Gesetz zum Schutz persönlicher Daten in China erlassen

Einleitung und Anwendungsbereich

Das 74 Artikel umfassende neue Datenschutzgesetz (nachfolgend: PIPL) wird am 1. November 2021 in Kraft treten. Im Folgenden werden einige seiner wesentlichen Bestimmungen vorgestellt.

„Persönliche Informationen“ werden in Art. 4 PIPL definiert als jede Art von elektronisch oder auf andere Weise aufgezeichneten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, ausgenommen anonymisierte Informationen (vgl. Art. 73 Abs. 4 PIPL). Bestimmungen zu „sensiblen persönlichen Informationen“ wie etwa biometrischen Merkmalen, Gesundheitsdaten oder personenbezogenen Daten von Minderjährigen unter 14 Jahren finden sich in Art. 28 bis 32 PIPL.

Das Gesetz sieht in Art. 3 PIPL unter bestimmten Voraussetzungen eine extraterritoriale Anwendbarkeit vor. Das PIPL findet auch Anwendung auf eine außerhalb Chinas stattfindende Verarbeitung von persönlichen Daten natürlicher Personen in China: Dies ist insbesondere der Fall erstens zum Zwecke der Dienstleistungserbringung oder Warenlieferung an inländische Personen oder zweitens, wenn deren individuelles Verhalten analysiert werden soll. 

Vorgaben zur rechtmäßigen Datenverarbeitung

Das PIPL sieht als Grundsätze für die Datenverarbeitung unter anderem Datenminimierung und Zweckbindung (Art. 6 PIPL) vor.

Zu den Rechten der Datensubjekte (geregelt insbesondere in Art. 44 bis 50 PIPL) gehören beispielsweise das Recht auf Information, auf Berichtigung und auf Löschung bis hin zur Einreichung einer Klage gegen den Verantwortlichen beim Volksgericht.

Sieben mögliche Bedingungen für das Vorliegen einer rechtmäßigen Datenverarbeitung sind in Art. 13 PIPL aufgeführt: insbesondere beim Vorliegen einer Einwilligung der Person, aber auch ohne Einwilligung unter anderem bei vertraglicher Notwendigkeit (auch bei Erforderlichkeit im Bereich HR-/Personalmanagement), zur Erfüllung gesetzlicher Verpflichtungen oder in anderen gesetzlich bestimmten Konstellationen.

Für bestimmte Verarbeitungsaktivitäten besteht ein Einwilligungserfordernis: Sensible persönliche Daten etwa dürfen nur mit separater Einwilligung des Datensubjekts verarbeitet werden (Art. 29 PIPL). Auch für den grenzüberschreitenden Datentransfer ist unter anderem eine gesonderte Einwilligung der betroffenen Person erforderlich, Art. 39 PIPL.

Datenübermittlung ins Ausland

Der grenzüberschreitende Transfer persönlicher Informationen ist gemäß Art. 38 PIPL nur unter den dort genannten Voraussetzungen erlaubt (wobei diese nicht kumulativ vorliegen müssen). Im Falle von Betreibern kritischer Informationsinfrastruktur oder bei Unternehmen, die bestimmte (noch festzulegende) Schwellenwerte bei der Menge der durch sie verarbeiteten persönlichen Informationen überschreiten, muss vor einem notwendigen Datentransfer ins Ausland zwingend eine behördliche Sicherheitsbewertung bestanden werden (Art. 40 PIPL). In den beiden Kategorien besteht zudem eine Pflicht zur Speicherung der gesammelten persönlichen Informationen in China (Datenlokalisierung).

Ohne Genehmigung der zuständigen chinesischen Behörden dürfen in China gespeicherte persönliche Informationen nicht an ausländische Strafverfolgungsbehörden übermittelt werden (Art. 41 PIPL). Eine entsprechende Vorgabe enthält auch das Datensicherheitsgesetz.

Ausländische Organisationen und Personen außerhalb Chinas, die durch ihre Datenverarbeitungsaktivitäten die Rechte und Interessen chinesischer Bürger hinsichtlich persönlicher Daten verletzen oder die nationale Sicherheit oder das öffentliche Interesse Chinas gefährden, können nach Art. 42 PIPL auf einer speziellen Liste erfasst und die Bereitstellung personenbezogener Daten verboten oder eingeschränkt werden.

Artikel 53 PIPL sieht vor, dass bei extraterritorialer Anwendung Verarbeiter persönlicher Informationen außerhalb von China eine spezielle Einrichtung oder einen Repräsentanten in China für Belange des Schutzes persönlicher Informationen bestellen müssen; der Name dieses lokalen Vertreters und die Kontaktinformationen sind der zuständigen Behörde mitzuteilen.

Sanktionen bei Verstößen gegen das Gesetz

Verstöße gegen die Vorschriften des PIPL können insbesondere gemäß Art. 66 PIPL Bußgelder in Höhe von bis zu 50 Millionen Renminbi Yuan (RMB) (entspricht circa 6,5 Millionen Euro) oder bis zu 5 Prozent des Vorjahresumsatzes, die Einstellung des Betriebs oder den Widerruf der Geschäftslizenz zur Folge haben. Auch Kreditsystemeinträge sind möglich, Art. 67 PIPL.

Ausblick und weitere Hinweise 

Mit dem Erlass von konkretisierenden Umsetzungsbestimmungen zu PIPL-Vorgaben ist in der nächsten Zeit zu rechnen.

Bereits bestehende Gesetze im Bereich des Datenschutzes - darunter insbesondere das am 1. September 2021 in Kraft getretene Datensicherheitsgesetz, das Zivilgesetzbuch, das Cybersicherheitsgesetz und das E-Commerce-Gesetz - sowie untergesetzliche Regelungen bleiben ebenfalls zu beachten.

Vor der Verabschiedung des PIPL wurde in Shenzhen bereits Ende Juni 2021 eine eigene lokale Datenschutzregelung erlassen. Sie soll ab dem 1. Januar 2022 gelten und enthält Vorgaben sowohl bezüglich persönlicher Informationen, als auch zum Thema Datensicherheit.

Zum Thema:

• Text des „Gesetzes zum Schutz persönlicher Informationen“ (中华人民共和国个人信息保护法) vom 20. August 2021 (Chinesisch)
• „Data Regulation of the Shenzhen Special Economic Zone“ vom 29. Juni 2021 (chinesische Fassung)
• Website der Cyberspace Administration of China (CAC) (Chinesisch)
• Zum neuen Datensicherheitsgesetz: GTAI-Rechtsbericht vom 21. Juli 2021
• Zu den ersten Gesetzesentwürfen aus dem Jahr 2020: GTAI-Rechtsbericht vom 12. März 2021
• GTAI-Länderbericht „Recht kompakt China“