22 min Zuletzt auktualisiert: 21.02.2025

PIPL: Internationaler Datenschutz „Made in China“

Das Personal Information Protection Law (PIPL) ist Chinas Antwort auf die globalen Datenschutzherausforderungen und gilt als eines der strengsten Datenschutzgesetze der Welt. In diesem Artikel werfen wir einen Blick auf die wichtigsten Bestimmungen des PIPL und was es für Unternehmen bedeutet, die chinesische Daten verarbeiten.

Einführung in das PIPL

Am 20. August 2021 verabschiedete China mit dem Personal Information Protection Law (PIPL) ein neues, umfassendes Datenschutzgesetz, das am 01. November 2021 in Kraft trat. Das PIPL  schafft einen klaren und einheitlichen Rahmen zum Schutz personenbezogener Daten und baut auf früheren Gesetzen wie dem Verbraucherschutzgesetz von 2014, dem Cybersicherheitsgesetz von 2017 und dem Datensicherheitsgesetz von 2021 auf. Auch für viele deutsche Unternehmen ist das PIPL relevant, da es auch für ausländische Firmen gilt, die Daten chinesischer BürgerInnen verarbeiten – unabhängig davon, wo diese erhoben werden. Damit müssen deutsche Unternehmen, die Geschäfte in China machen oder Produkte und Dienstleistungen für chinesische KundInnen anbieten, die strengen Vorgaben des PIPL einhalten.

Anwendungsbereich des PIPL

Das PIPL hat einen weitreichenden Anwendungsbereich und betrifft nicht nur Unternehmen innerhalb Chinas. Nach Art. 3 PIPL gilt es für alle Unternehmen, die personenbezogene Daten von Personen in China verarbeiten – unabhängig davon, wo sie ihren Sitz haben. Besonders relevant ist dies für ausländische Unternehmen, die:

  1. In China tätig sind und personenbezogene Daten von Personen in China verarbeiten.
  2. Außerhalb Chinas agieren, aber personenbezogene Daten von chinesischen BürgerInnen verarbeiten, insbesondere wenn:
    • Produkte oder Dienstleistungen für Personen in China angeboten werden.
    • Das Verhalten von Personen in China analysiert oder bewertet wird.
  3. Geschäfte mit chinesischen KundInnen führen, selbst wenn sie keine Niederlassung in China haben, aber Daten von chinesischen KundInnen erheben und verarbeiten.

Kurz gesagt: Jedes Unternehmen, das personenbezogene Daten von chinesischen BürgerInnen erhebt oder verarbeitet, muss die Vorschriften des PIPL beachten, egal ob es sich in China oder im Ausland befindet.

Pflichten für Unternehmen durch das PIPL

Das PIPL legt klare Anforderungen für Unternehmen fest, die personenbezogene Daten verarbeiten. Hier sind die wichtigsten Punkte zusammengefasst:

Rechtsgrundlage für die Datenverarbeitung

Unternehmen dürfen personenbezogene Daten nur dann verarbeiten, wenn eine der folgenden Bedingungen erfüllt ist:

  • Einwilligung: Die betroffene Person hat der Verarbeitung ausdrücklich zugestimmt.
  • Vertragserfüllung: Die Verarbeitung ist notwendig, um einen Vertrag zu erfüllen oder vorzubereiten.
  • Gesetzliche Verpflichtungen: Die Daten müssen verarbeitet werden, um gesetzliche Pflichten zu erfüllen.
  • Notfälle: In Situationen, die Leben, Gesundheit oder Eigentum geschützt werden müssen (z. B. bei einer Gesundheitskrise).
  • Öffentliches Interesse: Für das Gemeinwohl, z. B. in der Nachrichtenberichterstattung.
  • Veröffentlichte Daten: Daten, die bereits öffentlich gemacht wurden, dürfen verarbeitet werden.
  • Weitere gesetzliche Bestimmungen: Andere gesetzlich geregelte Fälle.

Sensible personenbezogene Daten

Sensible Daten wie:

dürfen nur unter strengen Bedingungen verarbeitet werden. In den meisten Fällen ist eine gesonderte Einwilligung erforderlich, und zusätzliche Sicherheitsmaßnahmen müssen getroffen werden.

Informationspflichten

Unternehmen müssen die betroffenen Personen umfassend informieren, bevor Daten verarbeitet werden. Dazu gehören:

  • Der Zweck der Verarbeitung,
  • Art und Weise der Verarbeitung,
  • Kategorien der verarbeiteten Daten,
  • Die Speicherdauer der Daten,
  • Die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung oder Löschung.

Diese Informationen müssen klar und verständlich vermittelt werden.

Pflichten der Verantwortlichen

Unternehmen müssen nach dem PIPL zusätzlich:

  • Interne Datenschutzsysteme einrichten,
  • Vertrauliche Datenverwaltung sicherstellen,
  • Sicherheitsmaßnahmen wie Verschlüsselung und Anonymisierung einsetzen,
  • Zugriffsrechte klar regeln und Mitarbeitende regelmäßig schulen,
  • Notfallpläne für Datenschutzvorfälle erstellen und umsetzen,
  • Regelmäßige Audits zur Einhaltung der Vorschriften durchführen,
  • Gesetzliche Sicherheitsanforderungen aus weiteren Vorschriften erfüllen.

Diese Maßnahmen garantieren den umfassenden Schutz personenbezogener Daten und helfen, Verstöße zu vermeiden.

Strafen bei Verstößen gegen das PIPL

Das PIPL sieht bei Verstößen empfindliche Strafen vor, ähnlich wie die Datenschutz-Grundverordnung (DSGVO). Unternehmen, die gegen die Vorschriften verstoßen, drohen Bußgelder von bis zu 50 Millionen Yuan (ca. 6,6 Millionen Euro) oder bis zu 5 % des Jahresumsatzes.

Auch einzelne Verantwortliche sind betroffen: Direkt involvierte Personen, wie ManagerInnen oder Datenschutzbeauftragte, können mit Geldstrafen zwischen 100.000 und 1 Million Yuan belegt werden. Zusätzlich kann ihnen untersagt werden, ihre Position als Geschäftsführende oder in einer anderen leitenden Funktion auszuüben.

Bei schwerwiegenden Verstößen drohen Unternehmen weitere Sanktionen, wie die Einziehung illegaler Gewinne, der Entzug der Geschäftslizenz oder die Schließung des Betriebs. Zudem können Behörden eine öffentliche Klage einleiten, wenn die Rechte einer großen Zahl von Personen verletzt wurden.

Bedeutung für den internationalen Datenverkehr unter dem PIPL

Für deutsche Unternehmen ist der grenzüberschreitende Datentransfer unter dem PIPL ein besonders sensibler Bereich. Bisher waren internationale Datenübertragungen durch das chinesische Cybersecurity-Gesetz (CSL) stark reglementiert, vor allem durch Artikel 37, der vorschreibt, dass personenbezogene Daten grundsätzlich in China gespeichert werden müssen. Das PIPL bringt einige Erleichterungen, bleibt jedoch weiterhin streng und stellt klare Anforderungen an den Transfer personenbezogener Daten ins Ausland.

Voraussetzungen für den internationalen Datentransfer

Das PIPL setzt strenge Bedingungen für den Transfer personenbezogener Daten ins Ausland. Unternehmen dürfen Daten nur dann ins Ausland übertragen, wenn eine der folgenden Voraussetzungen erfüllt ist:

  1. Ausdrückliche Zustimmung: Die betroffene Person muss der Übertragung ihrer Daten ins Ausland explizit zustimmen. Es reicht jedoch oft nicht aus, allein auf die Einwilligung zu setzen, besonders bei sensiblen Daten oder kritischen Sektoren.
  2. Sicherheitsüberprüfung durch die chinesischen Behörden (CAC): Unternehmen müssen in vielen Fällen eine behördliche Sicherheitsbewertung durch die Cyberspace Administration of China (CAC) durchführen lassen. Dies ist besonders wichtig für BetreiberInnen kritischer Infrastrukturen (wie Kommunikation, Energieversorgung) oder wenn große Mengen an Daten übertragen werden. Die CAC prüft, ob der geplante Datentransfer sicher ist und den chinesischen Datenschutzvorschriften entspricht.
  3. Verwendung von Standarddatentransferklauseln: Unternehmen können auf standardisierte Klauseln zurückgreifen, die von den chinesischen Behörden festgelegt wurden.

Pflichten für Unternehmen beim Datentransfer

Zusätzlich zu den oben genannten Anforderungen müssen Unternehmen bei der Übermittlung personenbezogener Daten ins Ausland die folgenden Punkte sicherstellen:

  • Information der betroffenen Personen: Die betroffenen Personen müssen klar und detailliert über den Zweck, den Umfang und die EmpfängerInnen des Datentransfers ins Ausland informiert werden.
  • Schutzstandards im Ausland: Die EmpfängerInnen der Daten im Ausland müssen die gleichen Schutzstandards einhalten, wie sie im PIPL gefordert werden. Dies kann durch vertragliche Vereinbarungen, eine vorherige Sorgfaltsprüfung und eine kontinuierliche Überwachung des Empfängers erreicht werden.
  • Folgenabschätzung zum Schutz personenbezogener Daten (PIPIA): Ein zentrales Element des PIPL ist die Durchführung einer gründlichen Folgenabschätzung. Unternehmen müssen die potenziellen Risiken eines internationalen Datentransfers bewerten, um sicherzustellen, dass alle Risiken für die betroffenen Personen minimiert werden. Diese Bewertung ist besonders wichtig, wenn sensible Daten verarbeitet oder automatisierte Entscheidungsprozesse eingesetzt werden, die wesentliche Auswirkungen auf die Rechte der betroffenen Personen haben könnten.

Vergleich: DSGVO vs. PIPL

Gemeinsamkeiten

Die Datenschutzgrundverordnung (DSGVO) und das chinesische Personal Information Protection Law (PIPL) weisen viele Gemeinsamkeiten auf, wenn es um den Schutz personenbezogener Daten geht. Hier sind die wichtigsten Punkte im Überblick:

  1. Definition personenbezogener Daten: Beide Gesetze definieren personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Anonymisierte Daten sind ausgenommen.
  2. Verarbeitung personenbezogener Daten: Sowohl DSGVO als auch PIPL regeln das Erheben, Speichern, Verwenden, Übermitteln, Bereitstellen und Löschen personenbezogener Daten.
  3. Bußgelder und Sanktionen: Hohe Strafen bei Verstößen sind sowohl unter der DSGVO als auch unter dem PIPL möglich. In beiden Fällen können Unternehmen mit Bußgeldern in Millionenhöhe belegt werden.
  4. Beschränkungen für Datenübertragungen: Beide Gesetze verbieten den Transfer personenbezogener Daten in Länder mit niedrigerem Datenschutzniveau ohne angemessene Schutzmaßnahmen.

Unterschiede

Obwohl die DSGVO und das PIPL in vielen Bereichen ähnliche Ziele verfolgen, gibt es bedeutende Unterschiede zwischen den beiden Datenschutzgesetzen. Die wichtigsten Unterschiede sind:

  1. Anwendungsbereich: Die DSGVO gilt für öffentliche und private Stellen, während das PIPL in erster Linie private Unternehmen betrifft. Staatliche Stellen in China sind weitgehend vom PIPL ausgenommen.
  2. Rechtlicher Hintergrund: Datenschutz ist in der EU ein verfassungsrechtlich verankertes Grundrecht. In China gibt es keine vergleichbare Verfassungsnorm, und staatliche Überwachung bleibt legal.
  3. Unabhängigkeit der Aufsichtsbehörden: In der EU sind die Datenschutzbehörden unabhängig (Art. 52 DSGVO). In China unterliegen die Aufsichtsbehörden der staatlichen Kontrolle und sind nicht unabhängig.
  4. Strafen: Höchststrafen unter der DSGVO betragen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Unter dem PIPL können Strafen bis zu 50 Millionen RMB (ca. 6,6 Mio. Euro) oder 5 % des Jahresumsatzes betragen.
  5. Minderjährigenschutz: Das PIPL klassifiziert Personen unter 14 Jahren als Minderjährige, während die DSGVO 16 Jahre als Grenze festlegt, wobei einige EU-Länder diese Grenze auf bis zu 13 Jahre absenken können. Das PIPL stuft automatisch Daten von Minderjährigen als sensibel ein, was in der DSGVO nicht der Fall ist.
  6. Verantwortlichkeit ders Datenschutzbeauftragten: Während Datenschutzbeauftragte unter der DSGVO nicht persönlich haftbar sind, enthält das PIPL keine klare Regelung, ob Datenschutzbeauftragte für Verstöße haftbar gemacht werden können.
  7. Benachrichtigung bei Datenschutzverletzungen: Nach der DSGVO müssen Datenschutzverletzungen innerhalb von 72 Stunden gemeldet werden. Das PIPL verlangt eine „unverzügliche“ Meldung, definiert jedoch nicht genauer, was „unverzüglich“ bedeutet.

Checkliste zur Einhaltung des PIPL

Damit Sie den Anforderungen des PIPL gerecht werden, sollten Sie die folgenden Schritte beachten:

1. Rechtsgrundlage für Datenverarbeitung

Stellen Sie sicher, dass jede Datenverarbeitung auf einer erlaubten Grundlage beruht, z. B. durch Einwilligung der Betroffenen oder zur Vertragserfüllung. Erstellen Sie klare Prozesse für die Einholung der Einwilligung, besonders bei sensiblen Daten und sorgen Sie für eine leicht verständliche Einwilligungserklärung.

2. Daten in China speichern

Das PIPL schreibt vor, dass personenbezogene Daten in China gespeichert werden müssen, insbesondere bei großen Datenmengen oder sensiblen Informationen. Planen Sie die Implementierung lokaler Infrastrukturen zur Speicherung dieser Daten. Überlegen Sie, ob eine lokale Cloud-Lösung oder der Aufbau von Rechenzentren in China für Ihr Unternehmen sinnvoll ist.

3. Sicherheitsbewertung durch die Behörden

Wenn Sie personenbezogene Daten ins Ausland übermitteln möchten, müssen Sie sicherstellen, dass die CAC die Übertragung genehmigt oder entsprechende Standardklauseln verwendet werden. Stellen Sie sicher, dass Ihre IT- und Rechtsteams auf die Sicherheitsanforderungen vorbereitet sind und frühzeitig eine Sicherheitsbewertung bei der CAC beantragen.

4. Vertragliche Absicherung

Nutzen Sie Standarddatentransferklauseln, um Daten sicher ins Ausland zu übermitteln. Passen Sie Ihre Verträge an, um die PIPL-Anforderungen abzudecken.

5. Risiken bewerten

Führen Sie eine Datenschutz-Folgenabschätzung durch, um Risiken im Zusammenhang mit Datenverarbeitung zu identifizieren und zu minimieren. Dokumentieren Sie diese Bewertungen und aktualisieren Sie sie regelmäßig.

6. Mitarbeiterschulung

Schulen Sie Ihre Mitarbeitenden zu den Anforderungen des PIPL und sensibilisieren Sie sie für Datenschutzthemen. Regelmäßige Schulungen sind entscheidend, um sicherzustellen, dass alle Mitarbeitenden die Notwendigkeit der Einhaltung der Datenschutzvorschriften verstehen.

7. Datenschutzbeauftragte

Benennen Sie Datenschutzbeauftragte in China, die für die Einhaltung der Datenschutzvorschriften verantwortlich sind. Die Datenschutzbeauftragten sollten den Überblick über die Datenverarbeitung behalten und sicherstellen, dass alle rechtlichen Anforderungen des PIPL erfüllt werden.

8. Notfallpläne

Erstellen Sie Notfallpläne für Datenschutzverletzungen und führen Sie regelmäßige Audits durch. Bereiten Sie sich darauf vor, Datenschutzverletzungen schnell zu melden und zu beheben.

9. Beratung durch ExpertInnen

Arbeiten Sie mit lokalen AnwältInnen und DatenschutzexpertInnen zusammen, um stets auf dem neuesten Stand der Vorschriften zu bleiben. Nutzen Sie Fachwissen vor Ort, um rechtliche Risiken zu minimieren.

Durch diese Maßnahmen können deutsche Unternehmen die Anforderungen des PIPL erfüllen und rechtliche Probleme vermeiden.

Fazit

Das PIPL stellt hohe Anforderungen an Unternehmen, die personenbezogene Daten chinesischer BürgerInnen verarbeiten. Durch eine sorgfältige Planung, die Einhaltung der rechtlichen Vorgaben und die Implementierung von Sicherheits- und Schulungsmaßnahmen können Unternehmen nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen ihrer KundInnen stärken. Mit der richtigen Vorbereitung und Unterstützung durch lokale ExpertInnen lassen sich die Herausforderungen des PIPL erfolgreich bewältigen.

Inhaltsangabe

Quellen:

Unsere Auszeichnungen

Unsere Partner

lawpilots GmbH
c/o Indy by Industrious
Eichhornstraße 3
10785 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.5210066202529 von 5 Sternen 2647 Bewertungen auf ProvenExpert.com

Schulungen

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497