Das chinesische Gesetz zum Schutz personenbezogener Daten (“PIPL”) wurde am 20. August 2021 verkündet und tritt am 1. November 2021 in Kraft. Es ist der erste umfassende Erlass Chinas zum Schutz von Personendaten. Eine inoffizielle Übersetzung ist hier abrufbar. Eine Einführung hat z.B. die IAPP veröffentlicht.
PIPL enthält Vorschriften für die Bearbeitung von Personendaten und die Rechte der betroffenen Personen und beschränkt die Anforderungen für die Datenübermittlung an Dritte. Im Grundkonzept ähnelt PIPL der DSGVO, mutmasslich mit Blick auf eine Angemessenheitsentscheidung auf lange Sicht. Es werden allgemeine Grundsätze für die Bearbeitung von Daten definiert, einschliesslich des Erfordernisses einer Rechtsgrundlage (beschränkt für besonders schützenswerte Personendaten), es gelten Informationspflichten, die Bekanntgabe ins Ausland ist beschränkt, es gelten Governancepflichten wie z.B. Folgenabschätzungen oder Breach Notifications, die Rollen werden ähnlich definiert wie nach der DSGVO (einschliesslich der gemeinsamen Verantwortung), und Betroffene haben Rechte einschliesslich eines Auskunftsrechts. Unternehmen können bei Sanktionen gebüsst werden mit einer Busse von umgerechnet bis zu CHF 7 Mio. oder 5% des jährlichen Umsatzes.
In Details liest sich PIPL aber überraschend. Bspw. ist die Einwilligung sehr streng geregelt, sie deckt eine Bearbeitung etwa nicht mehr, wenn sich u.a. die Art der Bearbeitung ändert, und für bestimmte Bearbeitungen sind eigene Einwilligungserklärungen erforderlich (z.B. die Bekanntgabe von Personendaten ins Ausland). Es werden auch einige einzelne Use Cases eigens geregelt, z.B. die Videoüberwachung oder die Bekanntgabe im Zusammenhang mit M&A‑Transaktionen.
PIPL kann extraterritoriale Wirkung haben (Art. 3 PIPL). Das Gesetz gilt für die Bearbeitung von Personendaten natürlicher Personen innerhalb von China, aber auch eine ausserhalb Chinas, sofern sich die betroffenen Personen in China aufhalten und die entsprechende Bearbeitung (i) für das Angebot von Produkten oder Dienstleistungen für natürliche Personen in China oder (ii) für die Analyse oder Auswertung des Verhaltens natürlicher Personen in China dient, also mehr oder weniger analog zu Art. 3 Abs. 2 DSGVO. Fällt ein Unternehmen ausserhalb Chinas demnach unter PIPL, muss es eine besondere Einrichtung vorsehen oder einen Vertreter in China bestellen.
PIPL ist das jüngste, aber nicht einzige chinesische Gesetz im Bereich des Datenrechts. Das Datenrecht umfasst auch das Datensicherheitsgesetz, das Cybersicherheitsgesetz, das Zivilgesetzbuch und sektorielle Bestimmungen z.B. in den Bereichen Telekommunikation, Finanz, Gesundheit und E‑Commerce:
- Datensicherheitsgesetz: Das Datensicherheitsgesetz Chinas (inoffizielle Übersetzung) ist am 1. September 2021 in Kraft getreten (hier findet sich ein Fact Sheet, und auch die NZZ hat darüber berichtet). Es regelt nicht nur die Bearbeitung von Personendaten, sondern überhaupt von Daten, auch von Maschinendaten (Art. 3).
- Cybersicherheitsgesetz: Das Cybersicherheitsgesetz (CSL; eine Übersetzung ins Englische findet sich hier) gilt für den Aufbau, den Betrieb, die Wartung und die Nutzung von Netzen und die Überwachung und Verwaltung der Cybersicherheit im Hoheitsgebiet Chinas. Es regelt insbesondere die Tätigkeiten von Netzbetreibern und Betreibern von kritischen Infrastrukturen und von Unternehmen, die Produkte für sie herstellen.
- Zivilgesetzbuch: Neben dem Cybersicherheitsgesetz 2016 sieht das Zivilgesetzbuch der Volksrepublik China, das seit dem 1. Januar 2021 in Kraft ist (deutsche Übersetzung), ausdrücklich ein Recht auf den Schutz von Personendaten vor.