Neues Datenschutzgesetz in China
Von Henry Chen und
Christian Schefold*)
Am 20. August 2021 ist in China das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law, PIPL) veröffentlicht worden, das zum 1. November 2021 in Kraft tritt. Es umfasst Regeln zum Umgang mit personenbezogenen Daten, die den Schutz der Privatsphäre in China rechtlich besser absichern sollen. Für deutsche Unternehmen in China besteht nun Handlungsbedarf, insbesondere wenn personenbezogene Daten von Personen in China verarbeitet werden.
Zweckorientierung
PIPL übernimmt die einschlägigen Bestimmungen des Cybersicherheitsgesetzes und des Zivilgesetzbuches in China zum Schutz personenbezogener Daten. Die Grundsätze von PIPL zur Datenverarbeitung sind Rechtmäßigkeit und Angemessenheit. Sie muss strikt am vorgesehen Zweck orientiert sein. Dafür ist eine gegenüber der Datenschutz-Grundverordnung (DSGVO) der EU erweiterte Transparenz für den Umgang mit personenbezogenen Daten, des Zwecks, der Methode und des Umfangs der Verarbeitung unerlässlich. Eine ausreichende IT-Sicherheit muss gewährleistet sein. Ungerechtfertigte Verarbeitungen – und hierzu gehören auch solche, die die nationale Sicherheit Chinas gefährden – werden sanktioniert.
Die Einholung der persönlichen Einwilligung ist die Grundlage für die Verarbeitung personenbezogener Daten. Weitere Rechtfertigungen gelten nur als Ausnahmen für eine Einwilligung, wie der Abschluss von Verträgen, einschließlich von Arbeitsverträgen in Übereinstimmung mit Arbeitsrecht und Tarifvertrag. Weitere Ausnahmen sind gesetzliche Aufgaben oder Verpflichtungen sowie die Bekämpfung von Notfällen im Bereich der öffentlichen Gesundheit. Ferner sind Nachrichtenberichterstattung, aber auch Maßnahmen zur Überwachung der Öffentlichkeit Ausnahmen. Offengelegte sowie auf Grundlage gesetzlicher Maßnahmen veröffentlichte persönliche Daten dürfen ebenfalls verarbeitet werden. Weitere Ausnahmen können durch Gesetze und Verwaltungsvorschriften festgelegt werden.
Jeder Betroffene hat ein Recht auf ausreichende Information zur Abgabe einer Einwilligung. Hierzu ist der Verarbeiter verpflichtet. Diese Transparenzanforderungen gehen weiter als die der DSGVO. Neu für deutsche Unternehmen ist, dass interne Datenschutzrichtlinien zu veröffentlichen sind. Eine Einwilligung ist nur wirksam, wenn sie frei und informiert erteilt wurde. Sie darf nicht durch die Vorenthaltung von Leistungen erzwungen werden. Über Änderungen sind Betroffene rechtzeitig zu unterrichten.
Unkomplizierter Widerruf
Einwilligungen müssen unkompliziert widerrufbar sein. Auch hierzu muss der Betroffene frei sein; keiner darf durch die Androhung einer ungerechtfertigten Vorenthaltung von Leistungen von einem Widerruf abgehalten werden.
PIPL sieht einen erhöhten Schutz sensibler personenbezogener Daten vor. Dazu gehören biometrische Daten, religiöse Bekenntnisdaten, medizinische und gesundheitliche Daten, Informationen über Finanzkonten, Trackingdaten sowie Daten von Minderjährigen. Kinder und Jugendliche unter 14 Jahren genießen einen weitreichenden Schutz von personenbezogenen Daten. Diese gelten durchweg als sensibel. Die Zustimmungen der Erziehungsberechtigten müssen vorliegen. Eine Identifizierung von Minderjährigen und Erziehungsberechtigten ist erforderlich.
Für die Praxis gelten abgestufte Anforderungen, um unnötige Nutzungsunterbrechungen zu vermeiden. Bei typischen Leistungen für Minderjährige, wie etwa Chatting oder Gaming, müssen Geburtsdatum, ID-Nummer sowie Kontakte der Erziehungsberechtigten abgefragt werden.
Darüber hinaus berücksichtigt PIPL Bedenken gegen die Gesichtserkennung. Einschlägige staatliche Vorschriften sind zu beachten und auch Warnhinweise bei erfolgter Gesichtserkennung aufzustellen. Erhobene Daten dürfen nur zur Aufrechterhaltung der öffentlichen Sicherheit und nur bei Vorliegen einer persönlichen Einwilligung verarbeitet werden.
Ganz allgemein gilt für die Verarbeitung sensibler personenbezogener Daten die Pflicht, vor einer Verarbeitung eine Datenschutz-Folgenabschätzung durchzuführen.
Mit PIPL haben Betroffene das Recht, Informationen über die Verarbeitung eigener personenbezogener Daten sowie eine Kopie der Daten zu erhalten. Es kann verlangt werden, unrechtmäßige Verarbeitungen einzuschränken oder zu beenden, fehlerhafte Informationen zu korrigieren und zu vervollständigen, Löschungen vorzunehmen und auch Daten an einen anderen Verarbeiter zu übertragen. Eine Besonderheit in China ist die Vererbung von Datenschutzrechten an Angehörige von Verstorbenen. Alle Betroffenenrechte können bei Volksgerichten eingeklagt oder aber den zuständigen Stellen zur weiteren Veranlassung übermittelt werden.
Verarbeiter sind verpflichtet, unbefugte Zugriffe, Offenlegungen, Manipulation und Verlust personenbezogener Daten zu verhindern. Es empfiehlt sich, eine Risikoanalyse vorzunehmen und entsprechende IT-Sicherheitsmaßnahmen umzusetzen.
Ferner ist ab einem gewissen, noch festzulegenden Verarbeitungsvolumen ein Datenschutzbeauftragter zu bestellen. Dessen Kontrollfunktion entspricht eher dem alten Bundesdatenschutzgesetz. Datenpannen sind an Behörden zu melden, die dann entscheiden, ob auch die Betroffenen informiert werden.
Compliance-Verpflichtungen
Datenschutzfolgeabschätzungen sind bei einer Übermittlung personenbezogener Daten an Dritte (und hierzu zählen auch Auftragsverarbeiter) sowie besonderes bei der Übermittlung ins Ausland erforderlich. Damit wird jedes deutsche Unternehmen verpflichtet, für seine Datenverarbeitung in China eine Folgeabschätzung durchzuführen. Sofern deutsche Unternehmen noch kein Tochterunternehmen in China gegründet haben, müssen sie einen Repräsentanten benennen.
Diese Pflichten werden am besten durch Aufbau und Umsetzung eines Datenschutz-Compliance-Managementsystems erfüllt. Grundlage hierfür sind interne Richtlinien zu den Compliance-Verpflichtungen des Unternehmens. Aufbau, Umsetzung und Betrieb als auch interne Kontrollen sollten zum Nachweis dokumentiert werden.
China will in Zukunft auf gegenseitige Abkommen beim grenzüberschreitenden Austausch personenbezogener Daten bauen. So sollen mit den chinesischen Maßstäben adäquate Schutzstandards im Ausland sichergestellt werden. Verarbeiter müssen die Einhaltung der chinesischen Schutzstandards gewährleisten und sicherstellen, dass die Empfänger im Ausland über ein angemessenes Schutzniveau für personenbezogene Daten verfügen. Hierzu ist ein chinesischer Standard in Vorbereitung.
Schon jetzt können deutsche Unternehmen den Datenaustausch mit China vertraglich regeln. Zweck und Art der Verarbeitung sowie die Aufbewahrungsfrist der zu exportierenden, personenbezogenen Daten sollten bestimmt und garantiert werden, dass deutsche Unternehmen die legitimen Rechte der betroffenen Personen umfassend schützen. Ferner ist sicherzustellen, dass Betroffene Zugang zu ihren personenbezogenen Daten haben. Personenbezogene Daten dürfen nur für die vereinbarten Zwecke verwendet und die Aufbewahrungsfristen der festgelegten Zeiträume nicht überschritten werden. Es besteht eine Pflicht zur Information über Änderungen im deutschen Recht.
Sanktionen drohen
Zunächst können Unternehmen, die personenbezogene Daten in rechtswidriger Weise verarbeiten, angewiesen werden, die Missstände zu beseitigen und bis zur Abhilfe die Verarbeitung einzustellen.
Bei schweren Verstößen können die unmittelbar verantwortlichen Personen (beispielsweise Geschäftsführer, Vorgesetzte, leitende Angestellte) – zusätzlich zu Geldstrafen – für einen bestimmten Zeitraum von der Ausübung ihrer Tätigkeit ausgeschlossen werden. PIPL sieht Geldbußen von bis zu 50 Mill. Yuan (ca. 7 Mill. Euro) oder bis zu 5% des Vorjahresumsatzes einer Unternehmensgruppe vor.
*) Henry Chen ist Senior Partner im Dentons-Büro in Shanghai, Dr. Christian Schefold ist Partner der Kanzlei im Berliner Büro.