Ab dem 1. November 2021 gibt das neue chinesische Personal Information Protection Law (PIPL) einige neue Anforderungen für die Verarbeitung personenbezogener Daten in China vor. Doch auch auf internationaler Ebene sind damit für Unternehmen, die in der Volksrepublik tätig sind oder dies vorhaben, wichtige Änderungen verbunden.
Wackelige Basis für Datenschutzrechte
Das Thema „China und Datenschutz“ bewegt sich – insbesondere mit Blick auf das politische Klima – im Spannungsfeld zwischen staatlicher Überwachung und dem Schutz des Privatlebens für Menschen in China. Dabei war das Datenschutzrecht unter anderem infolge der Zersplitterung der Vorschriften, die je nach Kontext in diversen anderen Regelwerken und unverbindlichen Standards verortet waren (und teilweise auch noch sind), schwer greifbar.[1]
Eine kodifizierte verfassungsrechtliche Garantie (wie in Art. 8 Abs. 1 GrCh bzw. Art. 16 Abs. 1 AEUV)[2] oder zumindest ein mittelbar verbürgtes „Recht auf informationelle Selbstbestimmung“[3] lässt sich der chinesischen Verfassung nicht entnehmen.[4] Zudem steht die generell hohe Gewichtung staatlicher Interessen einem mit der DSGVO vergleichbaren Schutzniveau entgegen.[5] Generell wird gerade der Überwachung sowohl der Bürgerinnen und Bürger als auch von inländischen wie ausländischen Unternehmen und anderen Personen, die sich im Staatsgebiet der Volksrepublik aufhalten, eine enorme Priorität vor grundrechtlichen Belangen wie Privatsphäre oder Geschäftsgeheimnissen eingeräumt.
Ein besonders anschauliches Beispiel hierfür ist das 2020 eingeführte Sozialpunktesystem[6]: Anhand digital (und analog) erfasster Daten, beispielsweise zu Verkehrsverstößen, verspäteten Mietzahlungen, falscher Mülltrennung oder ehrenamtlichen Tätigkeiten, werden dem jeweiligen „Konto“ Punkte abgezogen oder gutgeschrieben.[7] Die Auswirkungen können weitreichend sein und stellen ein beliebtes – und wirksames – Mittel dar, um die Bevölkerung wie auch Unternehmen zu gängeln und unter Kontrolle zu halten. Mit einem schlechten Social Credit Score muss zum Beispiel mit deutlich längeren Wartezeiten für einen Studienplatz gerechnet werden. Auch die Zuteilung einer Wohnung oder der Erfolg einer Bewerbung kann davon abhängen, da der Punktestand allgemein zugänglich und somit auch für (potenzielle) Vermieter oder Arbeitgeber einsehbar ist. Entsprechende Daten werden unter anderem mittels des besonders im urbanen Raum weit verbreiteten Einsatzes von Überwachungssystemen und Gesichtserkennungssoftware generiert bzw. gesammelt.[8]
Die neue Datenschutzsystematik unter dem PIPL
Manche der im PIPL genutzten Begriffe finden eine – mehr oder weniger direkte – Entsprechung in der DSGVO. Im Zentrum des Regelwerks steht „Personal Information“, d.h. Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen beziehungsweise, sei es für sich genommen oder im Zusammenwirken mit anderen Informationen, eine Identifizierung ermöglichen (Art. 4 PIPL). Dabei werden sowohl elektronisch als auch anderweitig aufgezeichnete Daten erfasst. Der „Personal Information Handler“ entspricht dem für die Datenverarbeitung Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO.[9]
In Bezug auf den Geltungsbereich bestimmt Art. 3 PIPL, dass auch Verarbeitungsvorgänge außerhalb Chinas erfasst werden, sofern diese die Bereitstellung von Produkten oder Dienstleistungen in China oder die Bewertung des Verhaltens natürlicher Personen innerhalb des chinesischen Staatsgebiets bezweckt oder die Anwendbarkeit in anderen Gesetzen bzw. Verwaltungsvorschriften angeordnet ist und Daten natürlicher Personen verarbeitet werden, die sich innerhalb Chinas befinden. Die konkrete Auslegung der genannten Zweckbestimmungen bleibt abzuwarten, dürfte jedoch sehr weit gefasst sein.[10]
Nicht unter den Anwendungsbereich fallen Verarbeitungen im persönlichen bzw. familienbezogenen Kontext sowie staatliche Verarbeitungen mit Blick auf Statistiken und Archivierungsmanagement (Art. 72 PIPL).
Einwilligungserfordernis und Informationspflichten
Gemäß Art. 44 ff. PIPL sind Betroffene über Art, Umfang und Modalitäten der Datenverarbeitung zu informieren. Auch die aus der DSGVO bekannten Rechte auf Auskunft, Kopie, Berichtigung und Löschung sind dort geregelt. Ein Aspekt, den das PIPL – anders sein europäisches Gegenstück – explizit regelt, ist die Erbfolge:[11] Den Angehörigen (bzw. Erben) steht zu, die Rechte des Verstorbenen im Einklang mit ihren eigenen berechtigten Interessen geltend zu machen, soweit jener nicht vor seinem Ableben entgegenstehende Wünsche geäußert hat.
Die Anforderungen an die gemäß Art. 13 Nr. 1 PIPL erforderliche Einwilligung der betroffenen Person in die Datenverarbeitung werden in Art. 14 PIPL näher konkretisiert, wobei die Nähe zu denjenigen der DSGVO deutlich erkennbar ist.
Für den Datentransfer ins Ausland stellen Art. 38 ff. PIPL strenge Voraussetzungen auf. Neben einer informierten, individuell zweckgebundenen Einwilligung ist auch eine Datenschutzfolgenabschätzung durchzuführen.[12] Zudem müssen diverse Dokumentationspflichten beachtet werden und eine von vier besonderen Anforderungen – etwa das Bestehen einer Sicherheitsüberprüfung oder eine spezielle Zertifizierung – erfüllt werden. Der Zugriff ausländischer Justiz- und Strafverfolgungsbehörden auf in China gespeicherte Daten ohne eine entsprechende Zustimmung der zuständigen chinesischen Behörden ist ausgeschlossen (Art. 41 PIPL). Manche Daten dürfen grundsätzlich nur in eng gefassten Ausnahmefällen im Ausland gespeichert werden (Art. 40 PIPL).
Ausländische Verantwortliche müssen eine Repräsentanz in China für Datenschutzfragen einrichten und diese den Behörden anzeigen. In Bezug auf die Zuständigkeiten für Belange der Datenschutzaufsicht hält das PIPL nur wenig Klarstellung bereit. Für Koordination und Planung soll – jedenfalls grundsätzlich – das State Cybersecurity and Informatization Department zuständig sein (Art. 60 PIPL).[13] Doch auch andere Behörden verfügen in ihren jeweiligen Sachbereichen über Befugnisse und Aufgaben.
Datenschutzverstöße können mit empfindlichen Bußgeldern, der Einziehung unrechtmäßiger Einnahmen, Auflagen sowie wirtschaftlichen und strafrechtlichen Sanktionen geahndet werden (Siehe u.a. Art. 42, 66 ff. PIPL). Im Fall von Schadensersatzansprüchen (Art. 69 PIPL) obliegt die Beweislast dem Verantwortlichen. Für „diskriminierende Verbote oder Beschränkungen“ durch ausländische Staaten oder Regionen gegen die Volksrepublik China im Bereich des Datenschutzes drohen Vergeltungsmaßnahmen (Art. 43 PIPL).
Ausblick
Wenngleich manche der Regelungen eine starke Ähnlichkeit zu denjenigen der DSGVO aufweisen, ist doch insgesamt eine sorgfältige Überprüfung und ggf. Anpassung der technischen und organisatorischen Maßnahmen empfehlenswert. Insbesondere mit Blick auf die eingeschränkten Rechtsschutzmöglichkeiten besonders für ausländische Unternehmen ist ein bedachtes Vorgehen in Bezug auf die Verarbeitung und Speicherung personenbezogener Daten in China und im Ausland geboten.
[1] Vgl. ausführlich Geller, GRUR Int. 2020, 1191, insbesondere 1192 ff.
[2] Vgl. Heckmann/Scheurer, in: Heckmann/Paschke, jurisPK-Internetrecht, 7.Aufl., Kap. 9 Rn. 14 (m.w.N.).
[3] Vgl. Heckmann/Scheurer, in: Heckmann/Paschke, jurisPK-Internetrecht, 7.Aufl., Kap. 9 Rn. 26 ff. (m.w.N.).
[4] Vgl. die vorläufige inoffizielle englische Übersetzung des PIPL bei Creemers/Webster, Translation: Personal Information Protection Law of the People’s Republic of China (Effective Nov. 1, 2021), DigiChina Cyber Policy Center, Stanford University, 20.08.2021 sowie die Übersetzung der chinesischen Verfassung durch den Nationalen Volkskongress, National People’s Congress of the People’s Republic of China, Constitution of the People’s Republic of China (Full text after amendment on March 14, 2004), 06.09.2021; Geller, GRUR Int. 2020, 1191, 1192.
[5] Vgl. auch Lejeune, PinG 3/2021, 109, 114; Geller, GRUR Int. 2020, 1191, 1202.
[6] Allg. zu Überwachungs- und Kontrollsystemen siehe Hao, Chinas Datenschutz-Paradoxon, Heise Online, 02.11.2020
[7] Vgl. Martinek, jM 2020, 41, 41 f., dort auch zum Folgenden.
[8] Das bleibt auch weiterhin erlaubt, vgl. Art. 27 PIPL; Vgl. Johannes, ZD-Aktuell 2021, 05219.
[9] Vgl. Johannes, ZD-Aktuell 2021, 05219; Dai/Deng, Dentons Guide to China’s Personal Information Protection Law (PIPL), S. 6.
[10] Vgl. Dai/Deng, Dentons Guide to China’s Personal Information Protection Law (PIPL), S. 6.
[11] Vgl. Johannes, ZD-Aktuell 2021, 05219.
[12] Vgl. Dai/Deng, Dentons Guide to China’s Personal Information Protection Law (PIPL), S. 6, dort auch zum Folgenden.
[13] Vgl. Johannes, ZD-Aktuell 2021, 05219.
Sämtliche Links wurden zuletzt am 17.09.2021 abgerufen.