PIPL – Personal Information Protection Law (Chinesisches Datenschutzgesetz)
Chinas PIPL gilt seit November 2021 und ist das umfassendste Datenschutzgesetz der VR China, mit strikten Anforderungen an grenzüberschreitende Datentransfers.
Zusammenfassung
Das Personal Information Protection Law (PIPL) ist Chinas erstes umfassendes Datenschutzgesetz auf nationaler Ebene. Es trat am 1. November 2021 in Kraft und gilt als das chinesische Äquivalent zur europäischen DSGVO, weist aber auch erhebliche Besonderheiten auf, die dem chinesischen Rechtssystem und den staatlichen Interessen Rechnung tragen.
- Extraterritorialer Geltungsbereich: Gilt auch für die Verarbeitung von Daten chinesischer Bürger durch ausländische Unternehmen.
- Strenge Transferbeschränkungen: Grenzüberschreitende Datentransfers unterliegen besonders strengen Anforderungen, einschließlich Sicherheitsbewertungen durch die Cyberspace Administration of China (CAC).
- Einwilligungserfordernis: Umfangreiche Einwilligungsanforderungen, einschließlich gesonderter Einwilligung für bestimmte sensible Verarbeitungen.
- Lokalisierungspflichten: Betreiber kritischer Informationsinfrastrukturen müssen Daten in China speichern.
Geschichte
Vor dem PIPL waren datenschutzrelevante Regelungen in China auf mehrere Gesetze verteilt, darunter das Cybersecurity Law (CSL, 2017) und das Data Security Law (DSL, 2021). Diese bildeten zusammen mit dem PIPL das sogenannte „Data Governance Trilogie“.
Der erste Entwurf des PIPL wurde im Oktober 2020 veröffentlicht und durchlief zwei öffentliche Konsultationsrunden. Das Gesetz wurde am 20. August 2021 vom Nationalen Volkskongress verabschiedet und trat am 1. November 2021 in Kraft. Die Cyberspace Administration of China (CAC) hat seitdem zahlreiche Durchführungsregelungen erlassen, insbesondere zu grenzüberschreitenden Datentransfers, zur Sicherheitsbewertung und zu Standardvertragsklauseln.
Geltungsbereich
Das PIPL gilt für die Verarbeitung personenbezogener Daten von natürlichen Personen in der Volksrepublik China. Es erfasst auch ausländische Organisationen und Einzelpersonen, die personenbezogene Daten von in China befindlichen Personen verarbeiten, wenn:
- Produkte oder Dienstleistungen für Personen in China angeboten werden, oder
- das Verhalten von Personen in China analysiert wird.
Ausländische Unternehmen müssen unter Umständen einen lokalen Vertreter in China benennen und sich bei der zuständigen Behörde registrieren lassen. Das Gesetz unterscheidet zwischen normalen personenbezogenen Daten und sensiblen personenbezogenen Daten (Biometrie, religiöse Überzeugungen, besonders ausgewiesener Status, Gesundheit, Finanzwesen, Aufenthaltsorte von Minderjährigen unter 14 Jahren).
Kernanforderungen
- Rechtmäßige Grundlage: Einwilligung, Vertragserfüllung, gesetzliche Pflichten, öffentliche Interessen oder andere gesetzlich bestimmte Gründe.
- Zweckbindung: Klare, bestimmte und legitime Verarbeitungszwecke.
- Datensparsamkeit: Verarbeitung nur der notwendigen Mindestdatenmenge.
- Betroffenenrechte: Auskunft, Kopie, Berichtigung, Löschung, Einschränkung, Erklärung von Entscheidungslogik, Widerruf der Einwilligung, Datenübertragung.
- Datenschutzbeauftragter: Pflicht zur Bestellung bei umfangreicher Verarbeitung.
- Datenschutz-Folgenabschätzung: Pflicht bei sensiblen Daten, automatisierter Entscheidungsfindung, grenzüberschreitenden Transfers u.a.
- Grenzüberschreitende Transfers: CAC-Sicherheitsbewertung, CAC-zertifizierte Standardvertragsklauseln oder Zertifizierung nach nationalem Standard erforderlich.
- Datenpannen: Unverzügliche Meldung an Behörden und ggf. betroffene Personen.
- Sanktionen: Bußgelder bis zu 50 Mio. CNY oder 5 % des Jahresumsatzes; strafrechtliche Verantwortlichkeit möglich.
Verwandte Frameworks
Korrekturen & Errata
PIPL (China) ist Pendant zu GDPR — Baseline-Querverbindung fehlte.
Alle Details auf der Errata-Seite →1 Korrektur:
- PIPL: official_url gibt HTTP 404 zurueck — falsche URL