Seite 2: Import: Wie viel DSGVO steckt im PIPL?

Inhaltsverzeichnis

Gesetzgeberisch hat Xis Regierung die Pandemie nämlich intensiv genutzt und Gesetze im Goldachterschlag vorgelegt. Für sein Personal Information Protection Law (PIPL) hat man sich trotz der Abschottung nach außen nicht gescheut, Anleihen bei Europas Datenschutzgrundverordnung (DSGVO) zu machen. Zu den Gemeinsamkeiten gehören die Anerkennung eines Rechtsschutzes für die persönlichen Daten natürlicher Personen (Artikel 2), Informationspflichten zur Art der Verarbeitung und Speicherdauer, gewisse Mitteilungspflichten bei Datenverlusten, Ansprüche der Bürger auf Einsicht (Artikel 44, 45) und Berichtigung (Artikel 46) sowie auf Entschädigung bei Verletzung gegenüber den Datenverarbeitern (Artikel 69).

Es gibt das Konzept der informierten Einwilligung (Artikel 13.1). Zwar können Daten in einer Reihe von Fällen auch ohne Einwilligung verarbeitet werden, etwa von Arbeitgebern, in der Berichterstattung, in Notfallsituation oder wo es gesetzlich vorgesehen ist. Wie in der DSGVO enthält aber auch PIPL den Grundsatz, dass Service Provider Dienste nicht einfach verweigern dürfen, weil ein Nutzer der Art der Verarbeitung ihrer Daten nicht zustimmt.

Datenverarbeiter, die im Auftrag des Data Controllers arbeiten, sind durch die Bestimmungen gebunden (Artikel 20, 21). Spezielle Regeln gelten für "sensible Datenkategorien" (Artikel 28 ff.), zu denen biometrische, Gesundheitsdaten, Daten zu religiösen Anschauungen, Gesundheits-, Finanz- und Ortsdaten sowie die Daten von Kindern gehören. Für den Schutz der Daten von Kindern gibt es übrigens seit Ende 2019 bereits eigene Regeln auf Basis des chinesischen Gesetzes zur Cybersicherheit von 2017.

Datentransfers und Extraterritorialität

Abgeguckt hat sich Chinas Gesetzgeber von Europa auch das Prinzip der extraterritorialen Wirkung des Datenschutzes. Wer Daten chinesischer Bürger außerhalb des Reichs der Mitte verarbeitet, muss einen Bevollmächtigten innerhalb des Landes benennen, der als Ansprechpartner für Bürger und Behörden zur Verfügung steht (Artikel 53).

Bei Datentransfers ins Ausland legt Chinas Regierung allerdings nach. Kritische Infrastrukturbetreiber und große Provider – was das heißt, steht noch nicht fest – sollen grundsätzlich alle persönlichen Daten im Inland halten (Artikel 40). Wer eine Ausnahme haben will, muss sich einer eingehenden Prüfung durch die Cyberspace Administration of China (CAC) unterziehen.

Auch die Weitergabe chinesischer persönlicher Daten an nicht-chinesische Strafverfolgungsbehörden muss von offizieller Seite vorgenommen werden Artikel 41). Und dann gibt es noch die Warnung an alle ausländischen Unternehmen: Auch wer gegen Chinas Datenschutzgesetz im Ausland verstößt, muss mit Sanktionen rechnen (Artikel 42). Zudem behält man sich vor, ausländische Sanktionen gegenüber China im Bereich Datenschutz mit gleicher Münze heimzuzahlen.

Drakonisch klingen die Bestimmungen des am 1. September – drei Monate vor dem PIPL – in Kraft getretenen Datensicherheitsgesetzes (PDF-Datei): "Datenverarbeitungsprozesse außerhalb des Territoriums der Volksrepublik China, die der nationalen Sicherheit, dem öffentlichen Interesse oder den rechtmäßigen Ansprüchen der Bürger der VRC schaden, werden gemäß diesem Gesetz verfolgt", heißt es im Artikel 2 des Datensicherheitsgesetzes.