01.02.2023 - 13:00 Von Dr. Andreas Lober
  • Die Kündigung von professionellen Mannschaftssportlern
    Quelle : CMSHS 01.02.2023 - 06:54 Von Philipp Deuchler
  • Überstunden und Teilzeit - regelmäßige oder individuelle Arbeitszeit maßgebend?
    Quelle : Allen & Overy 01.02.2023 - 01:00
  • Reputationsschutz bei Whistleblowing durch Arbeitnehmer.
    Quelle : Buse 31.01.2023 - 08:00 Von Dr.Volker Perten
  • Dankeschön Berlin – das Annahmeverzugslohnrisiko sinkt
    Quelle : ADVANT Beiten 30.01.2023 - 13:00 Von Dr. Erik Schmid
  • BAG zum gewerkschaftlichen Unterlassungsanspruch im tarifpluralen Betrieb
    Quelle : Beck-Blog 30.01.2023 - 12:39 Von stoffels
  • LAG Köln zur Mitbestimmungspflichtigkeit einer Regelung über Krankenrückkehrgespräche
    Quelle : Beck-Blog 27.01.2023 - 12:52 Von stoffels
  • Gleiche Qualifizierung, gleiche Tätigkeit, ungleiche Vergütung?
    Quelle : ADVANT Beiten 26.01.2023 - 13:00 Von Caroline Gotzen
  • Personalabbau unter Einbeziehung einer Transfergesellschaft
    Quelle : Küttner Feed 26.01.2023 - 08:00
  • ArbG Stuttgart: Angebot der Arbeitsleistung bei rechtswidriger Anordnung von Kurzarbeit erforderlich
    Quelle : Beck-Blog 25.01.2023 - 12:58 Von stoffels
Shanghai

Chinesischer Datenschutz im Überblick – Was Unternehmen jetzt wissen müssen

  • 25. August 2022 |
  • Hendrik Muschal
  • - Alina Jung

Was bedeutet das aktuelle chinesische Datenschutzrecht für international tätige Unternehmen und worauf haben sie besonders zu achten, wenn Daten aus China international verarbeitet werden?

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Als Land der Technik und der damit verbundenen Datenströme hat nun auch die Volksrepublik China (kurz China) im Datenschutzrecht nachgezogen. Am 01.11.2021 trat das Personal Information Protection Law in Kraft. Worum es sich bei dem Gesetz handelt und welche weiteren datenschutzrechtlich relevanten Regelungen für internationale Unternehmen wichtig sind, wird in diesem Beitrag erläutert. Darüber hinaus gibt der Artikel erste Hinweise darauf, was Unternehmen zukünftig beachten müssen, wenn sie Daten aus China international verarbeiten.

Personal Information Protection Law (PIPL)

Das PIPL – als neuestes Datenschutzgesetz Chinas – orientiert sich eng an der europäischen DSGVO. Die Datenverarbeitung wird im Grundsatz ebenfalls für unzulässig erklärt und ein Katalog von Erlaubnistatbeständen aufgestellt. Im Gegensatz zur DSGVO sind jedoch nur Privatunternehmen, nicht hingegen staatliche Einrichtungen von Einschränkungen betroffen.

Sinn und Zweck ist es, die Rechte und Interessen an personenbezogenen Daten zu schützen, den Umgang mit diesen zu standardisieren und deren sinnvolle Nutzung zu fördern.

Grundsätzlich findet das PIPL für die Verarbeitung personenbezogener Daten von natürlichen Personen innerhalb der Grenzen Chinas Anwendung. Es entfaltet durch Art. 3 PIPL jedoch auch exterritoriale Wirkung auf die Verarbeitung personenbezogener Daten, außerhalb Chinas, wenn

  • der Zweck der Datenverarbeitung darin besteht, Produkte oder Dienstleistungen für natürliche Personen bereitzustellen, die sich in China befinden,
  • Aktivitäten sich in China befindender natürlicher Personen analysiert oder bewertet werden oder
  • sonstige Gesetze oder Verwaltungsvorschriften dies anordnen.

Ebenso wie die DSGVO sieht das PIPL empfindliche Strafen bei Verstößen vor (Art. 66 ff. PIPL). Den Aufsichtsbehörden stehen Maßnahmen von der Verhängung von Geldbußen bis zur Stilllegung des Geschäftsbetriebs zur Verfügung. Dabei können Geldbußen bis zu 50 Millionen RMB (entspricht rund 7.3 Millionen USD) oder 5 % des vorausgegangenen Jahresumsatzes der jeweiligen Organisation betragen. Erst im Juli 2022 wurde Didi Global Inc., ein chinesisches Unternehmen vergleichbar mit Uber, mit einer Geldbuße in Höhe von 1,2 Milliarden USD wegen diverser datenschutzrechtlicher Verstöße sanktioniert.

Das PIPL stellt zwar das neueste der datenschutzrechtlichen Gesetze in China dar, ist jedoch stets im Zusammenhang mit dem Cybersecurity Law und dem Data Security Law zu betrachten. Nur unter Beachtung aller Gesetze kann sich ein Unternehmen mit Marktaktivität in China datenschutzkonform verhalten.

Cybersecurity Law (CSL)

Das CSL ist bereits seit Juni 2017 in Kraft und damit Chinas erste datenschutzrechtliche Regelung. Es befasst sich insbesondere mit der IT-Sicherheit und dem Verhalten im Internet. Im Vordergrund stand bei der Gesetzgebung die Erhaltung der „Souveränität über den Cyberspace“ und die nationale Sicherheit Chinas – im Gegensatz zur DSGVO, welche primär das Individuum schützt.

Der Anwendungsbereich erstreckt sich dabei auf natürliche und juristische Personen, die im Gebiet Chinas Informationen erheben, verarbeiten oder verbreiten. Betroffen sind somit auch ausländische Unternehmen mit Niederlassungen in China aber auch solche mit in China ansässigen Kunden.

Im CSL wird außerdem ein strenger Umgang mit kritischer Informationsinfrastruktur (KII) geregelt. In dessen Einklang definiert die von der Cyberspace Administration of China (CAC) erlassene KII-Sicherheitsverordnung KII als

“wichtige Netzwerkeinrichtungen, Informationssysteme usw. in wichtigen Branchen und Bereichen wie öffentliche Kommunikations- und Informationsdienste, Energie, Verkehr, Wasser, Finanzen, öffentliche Dienste, elektronische Behördendienste und Verteidigungstechnologien, die im Falle einer Beschädigung, eines Funktionsausfalls oder eines Datenlecks die nationale Sicherheit, die Volkswirtschaft und den Lebensunterhalt der Bevölkerung oder das öffentliche Interesse ernsthaft gefährden könnten”.

Betreiber von KII haben eine Reihe erweiterter Sicherheitsverpflichtungen, einschließlich der Speicherung aller persönlichen Informationen und wichtiger Daten innerhalb Chinas, die während ihrer Tätigkeit in China gesammelt oder erhoben wurden, zu beachten. Aus diesem Grund ist es für Unternehmen wichtig zu prüfen, ob sie Betreiber von KII sind.

Das CSL regelt ebenfalls Sanktionen für Unternehmen und Netzwerkbetreiber. Diese und auch die für sie handelnden Personen können danach zur Rechenschaft gezogen werden. Für Gesetzesverstöße sind sowohl Geldbußen bis ca. 130.000 USD als auch weitere Strafen, wie der Entzug bestimmter Lizenzen, die Suspendierung der Geschäftsaktivitäten sowie die vollständige Einstellung der Geschäftstätigkeit der Netzwerkbetreiber vorgesehen.

Data Security Law (DSL)

Das DSL regelt die Datenaktivtäten in China und soll die allgemeine Datensicherheit gewährleisten. Dabei gilt es nicht nur für elektronische und nicht-elektronische Datenaktivitäten innerhalb Chinas, sondern auch für internationale Datenverarbeitungstätigkeiten, wenn die nationale Sicherheit oder das öffentliche Interesse Chinas gefährdet sind.

Das Gesetz ergänzt dabei das CSL und ist eng mit diesem verlinkt – die Bestimmung des CSL für das Sicherheitsmanagement beim Export von Daten durch Betreiber von KII gelten auch weiterhin. Als Neuerung ist ein einheitliches Verfahren in Bezug auf die Sicherheitsüberprüfung, das sogenannte Security Assessment, in Art. 24 DSL geschaffen worden. Hierzu hat die CAC unlängst einen Maßnahmenkatalog erlassen.

Die Nichteinhaltung des DSL zieht ebenfalls erhebliche Strafen nach sich. Sowohl auf Unternehmen als auch deren Vertreter können schwere Sanktionen, wie Verwaltungsstrafen (Geldbußen und Entzug der Geschäftslizenz), zivilrechtliche Haftungen sowie strafrechtliche Verfolgung zukommen.

Auslandsdatentransfer

Für Unternehmen, die international tätig sind, ist insbesondere der Datentransfer ins chinesische Ausland rechtlich von erheblicher Bedeutung.

Wie hoch die Anforderungen an den datenschutzkonformen Datentransfer für Unternehmen sind, hängt vor allem davon ab, ob sie zur KII zählen. Entsprechend strengere Maßnahmen mit hohen Umsetzungsanforderungen, sind in einem solchen Fall zu ergreifen.

Aber auch alle anderen Unternehmen sollten die allgemeinen datenschutzrechtlichen Vorschriften ernst nehmen. Gemäß Art. 38 PIPL muss für einen rechtmäßigen Datentransfer außerhalb der Grenzen Chinas eine der folgenden vier Bedingungen vorliegen:

  • Bestehen einer von der CAC organisierten Sicherheitsprüfung gem. Art. 40 PIPL.
  • Das Unternehmen muss sich einer Zertifizierung zum Schutz personenbezogener Daten unterziehen, welche von einer spezialisierten Stelle gemäß den Bestimmungen der CAC durchgeführt wird.
  • Abschluss eines Vertrages des in China sitzenden Unternehmens mit dem die Daten empfangenden Unternehmen in Übereinstimmung mit einem (vorgegebenen) Standardvertrag (PRC SCC), der von der CAC formuliert wurde, wobei die Rechte und Pflichten beider Seiten vereinbart werden.
  • Andere Bedingungen, die in Gesetzen der Verwaltungsvorschriften oder von der CAC vorgesehen sind.

Da die Gesetze noch neu und teils sehr offen formuliert sind, bestehen in vielen Punkten für die Praxis noch Unsicherheiten. Es gilt abzuwarten, wie die CAC einzelne Tatbestände zukünftig konkretisiert. Gerade aus diesem Grund sollten Unternehmen schon jetzt diverse Maßnahmen als Mindeststandard ergreifen, um möglichst datenschutzkonform zu agieren. So kann den örtlichen Behörden zumindest gezeigt werden, dass man gewillt und bemüht ist, den chinesischen Datenschutz zu erfüllen, und somit eventuellen Sanktionen entgegengewirkt werden. Bestenfalls wird die Behörde im Falle eines Verstoßes zunächst eine Verwarnung anstelle einer Strafe aussprechen. Ein Restrisiko aufgrund der bereits erwähnten Unsicherheiten bleibt jedoch.

Ein besonderes Augenmerk sollte auch auf die Nutzung von Software US-amerikanischer Unternehmen und dem damit einhergehendem möglichen Datentransfer in die USA gelegt werden. Durch den sogenannten Cloud Act können US-Behörden sämtliche Daten von US-amerikanischen Unternehmen erlangen – egal in welchem Land die Daten gespeichert werden. Die Nutzung von z.B. US-Cloudanbietern wird nicht nur nach europäischem Datenschutzrecht kritisch gesehen, auch hinsichtlich der neuen chinesischen Datenschutzgesetze ist hier besondere Sorgfalt zu wahren. Derzeit lässt sich noch nicht endgültig einschätzen, wie die chinesischen Behörden diese Problematik bewerten werden.

Handlungsempfehlungen

Um für eventuelle Überprüfungen oder Anfragen durch chinesische Behörden, insbesondere der CAC, vorbereitet zu sein, ist es für jedes in China datenverarbeitende Unternehmen ratsam, die folgenden Maßnahmen durchzuführen:

  • Personal Information Protection Impact Assessment (PIPIA): Es sollte ein Datenschutzmanagementsystem inklusive einer PIPIA eingeführt und erarbeitet werden. Die PIPIA ist stets Voraussetzung für die Übermittlung von personenbezogenen Daten ins Ausland. Das Konzept und die zwingenden Voraussetzungen zur Durchführung der PIPIA werden in den Art. 55 und 56 PIPL erwähnt und gleichen der Datenschutz-Folgenabschätzung der DSGVO.
  • Multi-Level Protection Scheme (MLPS): Durch das MLPS wird zunächst intern durch das Unternehmen und anschließend extern durch Prüfung von der chinesischen Regierung anerkannter Dienstleister eine Kategorisierung der innerhalb des Unternehmens verarbeiteten Daten und der damit verbundenen Risiken für die Cybersicherheit vorgenommen.
  • Einwilligung Betroffener: Zum rechtmäßigen Datentransfer von personenbezogenen Daten ist gemäß Art. 39 PIPL die Einwilligung der betroffenen natürlichen Personen in China einzuholen.
  • Abschluss von chinesischen Standardvertragsklauseln (PRC SCC): Derzeit liegt ein Entwurf der PRC SCC vor. Es wird damit gerechnet, dass die CAC eine finale Version Ende dieses Jahres veröffentlicht. Bis zu diesem Zeitpunkt sollten entsprechende Übergangsmöglichkeiten angedacht werden.
  • Datenminimierung: Insgesamt sollte der Datenfluss durch Unternehmen von in China erhobenen personenbezogenen Daten möglichst auf ein Minimum beschränkt und wenn möglich anonymisiert werden.

Fazit

Es ist damit zu rechnen, dass China zukünftig gerade mit Blick auf die zunehmenden politischen Spannungen ein besonderes Augenmerk auf die Einhaltung des Datenschutzes durch Unternehmen legen wird. Dabei werden insbesondere der internationale Datentransfer und seine behördlichen Auslegungsmechanismen von Bedeutung sein. Hierbei scheint es zudem problematisch zu sein, wenn beim internationalen Datentransfer auch noch US-basierte „Cloud Provider“ genutzt werden, was praktisch häufig der Fall sein dürfe. Es kommt daher viel Arbeit auf in China tätige Unternehmen zu.

Aufgrund der hohen Sanktionen lohnt es sich, jetzt aktiv zu werden. Um Unternehmen datenschutzkonform aufzustellen, empfiehlt es sich daher dringend, sich mit dem aktuellen chinesischen Datenschutzrecht auseinanderzusetzen und die empfohlenen Handlungsmaßnahmen zeitnah umzusetzen.

Kategorien: #EFAR-Beiträge Tags: Datenschutz, Internationales Arbeitsrecht

  • Hendrik Muschal

    Rechtsanwalt, Fachanwalt für Arbeitsrecht, Gründungspartner, fellaws, Berlin #EFAR - Profil LinkedIn Xing
  • Alina Jung

    Rechtsanwältin, fellaws, Berlin #EFAR - Profil LinkedIn
  • Amanda Linda Hermann

    Rechtsreferendarin, fellaws, Berlin #EFAR - Profil

Ähnliche Beiträge

Datenschutz
20. Januar 2023 - EFAR Redaktion

Auto zerkratzt – Hörte die Dashcam mit?

In dem Streit um ein zerkratztes Auto haben zwei städtische Mitarbeiter vor dem LAG Düsseldorf einen Vergleich geschlossen (PM des LAG Düsseldorf v. 19.1.2023).
Lesen
Datenschutz Datenschutz
13. Dezember 2022 - Dr. Michael Witteler

Datenschutz: Übergangsfrist für Geltung der alten Standardvertragsklauseln läuft ab

Wenn Unternehmen personenbezogene Daten auf Basis von Standarddatenschutzklauseln in ein Drittland übermitteln, besteht unter Umständen Handlungsbedarf.
Lesen
Arbeitnehmerüberlassung
26. Juli 2022 - Dr. Anja Branz

Arbeitnehmerüberlassung als Flexibilisierungsinstrument

Wird die Arbeitnehmerüberlassung in der Praxis durch Online-Plattformen gesteuert, sind arbeits- und datenschutzrechtliche Besonderheiten zu berücksichtigen.
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • #ArbeitsRechtKurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Polizeibeamter unter Diebstahlsverdacht bleibt suspendiert
  • Das Anbringen einer Frostschutz-Abdeckung am Auto gehört nicht zum Arbeitsweg
  • Beamtin muss zu viel gezahlte Dienstbezüge zurückzahlen
  • Zugangszeiten zu Dienstgebäuden gelten auch für Personalratsvorsitzenden
  • Plattformarbeiter: EU-Parlament bereit für Gespräche über neues Gesetz zur Verbesserung der Arbeitsbedingungen

#EFAR – Jobs

  • Fuhlrott Hiéramente & von der Meden Rechtsanwalt (m/w/d) im Bereich Arbeitsrecht Hamburg
  • HEUKING KÜHN LÜER WOJTEK Rechtsanwälte w/m/d für den Bereich Arbeitsrecht Hamburg
  • ADVANT Beiten RECHTSANWÄLTE (W/M/D) MIT UND OHNE BERUFSERFAHRUNG FÜR DEN BEREICH ARBEITSRECHT MÜNCHEN
  • Taylor Wessing Referendar (w/m/d) Hamburg

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.