Personal Information Protection Law

PIPL betrifft auch deutsche Unternehmen

23.08.2021
Von   IDG ExpertenNetzwerk
Dennis-Kenji Kipker arbeitet als Professor für IT-Sicherheitsrecht an der Hochschule Bremen an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz. Dabei kommt bei ihm auch die Praxis nicht zu kurz: So ist er außerdem als Legal Advisor des VDE, CERT@VDE tätig und prägt im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin die zukünftige europäische und deutsche Cyber-Politik maßgeblich mit. Als Geschäftsführer des Beratungsunternehmens Certavo in Bremen setzt er sich überdies für die Entwicklung und Umsetzung pragmatischer Lösungen zur digitalen Compliance-Konformität von Unternehmen ein.“
In China wird Datenschutz immer wichtiger. Das neue Personal Information Protection Law (PIPL) übernimmt verschiedene Prinzipien aus der DSGVO.
Europäischer und chinesischer Datenschutz basiert nicht auf den gleichen Voraussetzungen und verfolgt nicht den gleichen Zweck.
Europäischer und chinesischer Datenschutz basiert nicht auf den gleichen Voraussetzungen und verfolgt nicht den gleichen Zweck.
Foto: Alexandros Michailidis - shutterstock.com

Die Flut an neuen IT-Gesetzen in der Volksrepublik China scheint kein Ende zu nehmen und betrifft aufgrund der so genannten "extraterritorialen Wirkung" immer stärker auch Unternehmen außerhalb des eigenen Landes. Nachdem in den letzten Jahren schon das Chinese Cybersecurity Law, das Data Security Law und das Kryptografiegesetz Thema waren, hat der chinesische Gesetzgeber mit dem am 20. August 2021 verabschiedeten Personal Information Protection Law (PIPL) einen neuen Meilenstein in der chinesischen Datenschutzgesetzgebung vorgelegt. Das PIPL ist dabei in jedweder Hinsicht besonders, denn es ist nicht nur die erste umfassende chinesische Datenschutzgesetzgebung, sondern übernimmt im gleichen Zuge auch eine Vielzahl von Regelungsprinzipien aus der in Europa bereits seit 2016 bekannten Datenschutzgrundverordnung (DSGVO).

Gerade deshalb stellen sich verschiedene Fragen, welche Rechtsfolgen das neue Gesetz, das zum 1. November 2021 in Kraft treten wird, entfaltet und ob das chinesische Datenschutzniveau nunmehr mit dem europäischen Standard vergleichbar ist.

PIPL vs. DSGVO: Unterschiede

Das PIPL ist nicht das einzige chinesische Gesetz, das Regelungsprinzipien aus dem EU-Datenschutz in chinesisches Recht überträgt, gleichwohl aber das erste Gesetz, das hierbei einen umfassenden, fast schon harmonisierenden Ansatz verfolgt. Dennoch wird das chinesische Datenschutzniveau ab November 2021 nicht mit dem Maßstab der DSGVO vergleichbar sein, denn:

  • zum einen ist in China eine Verfassungstradition des Datenschutzes unbekannt;

  • zum anderen verfolgt die Volksrepublik China eine ebenso gesetzlich begründete, umfassende staatliche Überwachungspraxis und in der Vergangenheit war es durchaus so, dass der Datenschutz unter Unternehmen und Privatpersonen nicht immer effektiv durchgesetzt wurde.

Zwar kann man einerseits hohe Bußgelder und Strafen infolge von Datenschutzverstößen androhen, aber letztlich ist jede gesetzliche Regelung nur so effektiv wie ihre Kontrollintensität. Hinzu kommt, dass die Aufsichtsbehörden in China nicht unabhängig sind.

Lesetipp: Bußgeldkatalog - Die teuersten Datenschutz-Fails

Ein weiterer Grund, warum der neue chinesische Datenschutz nicht wirklich mit den EU-Regularien zu vergleichen ist, betrifft die unterschiedliche Regelungsintention, denn Datenschutz wird in China vor allem unter wirtschaftlichen und politischen Gesichtspunkten betrachtet, auch mit Blick auf die nationale Sicherheit: Indem man gesetzliche Regelungen schafft, die den europäischen ähnlich sind, können sich chinesische Technologieexporteure, die vielfach von der DSGVO erfasst sind, besser auf deren Regelungen einstellen. Und man hat natürlich Sorge angesichts einer unkontrollierten Massendatenerhebung aus der Bevölkerung von Privatkonzernen, die jenseits der staatlichen Kontrolle stattfindet.

Auch darum finden sich in den Gesetzen Chinas beispielsweise Pflichten zur Datenlokalisierung, womit die Daten chinesischer Bürger nicht ohne Weiteres in das Ausland übermittelt werden dürfen – und das betrifft natürlich auch deutsche Unternehmen in China.

Lesetipp: Mit Logicalis und Alibaba - Wie DAT die Herausforderung China meisterte

PIPL schützt nicht vor staatlichen Eingriffen

Ein weiterer Grund für die exponentiell wachsende IT-Regulierung in China ist die Sorge der Volksrepublik, dass die chinesischen Tech-Konzerne durch ihr globales Wachstum zunehmend mächtiger und damit für die Staatspolitik unkontrollierbar werden. Bevor es zu spät ist, soll durch strenge Regularien vorgebeugt werden. Gerade am Beispiel der Studentenproteste in Hongkong wurde überdies deutlich, wie sich Entwicklungen in sozialen Medien verselbstständigen und eventuell chinakritische Tendenzen im eigenen Land nicht mehr zu kontrollieren sind. Auch hat sich Anfang dieses Jahres am Fall der Socialmedia-App „Clubhouse“ gezeigt, dass neue digitale Räume durchaus von der chinesischen Bevölkerung genutzt werden, um offen regierungskritische Gespräche zu führen. Neben der Regulierung kauft sich der Staat außerdem in wichtige Unternehmen aus der chinesischen Tech-Branche ein, wie jüngst die Beteiligung des chinesischen Staates an „Bytedance“ zeigt, dem Mutterkonzern der erfolgreichen internationalen Kurzvideoplattform „TikTok“.

Während das hohe EU-Datenschutzniveau für Bürger und Behörden gilt, verfolgt das PIPL einen anderen Schutzzweck – ein weiterer Grund also für die fehlende Vergleichbarkeit von europäischem und chinesischem Datenschutzrecht. Das neue Datenschutzgesetz zielt vor allem auf landeseigene Unternehmen, ausländische Unternehmen mit Geschäftstätigkeit in China und auf ausländische Behörden im Verhältnis zum chinesischen Bürger ab. Die Überwachungsgesetzgebung ist demgegenüber auch in der Volksrepublik China bereichsspezifischer Natur. Zumindest über Pflichten zur Datenlokalisierung kann aber mittelbar auch ein Schutz des chinesischen Bürgers gegenüber ausländischen Behörden gewährleistet werden, indem dessen Daten nicht ohne Weiteres in das Ausland übermittelt werden dürfen.

PIPL - neue Risiken für deutsche Unternehmen?

Klar ist, dass das PIPL eine erhebliche extraterritoriale Wirkung entfaltet und damit auch ausländische Unternehmen betrifft, die in der Volksrepublik China geschäftlich tätig sind. Darunter fallen zum Beispiel:

  • Pflichten, Repräsentanzen zu Datenschutzfragen in China aufzubauen;

  • bestimmte Auslandsdatentransfers zu unterlassen oder

  • Berichtspflichten gegenüber den chinesischen Aufsichtsbehörden.

Für Plattformbetreiber bzw. Social Networks gibt es darüber hinaus besonders strenge Pflichten, so beispielsweise, ein unabhängiges Aufsichtskomitee zu bestimmen. Für diesen Bereich sind tatsächlich auch Parallelen zur aktuellen europäischen Plattformregulierung erkennbar. Vor allem die chinesischen Regularien zur Datenlokalisierung und der eingeschränkte Auslandsdatentransfer dürften vielen Unternehmen nicht nur hierzulande Sorge bereiten, und die Tatsache, dass die gesetzlichen Regelungen auf Chinesisch verfasst sind und behördliche, sprachliche sowie natürlich auch gewisse kulturelle Barrieren bestehen. Hinzu tritt die oft erkennbare Auslegungsflexibilität chinesischer Rechtsvorschriften: So existieren auch im neuen PIPL verhältnismäßig unspezifische behördliche Genehmigungserfordernisse. (bw)