Weniger als ein Jahr nach Veröffentlichung des Gesetzentwurfs verabschiedete der Nationale Volkskongress der Volksrepublik China („China“) am 20. August 2021 das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law – „PIPL“).
Das PIPL wird am 1. November 2021 in Kraft treten und stellt Chinas erstes umfassendes Gesetz zum Schutz personenbezogener Daten dar. Mit dem Cybersicherheitsgesetz, dem am 1. September inkrafttretenden Datensicherheitsgesetz und dem 4. Buch des Zivilgesetzbuches bildet das PIPL den Schlussstein für einen umfassenden Datenschutz in China.
Vergleichbar mit der Datenschutz-Grundverordnung der Europäischen Union („DSGVO“), legt auch das PIPL Grundsätze und gesetzliche Standards für den Schutz und die Verarbeitung personenbezogener Daten fest.
Um den Schutz von personenbezogenen Daten sicherzustellen, sind Unternehmen verpflichtet, eine Reihe von Maßnahmen zu ergreifen und die Verantwortlichkeiten innerhalb eines Unternehmens klar zu zuordnen. Personenbezogene Daten können nur beim Vorliegen einer der im PIPL vorgesehenen Gründe und nach den Prinzipien der Offenheit und Transparenz verarbeitet werden, wobei die Datenverarbeitung auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken ist. Personenbezogene Daten sind nach dem im PIPL verankerten Datenlokalisierungsprinzip grundsätzlich innerhalb Chinas zu speichern und eine Bereitstellung ins Ausland ist möglich nur nach Erfüllung bestimmter Bedingungen.
Das PIPL entfaltet, wie auch die DSGVO, eine grenzüberschreitende Wirkung und betrifft sowohl Unternehmen innerhalb von China als auch Unternehmen außerhalb Chinas, die personenbezogene Daten von natürlichen Personen in China verarbeiten. Diese müssen sich daher mit den Anforderungen des PIPL auseinandersetzen.
Bei einem Verstoß drohen nicht nur Bußgelder von bis zu RMB 50 Millionen (ca. EUR 6,5 Millionen) bzw. 5% des Vorjahresumsatzes und Verwaltungsmaßnahmen einschließlich der Beschlagnahme der rechtswidrig erlangten Einnahmen oder dem Verbot der Geschäftstätigkeit, sondern auch zivil- und strafrechtliche Haftung.
Ungeachtet der starken Ähnlichkeiten des PIPL mit der DSGVO, reicht es nicht aus, die für die Einhaltung der DSGVO getroffenen Maßnahmen einfach auf das PIPL zu übertragen!
Erfahren Sie in einem Webinar der Rechtsanwaltskanzlei Burkardt & Partner zusammen mit der Wirtschaftskammer Österreich welche Maßnahmen erforderlich sind! Sobald der Termin hierfür feststeht, werden Sie auf dem LinkedIn Kanal und auf der Website von Burkardt & Partner informiert.
Ihr Ansprechpartner bei Burkardt & Partner rund um das Thema Datenschutzrecht ist Herr Rainer Burkardt
Text: Burkardt & Partner Rechtsanwälte