14 min Zuletzt auktualisiert: 10.11.2023

PIPL: Datenschutz „Made in China“

PIPL: Datenschutz in China

Seit dem 01. November 2021 schützt das „Personal Information Protection Law“ (PIPL) in China personenbezogene Daten. Überraschenderweise ähnelt das PIPL in vielerlei Hinsicht der Europäischen Datenschutz-Grundverordnung (DSGVO) und wird durch das „Data Security Law of the People’s Republic of China“ (DSL) ergänzt. Gemeinsam bilden diese beiden Regelwerke das Fundament für die Nutzung, Sammlung und den Schutz von Daten in China, und bieten chinesischen VerbraucherInnen ein bisher unerreichtes Schutzniveau für personenbezogene Daten.

Was ist das PIPL?

Die DSGVO mag zwar als europäisches Gesetz international eine Pionierrolle spielen, aber auch in anderen Ländern ist Datenschutz ein zentrales Anliegen. Dies ist nicht zuletzt auf die wachsende Vernetzung von Unternehmen und Organisationen sowie auf die fortschreitende Digitalisierung zurückzuführen, die immer tiefer in alle Lebensbereiche eindringt. Daten gelten als das „Gold des digitalen Zeitalters“ und erfordern daher angemessenen Schutz.

Lange Zeit war die Volksrepublik China dafür bekannt, dem Datenschutz von VerbraucherInnen wenig Bedeutung beizumessen. Vor der Einführung des PIPL gab es keine effektiven Datenschutzgesetze. Mit dem PIPL jedoch hat China ein einheitliches Gesetz ins Leben gerufen und – ebenso wie andere Länder – einen bedeutenden Schritt in Richtung eines globalen und harmonisierten Datenschutzes gemacht.

Wann trat das PIPL in Kraft?

Das PIPL wurde am 20. August 2021 vom Nationalen Volkskongress verabschiedet und setzte am 1. November 2021 seinen Stempel auf den chinesischen Datenschutz. Im Gegensatz zur DSGVO, die eine Übergangsfrist von zwei Jahren einräumte, entschied sich die chinesische Regierung für einen zügigeren Ansatz. Unternehmen und Organisationen wurden somit recht schnell in die Verantwortung genommen, um die neuen Datenschutzstandards zu erfüllen.

Was beinhaltet das PIPL?

Das PIPL regelt den Schutz persönlicher Informationen und legt die Grundsätze für deren Verarbeitung fest. Doch das Gesetz beschränkt sich nicht nur auf nationale Belange. Artikel 3 des Datenschutzgesetzes sieht in bestimmten Fällen eine extraterritoriale Anwendbarkeit vor. Das bedeutet, dass die Regelungen auch außerhalb Chinas Anwendung finden, wenn eine der folgenden Bedingungen erfüllt ist:

  • Die Datenverarbeitung zielt darauf ab, Produkte und/oder Dienstleistungen für in China ansässige Personen anzubieten.
  • Die Datenverarbeitung betrifft die Analyse oder Bewertung des Verhaltens von in China ansässigen Personen.
  • Die Verarbeitung personenbezogener Daten erfolgt aufgrund von gesetzlichen oder verwaltungsrechtlichen Anordnungen.

Mit diesen Regelungen schafft das PIPL eine reichweitenstarke Grundlage, um den Datenschutz sowohl innerhalb als auch außerhalb Chinas zu gewährleisten und Unternehmen und Organisationen zur Verantwortung zu ziehen.

Welche Daten werden durch das PIPL geschützt?

Grundsätzlich bezieht sich der Begriff „personenbezogene Daten“ auf jegliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei spielt es keine Rolle, ob sie elektronisch gespeichert sind oder nicht. Allerdings bleiben anonymisierte Daten explizit ausgenommen.

Doch das PIPL geht noch einen Schritt weiter: Es unterscheidet zwischen „normalen“ personenbezogenen Daten und den sogenannten „sensiblen personenbezogenen Daten“. Letztere können bei einer Veröffentlichung oder missbräuchlichen Verwendung erhebliche Auswirkungen auf die Privatsphäre und Sicherheit der betroffenen Personen haben. Hierzu zählen beispielsweise:

  • biometrische Daten;
  • Gesundheitsinformationen;
  • Finanzkontodetails;
  • Standortangaben und
  • Daten von Minderjährigen (unter 14 Jahren).

Um diesen sensiblen Daten den nötigen Respekt und Schutz zu gewährleisten, hat das PIPL spezielle Anforderungen für deren Verarbeitung festgelegt. So sorgt das Gesetz dafür, dass die Privatsphäre der Menschen in der digitalen Welt gewahrt bleibt und ein verantwortungsbewusster Umgang mit persönlichen Informationen sichergestellt wird.

PIPL vs. DSGVO: Gemeinsamkeiten und Unterschiede

Es ist unbestreitbar, dass das PIPL und die DSGVO Parallelen aufweisen. Beide Gesetzgebungen teilen grundlegende Datenschutzprinzipien wie die Zweckbindung und den Einsatz von Datenschutzbeauftragten, die im PIPL als Personal Information Protection Officers bezeichnet werden. Aber trotz der Gemeinsamkeiten sollte man nicht übersehen, dass sich die Gesetze auch in entscheidenden Punkten unterscheiden.

Ein solcher Unterschied betrifft die persönliche Haftung bei Datenschutzverstößen. Während die DSGVO in der Regel Unternehmen in die Verantwortung nimmt, geht das PIPL gegebenenfalls einen Schritt weiter und zieht Einzelpersonen zur Rechenschaft. Auch bei den Anforderungen an die sogenannten Verantwortlichen, also jene Personen, die für die Verarbeitung personenbezogener Daten Verantwortung tragen, zeigen sich Unterschiede zwischen den beiden Gesetzen.

Direkter Vergleich zwischen PIPL und DSGVO

  • Verantwortliche: Im PIPL werden unterschiedliche Personengruppen definiert, basierend auf ihrer Rolle bei der Verarbeitung personenbezogener Daten. Gemäß dem  PIPL haben die Verantwortlichen für die Verarbeitung personenbezogener Daten ähnliche Pflichten wie die für die Datenverarbeitung Verantwortlichen gemäß der DSGVO. Das PIPL legt auch fest, dass Organisationen, die personenbezogene Daten sammeln, einen klaren und angemessenen Zweck dafür haben müssen, und legt spezifische Bedingungen für die Sammlung personenbezogener Daten fest, wie z. B. die Einholung der Zustimmung der Betroffenen.
  • Betroffenenrechte: Das chinesische Datenschutzgesetz sieht, ähnlich wie die DSGVO, eine Reihe an Betroffenenrechten vor. 

Dazu zählen das Recht auf:

  • Kenntnis;
  • Entscheidung über die eigenen personenbezogenen Daten;
  • Einsichtnahme;
  • Kopie;
  • Datenübertragbarkeit;
  • Berichtigung;
  • Löschung;
  • Widerruf und 
  • Erläuterung der Regeln durch die Verantwortlichen, die bei der Verarbeitung personenbezogener Daten gelten. 
  • Datenschutz-Folgenabschätzung: Unternehmen und Organisationen, die an das PIPL gebunden sind, sind verpflichtet, regelmäßige Prüfungen ihres Programms zur Einhaltung der Gesetzesvorgaben durchzuführen. Dazu gehört die regelmäßige Durchführung von Risikobewertungen, die auch im Rahmen der DSGVO als Datenschutz-Folgenabschätzung durchgeführt werden.
  • Bußgelder und Sanktionen: Für die Durchsetzung der Vorgaben des  PIPL sind auf lokaler Ebene die chinesischen Behörden und auf nationaler Ebene die sogenannte „Cyberspace Administration of China“ (kurz: CAC) zuständig. Diese verfügt nach den gesetzlichen Regeln über besondere Befugnisse.

Bei einem Verstoß gegen die Datenschutzvorschriften droht in schweren Fällen eine Geldstrafe von bis zu 50 Mio. RMB (circa 7 Mio. Euro) bzw. 5 % des Bruttojahresumsatzes des Vorjahres. 

  • Übermittlung von Daten: Während in vielen Bereichen das PIPL mit der DSGVO korrespondiert, unterscheiden sich beide Gesetzeswerke, wenn es um die Datenübermittlung geht. Die DSGVO sieht die grenzüberschreitende Übermittlung personenbezogener Daten auf der Grundlage eines angemessenen Schutzes vor – das PIPL schließt das dagegen aus. Allerdings sieht auch das PIPL Mechanismen vor, die internationale Datenübermittlungen ermöglichen.

Dieser kurze Vergleich zeigt, dass trotz zahlreicher Ähnlichkeiten auch bedeutende Unterschiede zwischen PIPL und DSGVO existieren. Daher ist es wichtig, sich mit beiden Gesetzgebungen vertraut zu machen, um die jeweiligen Anforderungen zu erfüllen und Datenschutzverstöße zu vermeiden. Ganz einfach gelingt Ihnen das mit unseren E-Learnings Datenschutz für Mitarbeitende und PIPL: Datenschutz für Mitarbeitende.

Betrifft das PIPL auch deutsche Unternehmen?

Ja, das PIPL kann sich auch auf deutsche Unternehmen auswirken, da es extraterritoriale Reichweite besitzt. Das bedeutet, dass europäische und deutsche Unternehmen und Organisationen unter bestimmten Umständen an die chinesischen Datenschutzvorgaben gebunden sein können. Es ist daher wichtig, sich mit den Anforderungen des PIPL vertraut zu machen, um auf der sicheren Seite zu sein.

Wie finde ich heraus, ob mein Unternehmen die Anforderungen des PIPL erfüllen muss?

Für Unternehmen in Deutschland ist es jetzt an der Zeit, sich mit den Auswirkungen des PIPL auseinanderzusetzen und entsprechende Compliance-Maßnahmen einzuleiten. Hierzu gehört die Überprüfung bestehender Verträge und Prozesse sowie die Umsetzung notwendiger Anpassungen, um die Übereinstimmung mit den chinesischen Datenschutzanforderungen sicherzustellen. Bedenken Sie dabei, dass einige Fragen noch offen sind und die kurze Übergangszeit eine Herausforderung darstellt. PIPL-Compliance ist ein fortlaufender Prozess, der mit der Implementierung eines Compliance-Programms beginnt und kontinuierlich an die sich ändernden Anforderungen angepasst werden sollte.

International tätige Unternehmen und Organisationen, die in China aktiv sind und personenbezogene Daten verarbeiten, sollten besonders aufmerksam sein. Zu den regulatorischen Anforderungen gehören unter anderem:

  • Verpflichtung zum Aufbau von Repräsentanzen zu Datenschutzfragen in China;
  • Unterlassung bestimmter Auslandsdatentransfers;
  • Berichtspflicht gegenüber den chinesischen Aufsichtsbehörden oder
  • Bestimmung eines unabhängigen Aufsichtskomitees durch PlattformbetreiberInnen bzw. soziale Netzwerke. 

Indem Sie sich proaktiv mit den PIPL-Anforderungen auseinandersetzen, stellen Sie sicher, dass Ihr Unternehmen auf dem richtigen Weg ist, um den chinesischen Datenschutzbestimmungen gerecht zu werden. 

Für wen ist eine Schulung zum PIPL wichtig?

Das PIPL betrifft durch seine extraterritoriale Reichweite auch Unternehmen außerhalb Chinas. Diese müssen die Vorgaben zur Verarbeitung personenbezogener Daten einhalten, was eine umfassende Schulung der Verantwortlichen erforderlich macht.

Mit dem interaktiven E-Learning von lawpilots „PIPL: Datenschutz für Mitarbeitende“ wird Ihre Belegschaft auf spielerische Weise mit den Anforderungen des chinesischen Datenschutzgesetzes vertraut gemacht. Das E-Learning informiert Ihre Mitarbeitenden über die Besonderheiten des Gesetzes und gibt ihnen wertvolle Tipps, wie sie die PIPL-Konformität in Ihrem Unternehmen gewährleisten können. Ergänzend dazu bietet das E-Learning „Datenschutz für Mitarbeitende“ wertvolles Wissen zur europäischen Datenschutzgrundverordnung (DSGVO) in über 30 verschiedenen Sprach- und Länderversionen an. 

Mit spielerischen Dialogen, interaktiven Elementen, Erklärvideos und Experteninterviews schaffen diese E-Learnings innerhalb von nur 45 Minuten ein nachhaltiges Datenschutzbewusstsein bei Ihren Mitarbeitenden. So können Sie sicher sein, dass Ihr Unternehmen den Anforderungen des PIPL und der DSGVO bestmöglich gerecht wird.

Warum spielt internationaler Datenschutz eine immer größere Rolle?

In unserer digitalen und globalisierten Welt sind die Grenzen verschwommen, und Unternehmen müssen sich zunehmend international aufstellen, um wettbewerbsfähig zu bleiben. Dieser Wandel hat auch Auswirkungen auf den Datenschutz. Seit die DSGVO 2018 den Schutz personenbezogener Daten auf europäischer Ebene standardisiert hat, haben viele Länder ihre eigenen Datenschutzgesetze entwickelt und verabschiedet. Einige, wie der „California Privacy Rights Act“ (CPRA) und das brasilianische „Lei Geral de Proteção de Dados“ (LGPD), orientieren sich stark an der DSGVO, die als Vorbild für Datenschutzgesetze außerhalb Europas dient.

Auch Nicht-EU-Länder in Europa haben sich an der DSGVO orientiert, wie etwa die Schweiz mit ihrem „Revidierten Datenschutzgesetz“ (revDSG), das sich ebenfalls an die Vorgaben der DSGVO annähert.

Für Unternehmen bedeutet dies, dass Datenschutz aufgrund der globalen Vernetzung eine fortwährende Herausforderung darstellt, der sich Mitarbeitende und Führungskräfte gleichermaßen stellen müssen. Um diese erfolgreich zu meistern, ist es entscheidend, dass alle Hierarchieebenen über die geltenden Bestimmungen umfassend informiert sind und durch gezielte Schulungen in der Lage sind, die gesetzlichen Anforderungen im Arbeitsalltag sicher anzuwenden.

Fazit: Worauf Unternehmen im internationalen Datenschutz achten sollten!

Verstöße gegen Datenschutzbestimmungen können auf internationaler Ebene erhebliche Folgen haben, die von empfindlichen Bußgeldern bis hin zu existenzbedrohenden Sanktionen reichen. Zwar unterscheiden sich die Strafrahmen verschiedener Datenschutzgesetze, jedoch haben sie alle gemeinsam, dass die verhängten Strafen spürbare Auswirkungen haben können.


Stellen Sie sich vor, es ist Mitarbeiterschulung und alle wollen hin! Klingt fast zu schön, ist aber wahr. Als langjähriger Experte für rechtlich-regulatorische E-Learnings schafft lawpilots innovative Lernerlebnisse, an die sich Ihre Mitarbeitenden gern erinnern. Denn Datenschutz, Compliance, ESG, IT-Sicherheit und Arbeitsschutz sind zu wichtig, um kompliziert zu sein. Die E-Learnings von lawpilots bringen die relevanten Inhalte einfach verständlich auf den Punkt. Und mit einem Mix aus Praxisbeispielen, Gamification und Storytelling verankert sich das Wissen länger im Gedächtnis Ihrer Mitarbeitenden als der schönste Ohrwurm.

Inhaltsangabe

Unsere Auszeichnungen

DBA Siegel

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958495 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com

E-Learnings

Darum lawpilots

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497