PIPL: Chinas neues Datenschutzgesetz
Ab 1. November gilt in China das „strengste Datenschutzgesetz der Welt“. Ist nun China kein „unsicheres Drittland“ mehr aus der europäischen Datenschutzperspektive? Welche Gemeinsamkeiten das neue chinesische Datenschutzgesetz PIPL mit der europäischen Datenschutzgrundverordnung DSGVO hat, umreißen wir in unserem Blogartikel.
Datenschutzgesetz oder Datensicherheitsgesetz?
Neben dem neuen chinesischen Datenschutzgesetz PIPL (Personal Information Protection Law) hat China eine Reihe von Regelungen in jüngster Vergangenheit erlassen. Das Datenschutzgesetz PIPL, das ab 1. November gilt, gehört zum größeren Komplex des Datensicherheitsgesetz DSL (Data Security Law). Über diesem Datensicherheitsgesetz DSL stehen noch das Cybersicherheitsgesetz CSL (Cybersecurity Law) sowie das Nationale Sicherheitsgesetz NSL (National Security Law). Einen Ausweg aus diesem Labyrinth von Bezeichnungen hat die German Chamber of Commerce in China (GCC) bei den deutschen Auslandshandelskammern (AHK) in einem Factsheet veröffentlicht.
Hat die chinesische Regierung Big Tech im Schwitzkasten?
Das chinesische Datensicherheitsgesetz DSL ermöglicht der chinesischen Regierung, große IT-Unternehmen besser zu kontrollieren. Auf der schwarzen Liste stehen selbst chinesische Unternehmen wie Alibaba und Tencent. Wenn diese Unternehmen nicht so wollen wie die chinesische Regierung, können erhebliche Bußgelder verhängt oder die Dienste sogar heruntergefahren werden. Die chinesische Regierung selbst ist dabei besorgt um den Abfluss sensibler personenbezogener Daten ins Ausland. Interessant ist, dass die Europäische Union China als unsicheres Drittland aus der Datenschutzbrille sieht. China gesellt sich somit zu Ländern wie Russland und Indien. Die EU erwägt sogar, die USA in diese Gruppe aufzunehmen.
Einwilligung der Menschen für sensible Daten
Wir kennen das Einwilligungserfordernis natürlich von der DSGVO, wenn besondere Kategorien personenbezogener Daten verarbeitet werden. Unternehmen, die also derartige Daten wie biometrische Daten und Gesundheitsdaten verarbeiten, müssen auch in Europa, im Anwendungsbereich der DSGVO, die Einwilligungen der Betroffenen einholen. In China umfassen diese sensiblen Daten aber auch noch Standortdaten und Finanzkonten. In Verbindung mit dem chinesischen Datensicherheitsgesetz DSL, das bereits seit 1. September 2021 gültig ist, setzt China den Unternehmen, die sensible personenbezogene Daten chinesischer Bürgerinnen und Bürger verarbeiten, enge Grenzen.
Weniger sensible Daten weiterhin Freiwild
Es ist gut, dass China die Verarbeitung sensibler personenbezogener Daten vor eine größere Hürde stellt. Die Einwilligung ist ein probates Mittel. Jedoch fördert China den Umlauf weniger sensibler Daten, um den wirtschaftlichen Wert solcher Daten zu erhöhen. Das Datenschutzgesetz PIPL in Verbindung mit dem Datensicherheitsgesetz DSL und lokalen Datenregularien unterstützen die chinesische Regierung beim Erreichen dieser Ziele.
Regierung hui, Unternehmen pfui
Das chinesische Datenschutzgesetz PIPL richtet sich an Unternehmen, die personenbezogene Daten chinesischer Menschen verarbeiten und reguliert die Datensammelwut großer chinesischer und internationaler Konzerne. Dabei möchte die chinesische Regierung wohl den „Daten-“Kuchen für sich alleine beanspruchen, da die chinesische Regierung nicht der Adressat des chinesischen Datenschutzgesetztes PIPL ist. China überwacht die Menschen systematisch und möchte ein Social Scoring System „Social Credit“ / „Citizen Score“ einführen. Wir berichteten auf unserem PSW Consulting Blog hier.
Videodiskussion zum PIPL abrufbar
Der internationale Datenschutzverband IAPP (International Association of Privacy Professionals) hat am 26.08.2021 bei LinkedIn eine Live-Diskussion zum neuen Datenschutzgesetz PIPL aufgezeichnet. Interessierte erfahren dort Wissenswertes von der chinesischen Fachanwältin, Barbara Li.