PIPL China: Ist Ihr Unternehmen bereit?
Am 20. August 2021 verabschiedete China sein neues Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law, PIPL) - das erste seiner Art in dem ostasiatischen Land. Das Gesetz schafft ein neues Umfeld für die Sicherheit und den Schutz personenbezogener Daten.
Dieses Gesetz zum Schutz personenbezogener Daten wird weitreichende Auswirkungen auf die Geschäftstätigkeit in China haben, ähnlich wie die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union (EU) auf der ganzen Welt.
Chinas PIPL sieht neue Regeln für die Nutzung der Daten chinesischer Bürger durch Unternehmen vor, von denen vor allem Technologieunternehmen betroffen sein werden - nicht nur in China, sondern weltweit.
Ab dem 1. November 2021 müssen Organisationen, die mit den Daten chinesischer Bürger umgehen, bestimmte Bedingungen erfüllen, die in der PIPL festgelegt sind. Wenn Ihr SaaS-Unternehmen bereits GDPR-konform ist, dürfte es Ihnen leichter fallen, das PIPL-Konformitätsniveau zu erreichen.
Wenn Sie jedoch keine GDPR-Praktiken implementiert haben, muss Ihr Unternehmen möglicherweise zusätzliche Zeit aufwenden, um sich auf Chinas PIPL vorzubereiten. Das Gesetz macht die Einhaltung der Datensicherheit für Unternehmen, die in China tätig sind, noch komplexer.
Was ist Chinas PIPL?
Was ist PIPL?
Chinas PIPL ist ein Datenschutzgesetz, das neue Anforderungen an den Umgang mit Daten vorschreibt. Es ist vielleicht das derzeit strengste Datengesetz der Welt.
Das Gesetz zum Schutz personenbezogener Daten sieht Schutzmaßnahmen und Beschränkungen für die Datenerfassung und -übermittlung vor. Das Gesetz konzentriert sich insbesondere auf Apps, die personenbezogene Daten verwenden, um Verbraucher anzusprechen und ihnen personalisierte Werbung zu liefern.
Das PIPL zielt auch darauf ab, den Schutz personenbezogener Daten zu verbessern, indem es verhindert, dass Daten in andere Länder mit weniger strengen Datenschutz- oder Sicherheitsrichtlinien übermittelt werden.
Hintergrund der PIPL
Das PIPL ist Chinas drittes Gesetz, das auf die Regulierung von Technologie abzielt. Im Jahr 2017 wurde das Cybersicherheitsgesetz erlassen, dem dann Anfang 2021 das Datensicherheitsgesetz folgte. Nun vervollständigt das PIPL den Rahmen mit einem besonderen Schwerpunkt auf dem Schutz personenbezogener Daten.
Territorialer Geltungsbereich
Das PIPL hat auch extraterritoriale Anwendungen. Dieser Begriff bedeutet, dass die Vorschriften nicht nur für Aktivitäten innerhalb Chinas gelten, sondern unter bestimmten Bedingungen auch für den Umgang mit personenbezogenen Daten von Bürgern außerhalb der chinesischen Grenzen.
Diese Bedingungen lauten wie folgt:
Wenn der Zweck darin besteht, Produkte oder Dienstleistungen für Personen innerhalb Chinas bereitzustellen.
Hier werden die Aktivitäten von Menschen innerhalb Chinas analysiert oder bewertet.
Sonstige in den Rechts- und Verwaltungsvorschriften vorgesehene Umstände.
Es scheint also, dass SaaS-Unternehmen, die personenbezogene Daten chinesischer Bürger verarbeiten, auch ohne Präsenz in China an dieses Gesetz gebunden sein werden.
Das bedeutet, dass fast jedes größere Unternehmen in der Welt eine Strategie zur Einhaltung der PIPL benötigt. Und wenn Sie Software online verkaufen und Ihr Unternehmen mit den personenbezogenen Daten von Personen in China zu tun hat, müssen Sie sicherstellen, dass Sie die Anforderungen der PIPL konsequent erfüllen.PIPL und GDPR im Vergleich.
Was wird in der PIPL als "persönliche Daten" und "sensible persönliche Daten" definiert?
Nach dem chinesischen Datenschutzgesetz sind personenbezogene Daten definiert als alle Informationen wie Video-, Sprach- oder Bilddaten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, unabhängig davon, ob die Informationen in elektronischer oder anderer Form erfasst wurden. Diese Definition schließt alle anonymisierten Informationen aus.
Darüber hinaus definiert das PIPL sensible persönliche Informationen. Dieser Begriff bezieht sich auf persönliche Informationen, deren Bekanntwerden oder illegale Verwendung leicht die persönliche Würde einer natürlichen Person verletzen oder die Sicherheit von Personen oder Sachen beeinträchtigen könnte.
Beispiele für diese Art von Informationen sind biometrische Daten, religiöse Informationen, medizinische Informationen, Wohnadressen, finanzielle Informationen und persönliche Informationen von Personen unter 14 Jahren.
Warum ist die Unterscheidung zwischen diesen Arten von personenbezogenen Informationen wichtig?
SaaS-Unternehmen könnten verpflichtet werden, sensible personenbezogene Daten von anderen personenbezogenen Daten getrennt zu halten, um das Risiko zu verringern, dass vollständige Datensätze personenbezogener Daten weitergegeben werden, obwohl keine Zustimmung erteilt wurde.
Außerdem dürfen sensible Informationen nur verwendet werden, wenn sie für die Erreichung eines bestimmten Zwecks relevant sind, und sie müssen vom Verarbeiter unter allen Umständen geschützt werden.
Ihr professioneller eCommerce-Partner
Keine Integrationen von Drittanbietern. Keine versteckten Kosten. Keine verschwendete Zeit.
Nur eine Lösung, die so einzigartig ist wie die Bedürfnisse Ihres Unternehmens.
6 Punkt Rechtsgrundlage für die Verarbeitung von Informationen
Die Einholung der Zustimmung der betroffenen Personen war schon immer eine der Grundlagen des Datenschutzes. Aber genau wie die DSGVO hat die Datenschutz-Grundverordnung nun offiziell den Begriff der Rechtsgrundlage für die Verarbeitung personenbezogener Daten wie folgt erweitert:
-
Wenn es für den Abschluss oder die Erfüllung eines Vertrags oder für die Personalverwaltung erforderlich ist.
-
Wenn es notwendig ist, um gesetzliche Aufgaben oder gesetzliche Verpflichtungen zu erfüllen.
-
Wenn es notwendig ist, um auf einen Notfall im Bereich der öffentlichen Gesundheit zu reagieren oder die Interessen oder die Sicherheit einer Person in einem Notfall zu schützen.
-
Wenn es für die Durchführung von Aktivitäten im öffentlichen Interesse notwendig ist.
-
Wenn die betreffenden personenbezogenen Daten, die entweder von der betreffenden Person offengelegt wurden oder auf andere Weise rechtmäßig offengelegt wurden, in einem angemessenen Rahmen gemäß dem Gesetz verarbeitet werden.
-
Andere Umstände, die in Gesetzen oder Verwaltungsvorschriften vorgesehen sind
Mindestens eines dieser Kriterien muss erfüllt sein, damit die Verarbeitung der personenbezogenen Daten einer betroffenen Person rechtmäßig ist.
Rechte des Einzelnen (6 Hauptpunkte)
Das PIPL räumt dem Einzelnen verschiedene Rechte ein, wenn es um den Schutz seiner persönlichen Daten geht. Dazu gehören:
-
- Das Recht, über Angelegenheiten, die ihre persönlichen Daten betreffen, informiert zu werden und darüber zu entscheiden.
-
Das Recht, die Verarbeitung ihrer personenbezogenen Daten einzuschränken oder zu verhindern.
-
Das Recht auf Einsichtnahme und Kopie ihrer persönlichen Daten bei den Verarbeitern.
- Das Recht, ihre persönlichen Daten von einer Organisation zu einer anderen zu übertragen (Übertragbarkeit).
- Das Recht auf Berichtigung und Löschung ihrer persönlichen Daten.
- Das Recht, von den Verarbeitern eine Erläuterung der Verarbeitungsregeln zu verlangen.
Chinas PIPL: 7 Verpflichtungen für Verarbeiter
Das PIPL erlegt dem Verarbeiter personenbezogener Daten Verantwortung und Pflichten auf. Der Verarbeiter ist verpflichtet:
-
Ausarbeitung interner Managementsysteme und Betriebsverfahren.
-
Umsetzung einer geheimen Verwaltung des Schutzes personenbezogener Daten.
-
Anwendung von technischen Sicherheitsmaßnahmen wie Verschlüsselung und De-Identifizierung.
- Vernünftige Festlegung der betrieblichen Berechtigungen für personenbezogene Daten und regelmäßige Schulung und Sicherheitsaufklärung des betrieblichen Personals.
- Ausarbeitung und Durchführung von Reaktionsplänen bei Sicherheitsvorfällen im Zusammenhang mit personenbezogenen Daten.
- Durchführung regelmäßiger Prüfungen der Einhaltung der Vorschriften.
- Ergreifen Sie weitere Sicherheitsmaßnahmen, die in Gesetzen und Vorschriften festgelegt sind.
Ein risikobasierter Ansatz
Das PIPL sieht einen risikobasierten Ansatz mit strengeren Einhaltungspflichten für Situationen vor, die als hohes Risiko gelten. So müssen beispielsweise Stellen, die personenbezogene Daten verarbeiten und deren Datenvolumen einen bestimmten (noch anzugebenden) Schwellenwert überschreitet, einen Datenschutzbeauftragten benennen. Diese Person wird die gesamte Verarbeitung personenbezogener Daten für die jeweilige Organisation überwachen.
Ein weiteres Beispiel ist, dass Unternehmen, die "Internetplattformen" mit vielen Nutzern betreiben, eine externe, unabhängige Stelle mit der Überwachung der Einhaltung der Vorschriften beauftragen müssen. Diese Unternehmen müssen auch regelmäßig Berichte über ihre soziale Verantwortung veröffentlichen, in denen der Erfolg ihrer Bemühungen um den Schutz personenbezogener Daten dargelegt wird.
Wie bereits erwähnt, werden sensible personenbezogene Daten als "risikoreicher" behandelt als normale personenbezogene Daten und müssen entsprechend behandelt werden.
Ist Chinas PIPL durchsetzbar?
Die kurze Antwort lautet: Ja. China kann diese Art von Datenschutzgesetzen erlassen, und Unternehmen, die mit der Verarbeitung personenbezogener Daten chinesischer Bürgerinnen und Bürger befasst sind, müssen das Gesetz einhalten, sobald es am 1. November 2021 in Kraft tritt.
Vergleich zwischen Chinas PIPL und der GDPR der EU
Viele bezeichnen die PIPL als "Chinas GDPR" - aus gutem Grund. Die PIPL ähnelt der GDPR am meisten, wenn man sie mit anderen Datenschutzgesetzen auf der ganzen Welt vergleicht.
Allerdings gibt es auch einige wesentliche Unterschiede. Lassen Sie uns diese Gemeinsamkeiten und Unterschiede kurz erläutern:
Beide sind extraterritorial.
Sowohl die Datenschutz-Grundverordnung als auch die PIPL konzentrieren sich stark auf die Einwilligung als primäre rechtliche Rechtfertigung für die Erhebung personenbezogener Daten. Wie bereits erwähnt, sind jedoch auch andere Rechtsgrundlagen für die Verarbeitung anwendbar. Wie die Datenschutz-Grundverordnung gibt auch die PIPL dem Einzelnen das Recht, auf seine personenbezogenen Daten zuzugreifen, sie anzufordern, zu bearbeiten, zu löschen, zu übertragen und ihre Erhebung und Verwendung einzuschränken.
Die Einwilligung ist in der DSGVO und der PIPL ähnlich geregelt. Die DSGVO verlangt von Unternehmen und Datenverarbeitern, einen EU-Vertreter zu benennen, während die PIPL unter bestimmten Bedingungen von Datenverarbeitern verlangt, einen Vertreter im Land zu benennen, der die Einhaltung der Vorschriften überwacht.
Das PIPL verlangt jedoch für einige Verarbeitungstätigkeiten eine gesonderte Zustimmung. Zu diesen Tätigkeiten gehören die Weitergabe personenbezogener Daten an andere verarbeitende Stellen, die öffentliche Bekanntgabe personenbezogener Daten, die Verarbeitung sensibler personenbezogener Daten und die Übermittlung personenbezogener Daten ins Ausland.
Die PIPL ähnelt der Datenschutz-Grundverordnung in Bezug auf die Rechte auf personenbezogene Daten, ist aber nicht so spezifisch wie die Datenschutz-Grundverordnung. Die beiden Gesetze sind in Bezug auf die grenzüberschreitende Übermittlung personenbezogener Daten ähnlich, aber die PIPL enthält einige zusätzliche Anforderungen. Wir werden später mehr darüber berichten.
Die DSGVO und die PIPL verlangen Folgenabschätzungen für die Datenverarbeitung, aber die Anforderungen, die diese Abschätzungen auslösen, sind unterschiedlich. Und schließlich konzentriert sich die DSGVO nicht auf die nationale Sicherheit, während dies eines der Hauptmerkmale der PIPL ist.
Wie könnte sich die PIPL auf mein SaaS-Geschäft auswirken?
PIPL Strategie zur Einhaltung der Vorschriften
Jedes SaaS-Unternehmen, das personenbezogene Daten chinesischer Bürger verarbeitet, muss eine Strategie zur Einhaltung der PIPL entwickeln. Die Erstellung dieser Strategie erfordert die Auseinandersetzung mit allen PIPL-Anforderungen, um einen umfassenden Compliance-Rahmen zu entwickeln.
Anforderungen an die grenzüberschreitende Übermittlung personenbezogener Daten
Für die grenzüberschreitende Übermittlung personenbezogener Daten gelten strenge Anforderungen. Wenn eine verarbeitende Stelle plant, personenbezogene Daten an Stellen außerhalb Chinas zu übermitteln, muss sie die betroffenen Personen genau über die Übermittlung informieren. Darüber hinaus muss die verarbeitende Stelle die notwendigen Schritte unternehmen, um sicherzustellen, dass die personenbezogenen Daten weiterhin gemäß den Anforderungen des PIPL behandelt werden.
Schließlich muss die verarbeitende Stelle eine Folgenabschätzung zum Schutz personenbezogener Daten durchführen.
Bewertung der Sicherheit
Unternehmen, die große Mengen an personenbezogenen Daten verarbeiten, sollten die Daten lokal speichern. Wenn das Unternehmen die Daten nicht lokal speichern kann und sie an einen anderen Ort übertragen muss, hat die chinesische Cyberspace-Verwaltung (CAC) das Recht, eine aufsichtliche Sicherheitsbewertung durchzuführen.
Betreiber kritischer Informationsinfrastrukturen (KII)
Kritische Informationsinfrastrukturen (KII) sind Informationen, deren Zerstörung, Veränderung oder Weitergabe der Sicherheit des Staates, der Volkswirtschaft oder der Lebensgrundlage der Menschen schweren Schaden zufügen könnte.
Einige Beispiele für Branchen, die als Betreiber kritischer Informationsinfrastrukturen eingestuft werden, sind öffentliche Kommunikations- und Informationsdienste sowie der Energie-, Verkehrs- und Finanzsektor.
Die Betreiber dieser Art von Informationen müssen spezielle Sicherheitsprüfungen bestehen, bevor sie personenbezogene Daten aus China heraus versenden. Wenn Ihr Unternehmen mit dieser Art von personenbezogenen Daten arbeitet, müssen Sie sicherstellen, dass Sie die Prüfung bestehen, um weiterhin in dem Land tätig sein zu können.
Persönlich identifizierbare Informationen (PII) Vertreter im Land und Schulungen
SaaS-Unternehmen, die mit großen Mengen personenbezogener Daten umgehen, müssen Vertreter im Land benennen, die sich um den Umgang mit Daten und die Einhaltung von Vorschriften kümmern. Außerdem muss jeder, der mit dem Datenschutz zu tun hat, an einer Pflichtschulung teilnehmen...
Überlegungen zur Einhaltung von IT-Systemen
Das PIPL schreibt vor, dass personenbezogene Daten, die von KII-Betreibern (und Betreibern, die personenbezogene Daten verarbeiten) gesammelt werden und eine bestimmte, von der CAC festgelegte Menge erreichen, in China gespeichert werden müssen. Diese Vorschrift bedeutet, dass viele Unternehmen eine neue Infrastruktur für ihre Firmen im Land aufbauen müssen.
Auch wenn Sie die Daten in China speichern, gelten sie als grenzüberschreitende Übermittlung, wenn ein Nutzer außerhalb des Landes Zugriff darauf hat.
Strafen, Bußgelder und schwarze Listen für nicht konforme Unternehmen
Wenn Ihr SaaS-Geschäft die vorgegebenen PIPL-Vorschriften nicht einhält, können die chinesischen Aufsichtsbehörden Maßnahmen ergreifen. Sie können zum Beispiel Verwarnungen aussprechen, die Lizenz Ihres Unternehmens aussetzen, Ihnen eine Geldstrafe auferlegen oder Ihnen sogar die Geschäftstätigkeit in Ihrem Land ganz untersagen. Die Geldstrafe kann bis zu 50 Millionen RMB oder 5 % des Jahresumsatzes Ihres Unternehmens im vorangegangenen Geschäftsjahr betragen.
Ein Unternehmen kann auch für Schadenersatz aus unerlaubter Handlung haftbar gemacht werden, wenn es die Rechte von Einzelpersonen in Bezug auf deren persönliche Daten verletzt. Wenn der Verstoß eine große Gruppe betrifft, könnte das Unternehmen außerdem mit einer Klage im öffentlichen Interesse konfrontiert werden.
Ihr professioneller eCommerce-Partner
Keine Integrationen von Drittanbietern. Keine versteckten Kosten. Keine verschwendete Zeit.
Nur eine Lösung, die so einzigartig ist wie die Bedürfnisse Ihres Unternehmens.
Erste Schritte auf dem Weg zur Einhaltung der PIPL
Nach der Lektüre dieses Artikels ist Ihnen vielleicht klar geworden, dass Ihr Unternehmen einige wesentliche Änderungen vornehmen muss, um die PIPL-Vorschriften einzuhalten. Sie wissen nicht, wo Sie anfangen sollen?
Der erste Schritt besteht darin, die Phasen des Datenlebenszyklus zu betrachten. Bewerten Sie dann für jede Lebenszyklusphase Ihre Verfahren anhand der Anforderungen der PIPL und nehmen Sie gegebenenfalls Anpassungen vor, um sicherzustellen, dass Sie die Vorschriften einhalten.
Hier eine Erinnerung an die Phasen des Datenlebenszyklus:
Benachrichtigung der betroffenen Person
Rechte zur Nutzung und Weitergabe
Datenerhebung
Datenverwendung
Gemeinsame Nutzung/Übertragung von Daten
Datenvernichtung/-aufbewahrung
Abschließende Überlegungen zu Chinas PIPL und Ihrem Unternehmen
Der weitreichende Geltungsbereich der PIPL und der kurze Zeitrahmen für die Umsetzung haben viele SaaS-Unternehmen überrascht. Bei sorgfältiger Prüfung der Vorschriften und ihrer Anwendungen ist es jedoch möglich, einen umfassenden Plan für die Einhaltung der PIPL aufzustellen.
Vergessen Sie nicht, dass wir Ihnen als Ihr Full-Service E-Commerce-Partner helfen, sich in der PIPL-Landschaft zurechtzufinden, während wir Ihnen beim Aufbau einer starken SaaS-Umsatzinfrastruktur helfen. Vereinbaren Sie noch heute einen Beratungstermin mit einem Experten von PayPro Global und verkaufen Sie SaaS weltweit online.
Häufig gestellte Fragen
Für wen gilt die PIPL?
Das Gesetz zum Schutz personenbezogener Daten (PIPL) gilt für "Stellen, die personenbezogene Daten verarbeiten", d. h. für Organisationen oder Einzelpersonen, die unabhängig über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden.
Gilt das chinesische PIPL in Hongkong?
Die chinesische Regierung hat Gesetze zum Schutz personenbezogener Daten auf dem Festland erlassen. Hongkong ist eine Sonderverwaltungsregion (SVR) von China mit eigenen Regeln und Vorschriften. Auch wenn das PIPL derzeit nicht für Bürger in Hongkong gilt, bedeutet das nicht, dass ihre Informationen frei verwendet werden können!
Wann hat China sein neues Online-Datenschutzgesetz verabschiedet?
Das PIPL trat am 1. November 2021 in Kraft. Es zielt darauf ab, die Sicherheit und den Schutz personenbezogener Daten zu verbessern.
Außerdem sollen Unternehmen daran gehindert werden, sensible personenbezogene Daten zu sammeln, die für Identitätsdiebstahl oder gegen den Willen des Kunden von Dritten, wie z. B. Tech-Giganten, verwendet werden könnten, die die privaten Informationen ihrer Kunden unerlaubt missbrauchen.
Meir Amzallag
Co-founder and CEO of PayPro Global
Ioana Grigorescu
Content Marketing Manager at PayPro Global
Meir Amzallag
Co-founder and CEO of PayPro Global
Ioana Grigorescu
Content Marketing Manager at PayPro Global
Hanna Barabakh
Hanna Barabakh is a Brand Ambassador at PayPro Global
Adina Cretu
Adina Cretu is a Content Marketing Manager at PayPro Global
Zuerst wissen. Schnell handeln.
Es braucht kein Glück, um erfolgreich zu sein, aber es braucht Wissen. Seien Sie der Erste, der von den neuesten Erkenntnissen der Branche und den wichtigsten Marketing-Tipps und -Tricks erfährt. Registrieren Sie sich und genießen Sie es! Immer informiert. Niemals Spammed.