PIPL – Zweiter Entwurf eines chinesischen Datenschutzgesetzes veröffentlicht
Am 29. April 2021 hat China seinen zweiten Entwurf des Personal Information Protection Law (PIPL) vorgestellt. Der Entwurf ist bis zum 28. Mai 2021 für öffentliche Kommentare verfügbar. Das Gesetz zielt darauf ab, persönliche Daten besser zu schützen und ein einheitliches Datenschutzregime zu schaffen. Laut Chinas Gesetzgebungsplan soll das PIPL im dritten Quartal 2021 verabschiedet werden. Der Gesetzesentwurf enthält konzeptionell und inhaltlich einige Gemeinsamkeiten mit der DSGVO. Es lassen sich aber auch viele Unterschiede feststellen.
(Dieser Beitrag wurde auch veröffentlicht in Johannes ZD-Aktuell 2021, 05219)
Am 29. April 2021 hat China seinen zweiten Entwurf des Personal Information Protection Law (Entwurf PIPL) vorgestellt. Der Entwurf ist nun bis zum 28. Mai 2021 für öffentliche Kommentare verfügbar (siehe http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80818178f9100801791b35d78b4eb4). Es ist keine offizielle englische Übersetzung veröffentlicht. Eine inoffizielle englische Übersetzung des zweiten Entwurfs ist aber zum Beispiel abrufbar unter: https://digichina.stanford.edu/news/translation-personal-information-protection-law-peoples-republic-china-draft-second-review.
Das Gesetz zielt darauf ab, persönliche Informationen besser zu schützen und ein bereichsübergreifendes nationales Datenschutzregime zu schaffen, welches Datenverarbeitungsvorgänge standardisiert (Art. 1). Insoweit besteht eine parallele zur Datenschutzgrundverordnung. Trotz einiger konzeptioneller Ähnlichkeiten zur Datenschutz-Grundverordnung (DSGVO) weist der Entwurf auch sehr viele Unterschiede zu ihr auf. Im Folgenden werden einige der Inhalte des Gesetzesentwurfs knapp vorgestellt:
Territorialer Geltungsbereich
Das Gesetz soll nach Art. 3 des Entwurfs für die Verarbeitung persönlicher Informationen innerhalb der Volksrepublik China (VRC) gelten sowie für die extraterritoriale Verarbeitung solcher Daten natürlicher Personen innerhalb des Territoriums der VRC unter bestimmten Umständen, wie zum Beispiel zum Zwecke der Bereitstellung von Produkten oder Dienstleistungen für diese natürlichen Personen oder unter anderen durch Gesetze und Verwaltungsvorschriften geregelten Umständen. Das PIPL wirkt daher auch extraterritorial und erstreckt sich in diesen bestimmten Fällen auch auf die Verarbeitungsaktivitäten außerhalb Chinas. Zum Beispiel dann, wenn die Verarbeitung persönlicher Informationen natürlicher Personen innerhalb Chinas zum Zwecke der Erbringung von Dienstleistungen an solche Personen in China erfolgt.
Wichtige Definitionen
Es gibt eine Reihe von Verpflichtungen für „Personal Information Handlers“ (PIHs), die das PIPL definiert als Organisationen oder Einzelpersonen, die unabhängig Entscheidungen über Angelegenheiten der Verarbeitung personenbezogener Daten treffen, wie zum Beispiel den Zweck und die Mittel der Verarbeitung definiert. Dieser Begriff entspricht am ehesten dem Konzept des „Verantwortlichen“ nach der DSGVO. Mit Ausnahme anonymisierter Informationen wird unter einer persönlichen Information nach Art. 4 des Entwurfs jede Art von elektronisch oder durch andere Mittel aufgenommener Information verstanden, die eine natürliche Person identifiziert oder identifizieren kann. Damit unterfielen auch analoge Daten potenziell dem PIPL.
Grundprinzipien der Datenverarbeitung und Staatsziele
Die Prinzipien nach Art. 5 bis 9 ähneln denen nach Art. 5 DSGVO. Danach muss die Verarbeitung Rechtmäßig und Ehrlich erfolgen (Art. 5), was in etwa dem Grundsatz vom Treu und Glauben entsprechen könnte. Außerdem werden Zweckbindung und Datenminimierung vorgegeben (Art. 6) und Transparenz (Art. 7) eingefordert. Überdies soll die Qualität der persönlichen Informationen sichergestellt werden und nachteilige Auswirkungen auf individuelle Rechte und Interessen durch ungenaue oder unvollständige persönliche Informationen vermieden werden (Art. 8), was so auch dem Grundsatz der Richtigkeit nach DSGVO immanent ist. Art. 9 legt die persönliche Verantwortlichkeit der PIHs fest, auch hinsichtlich notwendiger Datensicherheitsmaßnahmen.
Die Art. 10 bis 12 des Entwurfs legen Grundsätze fest, die in Übereinstimmung mit den Interessen der Volksrepublik China liegen. Nach Arti. 10 darf keine Organisation oder Einzelperson persönliche Informationen unter Verletzung der Bestimmungen von Gesetzen und Verwaltungsvorschriften handhaben oder sich an Aktivitäten zur Handhabung persönlicher Informationen beteiligen, die der nationalen Sicherheit oder dem öffentlichen Interesse schaden. Nach Art. 11 richtet der Staat eine Struktur zum Schutz persönlicher Informationen ein, um Handlungen zu verhindern und zu bestrafen, die die Rechte und Interessen persönlicher Informationen verletzen, um die Propaganda und Aufklärung zum Schutz persönlicher Informationen zu verstärken und um die Schaffung eines guten Umfelds für den Schutz persönlicher Informationen zu fördern. Nach Art. 12 beteiligt sich der Staat energisch an der Formulierung internationaler Regeln [oder Normen] für den Schutz personenbezogener Daten, stimuliert den internationalen Austausch und die Zusammenarbeit im Bereich des Schutzes personenbezogener Daten und fördert die gegenseitige Anerkennung von Regeln [oder Normen] zum Schutz personenbezogener Daten, Standards usw. mit anderen Ländern, Regionen und internationalen Organisationen.
Erlaubnis zur Datenverarbeitung
Kapitel 2 des Entwurfs legt allgemeine Regeln (Abschnitt 1) und besondere Regeln für die Verarbeitung sensitiver persönlicher Informationen (Abschnitt 2), die vor allem die PIH binden sollen.
Diese Vorschriften haben teilweise Entsprechungen in der DSGVO (und sind ihr möglicherweise sogar entlehnt). Zum Beispiel enthält Art. 13 des Entwurfs Gründe zur Datenverarbeitung im Sinne von Erlaubnistatbeständen oder Ermächtigungsgrundlagen. Neben der Einwilligung nach Nr. 1, die bisher Sektorspezifisch geregelt war (unter anderem in Art. 42 des chinesischen Cybersicherheitsgesetzes), soll die Verarbeitung zudem rechtmäßig sein, wenn sie zum Beispiel zur Vertragserfüllung notwendig ist (Nr. 2), ein öffentlicher Gesundheitsnotstand (Nr. 4) oder die Vornahme von Handlungen im öffentlichen Interesse (Nr. 5) sie erfordern oder sie anderweitig rechtlich erlaubt ist (Nr. 6). Art. 13 ähnelt im Inhalt und Aufbau Art. 6 Abs. 1 Uabs. 1 DSGVO. Mehr Einzelheiten werden hinsichtlich der Einwilligung in Art. 14 und zu sensiblen Daten in Art. 29 ff. des Entwurfs bestimmt.
Teilweise haben die Vorschriften in Abschnitt 1 und 2 von Kapitel 2 aber auch keine Entsprechung in der DSGVO. Zum Beispiel sieht Art. 27 des Entwurfs vor, dass die Installation von Bildsammel- oder Personenerkennungsgeräten an öffentlichen Orten in dem Maße erfolgen darf, wie es zur Wahrung der öffentlichen Sicherheit erforderlich ist, und unter Beachtung der einschlägigen staatlichen Vorschriften, und es sind deutliche Hinweisschilder anzubringen.
Im Abschnitt 3 von Kapitel 2 werden spezifische Regelungen für die Datenverarbeitung durch staatliche Organe festgelegt. Nach Art. 33 soll das PIPL grundsätzlich auch für diese gelten und gemäß Art. 34 die Datenverarbeitung durch diese im Rahmen ihrer gesetzlichen Aufgabenzuweisung erfolgen. Art. 36 sieht vor, dass persönliche Informationen von staatlichen Organen auf dem chinesischen Festland aufbewahrt werden sollen.
Grenzüberschreitende Bereitstellung und Speicherung im Inland
Kapitel 3 des Entwurfs betrifft die grenzüberschreitende Bereitstellung persönlicher Daten. Diese soll nach Art. 38 an bestimmte Voraussetzungen geknüpft sein. Gemäß dem Entwurf des PIPL können PIPs personenbezogene Daten nur dann ins Ausland übertragen, wenn sie mindestens eine der folgenden Bedingungen erfüllen: (1) sich einer Sicherheitsbewertung unterziehen, die von der National Cyberspace Administration (NCA) verwaltet wird; (2) eine Verifizierung von professionellen Institutionen in Übereinstimmung mit den Regeln der NCA einholen; (3) eine Übertragungsvereinbarung mit dem Übertragungsempfänger unter Verwendung des von der NCA veröffentlichten Standardvertrags abschließen; oder (4) den Übertragungsmechanismen in Übereinstimmung mit anderen Gesetzen und Vorschriften folgen.
Außerdem müssen bei Bereitstellung persönlicher Informationen außerhalb Chinas Individuen über die in Art. 39 des Entwurfs genannten Punkte informiert und deren Einwilligung eingeholt werden. Betreiber kritischer Informationsinfrastrukturen und Verarbeiter, die bestimmte Schwellenwerte überschreiten, sollen nach Art. 40 des Entwurfs die gesammelten persönlichen Informationen innerhalb Chinas speichern müssen.
Rechte von Individuen
In Kapitel 4 werden Rechte von Individuen in Bezug auf die Verarbeitung von persönlichen Informationen zusammengefasst. Diese entsprechen zum Teil spiegelbildlich den Pflichten der PIH; ein Konzept, das so ähnlich auch in DSGVO zu finden ist. So besteht zum Beispiel ein Auskunftsrecht (Art. 44), ein Recht auf Kopie (Art. 45), ein Recht auf Berichtigung (Art. 46) und ein Recht auf Löschung (Art. 47). Im Verhältnis zur DSGVO neu sind dagegen, das Recht auf Auskunft hinsichtlich von Verarbeitungsregeln und eine Regelung zur Erbfolge, wonach die Rechte nach Kapitel 4 im Todesfall des Individuums auf dessen Nachkommen übergehen.
Pflichten von PIPs und Datenverarbeitern
Die Pflichten der PIPs werden in Kapitel 5 des PIPL-Entwurfs detailliert beschrieben. Insbesondere wird darauf hingewiesen, dass PIPs, die personenbezogenen Daten in einem bestimmten Umfang verarbeiten, eine Art Datenschutzbeauftragten benennen müssen (Art. 57), der für die Überwachung der Verarbeitung personenbezogener Daten verantwortlich ist und Schutzmaßnahmen ergreifen muss. PIPs sind außerdem verpflichtet, vorab Risikobewertungen für bestimmte personenbezogene Datenverarbeitungstätigkeiten, zum Beispiel im Zusammenhang mit sensiblen personenbezogenen Daten, durchzuführen (Art. 55) und regelmäßige Audits (Art. 54) durchzuführen. Stellen, die mit der Verarbeitung personenbezogener Daten betraut sind (Stellen, die den „Datenverarbeitern“ unter der DSGVO ähnlich sind), müssen die gleichen Verpflichtungen unter diesem Kapitel 5 erfüllen (Art. 58).
Aufsicht
Kapitel 6 enthält Regeln zur staatlichen Aufsicht. Art. 59 legt fordert die Einrichtung bereichspezifischer und regionaler Aufsichtsbehörden. Deren Aufgaben und Rechte werden Art. 60 und Art. 62 bis 64 festgelegt. Eine besondere Rolle erhält die staatliche Abteilung für Cybersicherheit und Informatisierung die gemäß Art. 61 unter anderem die Formulierung konkreter Regeln und Standards für den Schutz personenbezogener Daten sowie spezieller Regeln und Standards zum Schutz personenbezogener Daten für neue Technologien und neue Anwendungen in Bezug auf sensible personenbezogene Daten, Gesichtserkennung und künstliche Intelligenz koordinieren soll.
Sanktionen und gesetzliche Haftung
Art. 65 des Entwurfs sieht unter anderem bei schweren Verstößen empfindliche Bußgelder für Unternehmen von bis zu 50 Millionen Yuan oder 5 Prozent des Jahresumsatzes des Vorjahres vor. Nach Art. 67 können bei Verstößen daneben auch die direkt verantwortlichen natürlichen Personen bestraft werden. Eine Schadenersatzpflicht bei Verstößen wird in Art. 68 formuliert.
Schlussbemerkung
Der zweite Entwurf des PIPL scheint viele der Bestimmungen zu verfeinern, ohne sehr wesentliche Änderungen vorzunehmen. Während einige der Änderungen den PIPL-Entwurf noch näher an die DSGVO heranführen, gibt es viele Unterschiede und Bereiche, die auslegungsbedürftig sind. So enthält der zweite Entwurf beispielsweise keine weiteren Hinweise zu den Verfahren und der Umsetzung der Anforderungen für den grenzüberschreitenden Datentransfer, oder zu spezifischen Anforderungen an die Reaktion auf die Rechte der Betroffenen. Es ist wahrscheinlich, dass statt weiterer Klarstellungen im Gesetz selbst, detailliertere Anleitungen und Anforderungen in separaten Durchführungsbestimmungen festgelegt werden können.
Es ist aber nicht vorhersehbar, ob der Entwurf des PIPL vor seiner endgültigen Verabschiedung noch weiter modifiziert werden wird. Laut Chinas Gesetzgebungsplan soll das PIPL – ebenso wie das Data Security Law (DSL) – in den nächsten zwei bis drei Monat verabschiedet werden. Nichtsdestotrotz wäre das Gesetz, wenn es verabschiedet wird, das erste in der VRC, dass sich dem Schutz persönlicher Daten bereichsübergreifend widmet. Es wird wahrscheinlich den rechtlichen Rahmen bilden, der den Schutz persönlicher Daten in der VRC für die kommenden Jahre regelt.