Chinas Datenschutzgesetz: Konsequenzen für Unternehmen

Das Update Winter 2021 Ihres PwC China Compass machte Sie mit den wichtigsten Aspekten des neuen chinesischen Datenschutzgesetzes (Personal Information Protection Law, PIPL) bekannt. Seitdem stellen Unternehmen viele Fragen, speziell zu zwei Themen: Wie gewährleistet man die Einhaltung des neuen Gesetzes?

Wie nutzt man Synergien bei der Einhaltung der Vorgaben der Europäischen Datenschutzgrundverordnung (EU-DSGVO) und des neuen Schweizer Datenschutzgesetzes (revDSG)? Dieser Beitrag gibt Antworten und fasst die wichtigsten praktischen Aspekte für Sie zusammen.

Lokale Speicherung personenbezogener Daten

Die PIPL sieht eine strenge Pflicht zur Lokalisierung von Daten nur für bestimmte Einrichtungen vor. Dazu gehören die Betreiber kritischer Informationsinfrastrukturen (CIIO), wie etwa Anbieter von Informationsdiensten, Energie-, Verkehrs- oder Finanzdienstleistungen. Das Gleiche gilt für Unternehmen, die große Mengen personenbezogener Daten verarbeiten, etwa große Cloudplattformen. Ab welchen Datenmengen Unternehmen dazu verpflichtet sind, muss die nationale Datenschutzbehörde Chinas (Cyberspace Administration of China, CAC) noch festlegen.

Die gute Nachricht: Die meisten ausländischen Unternehmen müssen keine unabhängigen Rechenzentren und IT-Infrastrukturen aufbauen, um die Pflicht zur Datenlokalisierung zu erfüllen. Allerdings sind die Standards für gesetzeskonforme grenzüberschreitende Datenübertragungen, zu denen auch die Fernabfrage von in China gespeicherten Daten gehört, recht streng.

Extraterritoriale Übertragung von Daten

Für die rechtmäßige Übermittlung von personenbezogenen Daten oder den Zugriff auf sie von außerhalb Chinas gilt:

• Eine der folgenden Bedingungen muss erfüllt sein: Das Unternehmen hat
  • eine vom CAC durchgeführte Sicherheitsbewertung bestanden.
  • ein Schutzzertifikat für personenbezogene Daten durch eine vom CAC akkreditierte Agentur erworben.
  • einen standardisierten CAC-Vertrag abgeschlossen (vergleichbar mit den Standardvertragsklauseln der EU-DSGVO).
  • eine grenzüberschreitende Weisung zur Einhaltung von Gesetzen und Vorschriften oder anderen CAC-Anforderungen erhalten.
• Die betroffenen Personen wurden über die Einzelheiten der Übermittlung informiert und haben eine gesonderte Einwilligung erteilt.
  Gut zu wissen: Da sie nicht im Zuge anderer Verarbeitungszwecke erfolgen darf, kann sich die Einholung einer separaten spezifischen Einwilligung als schwierig erweisen.
• Es wurden die erforderlichen Maßnahmen ergriffen, um zu gewährleisten, dass die Empfänger der extraterritorialen Daten das gleiche Schutzniveau gewährleisten, das nach PIPL erforderlich ist. In der Praxis wird dies mit einer vorherigen Sorgfaltspflicht, (geänderten) Vertragsklauseln und einer ständigen Überwachung einhergehen.
• Es wurde eine Folgenabschätzung zum Schutz personenbezogener Daten (Personal Information Protection Impact Assessment, PIPIA) durchgeführt.

Die von der CAC geleitete Sicherheitsbewertung muss dort durchgeführt werden, wo

• wichtige Daten übertragen werden.
• CIIOs oder in China ansässige Unternehmen personenbezogene Daten von einer Million oder mehr Personen verarbeiten.
• die kumulative Übermittlung personenbezogener Daten 100.000 Personen oder die Übermittlung sensibler personenbezogener Daten 10.000 Personen (seit dem 1. Januar des jeweils vorangegangenen Jahres) übersteigt.

Andere einschlägige chinesische Gesetze und Vorschriften schreiben Sicherheitsbewertungen vor.

Positive Sicherheitsbewertungen sind zwei Jahre lang gültig. In Teilen gleichen sie dem Angemessenheitsbeschluss der DSGVO, wobei sie natürlich nur für den einzelnen Fall und nicht für ganze Länder gelten. Bitte beachten Sie: Die Pflicht, ein PIPIA durchzuführen, gilt für alle Unternehmen, die sensible personenbezogene Daten verarbeiten, automatisierte Entscheidungsprozesse durchführen oder personenbezogene Daten verarbeiten, die erhebliche Auswirkungen auf persönliche Rechte und Interessen haben. Ein entsprechendes Verzeichnis der Verarbeitungstätigkeiten muss mindestens drei Jahre lang aufbewahrt werden. Dieses Verfahren verlangt von den Unternehmen, den Zweck der Verarbeitungstätigkeiten und die damit verbundenen potenziellen Risiken für den Einzelnen zu ermitteln und sicherzustellen, dass geeignete Kontrollmaßnahmen vorhanden sind.

Datenschutzbeauftragter

Unternehmen, die große Mengen personenbezogener Daten verarbeiten – der genaue Schwellenwert wird noch festgelegt –, müssen einen Datenschutzbeauftragten (Personal Information Protection Officer, PIPO) ernennen, ähnlich dem Datenschutzbeauftragten der DSGVO oder des revDSG, oder ein lokales Büro einrichten.

Datenschutzerklärung

Die betroffenen Personen müssen durch eine Datenschutzerklärung oder eine andere Art von Mitteilung darüber informiert werden, wie ihre personenbezogenen Daten erhoben, verarbeitet und weitergegeben werden. Die Informationen müssen wahrheitsgetreu, präzise und in einer leicht verständlichen Sprache vermittelt werden.

Die Erklärung sollte mindestens Folgendes enthalten:

• Name und Kontaktdaten der Stelle, die die personenbezogenen Daten verarbeitet
• Art der erhobenen personenbezogenen Daten und Zweck der Erhebung
• Aufbewahrungsdauer und Ort der Speicherung der personenbezogenen Daten
• Bedingungen für die Übermittlung personenbezogener Daten an Dritte oder außerhalb des Hoheitsgebiets
• Bedingungen für die Übermittlung personenbezogener Daten an Dritte oder außerhalb des Hoheitsgebiets

Auftragsbearbeitungsvereinbarung

Wenn eine andere Person mit der Verarbeitung personenbezogener Daten betraut ist, muss eine Auftragsbearbeitungsvereinbarung abgeschlossen werden. Diese Vereinbarung regelt den Zweck, die Dauer und die Art und Weise der Datenbearbeitung. Das umfasst die relevanten Kategorien personenbezogener Daten, die Maßnahmen, die zu ihrem angemessenen Schutz ergriffen werden, die Dauer und die damit verbundenen Rechte und Pflichten.

Die beauftragten Personen dürfen keine personenbezogenen Daten über den Rahmen des Vertrags hinaus verarbeiten und müssen die personenbezogenen Daten bei Nichtigkeit, Kündigung oder Beendigung des Vertrags zurückgeben und anschließend löschen.

Wird der Schutz der Daten verletzt, sind unverzüglich Abhilfemaßnahmen zu ergreifen und das CAC ist gegebenenfalls zu benachrichtigen. Die betroffenen Personen müssen auch benachrichtigt werden, wenn ein Risiko besteht, dass diese einen Schaden erleiden könnten.

Drohende Sanktionen

Unternehmen, die gegen das PIPL verstoßen, können mit Geldbußen von bis zu 50 Millionen Yuan (CNY, rund 6,9 Millionen CHF/Euro) oder 5 Prozent des Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr belegt werden. Die verantwortlichen Personen selbst können mit Strafen von bis zu einer Million CNY (circa 140.000 CHF/Euro) belegt werden. Durch die Beibehaltung eines „mutmaßlichen Verschuldens“-Standards legt das PIPL die Beweislast auf den Verarbeiter personenbezogener Daten und nicht auf die zuständige Behörde.

Notwendige Schritte

Obwohl die Einhaltung der DSGVO und/oder des revDSG die Einhaltung des PIPL erleichtert, ist es wichtig, die Unterschiede zwischen den verschiedenen Datenschutznormen zu verstehen, um die Komplexität des chinesischen Rechtsrahmens vollständig zu erfassen. Dies erfordert, einen lokalen Rechtsexperten hinzuzuziehen und über ausreichend technologische Kenntnisse zu verfügen, die IT-Architektur und -Praktiken sowie die personenbezogenen Datenströme zu erfassen. Unternehmen aus der Schweiz, Deutschland oder Österreich mit einer entsprechenden Exponierung in China sollten daher ihre Richtlinien und Prozesse so rasch wie möglich überprüfen und entsprechend anpassen.

Bitte berücksichtigen Sie: Die Situation wird sich weiterhin dynamisch entwickeln, da noch einige Klarstellungen der chinesischen Behörden ausstehen. Ebenso wird die Anwendung des Gesetzes in der Praxis zu weiteren Fragestellungen führen. Über sich daraus und aus den Klarstellungen der chinesischen Behörden ergebende Fragestellungen werden wir Sie in einem späteren Update des PwC China Compass informieren. In der Zwischenzeit wenden Sie sich bitte an die Fachleute bei PwC China, Schweiz, Deutschland und Österreich, die Ihre Fragen gern beantworten.