Zum 1. November 2021 tritt das neue chinesische Personal Information Protection Law (PIPL) in Kraft. In den Medien ist die Rede von einer „chinesischen DSGVO“. Doch ist das PIPL mit dem europäischen Datenschutzregelwerk überhaupt wirklich vergleichbar – und worauf müssen sich Unternehmen, die in China tätig sind, einstellen?
Ein regulatorischer Flickenteppich
Das chinesische Recht befasst sich nicht erst seit dem PIPL mit dem Thema Datenschutz. So enthält etwa das Chinese Security Law (CSL) entsprechende Vorschriften.[1] Doch erstmals verfolgt China mit dem PIPL einen derart umfassenden Ansatz. Bislang waren einschlägige Vorschriften über eine Vielzahl von Regelungswerken – unter anderem diverse nicht verbindliche Standards – verstreut, was zur schweren Handhabbarkeit des chinesischen Datenschutzrechts beitrug.[2]
Das Gesetz ist stark an die DSGVO angelehnt, doch es bleiben einige wichtige Unterschiede zwischen den beiden Regelungswerken bestehen.
Der wichtigste Unterschied ist wohl, dass in China, anders als in Europa, kein verfassungsrechtlich verbrieftes Recht auf Datenschutz existiert: Auf primärrechtlicher Ebene garantieret Art. 8 Abs. 1 GrCh (ebenso wie Art. 16 Abs. 1 AEUV) ausdrücklich ein Recht auf den Schutz der eigenen personenbezogenen Daten, die grundrechtliche Dimension des Datenschutzes ist dabei jedenfalls als Facette des Privatlebens im Sinne des Art. 8 EMRK bereits seit langem anerkannt.[3] Das PIPL gewährleistet zwar „auf der Grundlage der Verfassung“ den Datenschutz, doch ein entsprechendes Recht lässt sich der chinesischen Verfassung nicht entnehmen.[4] Auch das deutsche Grundgesetz enthält zwar kein originäres Datenschutzgrundrecht, doch dessen wesentliche Inhalte sind mit dem Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie durch die Zielsetzung weiterer auf die Privatsphäre abzielender Grundrechte wie die der Kommunikationsfreiheiten des Art. 10 GG oder der Unverletzlichkeit der Wohnung nach Art. 13 GG anerkannt und werden in der Gesetzgebung und Rechtsprechung grundsätzlich gewürdigt.[5] Dennoch ist allein schon aufgrund der insgesamt hohen Gewichtung öffentlicher Interessen in China im Gegensatz zu Deutschland und Europa ein mit der DSGVO vergleichbares Schutzniveau nicht zu erwarten.[6]
Weiterhin fällt auf, dass das PIPL – anders als die DSGVO – nicht (vollumfänglich) für öffentliche Stellen gilt Vgl. Art. 33 PIPL). Die Regelungen zielen vielmehr auf die Regulierung großer Internetkonzerne ab, die Unmengen von Daten über ihre Nutzer sammeln und gewinnbringend für ihre eigenen Zwecke nutzen. Die Novelle ist somit vorwiegend gegen den „Datenkapitalismus“ von Unternehmen gerichtet.[7] Art. 34 PIPL besagt, dass öffentliche Stellen bei der Erfüllung ihrer Aufgaben ebenfalls grundsätzlich den Grundsatz der Notwendigkeit zu beachten haben. Die Informationspflichten des Art. 17 PIPL werden durch verschiedene Ausnahmen aufgeweicht, womit dem starken Fokus der chinesischen Regierung und Gesetzgebung auf nationale Sicherheit und Stabilität Rechnung getragen wird.[8]
China und Datenschutz – Öl und Wasser?
Darüber hinaus sind die durch das PIPL statuierten Prinzipien stets vor dem Hintergrund der gängigen Überwachungspraxis zu sehen, da dem Datenschutz bei einer Abwägung mit den diversen Interessen des Staates ein regelmäßig geringes Gewicht zugemessen wird. Als Beispiel hierfür genügt ein Blick auf das 2020 eingeführte Sozialpunktesystem SCS, bei dem das Verhalten von Privatpersonen wie auch von Unternehmen, die in der Volksrepublik tätig sind, digital erfasst und nach einem Punktesystem bewertet wird.[9] In den Social Credit Score fließen beispielsweise verspätete Mietzahlungen sowie Verstöße gegen Verkehrsregeln oder Mülltrennungsvorschriften negativ ein, positiv hingegen werden etwa ehrenamtliche Tätigkeiten bewertet.[10] Für die Erfassung relevanter Verhaltensweisen werden unter anderem weitreichende Gesichtserkennungssysteme im öffentlichen Raum genutzt.[11] Dabei muss je nach Stand des Punktekontos mit Sanktionen wegen der Verletzung von Vorschriften oder politisch unliebsamen Ansichten gerechnet werden. Der Score beeinflusst z.B. die Zuteilung eines Kindergarten- oder Studienplatzes, die Chancen auf einen bestimmten Arbeitsplatz, auf eine Wohnung oder einen Kredit, da auch Arbeitgeber, Vermieter oder Banken den über die Data-Websites allgemein zugänglichen Stand des Punktekontos einsehen können. Doch auch abseits des Sozialpunktesystems werden eine Vielzahl von Kontrollsystemen genutzt, die zu einem widersprüchlichen Kontrast zwischen Datenschutz und Unterdrückung durch (bzw. als Folge von) Überwachung beitragen.[12]
Das PIPL im Überblick: Was müssen Unternehmen künftig beachten?
Das PIPL besteht aus insgesamt acht Kapiteln. Das 1. Kapitel enthält, ähnlich einem „Allgemeinen Teil“ grundsätzliche Bestimmungen. Kapitel 2 befasst sich mit den Vorschriften für die Verarbeitung personenbezogener Daten. In Kapitel 3 ist die grenzüberschreitende Bereitstellung personenbezogener Daten geregelt. Das 4. Kapitel statuiert individuelle Rechte im Zusammenhang mit der Datenverarbeitung. Kapitel 5 regelt Pflichten von Datenverarbeitern, Kapitel 6 betrifft die Aufsichtsbehörden. In den Kapiteln 7 und 8 finden sich schließlich Bestimmungen zur Haftung sowie Übergangs- und Schlussbestimmungen.
Begriffe und Anwendungsbereich
Mit dem zentralen Begriff „Personal Information“ lehnt sich das PIPL stark an die DSGVO an. Art. 4 PIPL stellt klar, dass damit „jedwede Informationen in Bezug auf identifizierte oder identifizierbare natürliche Personen, die elektronisch oder anderweitig aufgezeichnet wird, ausgenommen anonymisierte Informationen“ gemeint sind.[13] Diese Definition erfasst auch Informationen, die zwar selbst keine Identifizierung ermöglichen, aber ggf. im Zusammenwirken mit weiteren Informationen hierfür ausreichend sind und geht damit über die dem CSL und dem Zivilgesetzbuch der Volksrepublik China zugrunde liegende Verständnis des Begriffs hinaus.[14] Die Bezeichnung „Personal Information Handler“ findet hingegen keine direkte Entsprechung in der DSGVO, die Rolle ist jedoch vergleichbar mit der des „Verantwortlichen“ i.S.d. Art. 4 Nr. 7 DSGVO.[15] Besonders „sensible Daten“ sind in Art. 28 PIPL definiert. Ihre Verarbeitung ist nur in engen Schranken und unter Beachtung weiterer Vorgaben zulässig.
Ein maßgeblicher Punkt ist in Art. 3 PIPL geregelt: Der Geltungsbereich umfasst neben der Verarbeitung personenbezogener Daten natürlicher Personen im Staatsgebiet der Volksrepublik auch Verarbeitungsvorgänge außerhalb Chinas, wenn sie sich auf Daten natürlicher Personen beziehen, die sich innerhalb der chinesischen Grenzen befinden, sofern der Zweck der Verarbeitung die Bereitstellung von Produkten oder Dienstleistungen in China ist, das Verhalten solcher natürlicher Personen analysiert oder bewertet werden sollen oder wenn die Anwendbarkeit durch Gesetz oder Verwaltungsvorschrift angeordnet wird. Insbesondere die Frage, ob mit einer Verarbeitung die Bereitstellung von Diensten bezweckt wird, dürfte in der Praxis entscheidend sein. Genauere Ausführungen, wie die Zweckbestimmung auszulegen ist, bietet das PIPL nicht. Vor dem Hintergrund, dass im Kontext anderer Regelwerke bereits die Verwendung der chinesischen Sprache oder das Akzeptieren von Yuan als Zahlungsmittel als ausreichend erachtet wird, ist von einer sehr weiten Auslegung auszugehen.[16]
Art. 72 PIPL schränkt den Anwendungsbereich ähnlich eines Haushaltsprivilegs für natürliche Personen, die personenbezogene Daten in persönlichen oder Familienangelegenheiten verarbeiten, sowie für staatliche Verarbeitungen im Zusammenhang mit Statistiken und Archivierungsmanagement ein.
Art. 44 ff. PIPL räumen betroffenen Personen das Recht ein, über die Verarbeitung der sie betreffenden personenbezogenen Daten informiert zu werden und in Bezug auf diese eine Entscheidungs- bzw. Beschränkungsmöglichkeit zu haben. Art. 45 PIPL enthält ein Recht auf Auskunft und Kopie; Art. 46 PIPL eines auf Berichtigung unrichtiger oder unvollständiger Daten und Art. 47 PIPL eines auf Löschung. Gemäß Art. 49 PIPL, der anders als die DSGVO eine ausdrückliche Regelung zur Erbfolge enthält[17], steht den Angehörigen im Falle des Versterbens des Anspruchsinhabers zu, die Rechte im Einklang mit ihren eigenen berechtigten Interessen geltend zu machen, soweit der Verstorbene keine entgegenstehenden Wünsche getroffen hat. Für eine unkomplizierte Geltendmachung der Betroffenenrechte haben Verantwortliche organisatorische Verfahren einzurichten (Art. 50 PIPL).
Voraussetzungen der Datenverarbeitung
Art. 13 PIPL legt die allgemeinen Voraussetzungen für eine Datenverarbeitung fest. Nötig ist dafür entweder beispielsweise eine Einwilligung der betroffenen Person (Nr. 1), die Erforderlichkeit zur Vertragserfüllung, zur Erfüllung anderer Pflichten (genannt wird beispielsweise das Personalmanagement) (Nr. 2) oder die Erforderlichkeit zur Gefahrenabwehr (Nr. 4). Die Anforderungen an die Einwilligung werden in Art. 14 PIPL näher konkretisiert, wobei die Nähe zu denjenigen der DSGVO deutlich erkennbar ist.
Vor Beginn des Verarbeitungsvorgangs sollen betroffene Personen wahrheitsgemäß, zutreffend und vollständig insbesondere über den Namen des Verantwortlichen und eine Kontaktmöglichkeit, Zweck und Art der Verarbeitung, Kategorien der zu verarbeitenden Daten sowie über die Modalitäten für die Ausübung der Rechte aus dem PIPL informiert werden (Art. 17 PIPL). Die Informationspflicht kann unter bestimmten Umständen entfallen (Art. 18 PIPL). Bei der Weitergabe von Daten, die im Zusammenhang mit M&A-Aktivitäten anfallen, sind die betroffenen Personen gemäß Art. 22 PIPL über die Identität und Kontaktmöglichkeiten der Empfänger der Informationen zu informieren, welche dann ebenfalls an die Verpflichtungen der Verantwortlichen unterliegen. Die Weitergabe ist streng zweckgebunden; ändert sich der Verarbeitungszweck, muss eine neue Einwilligung eingeholt werden.[18]
Der Datentransfer ins Ausland ist an strenge Voraussetzungen geknüpft (Art. 38 ff. PIPL). Es muss eine informierte (voraussichtlich individuell zweckgebundene) Einwilligung der betroffenen Person eingeholt, eine Folgenabschätzung durchgeführt und Dokumentationspflichten beachtet sowie eine der vier besonderen Anforderungen erfüllt werden: das Bestehen einer Sicherheitsüberprüfung, eine spezielle Zertifizierung, der Abschluss eines Standardvertrags mit der betroffenen Person, der wohl mit den EU-Standardvertragsklauseln vergleichbar sein wird, oder das Erfüllen sonstiger bestimmter gesetzlicher bzw. regulatorischer Anforderungen.[19] Ausländische Justiz- und Strafverfolgungsbehörden darf ohne Zustimmung der zuständigen chinesischen Behörde kein Zugriff auf in China gespeicherte Daten eingeräumt werden (Art. 41 PIPL). In diesem Zusammenhang ist insbesondere auch an Remote-Zugriffsmöglichkeiten aus dem Ausland zu denken. Bestimmte Daten – etwa solche, die bei Betreibern Kritischer Infrastrukturen anfallen oder sobald ein Verantwortlicher bestimmte Grenzwerte hinsichtlich der Datenverarbeitung überschreitet – dürfen grundsätzlich vorbehaltlich strenger zusätzlicher Voraussetzungen nicht im Ausland gespeichert werden (Art. 40 PIPL).
Repräsentanzen, Haftung und Dokumentations- und Meldepflichten
Gemäß Art. 53 PIPL müssen ausländische Verantwortliche eine Repräsentanz in China einrichten, die für Datenschutzbelange verantwortlich zeichnet und deren (Kontakt-)Daten den zuständigen Behörden übermitteln.
Das chinesische System der Aufsichtsbehörden weist nur wenig Ähnlichkeit mit demjenigen der DSGVO auf. Verschiedene Abteilungen wie die Cyberspace Administration of China (CAC) und das Ministerium für öffentliche Sicherheit sind mit bestimmten Befugnissen ausgestattet.[20] Federführend war zumindest bislang das Chinese National Information Security Standardization Technical Committee (TC260), das von der Standardization Administration of the People’s Republic of China (SAC) und der CAC überwacht wird.[21] Art. 60 ff. PIPL bieten hier nur eine rudimentäre Klarstellung: Ein besonderer Status kommt dem State Cybersecurity and Informatization Department zu, das für Planung und Koordination zuständig ist (Art. 60 PIPL).[22] Andere Behörden wie etwa das CAC oder das Ministerium für öffentliche Sicherheit sind jedoch in ihren jeweiligen Sachbereichen ebenfalls zum Teil mit solchen Aufgaben betraut.
Gemäß Art 56 PIPL sind Datenschutzverletzungen unverzüglich an die zuständige Behörde zu melden. Hinsichtlich einer Notifizierung der betroffenen Person(en) besteht keine grundsätzliche Pflicht, sie kann jedoch durch die Aufsichtsbehörde angeordnet werden.[23]
Bei der Verletzung von PIPL-Vorschriften können Bußgelder in Höhe von bis zu 50 Millionen Yuan (ca. 6,5 Millionen Euro) oder fünf Prozent des Jahresumsatzes verhängt werden (Art. 66 Abs. 2 PIPL). Zudem können unrechtmäßige Einnahmen konfisziert werden. Auch Unterlassungsverfügungen im Zusammenhang mit einschlägigen Geschäftstätigkeiten sind denkbar. Ausländischen Organisationen oder Individuen, die datenschutzrechtswidrig handeln oder mit ihrem Verhalten die nationale Sicherheit und/oder öffentliche Interessen gefährden, können auf eine „Schwarze Liste“ gesetzt werden (Art. 42 PIPL). Damit können unter anderem eine offizielle Warnung, Auflagen und Beschränkungen sowie die Untersagung der Bereitstellung von Daten an diese Personen verbunden sein. Gemäß Art. 67 PIPL wirken sich Verstöße auch auf den Social Credit Score aus. Art. 69 PIPL sieht eine Schadensersatzpflicht des Verantwortlichen vor. Neu im Vergleich zu bisherigen Regelungen ist die Beweislastverteilung:[24] So liegt die Beweislast für eine Exkulpation gemäß Art. 69 PIPL beim Verantwortlichen. Auch sind nach Art. 71 PIPL strafrechtliche Sanktionen möglich. Sollte ein ausländischer Staat oder eine Region – damit dürfte insbesondere die Europäische Union gemeint sein – „diskriminierende Verbote oder Beschränkungen erlassen oder ähnliche Schritte gegen die Volksrepublik China im Bereich des Datenschutzes“ einleiten, drohen diesem bzw. dieser gemäß Art. 43 PIPL Vergeltungsmaßnahmen.[25] Parallelen zur europäischen Plattformregulierung sind bei den besonders strengen Pflichten für Plattformbetreiber bzw. soziale Netzwerke erkennbar, die unter anderem die Einrichtung eines unabhängigen Aufsichtskommitees und die regelmäßige Veröffentlichung von „Social Responsibility Reports“ vorsehen (Art. 58 PIPL). [26]
Fazit
Unternehmen, die in China geschäftlich tätig sind oder werden wollen, müssen sich auf eine Vielzahl neuer Pflichten einstellen. Generell dürften gerade für europäische bzw. in der EU tätige Unternehmen einige Punkte, vor allem bezüglich der strengen Anforderungen der DSGVO, „bekanntes Fahrwasser“ darstellen. Die DSGVO-Grundsätze können jedoch keinesfalls unmittelbar übertragen werden. Bei einigen Aspekten wie der Einordnung als der Bereitstellung von Produkten oder Dienstleistungen in China dienend bleibt zudem eine nähere Konkretisierung durch chinesische Behörden bzw. Gerichte abzuwarten.[27] Allgemein ist allerdings anzuraten, im Zweifel von einer Anwendbarkeit des PIPL auszugehen und entsprechende Maßnahmen zu ergreifen, um auf der sicheren Seite zu sein – insbesondere vor dem Hintergrund der generell eingeschränkten Rechtsschutzmöglichkeiten in der Volksrepublik und der umfangreichen behördlichen Befugnisse, die Unternehmen zur Offenlegung von Informationen, u.U. sogar von Geschäftsgeheimnissen zwingen können.[28] Inwieweit das chinesische Datenschutzrecht tatsächlich primär dem Datenschutz dienen wird oder ob es zuvorderst ein Instrument zur Beschränkung der unternehmerischen Handlungsspielräume[29], insbesondere mit Blick auf ausländische Firmen, darstellt, wird sich zeigen.
Zumindest wird jedoch angesichts der doch in vielen Aspekten starken Orientierung an der DSGVO die Exportfähigkeit der europäischen Datenschutzsystematik und -standards deutlich:[30] Nachgeahmt wird nur, was gut ist.[31]
Priska Katharina Büttel
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 3/2021. Die vollständige Ausgabe finden Sie hier.
[1] Zum CSL ausführlich Kipker, DSRITB 2019, 877.
[2] Vgl. ausführlich Geller, GRUR Int. 2020, 1191, insbesondere 1192 ff.
[3] Vgl. Heckmann/Scheurer, in: Heckmann/Paschke, jurisPK-Internetrecht, 7.Aufl., Kap. 9 Rn. 14 (m.w.N.).
[4] Vgl. die vorläufige inoffizielle englische Übersetzung des PIPL bei Creemers/Webster, Translation: Personal Information Protection Law of the People’s Republic of China (Effective Nov. 1, 2021), DigiChina Cyber Policy Center, Stanford University, 20.08.2021 sowie die Übersetzung der chinesischen Verfassung durch den Nationalen Volkskongress, National People’s Congress of the People’s Republic of China, Constitution of the People’s Republic of China (Full text after amendment on March 14, 2004), 06.09.2021; Geller, GRUR Int. 2020, 1191, 1192.
[5] Vgl. Heckmann/Scheurer, in: Heckmann/Paschke, jurisPK-Internetrecht, 7.Aufl., Kap. 9 Rn. 26 ff. (m.w.N.)
[6] Vgl. auch Lejeune, PinG 3/2021, 109, 114.
[7] Vgl. China will gewerblichen Datenschutz verbessern und lehnt sich insoweit an DSGVO an, Haufe Online, 25.08.2021.
[8] Vgl. Geller, GRUR Int. 2020, 1191, 1202.
[9] Vgl. Freyeisen, Chinas Sozialpunkte-System: Schikane von Wirtschaft und Bürgern?, Tagesschau.de, 04.08.2021; Bellmann, Sehnsucht nach dem Überwachungsstaat, SZ.de, 11.09.2019.
[10] Vgl. Martinek, jM 2020, 41, 41 f., dort auch zum Folgenden.
[11] Das bleibt auch weiterhin erlaubt, vgl. Art. 27 PIPL; Vgl. Johannes, ZD-Aktuell 2021, 05219.
[12] Vgl. Hao, Chinas Datenschutz-Paradoxon, Heise Online, 02.11.2020.
[13] Siehe die englische Übersetzung von Creemers/Webster (Fn. 3); Dt. Übers. d. Verf.
[14] Vgl. Lejeune, PinG 3/2021, 109, 111; Dai/Deng, Dentons Guide to China’s Personal Information Protection Law (PIPL), S. 6.
[15] Vgl. Johannes, ZD-Aktuell 2021, 05219; Dai/Deng (Fn. 10), S. 6.
[16] Vgl. Dai/Deng (Fn. 10), S. 6.
[17] Vgl. Johannes, ZD-Aktuell 2021, 05219.
[18] Vgl. auch Lejeune, PinG 3/2021, 109, 111.
[19] Vgl. Dai/Deng (Fn. 10), S. 6, dort auch zum Folgenden.
[20] Vgl. Dai/Deng (Fn. 10), S. 23, dort auch zum Folgenden.
[21] Vgl. Wagner, ZD 2021, 140, 141.
[22] Vgl. Johannes, ZD-Aktuell 2021, 05219.
[23] Vgl. Dai/Deng (Fn. 10), S. 20.
[24] Vgl. Geller, GRUR Int. 2020, 1191, 1200.
[25] Siehe die englische Übersetzung von Creemers/Webster (Fn. 3); Dt. Übers. d. Verf.
[26] Vgl. Kipker, Das neue chinesische Datenschutzgesetz PIPL ist da!, Beck Blog, 22.08.2021.
[27] Vgl. auch Johannes, ZD-Aktuell 2021, 05219; Lejeune, PinG 3/2021, 109, 114; Geller, GRUR Int. 2020, 1191, 1194.
[28] Vgl. Lejeune, PinG 3/2021, 109, 114; Geller, GRUR Int. 2020, 1191, 1192 f.
[29] Vgl. Lejeune, PinG 3/2021, 109, 114; Wagner, ZD 2021, 140, 144.
[30] Vgl. Kipker, ZD 2021, 397, 398.
[31] Richter, ZD 2021, 233, 234.
Sämtliche Links wurden zuletzt am 10.09.2021 abgerufen.