Datenschutz international   Schutz personenbezogener Daten in China

Wir geben eine Übersicht über die verschiedenen Anforderungen des PIPL sowie neue Vorschriften zum Datenschutz und zu grenzüberschreitender Datenübertragung in China.

Die Veröffentlichung des „Personal Information Protection Law“ (PIPL, Chin.: 中华人民共和国个人信息保护法) von 2021 zum Schutz personenbezogener Daten in China gliedert sich ein in die Verabschiedung einer Reihe von Netzsicherheits- und Datenschutzregelungen in China in den letzten Jahren. Die wichtigsten Datenschutzgesetze, die vor dem PIPL veröffentlicht wurden, sind 2017 das Cybersecurity Law (中华人民共和国网络安全法), welches den internationalen Datentransfer aus China heraus stark reguliert und 2021 das Data Security Law (Chin.: 中华人民共和国数据安全法), das Bestimmungen zur Nutzung, Erhebung und zum Schutz von Daten in China enthält. Dabei gilt das PIPL, welches ursprünglich durch die europäischen GDPR beeinflusst war, derzeit mit all seinen Regelungen sogar als strenger als die GDPR. 

Besondere Aufmerksamkeit sollte den aktuell bereits nachgefolgten und noch nachfolgenden von China veröffentlichten weiteren und neuen Bestimmungen und Implementationsrichtlinien zu Netzsicherheit, Datenschutz und damit einhergehenden Themen beikommen, die zum Teil auch bestehende Regelungen lockern, beispielsweise für den internationalen Datentransfer. Letzteres liegt darin begründet, dass auch die chinesische Regierung festgestellt hat, dass der Bereich Cross-Border-Datentransfer optimiert werden muss, um weiter ausländische Investitionen anzuziehen. 

Mit der Veröffentlichung jeder neuen Bestimmung wird das Datenschutz- und Datentransfersystem in China jedoch komplexer zu navigieren und Unternehmen müssen Ihre Aktivitäten jeweils erneut auf Compliance prüfen.

Anwendung des PIPL

Das PIPL bezieht sich speziell auf die Schutzwürdigkeit und Sammlung sowie Verarbeitung personenbezogener Daten innerhalb Chinas (bspw. auch durch Apps und für individuell angepasste Werbung) sowie den Transfer derselben nach außerhalb Chinas durch in- und ausländische Organisationen. 

Generell müssen also Unternehmen in China, die personenbezogene Daten von Menschen in China erheben oder verarbeiten, die Regelungen des PIPL beachten. 

Extraterritoriale Wirkung

Insbesondere können die Regelungen des PIPL aber auch für den Umgang mit personenbezogenen Daten außerhalb Chinas gelten. Dies kann der Fall sein, wenn der Umgang mit den personenbezogenen Daten 1. dazu dient, Produkte bzw. Dienstleistungen für natürliche Personen in China bereitzustellen; oder wenn 2. das Verhalten natürlicher Personen in China bewertet und analysiert werden soll; oder wenn 3. andere in chinesischen Gesetzen und Verwaltungsvorschriften festgelegte Situationen zutreffen.

Diese Regelungen könnten damit in der Theorie Anwendung auf eine Vielzahl von Unternehmen, u.a. SaaS-Unternehmen, finden, die zwar über kein eigenes Unternehmen in China verfügen, aber o. g. Tätigkeiten ausführen und personenbezogene Daten von Menschen in China erheben und verarbeiten, z. B. von ihren Kunden in China. 

Zustimmungserfordernis betroffener Personen

Das PIPL legt gem. Art. 13 fest, dass Datenerhebung und -verarbeitung u.a. dann rechtmäßig ist, wenn betroffene Personen dazu zugestimmt haben und vorher ausreichend informiert wurden. Dieser Artikel legt jedoch auch einige Umstände fest, unter denen eine individuelle Einwilligung nicht erforderlich ist. Ausreichend informiert bezieht sich auf Informationen zum Zweck der Verarbeitung, der Art und Weise der Verarbeitung, Kategorien der verarbeiteten Daten, Speicherdauer und Rechte der Betroffenen hinsichtlich Recht auf Auskunft, Löschung, Änderung etc.

Auch kann eine weitere Bedingung unter der die Datenerhebung und -verarbeitung rechtmäßig ist, sein, dass die Verarbeitung notwendig ist, um einen Vertrag zu erfüllen oder vorzubereiten oder das Management in der Personalarbeit. Daneben können solche Bedingungen auch durch gesetzliche Verpflichtungen, Notfälle oder Öffentliches Interesse dargestellt werden. Auch bereits veröffentliche Daten dürfen verarbeitet werden. 

Bezüglich sensibler personenbezogener Daten (z. B. biometrische Daten, Privatadressen, religiöse/medizinische Informationen, Informationen von Kindern unter 14 Jahren), deren Weitergabe oder illegale Verwendung leicht die persönliche Würde verletzen oder die Sicherheit von Personen oder Eigentum gefährden können, gibt es noch strengere Regelungen wie zusätzliche Einwilligungserfordernisse und Sicherheitsmaßnahmen. 

Weiterführende grundsätzliche Unternehmensverpflichtungen

Unternehmen sind weiterhin verpflichtet, interne Datenschutzsysteme einzurichten, vertrauliche Datenverwaltungen sicherzustellen, Sicherheitsmaßnahmen wie Verschlüsselung und Anonymisierung einzusetzen, Zugriffsrechte klar zu regeln, regelmäßige Schulungen durchzuführen, Notfallpläne für Datenschutzvorfälle zu erstellen und umzusetzen, regelmäßige Audits zur Vorschriften-Einhaltung durchzuführen und weitere gesetzliche Sicherheitsanforderungen zu erfüllen.

Grenzüberschreitender Datentransfer

Für den grenzüberschreitenden Datentransfer nach außerhalb Chinas, was für ausländische Unternehmen in China eine besondere Relevanz hat, regelt das PIPL, dass dieser unter bestimmten Bedingungen erlaubt ist. 

Allerdings ist die Zustimmung alleine des Betroffenen zum Auslandsdatentransfer dabei meist nicht ausreichend, da an vielen Orten in China auch behördliche Sicherheitsprüfungen durch das „Multi Level Protection Scheme“ erforderlich sind. Abgesehen davon kann auch die Verwendung von chinesischen Standarddatentransferklauseln (China‘s Standard Contractual Clauses (SCC)) (s. unten) eine gültige Voraussetzung sein. 

Zusätzliche Unternehmensverpflichtungen beim grenzüberschreitenden Datentransfer

Es gelten bereits die genannten grundsätzlichen Verpflichtungen für Unternehmen. Dazu kommen aber im Fall von grenzüberschreitenden Datentransfers noch die Pflicht, die Betroffenen umfangreich über den Zweck, Umfang und die Empfänger des Datentransfers im Ausland zu informieren. Darüber hinaus muss im Ausland bspw. durch Überprüfungen und vertragliche Vereinbarungen genau so darauf geachtet werden, dass die Empfänger der Daten die gleichen Schutzstandards einhalten, die das PIPL vorgibt. 

Ebenso gibt es hier die Auflage, dass Datenexporteure eine Folgenabschätzung bzgl. der Datensicherheit vor Übermittlung der Persönlichkeitsdaten ins Ausland durchführen. Noch strengere Auflagen gibt es für die Behandlung des internationalen Datentransfers von sensiblen persönlichen Daten, welche regelmäßige Risikobewertungen erforderlich machen.

Erfordernis der Lokalisierung von Daten

Eine strikte Lokalisierung von Daten gilt insbesondere für Betreiber kritischer Informationsstrukturen (CIIO), also z. B. Anbieter von Finanzdienstleistungen oder Verkehrs-, Energie- oder Informationsdienstleistungen, sowie solche Unternehmen, die sehr große Mengen an personenbezogenen Daten verarbeiten. 

Datenschutzverletzungen 

Nach dem PIPL müssen Datenschutzverletzungen sofort gemeldet werden. Nach den europäischen GDPR müssen sie innerhalb von 72 Stunden gemeldet werden. 

Chinesische Standarddatentransferklauseln (China’s Standard Contractual Clauses (SCC))

Wenn kleinere Mengen (unter der im Gesetz angegebenen Höchstzahl) personenbezogener Daten ins Ausland übermittelt werden, können sich Unternehmen von einer diesbezüglich anerkannten Institution zertifizieren lassen oder mit dem ausländischen Empfänger der Daten einen Vertrag auf der Grundlage der Standarddatentransferklauseln unterzeichnen.

Im Februar 2023 veröffentlichte die CAC die Standardvertragsklauseln für den grenzüberschreitenden Transfer von Persönlichkeitsdaten (Chin.: 个人信息出境标准合同办法), welche am 01. Juni 2023 in Kraft getreten sind. Im Jahr 2021 wurden von der EU solche SCCs bereits in vergleichbarer Form veröffentlicht.

Die chinesischen Standardvertragsklauseln für die Übermittlung personenbezogener Daten ins Ausland regeln die Übermittlung personenbezogener Daten zwischen Verarbeitern personenbezogener Daten in China und Empfängern außerhalb Chinas.

Die chinesischen Standardvertragsklauseln müssen demnach als Sicherheitsbestimmungen für die ausgehende Übermittlung personenbezogener Daten von den Verarbeitern personenbezogener Daten in China und von Empfängern außerhalb Chinas eingehalten werden. In einigen Teilen weisen die chinesischen SCC verglichen mit den EU-Standardvertragsklauseln zwar Gemeinsamkeiten auf, die Unterschiede sollten jedoch nicht unterschätzt werden. 

Verwendung der Chinesischen Standardvertragsklauseln

Gemäß Art. 4 der SCC können die Chinesischen SCC nur verwendet werden, wenn folgende Bedingungen gleichzeitig vorliegen: 

• Der Verarbeiter der personenbezogenen Daten ist kein Betreiber kritischer Informationsinfrastrukturen („CIIO“ Critical Information Infrastructure Operator z. B. aus den Sektoren Energie, Transport, Finanzwesen etc.).
• Der Verarbeiter personenbezogener Daten verarbeitet nicht mehr als 1 Million personenbezogene Daten.
• Seit dem 01. Januar des Vorjahres betrifft die Gesamtmenge der „personenbezogenen Daten“, die von dem Verarbeiter personenbezogener Daten an Überseeländer weitergegeben wurden, weniger als 100.000 Personen.
• Seit dem 01. Januar des Vorjahres betrifft die Gesamtmenge der „sensiblen personenbezogenen Daten“, die von dem Verarbeiter personenbezogener Daten ins Ausland bereitgestellt werden, weniger als 10.000 Personen.

Datenschutz-Folgeabschätzung (DSFA)

Weiterhin müssen Verarbeiter personenbezogener Daten eine Folgenabschätzung bzgl. der Datensicherheit vor Übermittlung der Persönlichkeitsdaten in Ausland durchführen. 

Dieser Bericht über die Folgenabschätzung muss u.a. Folgendes enthalten: Gültigkeit, Notwendigkeit und Angemessenheit des Datenexports, Umfang, Kategorie, etc. Der Verarbeiter personenbezogener Daten muss diese dann innerhalb von 10 Tagen (nach Inkrafttreten des Standardvertrags, für welchen sich streng an den vorgegebenen Mustervertrag gehalten werden muss) bei der örtlich zuständigen CAC einreichen.

Fazit

Grundsätzlich betrifft der grenzüberschreitende Transfer von Persönlichkeitsdaten zwischen China und der EU alle Unternehmen, welche Tochtergesellschaften in China haben oder Geschäfte in oder mit China tätigen. 

Zudem wird nach den chinesischen Standardvertragsklauseln für die Übermittlung personenbezogener Daten ins Ausland jeder Verstoß gegen die Bestimmungen dieser Maßnahmen gemäß dem PIPL und anderen Gesetzen und Vorschriften geahndet. In schwerwiegenden Fällen kann China hohe Bußgelder verhängen (einschließlich Bußgelder von bis zu 5 % des Vorjahresumsatzes).

Kontakt

Bei weiteren Fragen bezüglich des Schutzes personenbezogener Daten in China, der grenzüberschreitenden Datenübertragung sowie der Standardvertragsklauseln und weiteren rechtlichen Regelungen in China, wenden Sie sich gerne an unser Team mit IT-Audit-Experten und Rechtsexperten auf deutscher und chinesischer Seite unter: china.desk@bdp-team.de. 

Wir beraten und unterstützen Sie gerne.