PIPL China: Ist Ihr Unternehmen bereit?

Am 20. August 2021 verabschiedete China sein neues Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law, PIPL) - das erste seiner Art in dem ostasiatischen Land. Das Gesetz schafft ein neues Umfeld für die Sicherheit und den Schutz personenbezogener Daten.

Dieses Gesetz zum Schutz personenbezogener Daten wird weitreichende Auswirkungen auf die Geschäftstätigkeit in China haben, ähnlich wie die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union (EU) auf der ganzen Welt.

Chinas PIPL sieht neue Regeln für die Nutzung der Daten chinesischer Bürger durch Unternehmen vor, von denen vor allem Technologieunternehmen betroffen sein werden - nicht nur in China, sondern weltweit.

Ab dem 1. November 2021 müssen Organisationen, die mit den Daten chinesischer Bürger umgehen, bestimmte Bedingungen erfüllen, die in der PIPL festgelegt sind. Wenn Ihr SaaS-Unternehmen bereits GDPR-konform ist, dürfte es Ihnen leichter fallen, das PIPL-Konformitätsniveau zu erreichen.

Wenn Sie jedoch keine GDPR-Praktiken implementiert haben, muss Ihr Unternehmen möglicherweise zusätzliche Zeit aufwenden, um sich auf Chinas PIPL vorzubereiten. Das Gesetz macht die Einhaltung der Datensicherheit für Unternehmen, die in China tätig sind, noch komplexer.

Was ist Chinas PIPL?

Was ist PIPL?

Chinas PIPL ist ein Datenschutzgesetz, das neue Anforderungen an den Umgang mit Daten vorschreibt. Es ist vielleicht das derzeit strengste Datengesetz der Welt.

Das Gesetz zum Schutz personenbezogener Daten sieht Schutzmaßnahmen und Beschränkungen für die Datenerfassung und -übermittlung vor. Das Gesetz konzentriert sich insbesondere auf Apps, die personenbezogene Daten verwenden, um Verbraucher anzusprechen und ihnen personalisierte Werbung zu liefern.

Das PIPL zielt auch darauf ab, den Schutz personenbezogener Daten zu verbessern, indem es verhindert, dass Daten in andere Länder mit weniger strengen Datenschutz- oder Sicherheitsrichtlinien übermittelt werden.

Hintergrund der PIPL

Das PIPL ist Chinas drittes Gesetz, das auf die Regulierung von Technologie abzielt. Im Jahr 2017 wurde das Cybersicherheitsgesetz erlassen, dem dann Anfang 2021 das Datensicherheitsgesetz folgte. Nun vervollständigt das PIPL den Rahmen mit einem besonderen Schwerpunkt auf dem Schutz personenbezogener Daten.

Territorialer Geltungsbereich

Das PIPL hat auch extraterritoriale Anwendungen. Dieser Begriff bedeutet, dass die Vorschriften nicht nur für Aktivitäten innerhalb Chinas gelten, sondern unter bestimmten Bedingungen auch für den Umgang mit personenbezogenen Daten von Bürgern außerhalb der chinesischen Grenzen.

Es scheint also, dass SaaS-Unternehmen, die personenbezogene Daten chinesischer Bürger verarbeiten, auch ohne Präsenz in China an dieses Gesetz gebunden sein werden.

Das bedeutet, dass fast jedes größere Unternehmen in der Welt eine Strategie zur Einhaltung der PIPL benötigt. Und wenn Sie Software online verkaufen und Ihr Unternehmen mit den personenbezogenen Daten von Personen in China zu tun hat, müssen Sie sicherstellen, dass Sie die Anforderungen der PIPL konsequent erfüllen.PIPL und GDPR im Vergleich.

Was wird in der PIPL als "persönliche Daten" und "sensible persönliche Daten" definiert?

Nach dem chinesischen Datenschutzgesetz sind personenbezogene Daten definiert als alle Informationen wie Video-, Sprach- oder Bilddaten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, unabhängig davon, ob die Informationen in elektronischer oder anderer Form erfasst wurden. Diese Definition schließt alle anonymisierten Informationen aus.

Darüber hinaus definiert das PIPL sensible persönliche Informationen. Dieser Begriff bezieht sich auf persönliche Informationen, deren Bekanntwerden oder illegale Verwendung leicht die persönliche Würde einer natürlichen Person verletzen oder die Sicherheit von Personen oder Sachen beeinträchtigen könnte.

Beispiele für diese Art von Informationen sind biometrische Daten, religiöse Informationen, medizinische Informationen, Wohnadressen, finanzielle Informationen und persönliche Informationen von Personen unter 14 Jahren.

Warum ist die Unterscheidung zwischen diesen Arten von personenbezogenen Informationen wichtig?

SaaS-Unternehmen könnten verpflichtet werden, sensible personenbezogene Daten von anderen personenbezogenen Daten getrennt zu halten, um das Risiko zu verringern, dass vollständige Datensätze personenbezogener Daten weitergegeben werden, obwohl keine Zustimmung erteilt wurde.

Außerdem dürfen sensible Informationen nur verwendet werden, wenn sie für die Erreichung eines bestimmten Zwecks relevant sind, und sie müssen vom Verarbeiter unter allen Umständen geschützt werden.

6 Punkt Rechtsgrundlage für die Verarbeitung von Informationen

Die Einholung der Zustimmung der betroffenen Personen war schon immer eine der Grundlagen des Datenschutzes. Aber genau wie die DSGVO hat die Datenschutz-Grundverordnung nun offiziell den Begriff der Rechtsgrundlage für die Verarbeitung personenbezogener Daten wie folgt erweitert:

• Wenn es für den Abschluss oder die Erfüllung eines Vertrags oder für die Personalverwaltung erforderlich ist.

• Wenn es notwendig ist, um gesetzliche Aufgaben oder gesetzliche Verpflichtungen zu erfüllen.

• Wenn es notwendig ist, um auf einen Notfall im Bereich der öffentlichen Gesundheit zu reagieren oder die Interessen oder die Sicherheit einer Person in einem Notfall zu schützen.

• Wenn es für die Durchführung von Aktivitäten im öffentlichen Interesse notwendig ist.

• Wenn die betreffenden personenbezogenen Daten, die entweder von der betreffenden Person offengelegt wurden oder auf andere Weise rechtmäßig offengelegt wurden, in einem angemessenen Rahmen gemäß dem Gesetz verarbeitet werden.

• Andere Umstände, die in Gesetzen oder Verwaltungsvorschriften vorgesehen sind

Mindestens eines dieser Kriterien muss erfüllt sein, damit die Verarbeitung der personenbezogenen Daten einer betroffenen Person rechtmäßig ist.

Rechte des Einzelnen (6 Hauptpunkte)

Das PIPL räumt dem Einzelnen verschiedene Rechte ein, wenn es um den Schutz seiner persönlichen Daten geht. Dazu gehören:

• • Das Recht, über Angelegenheiten, die ihre persönlichen Daten betreffen, informiert zu werden und darüber zu entscheiden.

• Das Recht, die Verarbeitung ihrer personenbezogenen Daten einzuschränken oder zu verhindern.

• Das Recht auf Einsichtnahme und Kopie ihrer persönlichen Daten bei den Verarbeitern.

• Das Recht, ihre persönlichen Daten von einer Organisation zu einer anderen zu übertragen (Übertragbarkeit).
• Das Recht auf Berichtigung und Löschung ihrer persönlichen Daten.
• Das Recht, von den Verarbeitern eine Erläuterung der Verarbeitungsregeln zu verlangen.

Chinas PIPL: 7 Verpflichtungen für Verarbeiter

Das PIPL erlegt dem Verarbeiter personenbezogener Daten Verantwortung und Pflichten auf. Der Verarbeiter ist verpflichtet:

• Ausarbeitung interner Managementsysteme und Betriebsverfahren.

• Umsetzung einer geheimen Verwaltung des Schutzes personenbezogener Daten.

• Anwendung von technischen Sicherheitsmaßnahmen wie Verschlüsselung und De-Identifizierung.

• Vernünftige Festlegung der betrieblichen Berechtigungen für personenbezogene Daten und regelmäßige Schulung und Sicherheitsaufklärung des betrieblichen Personals.
• Ausarbeitung und Durchführung von Reaktionsplänen bei Sicherheitsvorfällen im Zusammenhang mit personenbezogenen Daten.
• Durchführung regelmäßiger Prüfungen der Einhaltung der Vorschriften.
• Ergreifen Sie weitere Sicherheitsmaßnahmen, die in Gesetzen und Vorschriften festgelegt sind.

Ein risikobasierter Ansatz

Das PIPL sieht einen risikobasierten Ansatz mit strengeren Einhaltungspflichten für Situationen vor, die als hohes Risiko gelten. So müssen beispielsweise Stellen, die personenbezogene Daten verarbeiten und deren Datenvolumen einen bestimmten (noch anzugebenden) Schwellenwert überschreitet, einen Datenschutzbeauftragten benennen. Diese Person wird die gesamte Verarbeitung personenbezogener Daten für die jeweilige Organisation überwachen.

Ein weiteres Beispiel ist, dass Unternehmen, die "Internetplattformen" mit vielen Nutzern betreiben, eine externe, unabhängige Stelle mit der Überwachung der Einhaltung der Vorschriften beauftragen müssen. Diese Unternehmen müssen auch regelmäßig Berichte über ihre soziale Verantwortung veröffentlichen, in denen der Erfolg ihrer Bemühungen um den Schutz personenbezogener Daten dargelegt wird.

Wie bereits erwähnt, werden sensible personenbezogene Daten als "risikoreicher" behandelt als normale personenbezogene Daten und müssen entsprechend behandelt werden.

Ist Chinas PIPL durchsetzbar?

Die kurze Antwort lautet: Ja. China kann diese Art von Datenschutzgesetzen erlassen, und Unternehmen, die mit der Verarbeitung personenbezogener Daten chinesischer Bürgerinnen und Bürger befasst sind, müssen das Gesetz einhalten, sobald es am 1. November 2021 in Kraft tritt.

Vergleich zwischen Chinas PIPL und der GDPR der EU

Viele bezeichnen die PIPL als "Chinas GDPR" - aus gutem Grund. Die PIPL ähnelt der GDPR am meisten, wenn man sie mit anderen Datenschutzgesetzen auf der ganzen Welt vergleicht.

Allerdings gibt es auch einige wesentliche Unterschiede. Lassen Sie uns diese Gemeinsamkeiten und Unterschiede kurz erläutern:

Beide sind extraterritorial.

Sowohl die Datenschutz-Grundverordnung als auch die PIPL konzentrieren sich stark auf die Einwilligung als primäre rechtliche Rechtfertigung für die Erhebung personenbezogener Daten. Wie bereits erwähnt, sind jedoch auch andere Rechtsgrundlagen für die Verarbeitung anwendbar. Wie die Datenschutz-Grundverordnung gibt auch die PIPL dem Einzelnen das Recht, auf seine personenbezogenen Daten zuzugreifen, sie anzufordern, zu bearbeiten, zu löschen, zu übertragen und ihre Erhebung und Verwendung einzuschränken.

Die Einwilligung ist in der DSGVO und der PIPL ähnlich geregelt. Die DSGVO verlangt von Unternehmen und Datenverarbeitern, einen EU-Vertreter zu benennen, während die PIPL unter bestimmten Bedingungen von Datenverarbeitern verlangt, einen Vertreter im Land zu benennen, der die Einhaltung der Vorschriften überwacht.

Das PIPL verlangt jedoch für einige Verarbeitungstätigkeiten eine gesonderte Zustimmung. Zu diesen Tätigkeiten gehören die Weitergabe personenbezogener Daten an andere verarbeitende Stellen, die öffentliche Bekanntgabe personenbezogener Daten, die Verarbeitung sensibler personenbezogener Daten und die Übermittlung personenbezogener Daten ins Ausland.

Die PIPL ähnelt der Datenschutz-Grundverordnung in Bezug auf die Rechte auf personenbezogene Daten, ist aber nicht so spezifisch wie die Datenschutz-Grundverordnung. Die beiden Gesetze sind in Bezug auf die grenzüberschreitende Übermittlung personenbezogener Daten ähnlich, aber die PIPL enthält einige zusätzliche Anforderungen. Wir werden später mehr darüber berichten.

Die DSGVO und die PIPL verlangen Folgenabschätzungen für die Datenverarbeitung, aber die Anforderungen, die diese Abschätzungen auslösen, sind unterschiedlich. Und schließlich konzentriert sich die DSGVO nicht auf die nationale Sicherheit, während dies eines der Hauptmerkmale der PIPL ist.

Wie könnte sich die PIPL auf mein SaaS-Geschäft auswirken?

PIPL Strategie zur Einhaltung der Vorschriften

Jedes SaaS-Unternehmen, das personenbezogene Daten chinesischer Bürger verarbeitet, muss eine Strategie zur Einhaltung der PIPL entwickeln. Die Erstellung dieser Strategie erfordert die Auseinandersetzung mit allen PIPL-Anforderungen, um einen umfassenden Compliance-Rahmen zu entwickeln.

Anforderungen an die grenzüberschreitende Übermittlung personenbezogener Daten

Für die grenzüberschreitende Übermittlung personenbezogener Daten gelten strenge Anforderungen. Wenn eine verarbeitende Stelle plant, personenbezogene Daten an Stellen außerhalb Chinas zu übermitteln, muss sie die betroffenen Personen genau über die Übermittlung informieren. Darüber hinaus muss die verarbeitende Stelle die notwendigen Schritte unternehmen, um sicherzustellen, dass die personenbezogenen Daten weiterhin gemäß den Anforderungen des PIPL behandelt werden.

Schließlich muss die verarbeitende Stelle eine Folgenabschätzung zum Schutz personenbezogener Daten durchführen.

Bewertung der Sicherheit

Unternehmen, die große Mengen an personenbezogenen Daten verarbeiten, sollten die Daten lokal speichern. Wenn das Unternehmen die Daten nicht lokal speichern kann und sie an einen anderen Ort übertragen muss, hat die chinesische Cyberspace-Verwaltung (CAC) das Recht, eine aufsichtliche Sicherheitsbewertung durchzuführen.

Betreiber kritischer Informationsinfrastrukturen (KII)

Kritische Informationsinfrastrukturen (KII) sind Informationen, deren Zerstörung, Veränderung oder Weitergabe der Sicherheit des Staates, der Volkswirtschaft oder der Lebensgrundlage der Menschen schweren Schaden zufügen könnte.

Einige Beispiele für Branchen, die als Betreiber kritischer Informationsinfrastrukturen eingestuft werden, sind öffentliche Kommunikations- und Informationsdienste sowie der Energie-, Verkehrs- und Finanzsektor.

Die Betreiber dieser Art von Informationen müssen spezielle Sicherheitsprüfungen bestehen, bevor sie personenbezogene Daten aus China heraus versenden. Wenn Ihr Unternehmen mit dieser Art von personenbezogenen Daten arbeitet, müssen Sie sicherstellen, dass Sie die Prüfung bestehen, um weiterhin in dem Land tätig sein zu können.

Persönlich identifizierbare Informationen (PII) Vertreter im Land und Schulungen

SaaS-Unternehmen, die mit großen Mengen personenbezogener Daten umgehen, müssen Vertreter im Land benennen, die sich um den Umgang mit Daten und die Einhaltung von Vorschriften kümmern. Außerdem muss jeder, der mit dem Datenschutz zu tun hat, an einer Pflichtschulung teilnehmen...

Überlegungen zur Einhaltung von IT-Systemen

Das PIPL schreibt vor, dass personenbezogene Daten, die von KII-Betreibern (und Betreibern, die personenbezogene Daten verarbeiten) gesammelt werden und eine bestimmte, von der CAC festgelegte Menge erreichen, in China gespeichert werden müssen. Diese Vorschrift bedeutet, dass viele Unternehmen eine neue Infrastruktur für ihre Firmen im Land aufbauen müssen.

Auch wenn Sie die Daten in China speichern, gelten sie als grenzüberschreitende Übermittlung, wenn ein Nutzer außerhalb des Landes Zugriff darauf hat.

Strafen, Bußgelder und schwarze Listen für nicht konforme Unternehmen

Wenn Ihr SaaS-Geschäft die vorgegebenen PIPL-Vorschriften nicht einhält, können die chinesischen Aufsichtsbehörden Maßnahmen ergreifen. Sie können zum Beispiel Verwarnungen aussprechen, die Lizenz Ihres Unternehmens aussetzen, Ihnen eine Geldstrafe auferlegen oder Ihnen sogar die Geschäftstätigkeit in Ihrem Land ganz untersagen. Die Geldstrafe kann bis zu 50 Millionen RMB oder 5 % des Jahresumsatzes Ihres Unternehmens im vorangegangenen Geschäftsjahr betragen.

Ein Unternehmen kann auch für Schadenersatz aus unerlaubter Handlung haftbar gemacht werden, wenn es die Rechte von Einzelpersonen in Bezug auf deren persönliche Daten verletzt. Wenn der Verstoß eine große Gruppe betrifft, könnte das Unternehmen außerdem mit einer Klage im öffentlichen Interesse konfrontiert werden.

Erste Schritte auf dem Weg zur Einhaltung der PIPL

Nach der Lektüre dieses Artikels ist Ihnen vielleicht klar geworden, dass Ihr Unternehmen einige wesentliche Änderungen vornehmen muss, um die PIPL-Vorschriften einzuhalten. Sie wissen nicht, wo Sie anfangen sollen?

Der erste Schritt besteht darin, die Phasen des Datenlebenszyklus zu betrachten. Bewerten Sie dann für jede Lebenszyklusphase Ihre Verfahren anhand der Anforderungen der PIPL und nehmen Sie gegebenenfalls Anpassungen vor, um sicherzustellen, dass Sie die Vorschriften einhalten.