• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • #ArbeitsRechtKurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • Rückzahlung von Fortbildungskosten gewünscht? Dann lohnt sich ein genauer Blick in den Vertrag!
    Quelle : KLIEMT.blog 02.10.2023 - 10:30 Von Dr. Maya Poth
  • BAG: Verwertbarkeit offener Videoüberwachung
    Quelle : Beck-Blog 02.10.2023 - 06:00 Von Christian.Rolfs
  • Vertrauensarbeitszeit: Was ist das eigentlich?
    Quelle : VAHLE KÜHNEL BECKER (Blog: Arbeitsrecht FreshUp) 01.10.2023 - 18:36
  • Razzia bei VW im Zusammenhang mit überhöhten Gehaltszahlungen an Betriebsratsmitglieder
    Quelle : Beck-Blog 30.09.2023 - 12:39 Von stoffels
  • Änderung der Richtlinie über Europäische Betriebsräte
    Quelle : Arbeitsrechtblog von OC 29.09.2023 - 14:19 Von caroline
  • ArbG Aachen: Beschäftigte müssen die Leasingraten eines Dienstrad-Leasings in Zeiträumen ohne Entgeltzahlung, hier im Krankengeldbezug, selbst zahlen.
    Quelle : Beck-Blog 29.09.2023 - 10:23 Von stoffels
  • Das Betriebsratsmandat und die Identität des Betriebs: Ein Rechtsstreit in der Modewelt
    Quelle : PWWL 29.09.2023 - 09:14 Von alice
  • Recent developments in ESG and pensions
    Quelle : KLIEMT.blog 29.09.2023 - 08:44 Von Ius Laboris
  • Wird das Arbeitsrecht künftig unbürokratischer?
    Quelle : KLIEMT.blog 28.09.2023 - 08:40 Von Katharina Fenner
  • Zur Erschütterung des Beweiswertes einer Arbeitsunfähigkeitsbescheinigung bei Antritt einer 10-stündigen Bahnreise
    Quelle : ArbRB-Blog 27.09.2023 - 09:40 Von Henning Hülbach
  • Entspannt aber rechtskonform: Wann stellt eine Dienstleistung eine Arbeitsleistung dar?
    Quelle : KLIEMT.blog 27.09.2023 - 08:41 Von Sandra Fredebeul
  • Mitbestimmungsrecht des Betriebsrats bei Social Media?
    Quelle : KLIEMT.blog 26.09.2023 - 08:38 Von Christine Norkus
  • Unterschiedliche Nachtzuschläge: BAG sieht kein Problem.
    Quelle : Buse 26.09.2023 - 08:00 Von Nikolai Lasaroff
  • Offene Videoüberwachung – Verwertungsverbot
    Quelle : PWWL 25.09.2023 - 12:47 Von alice
  • LAG München: Kündigung der Referentin in der KZ-Gedenkstätte Dachau wegen Faschismusvergleichs ist wirksam
    Quelle : Beck-Blog 25.09.2023 - 12:39 Von stoffels
  • Informationsrechte des Betriebsrats über Fremdpersonaleinsatz
    Quelle : KLIEMT.blog 25.09.2023 - 08:28 Von Hasret Seker
  • ArbG Berlin bestätigt die Beendigung des Arbeitsverhältnisses der Juristischen Direktorin des RBB
    Quelle : Beck-Blog 22.09.2023 - 12:39 Von stoffels
  • Equal Pay Day 2023: where are we on the gender pay gap?
    Quelle : KLIEMT.blog 22.09.2023 - 08:40 Von Ius Laboris
  • Hausverbot gegen Betriebsratsmitglied nicht ohne Antrag bei Gericht
    Quelle : KLIEMT.blog 21.09.2023 - 08:31 Von Vera Ellger
  • Wegen massiver sexueller Belästigung am Arbeitsplatz: LAG Köln bestätigt fristlose Kündigung
    Quelle : Küttner Feed 21.09.2023 - 08:00
Shanghai

Chinesischer Datenschutz im Überblick – Was Unternehmen jetzt wissen müssen

  • 25. August 2022 |
  • Hendrik Muschal
  • - Alina Jung

Was bedeutet das aktuelle chinesische Datenschutzrecht für international tätige Unternehmen und worauf haben sie besonders zu achten, wenn Daten aus China international verarbeitet werden?

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Als Land der Technik und der damit verbundenen Datenströme hat nun auch die Volksrepublik China (kurz China) im Datenschutzrecht nachgezogen. Am 01.11.2021 trat das Personal Information Protection Law in Kraft. Worum es sich bei dem Gesetz handelt und welche weiteren datenschutzrechtlich relevanten Regelungen für internationale Unternehmen wichtig sind, wird in diesem Beitrag erläutert. Darüber hinaus gibt der Artikel erste Hinweise darauf, was Unternehmen zukünftig beachten müssen, wenn sie Daten aus China international verarbeiten.

Personal Information Protection Law (PIPL)

Das PIPL – als neuestes Datenschutzgesetz Chinas – orientiert sich eng an der europäischen DSGVO. Die Datenverarbeitung wird im Grundsatz ebenfalls für unzulässig erklärt und ein Katalog von Erlaubnistatbeständen aufgestellt. Im Gegensatz zur DSGVO sind jedoch nur Privatunternehmen, nicht hingegen staatliche Einrichtungen von Einschränkungen betroffen.

Sinn und Zweck ist es, die Rechte und Interessen an personenbezogenen Daten zu schützen, den Umgang mit diesen zu standardisieren und deren sinnvolle Nutzung zu fördern.

Grundsätzlich findet das PIPL für die Verarbeitung personenbezogener Daten von natürlichen Personen innerhalb der Grenzen Chinas Anwendung. Es entfaltet durch Art. 3 PIPL jedoch auch exterritoriale Wirkung auf die Verarbeitung personenbezogener Daten, außerhalb Chinas, wenn

  • der Zweck der Datenverarbeitung darin besteht, Produkte oder Dienstleistungen für natürliche Personen bereitzustellen, die sich in China befinden,
  • Aktivitäten sich in China befindender natürlicher Personen analysiert oder bewertet werden oder
  • sonstige Gesetze oder Verwaltungsvorschriften dies anordnen.

Ebenso wie die DSGVO sieht das PIPL empfindliche Strafen bei Verstößen vor (Art. 66 ff. PIPL). Den Aufsichtsbehörden stehen Maßnahmen von der Verhängung von Geldbußen bis zur Stilllegung des Geschäftsbetriebs zur Verfügung. Dabei können Geldbußen bis zu 50 Millionen RMB (entspricht rund 7.3 Millionen USD) oder 5 % des vorausgegangenen Jahresumsatzes der jeweiligen Organisation betragen. Erst im Juli 2022 wurde Didi Global Inc., ein chinesisches Unternehmen vergleichbar mit Uber, mit einer Geldbuße in Höhe von 1,2 Milliarden USD wegen diverser datenschutzrechtlicher Verstöße sanktioniert.

Das PIPL stellt zwar das neueste der datenschutzrechtlichen Gesetze in China dar, ist jedoch stets im Zusammenhang mit dem Cybersecurity Law und dem Data Security Law zu betrachten. Nur unter Beachtung aller Gesetze kann sich ein Unternehmen mit Marktaktivität in China datenschutzkonform verhalten.

Cybersecurity Law (CSL)

Das CSL ist bereits seit Juni 2017 in Kraft und damit Chinas erste datenschutzrechtliche Regelung. Es befasst sich insbesondere mit der IT-Sicherheit und dem Verhalten im Internet. Im Vordergrund stand bei der Gesetzgebung die Erhaltung der „Souveränität über den Cyberspace“ und die nationale Sicherheit Chinas – im Gegensatz zur DSGVO, welche primär das Individuum schützt.

Der Anwendungsbereich erstreckt sich dabei auf natürliche und juristische Personen, die im Gebiet Chinas Informationen erheben, verarbeiten oder verbreiten. Betroffen sind somit auch ausländische Unternehmen mit Niederlassungen in China aber auch solche mit in China ansässigen Kunden.

Im CSL wird außerdem ein strenger Umgang mit kritischer Informationsinfrastruktur (KII) geregelt. In dessen Einklang definiert die von der Cyberspace Administration of China (CAC) erlassene KII-Sicherheitsverordnung KII als

“wichtige Netzwerkeinrichtungen, Informationssysteme usw. in wichtigen Branchen und Bereichen wie öffentliche Kommunikations- und Informationsdienste, Energie, Verkehr, Wasser, Finanzen, öffentliche Dienste, elektronische Behördendienste und Verteidigungstechnologien, die im Falle einer Beschädigung, eines Funktionsausfalls oder eines Datenlecks die nationale Sicherheit, die Volkswirtschaft und den Lebensunterhalt der Bevölkerung oder das öffentliche Interesse ernsthaft gefährden könnten”.

Betreiber von KII haben eine Reihe erweiterter Sicherheitsverpflichtungen, einschließlich der Speicherung aller persönlichen Informationen und wichtiger Daten innerhalb Chinas, die während ihrer Tätigkeit in China gesammelt oder erhoben wurden, zu beachten. Aus diesem Grund ist es für Unternehmen wichtig zu prüfen, ob sie Betreiber von KII sind.

Das CSL regelt ebenfalls Sanktionen für Unternehmen und Netzwerkbetreiber. Diese und auch die für sie handelnden Personen können danach zur Rechenschaft gezogen werden. Für Gesetzesverstöße sind sowohl Geldbußen bis ca. 130.000 USD als auch weitere Strafen, wie der Entzug bestimmter Lizenzen, die Suspendierung der Geschäftsaktivitäten sowie die vollständige Einstellung der Geschäftstätigkeit der Netzwerkbetreiber vorgesehen.

Data Security Law (DSL)

Das DSL regelt die Datenaktivtäten in China und soll die allgemeine Datensicherheit gewährleisten. Dabei gilt es nicht nur für elektronische und nicht-elektronische Datenaktivitäten innerhalb Chinas, sondern auch für internationale Datenverarbeitungstätigkeiten, wenn die nationale Sicherheit oder das öffentliche Interesse Chinas gefährdet sind.

Das Gesetz ergänzt dabei das CSL und ist eng mit diesem verlinkt – die Bestimmung des CSL für das Sicherheitsmanagement beim Export von Daten durch Betreiber von KII gelten auch weiterhin. Als Neuerung ist ein einheitliches Verfahren in Bezug auf die Sicherheitsüberprüfung, das sogenannte Security Assessment, in Art. 24 DSL geschaffen worden. Hierzu hat die CAC unlängst einen Maßnahmenkatalog erlassen.

Die Nichteinhaltung des DSL zieht ebenfalls erhebliche Strafen nach sich. Sowohl auf Unternehmen als auch deren Vertreter können schwere Sanktionen, wie Verwaltungsstrafen (Geldbußen und Entzug der Geschäftslizenz), zivilrechtliche Haftungen sowie strafrechtliche Verfolgung zukommen.

Auslandsdatentransfer

Für Unternehmen, die international tätig sind, ist insbesondere der Datentransfer ins chinesische Ausland rechtlich von erheblicher Bedeutung.

Wie hoch die Anforderungen an den datenschutzkonformen Datentransfer für Unternehmen sind, hängt vor allem davon ab, ob sie zur KII zählen. Entsprechend strengere Maßnahmen mit hohen Umsetzungsanforderungen, sind in einem solchen Fall zu ergreifen.

Aber auch alle anderen Unternehmen sollten die allgemeinen datenschutzrechtlichen Vorschriften ernst nehmen. Gemäß Art. 38 PIPL muss für einen rechtmäßigen Datentransfer außerhalb der Grenzen Chinas eine der folgenden vier Bedingungen vorliegen:

  • Bestehen einer von der CAC organisierten Sicherheitsprüfung gem. Art. 40 PIPL.
  • Das Unternehmen muss sich einer Zertifizierung zum Schutz personenbezogener Daten unterziehen, welche von einer spezialisierten Stelle gemäß den Bestimmungen der CAC durchgeführt wird.
  • Abschluss eines Vertrages des in China sitzenden Unternehmens mit dem die Daten empfangenden Unternehmen in Übereinstimmung mit einem (vorgegebenen) Standardvertrag (PRC SCC), der von der CAC formuliert wurde, wobei die Rechte und Pflichten beider Seiten vereinbart werden.
  • Andere Bedingungen, die in Gesetzen der Verwaltungsvorschriften oder von der CAC vorgesehen sind.

Da die Gesetze noch neu und teils sehr offen formuliert sind, bestehen in vielen Punkten für die Praxis noch Unsicherheiten. Es gilt abzuwarten, wie die CAC einzelne Tatbestände zukünftig konkretisiert. Gerade aus diesem Grund sollten Unternehmen schon jetzt diverse Maßnahmen als Mindeststandard ergreifen, um möglichst datenschutzkonform zu agieren. So kann den örtlichen Behörden zumindest gezeigt werden, dass man gewillt und bemüht ist, den chinesischen Datenschutz zu erfüllen, und somit eventuellen Sanktionen entgegengewirkt werden. Bestenfalls wird die Behörde im Falle eines Verstoßes zunächst eine Verwarnung anstelle einer Strafe aussprechen. Ein Restrisiko aufgrund der bereits erwähnten Unsicherheiten bleibt jedoch.

Ein besonderes Augenmerk sollte auch auf die Nutzung von Software US-amerikanischer Unternehmen und dem damit einhergehendem möglichen Datentransfer in die USA gelegt werden. Durch den sogenannten Cloud Act können US-Behörden sämtliche Daten von US-amerikanischen Unternehmen erlangen – egal in welchem Land die Daten gespeichert werden. Die Nutzung von z.B. US-Cloudanbietern wird nicht nur nach europäischem Datenschutzrecht kritisch gesehen, auch hinsichtlich der neuen chinesischen Datenschutzgesetze ist hier besondere Sorgfalt zu wahren. Derzeit lässt sich noch nicht endgültig einschätzen, wie die chinesischen Behörden diese Problematik bewerten werden.

Handlungsempfehlungen

Um für eventuelle Überprüfungen oder Anfragen durch chinesische Behörden, insbesondere der CAC, vorbereitet zu sein, ist es für jedes in China datenverarbeitende Unternehmen ratsam, die folgenden Maßnahmen durchzuführen:

  • Personal Information Protection Impact Assessment (PIPIA): Es sollte ein Datenschutzmanagementsystem inklusive einer PIPIA eingeführt und erarbeitet werden. Die PIPIA ist stets Voraussetzung für die Übermittlung von personenbezogenen Daten ins Ausland. Das Konzept und die zwingenden Voraussetzungen zur Durchführung der PIPIA werden in den Art. 55 und 56 PIPL erwähnt und gleichen der Datenschutz-Folgenabschätzung der DSGVO.
  • Multi-Level Protection Scheme (MLPS): Durch das MLPS wird zunächst intern durch das Unternehmen und anschließend extern durch Prüfung von der chinesischen Regierung anerkannter Dienstleister eine Kategorisierung der innerhalb des Unternehmens verarbeiteten Daten und der damit verbundenen Risiken für die Cybersicherheit vorgenommen.
  • Einwilligung Betroffener: Zum rechtmäßigen Datentransfer von personenbezogenen Daten ist gemäß Art. 39 PIPL die Einwilligung der betroffenen natürlichen Personen in China einzuholen.
  • Abschluss von chinesischen Standardvertragsklauseln (PRC SCC): Derzeit liegt ein Entwurf der PRC SCC vor. Es wird damit gerechnet, dass die CAC eine finale Version Ende dieses Jahres veröffentlicht. Bis zu diesem Zeitpunkt sollten entsprechende Übergangsmöglichkeiten angedacht werden.
  • Datenminimierung: Insgesamt sollte der Datenfluss durch Unternehmen von in China erhobenen personenbezogenen Daten möglichst auf ein Minimum beschränkt und wenn möglich anonymisiert werden.

Fazit

Es ist damit zu rechnen, dass China zukünftig gerade mit Blick auf die zunehmenden politischen Spannungen ein besonderes Augenmerk auf die Einhaltung des Datenschutzes durch Unternehmen legen wird. Dabei werden insbesondere der internationale Datentransfer und seine behördlichen Auslegungsmechanismen von Bedeutung sein. Hierbei scheint es zudem problematisch zu sein, wenn beim internationalen Datentransfer auch noch US-basierte „Cloud Provider“ genutzt werden, was praktisch häufig der Fall sein dürfe. Es kommt daher viel Arbeit auf in China tätige Unternehmen zu.

Aufgrund der hohen Sanktionen lohnt es sich, jetzt aktiv zu werden. Um Unternehmen datenschutzkonform aufzustellen, empfiehlt es sich daher dringend, sich mit dem aktuellen chinesischen Datenschutzrecht auseinanderzusetzen und die empfohlenen Handlungsmaßnahmen zeitnah umzusetzen.

Kategorien: #EFAR-Beiträge Tags: Datenschutz, Internationales Arbeitsrecht

  • Hendrik Muschal

    Rechtsanwalt, Fachanwalt für Arbeitsrecht, Gründungspartner, fellaws, Berlin #EFAR - Profil LinkedIn Xing
  • Alina Jung

    Rechtsanwältin, fellaws, Berlin #EFAR - Profil LinkedIn
  • Amanda Linda Hermann

    Rechtsreferendarin, fellaws, Berlin #EFAR - Profil

Ähnliche Beiträge

Datenschutz Videoüberwachung
14. September 2023 - Tobias Neufeld, LL.M.

BAG: Datenschutz ist kein Tatenschutz

Warum weder die DSGVO noch eine Betriebsvereinbarung dem Arbeitsgericht die Verwertung von Tatsachenvortrag des Arbeitgebers aus dessen rechtswidriger Datenverarbeitung in Kündigungsschutzsachen verbieten.
Lesen
Datenschutz Shopping
28. August 2023 - EFAR Redaktion

Arbeitgeber muss Mitarbeitern Verwendung von Kundendaten auf privaten Kommunikationsgeräten untersagen

Berufung über Klage auf Geltendmachung von Ansprüchen nach der Datenschutzgrundverordnung (DSGVO) wegen eigenmächtiger Verarbeitung von Kundendaten auf privatem Account hat Erfolg. Unternehmen wird zur Auskunft über ihre Mitarbeiter, die Kundendaten privat verarbeitet haben und dazu verurteilt, ihren Mitarbeitern die Verwendung der Daten auf privaten Kommunikationsgeräten zu untersagen.
Lesen
Datenschutz Welt
9. August 2023 - Daniel Schlemann, LL.M. (Berkeley)

EU-US-Datentransfer: Der neue Angemessenheitsbeschluss

Die Europäische Kommission hat am 10.07.2023 einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA erlassen, das EU-US Data Privacy Framework („DPF“). Damit sind die USA wieder ein Drittland mit angemessenem Datenschutzniveau nach Art. 45 DSGVO. Wie funktioniert das DPF und was ist bei einem Wechsel zum DPF zu beachten?
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • #ArbeitsRechtKurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • BSG: Krankengeld auch bei verspäteter AU-Feststellung
  • Beschäftigte müssen Raten eines Dienstrad-Leasings in Zeiträumen ohne Entgeltzahlung selbst zahlen
  • #EFAR-Basics: Homeoffice
  • Homeoffice, Workation und Co. vs. Präsenzpflicht in Unternehmen: Rechtlicher Rahmen für „Rückholaktionen“
  • Schlussformel im Arbeitszeugnis: Einmal dankbar – ewig dankbar?

#EFAR – Jobs

  • IFFLAND WISCHNEWSKI Rechtsanwälte Rechtsanwält:in/Fachanwält:in für Arbeitsrecht w/m/d Darmstadt
  • HEUKING KÜHN LÜER WOJTEK Rechtsanwälte Arbeitsrecht w/m/d München
  • ARQIS Teamassistenz (m/w/d) Arbeitsrecht in Düsseldorf Düsseldorf
  • ARQIS Rechtsanwalt (m/w/d) mit Berufserfahrung für Arbeitsrecht in Düsseldorf oder München Düsseldorf oder München

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.