Das Datenschutzrecht in China hat sich Ende des Jahres 2023 nochmals entwickelt und sticht als ein Vorreiter in ihrer Durchsetzung in Asien hervor.
Um einen besseren Überblick zu den Datenschutzbestimmungen zu bekommen war Storymaker im Interview mit Frau Li Wang, Assistent Partner, und Herrn Ralph Koppitz, Partner, bei Rödl & Partner China:
In Übereinstimmung mit dem 14. Fünfjahresplan der Volksrepublik China werden Cybersicherheit und die Kontrolle über Daten als wichtige Elemente für Chinas politische Ziele hervorgehoben. Zum 1. Dezember 2023 lief eine wichtige Frist zur Implementierung der neuen Datenschutzrichtlinien ab.
Storymaker: Inwiefern orientieren sich Chinas Datenschutzbestimmungen an internationalen Datenschutzstandards, und wie können Unternehmen internationale und lokale Anforderungen in Einklang bringen?
Frau Li Wang: Was den Schutz personenbezogener Daten anbelangt, so enthält das chinesische Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law - PIPL") ähnliche Regeln wie die internationalen Datenschutzstandards, insbesondere die DSGVO.
Wie die DSGVO konzentriert sich auch das PIPL zunächst auf den Schutz der Grundrechte der betroffenen Personen, indem es ihnen das Recht auf Auskunft, das Recht auf Berichtigung und andere Rechte einräumt. Sowohl die DSGVO als auch die PIPL betonen, dass die Erhebung und Verarbeitung personenbezogener Daten in den meisten Fällen der ausdrücklichen Zustimmung der betroffenen Personen bedarf und dass personenbezogene Daten nur in dem erforderlichen Mindestumfang erhoben werden dürfen.
Im Vergleich zur Datenschutz-Folgenabschätzung nach der DSGVO enthält die PIPL detailliertere Regeln für die obligatorische Datenschutz-Folgenabschätzung (PIPIA) für bestimmte Datenverarbeitungsszenarien, wie die Verarbeitung sensibler personenbezogener Daten, die Bereitstellung personenbezogener Daten an Dritte, die grenzüberschreitende Übermittlung personenbezogener Daten usw.
Für die grenzüberschreitende Übermittlung personenbezogener Daten hat die zuständige chinesische Behörde in Anlehnung an die Standardvertragsklauseln der DSGVO eine eigene Vorlage für einen Standardvertrag veröffentlicht, den der Verarbeiter personenbezogener Daten und der Empfänger im Ausland befolgen und unterzeichnen müssen und der gemäß den PIPL auszuführen ist. Bei der Gestaltung der Compliance-Pfade für die Datenübermittlung hat China auch seine eigenen nationalen Bedingungen berücksichtigt und neben (i) dem Standardvertrag auch (ii) eine behördliche Sicherheitsbewertung, sowie (iii) eine Datenschutzzertifizierung eingeführt.
Storymaker: Wie gestaltet sich die Zusammenarbeit zwischen Unternehmen und Datenschutzaufsichtsbehörden in China?
Herrn Ralph Koppitz: Die Datenschutzaktivitäten unterliegen einer ständigen Überwachung durch die zuständige Datenschutzbehörde, also der Cybersecurity Administration of China (CAC). CAC erlässt laufend Vorschriften und Durchführungsbestimmungen und ist zuständig für die Auslegung der Vorschriften und die Sicherheitsbewertungen. Wenn kritische Informationsinfrastrukturen und wichtige Daten für den grenzüberschreitenden Datentransfer betroffen sind, muss dieser Transfer einer erfolgreichen Sicherheitsbewertung unterzogen werden, die von der CAC organisiert wird, und eine enge Zusammenarbeit mit der zuständigen Behörde ist in diesem Fall erforderlich.
Frau Li Wang: Was den Schutz personenbezogener Daten angeht, so sind bei der Übermittlung personenbezogener Daten ins Ausland ein Standardvertrag und die Folgenabschätzung zum Schutz personenbezogener Daten („PIPIA") bei den Behörden einzureichen. Die entsprechenden Aufzeichnungen sind intern drei Jahre lang zur Einsichtnahme durch die Behörden aufzubewahren. Im Falle eines Verstoßes gegen die chinesischen Datenschutzbestimmungen oder eines Vorfalls im Bereich der Cybersicherheit können Beschwerden oder Meldungen rechtzeitig an die CAC gerichtet werden, die dann entsprechende Sanktionsmaßnahmen ergreifen kann.
Herrn Ralph Koppitz: Die zuständige Behörde kann bei Verstößen gegen die Datenschutzvorschriften, insbesondere gegen die PIPL, verschiedene Sanktionen verhängen. Die zuständige Behörde kann Korrekturen anordnen, eine Verwarnung aussprechen oder unrechtmäßige Gewinne beschlagnahmen. Bei Verweigerung von Korrekturen muss der Betreiber mit einer Geldstrafe von bis zu 1 Million RMB rechnen, und gegen das verantwortliche Personal kann eine Geldstrafe von 10 000 bis 100 000 RMB verhängt werden. Im schlimmsten Fall kann eine Geldstrafe von bis zu 50 Millionen RMB oder 5 Prozent des Vorjahresumsatzes verhängt und die Einstellung des Geschäftsbetriebs angeordnet werden. Mitarbeiter drohen dann eine Geldstrafe von 100.000 bis 1 Million RMB, und es kann ihnen für einen bestimmten Zeitraum untersagt werden, als Geschäftsführer, Vorgesetzter, leitender Angestellter oder Datenschutzbeauftragter tätig zu sein.
Frau Li Wang: Das größte Ride-Hailing-Softwareunternehmen in China, DiDi, wurde im Juli 2022 von der CAC mit einer Geldstrafe in Höhe von 8,026 Milliarden RMB belegt, weil es gegen das Cybersicherheitsgesetz, das Datensicherheitsgesetz und das Gesetz zum Schutz personenbezogener Daten verstoßen hatte. Der CEO und der Präsident wurden mit einer Geldstrafe von jeweils 1 Million RMB belegt.
In der sich rasch verändernden Datenschutzlandschaft Chinas ist eine proaktive Herangehensweise entscheidend, um den rechtlichen Anforderungen gerecht zu werden und effektive Datenschutzpraktiken zu etablieren.
Storymaker: Welche Änderungen oder Ergänzungen in den Datenschutzbestimmungen Chinas können Unternehmen im Jahr 2024 erwarten und wie kann man sich darauf vorbereiten?
Frau Li Wang: Im September letzten Jahres wurde ein Entwurf zur Verringerung der Belastung von Unternehmen vorgelegt. Werden Daten für weniger als 10.000 Personen pro Jahr exportiert, würde nach dem Entwurf der Standardvertag entfallen. Unternehmen würden von der hohen Arbeitsbelastung bei der Vorbereitung und der Verpflichtung zur Einreichung von Standardverträgen befreit. Dieser Verordnungsentwurf sieht auch einige weiteren Szenarien als Ausnahmen vor. Zum Beispiel, wenn personenbezogene Daten ins Ausland übermittelt werden müssen, weil sie für den Abschluss und die Erfüllung eines Vertrags, an dem die betroffene Person beteiligt ist, erforderlich sind, wie z. B. bei grenzüberschreitenden Einkäufen, grenzüberschreitenden Überweisungen, Flugtickets und Hotelbuchungen, zur Visabearbeitung usw.“
Herrn Ralph Koppitz: Darüber hinaus wurde im vergangenen Jahr ein weiterer Entwurf veröffentlicht. Er sieht vor, dass Betreiber, die personenbezogene Daten von mehr als 1 Million Personen verarbeiten, jährlich zu einer Konformitätsprüfung verpflichtet sind, während andere Betreiber die Konformitätsprüfung nur alle zwei Jahre durchführen müssen. In dem Entwurf Verfahrensanforderungen sowie Pflichten der beteiligten Parteien festgelegt.
Alle diese Änderungen werden für 2024 erwartet, und die Datenverarbeiter sind aufgefordert, die notwendigen Vorbereitungen im Bereich des Datenschutzes zu treffen. Wichtig ist vor allem z. B. die Kenntnis der einschlägigen Datenschutzvorschriften, die praktische Erfahrung bei der Umsetzung von Vorschriften und technischen Anforderungen, um auf mögliche künftige Änderungen im Bereich des Datenschutzes gut vorbereitet zu sein.