Am 21. Oktober 2020 stellte die Volksrepublik China (VRC) einen neuen Entwurf des Gesetz zum Schutz personenbezogener Daten (PIPL), das erste potenziell umfassende Datenschutzgesetz für die Nation. PIPL enthält viele Bestimmungen, die von der Allgemeine EU-Datenschutzverordnung (GDPR) in seinen 8 Kapiteln und 74 Artikeln - zusätzlich zu den hohen Geldstrafen.
Nach der dritten und letzten Überprüfung während der Tagung des Nationalen Volkskongresses Chinas im August dieses Jahres soll das Gesetz nun am 1. November 2021 in Kraft treten und damit zu einem der strengsten derzeit geltenden Datenschutzgesetze werden.
Obwohl die endgültige Fassung des Gesetzes zum Zeitpunkt dieses Beitrags noch nicht veröffentlicht wurde, sollten sich Organisationen, die mit der Anwendung des PIPL rechnen, bereits jetzt mit den möglichen operativen Änderungen dieses Gesetzes befassen. Einige dieser Überlegungen werden im Folgenden hervorgehoben:
Umfang
Wie die DSGVO hat auch das PIPL eindeutige extraterritoriale Geltung für ausländische Unternehmen und Personen, die personenbezogene Daten von Personen auf dem chinesischen Festland verarbeiten. Selbst wenn ein Unternehmen weder physisch präsent noch rechtlich in China ansässig ist, kann das Gesetz dennoch Anwendung finden, wenn der Zweck der Verarbeitung personenbezogener Daten außerhalb Chinas darin besteht:
-
- Produkte oder Dienstleistungen für Einzelpersonen in China anbieten,
- das Verhalten von Einzelpersonen in China zu „analysieren“ oder zu „bewerten“, oder
- für andere, durch Gesetze und Vorschriften festzulegende Zwecke.
Verarbeiter personenbezogener Daten
Im Gegensatz zu den meisten aktuellen Datenschutzbestimmungen unterscheidet PIPL nicht zwischen Datenverantwortlichen und Datenverarbeitern. Organisationen, die für die Einhaltung von PIPL verantwortlich sind, sind „Datenverarbeiter“, was sich im Sinne von PIPL auf „Organisationen oder Einzelpersonen, die Zweck, Umfang und Mittel der Verarbeitung personenbezogener Daten unabhängig bestimmen.“
Mit anderen Worten: Ein Verarbeiter personenbezogener Daten gemäß PIPL ist vergleichbar mit einem Datenverantwortlichen gemäß der DSGVO. Unternehmen, denen „anvertraut“ ist mit die Verarbeitung personenbezogener Daten im Auftrag von Informationen eines Verarbeiters personenbezogener Daten müssen Zweck, Aufbewahrung, Verarbeitungsmethode und Schutzmaßnahmen für diese Informationen vertraglich vereinbart werden. Zusätzlich, Diese Treuhänder müssen zustimmen, dass die personenbezogenen Daten ohne die Zustimmung des Verarbeiters personenbezogener Daten nicht weitergegeben oder verwendet werden.
Bemerkenswert ist auch, dass die endgültige Version des PIPL zwischen großen Internetplattformen und „kleinen“ Verarbeitern persönlicher Informationen unterscheidet. Diese großen Organisationen sollte folgen „die Prinzipien der Offenheit, Fairness und Gerechtigkeit, um Plattformregeln für den Schutz personenbezogener Daten zu formulieren“ – dazu gehört die Veröffentlichung „Berichte zur Verantwortung für persönliche Informationen“ – und gleichzeitig den chinesischen Regulierungsbehörden die Möglichkeit zu geben, relevante Regeln für Kleinverarbeiter zu erlassen, die „ihre Compliance-Kosten angemessen senken würden“.
Daten Definitionen
„Persönliche Informationen“ haben eine ähnliche Definition Im Vergleich zur Definition „personenbezogene Daten“ der DSGVO. Im Wesentlichen handelt es sich dabei um „elektronisch oder auf andere Weise erfasste Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen, jedoch nicht solche Informationen nach einer Anonymisierungsverarbeitung.“
Das PIPL enthält auch eine Bestimmung für „sensible personenbezogene Daten“, ähnlich den „besonderen Kategorien personenbezogener Daten“ der DSGVO. Sensible personenbezogene Daten sind personenbezogene Daten, deren Weitergabe oder illegale Nutzung zu Diskriminierung von Personen oder einer schweren Gefährdung der Sicherheit von Personen oder Eigentum führen kann. Dazu gehören (unter anderem) Informationen über:
- Wettrennen,
- Ethnische Gruppe,
- Religiöse Überzeugungen,
- Persönliche biometrische Daten,
- Personenbezogene Daten von Minderjährigen unter 14 Jahren
- Gesundheitsinformationen
- Finanzkontoinformationen und
- Standortinformationen
Für die Verarbeitung sensibler personenbezogener Daten ist eine Opt-in-Zustimmung erforderlich.
Datenschutzprogramm
Das PIPL verpflichtet Verarbeiter personenbezogener Daten zur Erstellung eines Datenschutzprogramms. Das Gesetz enthält außerdem eine nicht abschließende Liste spezifischer Programmmaßnahmen, wie beispielsweise:
- Implementieren Sie ein klassifiziertes Verwaltungssystem für persönliche Informationen
- Regelmäßige Compliance-Audits
- Folgenabschätzungen
- Sensibilisierung und Schulung der Mitarbeiter
- Benennung eines Datenschutzbeauftragten
- Verzeichnis von Verarbeitungstätigkeiten
- Protokolle zur Anforderung individueller Rechte
- Anforderungen an die Reaktion auf Sicherheitsverletzungen und die Meldung solcher Verletzungen
Wie bei der DSGVO müssen Organisationen außerhalb Chinas, die dem Gesetz unterliegen, einen Datenschutzbeauftragten in China ernennen und den chinesischen Aufsichtsbehörden relevante Informationen über ihre inländische Organisation oder ihren Beauftragten melden.
Individuelle Rechte
Das PIPL beinhaltet verschiedene Rechte der betroffenen Personen, ähnlich der DSGVO. Zu diesen individuellen Rechten gehören:
- Recht auf Erläuterung der Datenverarbeitungsvorgänge
- Recht auf Zugang zu personenbezogenen Daten
- Recht auf Berichtigung
- Recht auf Portabilität
- Recht auf Ablehnung personalisierter Werbung
- Recht auf Löschung
Wenn die gesetzlich und behördlich vorgeschriebene Aufbewahrungsfrist noch nicht abgelaufen ist oder die Löschung personenbezogener Daten technisch schwierig zu bewerkstelligen ist, muss der Verarbeiter personenbezogener Daten die Verarbeitung der Daten einstellen – mit Ausnahme der Speicherung und der Ergreifung notwendiger Sicherheitsmaßnahmen.
Organisationen müssen einen geeigneten Mechanismus bereitstellen, der es Einzelpersonen ermöglicht, ihre Rechte wahrzunehmen. Verweigert die Organisation Einzelpersonen die Ausübung ihrer Rechte – wobei diese ihre Gründe darlegen müssen –, können diese gemäß den gesetzlichen Bestimmungen Klage vor einem Volksgericht einreichen.
Rechtsgrundlagen der Datenverarbeitung
PIPL bietet mehrere Rechtsgrundlagen zur Verarbeitung personenbezogener Daten – dazu gehören:
- Die Einwilligung der Person – auch wenn ihre Informationen öffentlich zugänglich sind
- Durchführung oder Erfüllung eines Vertrags mit der betroffenen Person
- Erfüllung regulatorischer Anforderungen und Verpflichtungen
- Vorfälle oder Notsituationen im Bereich der öffentlichen Gesundheit
- Notwendig für eine genaue Berichterstattung oder die Beobachtung der öffentlichen Meinung im öffentlichen Interesse
- Einhaltung anderer chinesischer Gesetze und Vorschriften
Zustimmung
Das PIPL verlangt, dass die Einwilligung klar, freiwillig und gut informiert erfolgen muss. Darüber hinaus gibt es spezifische Einwilligungsanforderungen für bestimmte Situationen:
- Für die Verarbeitung sensibler personenbezogener Daten ist eine ausdrückliche Einwilligung erforderlich.
- Zustimmung der Eltern zur Verarbeitung personenbezogener Daten von Minderjährigen unter 14 Jahren – wenn der Verarbeiter personenbezogener Daten weiß oder hätte wissen müssen, dass er die personenbezogenen Daten eines Kindes verarbeitet.
- Einwilligung zur automatisierten Entscheidungsfindung ProzesseEinwilligung – zusammen mit einer spezifischen Offenlegung in der Datenschutzerklärung des Unternehmens – zur Übertragung oder Weitergabe personenbezogener Daten und zu automatisierten Entscheidungsfindungsmechanismen. Ähnlich wie das kalifornische Datenschutzgesetz darf die Verwendung personenbezogener Daten für automatisierte Entscheidungsfindungen „keine unangemessene Ungleichbehandlung von Einzelpersonen hinsichtlich Transaktionspreisen und anderen Transaktionsbedingungen“ zur Folge haben.
Das PIPL gibt keine konkrete Frist für die Einholung der Einwilligung vor. Das Gesetz legt zwar fest, dass die Einwilligung „zeitnah“ erteilt werden muss, spezifiziert jedoch nicht, was „zeitnah“ bedeutet.
Datenlokalisierung
Im Gegensatz zu den aktuellen Datenlokalisierungsanforderungen des chinesischen Sicherheitsgesetzes (CSL) sieht das PIPL spezifischere Anforderungen für Organisationen vor, die Informationen speichern müssen, die ausschließlich innerhalb der Grenzen der VR China verarbeitet werden. Der Verarbeiter personenbezogener Daten, der einen bestimmten Schwellenwert an personenbezogenen Daten verarbeitet, muss eine Sicherheitsbewertung bestehen, die von der Regulierungsbehörde des PIPL, der Cyberspace Administration of China (CAC), organisiert wird.
Grenzüberschreitende Übertragungen
PIPL erfordert für alle grenzüberschreitenden Datenübertragungen eine Sicherheitsbewertung durch die CAC sowie eine entsprechende Benachrichtigung und Zustimmung. Organisationen müssen vor der Übertragung personenbezogener Daten aus der VR China eine interne Risikobewertung durchführen und solche Übertragungen dokumentieren. Datenverarbeiter können auch PIPL-genehmigte Übertragungsmechanismen nutzen, beispielsweise einen zertifizierten externen Sicherheitsprüfer oder den Abschluss einer standardisierten Vereinbarung zur grenzüberschreitenden Datenübertragung.
Benachrichtigung über Verstöße
Im Falle einer SicherheitsverletzungPIPL verpflichtet Unternehmen, „sofortige“ Abhilfemaßnahmen zu ergreifen und die zuständige Behörde sowie die betroffenen Personen zu benachrichtigen. Im Gegensatz zur DSGVO und den meisten US-Bundesgesetzen zur Meldung von Datenschutzverletzungen gibt es keinen spezifischen Zeitrahmen für die Benachrichtigung.
Durchsetzung und Bußgelder
PIPL bietet ein relativ umfassendes privates Klagerecht – die Möglichkeit für Einzelpersonen, zu klagen – sowie eine allgemeine Durchsetzung durch das CAC.
Gemäß PIPL kann eine Organisation, die personenbezogene Daten unrechtmäßig verarbeitet oder die erforderlichen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten nicht ergreift, mit einer Geldstrafe von bis zu 1 Million RMB belegt werden. Bei schwerwiegenden Verstößen kann die Geldstrafe auf bis zu 50 Millionen RMB oder 5% des Jahresumsatzes der Organisation im vorangegangenen Geschäftsjahr erhöht werden.
Das Gesetz sieht außerdem eine persönliche Haftung im Zusammenhang mit einem Verstoß vor: Dem Personal, das direkt für die Verarbeitung personenbezogener Daten verantwortlich ist, kann eine Geldstrafe von bis zu 1 Million RMB auferlegt werden.
So erreichen Sie die PIPL-Konformität
Das PIPL – zusammen mit Chinas brandneuem Datenschutzgesetz, das für kritische Informationen gilt, die nationale Sicherheitsbedenken hervorrufen – ist Teil der Bemühungen der VR China, ihren regulatorischen Rahmen für Datenschutz und Privatsphäre zu stärken. Die Gesetzesreform in der VR China schreitet ebenfalls zügig voran – das PIPL tritt am 1. November dieses Jahres in Kraft, während es kürzlich verabschiedet wurde. Datenschutzrecht wird am 1. September wirksam. Tatsächlich kündigte das CAC diesen Sommer an, dass es eine Untersuchung einleiten gegen Didi Global, die chinesische Mitfahr-App, wegen angeblicher Verletzung der Privatsphäre der Benutzer.
Diese Vorschriften werden erhebliche Auswirkungen auf Unternehmen haben, die mit China zusammenarbeiten oder dort Geschäfte machen. Doch wie das chinesische Sprichwort Nàixīn, jiānchí hé hànshuǐ shì chénggōng de bìshèng fǎbǎo. besagt: „Geduld, Ausdauer und Fleiß sind eine unschlagbare Kombination für den Erfolg.“ Obwohl viele Details der Umsetzung noch unklar sind, sollten Unternehmen ihre Informationen überprüfen und bewerten. Verarbeitungstätigkeiten jetzt gegen die Anforderungen der umfassenden Vorschriften. BigID kann Unternehmen bei der Operationalisierung ihrer Datenschutzprogramme unterstützen – von PI-Inventaren bis hin zu Automatisierung von Datenrechten Erfüllung bis hin zur Überwachung grenzüberschreitender Transfers – erhalten Sie eine 1:1 mit unseren Datenschutzexperten um herauszufinden, wie Sie die PIPL-Konformität erreichen – und wo Sie anfangen sollen.
Autor
