Chi­na: Per­so­nal Infor­ma­ti­on Pro­tec­tion Law (PIPL) in Kraft am 1. Novem­ber 2021

Das chi­ne­si­sche Gesetz zum Schutz per­so­nen­be­zo­ge­ner Daten (“PIPL”) wur­de am 20. August 2021 ver­kün­det und tritt am 1. Novem­ber 2021 in Kraft. Es ist der erste umfas­sen­de Erlass Chi­nas zum Schutz von Per­so­nen­da­ten. Eine inof­fi­zi­el­le Über­set­zung ist hier abruf­bar. Eine Ein­füh­rung hat z.B. die IAPP ver­öf­fent­licht.

PIPL ent­hält Vor­schrif­ten für die Bear­bei­tung von Per­so­nen­da­ten und die Rech­te der betrof­fe­nen Per­so­nen und beschränkt die Anfor­de­run­gen für die Daten­über­mitt­lung an Drit­te. Im Grund­kon­zept ähnelt PIPL der DSGVO, mut­mass­lich mit Blick auf eine Ange­mes­sen­heits­ent­schei­dung auf lan­ge Sicht. Es wer­den all­ge­mei­ne Grund­sät­ze für die Bear­bei­tung von Daten defi­niert, ein­schliess­lich des Erfor­der­nis­ses einer Rechts­grund­la­ge (beschränkt für beson­ders schüt­zens­wer­te Per­so­nen­da­ten), es gel­ten Infor­ma­ti­ons­pflich­ten, die Bekannt­ga­be ins Aus­land ist beschränkt, es gel­ten Gover­nan­ce­pflich­ten wie z.B. Fol­gen­ab­schät­zun­gen oder Bre­ach Noti­fi­ca­ti­ons, die Rol­len wer­den ähn­lich defi­niert wie nach der DSGVO (ein­schliess­lich der gemein­sa­men Ver­ant­wor­tung), und Betrof­fe­ne haben Rech­te ein­schliess­lich eines Aus­kunfts­rechts. Unter­neh­men kön­nen bei Sank­tio­nen gebüsst wer­den mit einer Bus­se von umge­rech­net bis zu CHF 7 Mio. oder 5% des jähr­li­chen Umsatzes.

In Details liest sich PIPL aber über­ra­schend. Bspw. ist die Ein­wil­li­gung sehr streng gere­gelt, sie deckt eine Bear­bei­tung etwa nicht mehr, wenn sich u.a. die Art der Bear­bei­tung ändert, und für bestimm­te Bear­bei­tun­gen sind eige­ne Ein­wil­li­gungs­er­klä­run­gen erfor­der­lich (z.B. die Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land). Es wer­den auch eini­ge ein­zel­ne Use Cases eigens gere­gelt, z.B. die Video­über­wa­chung oder die Bekannt­ga­be im Zusam­men­hang mit M&A‑Transaktionen.

PIPL kann extra­ter­ri­to­ria­le Wir­kung haben (Art. 3 PIPL). Das Gesetz gilt für die Bear­bei­tung von Per­so­nen­da­ten natür­li­cher Per­so­nen inner­halb von Chi­na, aber auch eine ausser­halb Chi­nas, sofern sich die betrof­fe­nen Per­so­nen in Chi­na auf­hal­ten und die ent­spre­chen­de Bear­bei­tung (i) für das Ange­bot von Pro­duk­ten oder Dienst­lei­stun­gen für natür­li­che Per­so­nen in Chi­na oder (ii) für die Ana­ly­se oder Aus­wer­tung des Ver­hal­tens natür­li­cher Per­so­nen in Chi­na dient, also mehr oder weni­ger ana­log zu Art. 3 Abs. 2 DSGVO. Fällt ein Unter­neh­men ausser­halb Chi­nas dem­nach unter PIPL, muss es eine beson­de­re Ein­rich­tung vor­se­hen oder einen Ver­tre­ter in Chi­na bestellen.

PIPL ist das jüng­ste, aber nicht ein­zi­ge chi­ne­si­sche Gesetz im Bereich des Daten­rechts. Das Daten­recht umfasst auch das Daten­si­cher­heits­ge­setz, das Cyber­si­cher­heits­ge­setz, das Zivil­ge­setz­buch und sek­to­ri­el­le Bestim­mun­gen z.B. in den Berei­chen Tele­kom­mu­ni­ka­ti­on, Finanz, Gesund­heit und E‑Commerce:

  • Daten­si­cher­heits­ge­setz: Das Daten­si­cher­heits­ge­setz Chi­nas (inof­fi­zi­el­le Über­set­zung) ist am 1. Sep­tem­ber 2021 in Kraft getre­ten (hier fin­det sich ein Fact Sheet, und auch die NZZ hat dar­über berich­tet). Es regelt nicht nur die Bear­bei­tung von Per­so­nen­da­ten, son­dern über­haupt von Daten, auch von Maschi­nen­da­ten (Art. 3).
  • Cyber­si­cher­heits­ge­setz: Das Cyber­si­cher­heits­ge­setz (CSL; eine Über­set­zung ins Eng­li­sche fin­det sich hier) gilt für den Auf­bau, den Betrieb, die War­tung und die Nut­zung von Net­zen und die Über­wa­chung und Ver­wal­tung der Cyber­si­cher­heit im Hoheits­ge­biet Chi­nas. Es regelt ins­be­son­de­re die Tätig­kei­ten von Netz­be­trei­bern und Betrei­bern von kri­ti­schen Infra­struk­tu­ren und von Unter­neh­men, die Pro­duk­te für sie herstellen.
  • Zivil­ge­setz­buch: Neben dem Cyber­si­cher­heits­ge­setz 2016 sieht das Zivil­ge­setz­buch der Volks­re­pu­blik Chi­na, das seit dem 1. Janu­ar 2021 in Kraft ist (deut­sche Über­set­zung), aus­drück­lich ein Recht auf den Schutz von Per­so­nen­da­ten vor.