China verabschiedet Gesetz zum Schutz personenbezogener Daten

Weniger als ein Jahr nach der Veröffentlichung des ersten Gesetzentwurfs verabschiedete der Nationale Volkskongress der Volksrepublik China („China“) am 20. August 2021 das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law - „PIPL“).

Das PIPL tritt am 1. November 2021 in Kraft und ist Chinas erstes umfassendes Gesetz zum Schutz personenbezogener Daten. Zusammen mit dem Cybersicherheitsgesetz, dem – ebenfalls neuen –  Datensicherheitsgesetz und dem 4. Buch des Zivilgesetzbuches bildet das PIPL den Schlussstein für einen umfassenden Datenschutz in China.

Vergleichbar mit der Datenschutz-Grundverordnung der Europäischen Union („DSGVO“), legt auch das PIPL Regeln für die Verarbeitung personenbezogener Daten, sowie Grundsätze und gesetzliche Standards für den Schutz personenbezogener Daten fest.

Personenbezogene Daten dürfen demnach nur beim Vorliegen einer der im PIPL vorgesehenen Gründe und nach den Prinzipien der Offenheit und Transparenz verarbeitet werden. Die Datenverarbeitung ist auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken. Um den Schutz von personenbezogenen Daten sicherzustellen, sind Unternehmen verpflichtet, eine Reihe von Maßnahmen zu ergreifen und die Verantwortlichkeiten innerhalb eines Unternehmens klar zu benennen. Nach dem im PIPL verankerten Datenlokalisierungsprinzip sind personenbezogene Daten grundsätzlich innerhalb Chinas zu speichern, sofern die Menge der verarbeiteten Daten einen bestimmten Schwellenwert überschreitet.

Das PIPL wirkt zudem – wie auch die DSGVO – grenzüberschreitend und betrifft daher nicht nur Unternehmen innerhalb von China, sondern auch Unternehmen außerhalb Chinas, die personenbezogene Daten von natürlichen Personen in China verarbeiten. Daher sollten sich auch solche Unternehmen mit den Anforderungen des PIPL auseinandersetzen.

Bei einem Verstoß gegen das PIPL drohen, neben Bußgeldern von bis zu RMB 50 Millionen (ca. EUR 6,5 Millionen) bzw. 5% des Vorjahresumsatzes und Verwaltungsmaßnahmen einschließlich der Beschlagnahme der rechtswidrig erlangten Einnahmen oder dem Verbot der Geschäftstätigkeit, auch zivil- und strafrechtliche Haftung. Die für die Datenverarbeitung verantwortlichen Personen können zusätzlich mit einem Bußgeld von bis zu RMB 1 Million (ca. EUR 130,000.-) belegt werden.  

Obwohl das PIPL starke Ähnlichkeiten mit der DSGVO aufweist, reicht es nicht aus, die für die Einhaltung der DSGVO getroffenen Maßnahmen einfach auf das PIPL zu übertragen!

Erfahren Sie in unserem mit der Wirtschaftskammer Österreich geplanten Webinar welche Maßnahmen hierfür erforderlich sind. Sobald der Termin hierfür feststeht, informieren wir Sie auf unserem LinkedIn Kanal und auf unserer Website!

Sollten Sie schon jetzt Fragen zur Einhaltung des Datenschutzrechts in China haben, so stehen wir Ihnen selbstverständlich auch schon vorher zur Verfügung.

Ihr Burkardt & Partner Team