Mehr zu:
ChinaDatenschutz, Datensicherheit
Recht
Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?
Rechtsbericht | China | Datenschutz
Im Jahr 2020 veröffentlichte China Entwürfe zweier eigener Gesetze hinsichtlich Datensicherheit sowie zum Schutz persönlicher Informationen. Sie werden im Folgenden beleuchtet.
12.03.2021
Von Julia Merle | Bonn
Beide Gesetze stehen in China in der ersten Kategorie des aktuellen Gesetzgebungsplans (13th NPC Standing Committee Legislative Plan (2018 bis 2023)). Ein Anlass, die aktuellen Entwürfe etwas genauer zu betrachten.
Ein Entwurf eines „Data Security Law“ (中华人民共和国数据安全法(草案): Chinesisch; nachfolgend: DSL-E) wurde Anfang Juli 2020 veröffentlicht und konnte bis Mitte August 2020 kommentiert werden.
Unter seinem Schutzgegenstand „Daten“ versteht der Entwurf nach Art. 3 jede Aufzeichnung von Informationen in elektronischer oder nicht-elektronischer Form – ausgenommen Staatsgeheimnisse, militärbezogene Daten, vermutlich auch persönliche Informationen (vgl. Art. 49 DSL-E). Zu den „Datenaktivitäten“ zählen laut Definition unter anderem die Sammlung, Speicherung, Verarbeitung und Übertragung. Gemäß Art. 2 DSL-E soll das Gesetz einerseits Anwendung auf die Durchführung solcher Aktivitäten innerhalb von China finden, andererseits sollen aber auch Organisationen oder Individuen außerhalb Chinas haften, wenn sie derartige Aktivitäten vornehmen, die die nationale Sicherheit oder das öffentliche Interesse Chinas beeinträchtigen (extraterritorialer Anwendungsbereich).
Ferner sind auch diese Regelungen enthalten:
Je nach Wichtigkeit für die wirtschaftliche und soziale Entwicklung und den jeweils möglichen Auswirkungen von Datenmissbrauch auf etwa die nationale Sicherheit soll ein Datenschutzsystem mit verschiedenen Stufen und Klassifikationen aufgestellt werden - nebst branchenbezogenen und regionalen Katalogen zum Schutz „wichtiger Daten“, jeweils zu erstellen von der Provinzregierung (vgl. Art. 19 DSL-E). Ein zentraler Mechanismus zur Bewertung von Datensicherheitsrisiken, zum Informationsaustausch, zur Überwachung und frühen Warnung soll etabliert werden, siehe Art. 20 DSL-E. Ist diese durch die Aktivitäten berührt, soll nach Art. 22 DSL-E eine nationale Sicherheitsüberprüfung (national security review) mit endgültiger Entscheidung erfolgen. Artikel 24 DSL-E sieht vor, dass China im Falle diskriminierender Maßnahmen eines Landes gegenüber China hinsichtlich datenbezogener Investitionen oder Handel entsprechende Gegenmaßnahmen ergreifen können soll.
Auch sind Vorschriften zu Pflichten bei der Durchführung von Datenaktivitäten und in Kap. 6 DSL-E zur Haftung bei Verstößen mit Bußgeldern von bis zu 1 Million Renminbi Yuan (RMB) umfasst.
Am 21. Oktober 2020 folgte mit dem Entwurf des „Personal Information Protection Law" (中华人民共和国个人信息保护法(草案): Chinesisch; nachfolgend: PIPL-E) die Veröffentlichung des zweiten Gesetzesentwurfs, bestehend aus 70 Artikeln. Die Kommentierungsfrist endete am 19. November 2020. Wird es verabschiedet, wäre es das erste Gesetz Chinas ausschließlich zum Schutz persönlicher Informationen. Deren Schutzumfang wäre dann deutlich größer als aktuell. Trotz einiger Ähnlichkeiten zur EU-Datenschutzgrundverordnung (DSGVO) weist der Entwurf auch Unterschiede auf.
Aufgrund der in Art. 3 PIPL-E vorgesehenen Extraterritorialität der Anwendbarkeit würde sich diese in bestimmten Fällen auch auf die Verarbeitungsaktivitäten außerhalb Chinas erstrecken: Etwa, wenn die Verarbeitung persönlicher Informationen natürlicher Personen innerhalb Chinas zum Zwecke der Erbringung von Dienstleistungen an solche Personen in China erfolgt. Mit Ausnahme anonymisierter Informationen wird unter einer „persönlichen Information“ nach Art. 4 PIPL-E jede Art von elektronisch oder durch andere Mittel aufgenommener Information verstanden, die eine natürliche Person identifiziert oder identifizieren kann.
Der Entwurf enthält in Art. 13 weitere zulässige Gründe zur Datenverarbeitung. Bislang basiert diese grundsätzlich allein auf dem Vorliegen der Einwilligung (etwa in Art. 42 Cybersicherheitsgesetz). Nach dem PIPL-E soll die Verarbeitung zudem rechtmäßig sein, wenn sie zum Beispiel zur Vertragserfüllung notwendig ist (Art. 13 Nr. 2), ein öffentlicher Gesundheitsnotstand (Nr. 4) oder die Vornahme von Handlungen im öffentlichen Interesse (Nr. 5) sie erfordern oder sie anderweitig rechtlich erlaubt ist (Nr. 6). Mehr Einzelheiten werden hinsichtlich der Einwilligung und erstmals zu sensiblen Daten (in Art. 29 ff. PIPL-E) geregelt. Neben einigen Grundprinzipien der Verarbeitung wie Transparenz (Art. 7) und Datenminimierung (Art. 6) sind im PIPL-E auch Rechte des Datensubjekts (etwa auf Auskunft, Berichtigung oder Löschung) in Art. 44 ff. vorgesehen. Eine Verarbeitung persönlicher Informationen, die die nationale Sicherheit gefährdet, ist nach Art. 10 PIPL-E untersagt.
Kapitel 3 des Entwurfs betrifft die grenzüberschreitende Bereitstellung persönlicher Daten. Diese soll nach Art. 38 an bestimmte Voraussetzungen geknüpft sein. Bei Bereitstellung persönlicher Informationen außerhalb Chinas müssen Individuen über die in Art. 39 PIPL-E genannten Punkte informiert und deren Einwilligung eingeholt werden. Betreiber kritischer Informationsinfrastrukturen und Verarbeiter, die bestimmte Schwellenwerte überschreiten, sollen gemäß Art. 40 PIPL-E die gesammelten persönlichen Informationen innerhalb Chinas speichern müssen; bei unbedingter Erforderlichkeit der Übertragung ins Ausland ist grundsätzlich eine Sicherheitsbewertung zu bestehen. Die Datenübertragung an Dritte erfordert nach Art. 24 PIPL-E eine Einwilligung der betroffenen Person.
Artikel 62 PIPL-E sieht unter anderem bei schweren Verstößen empfindliche Bußgelder für Unternehmen von bis zu 50 Millionen RMB oder 5 Prozent des Jahresumsatzes des Vorjahres vor.
Es bleibt abzuwarten, wie schnell die beiden Entwürfe das weitere Gesetzgebungsverfahren durchlaufen und ob sie in naher Zukunft in Kraft treten werden. Auf der Agenda der diesjährigen Tagung des Nationalen Volkskongresses standen sie nicht.
Eine große Zahl weiterer untergesetzlicher Regelungen und Richtlinien, vor allem im Bereich Cybersicherheit, befindet sich derzeit im Entstehen.
Zum Thema:
GTAI-Länderbericht Recht kompakt China