Der Anwendungsbereich des PIPL
Artikel 3 des PIPL erklärt, für wen dieses Gesetz gilt. Zunächst ist anzumerken, dass es nur die Daten natürlicher Personen und nicht die von juristischen Personen schützt.
Sie müssen das chinesische Datenschutzgesetz einhalten, wenn:
-
Ihr Unternehmen/Organisation personenbezogene Daten in China verarbeitet;
-
Ihr Unternehmen personenbezogene Daten außerhalb Chinas verarbeitet, aber mindestens eine der folgenden Bedingungen erfüllt:
-
Die Verarbeitung personenbezogener Daten muss erfolgen, um Produkte oder Dienstleistungen für in China ansässige Personen bereitzustellen;
-
Die Verarbeitung personenbezogener Daten erfolgt, um das Verhalten von Personen mit Wohnsitz in China zu analysieren und zu bewerten;
-
Oder es liegen andere gesetzlich vorgeschriebene Umstände vor.
Dabei muss das Unternehmen bzw. die Organisation die Zustimmung der Eigentümer der personenbezogenen Daten für die Verarbeitung dieser Daten erhalten haben. Diese Zustimmung muss jedoch ausdrücklich erfolgen. Der Mechanismus der Opt-out-Zustimmung (der vom CCPA gefordert wird) gilt nach dem PIPL als ungültige Zustimmung. Generell bleibt festzuhalten, dass Daten nur in dem Umfang und für die Dauer erhoben werden dürfen, wie sie erforderlich sind.
Es gibt jedoch einige wenige Ausnahmen, in denen eine Einwilligung für die Datenverarbeitung nicht erforderlich ist.
Ausnahmen von PIPL
-
Wenn die Verarbeitung aufgrund des Abschlusses von Verträgen erforderlich ist, an denen die Dateninhaber*innen beteiligt sind;
-
Verarbeitung personenbezogener Daten aufgrund der Erfüllung gesetzlicher Pflichten;
-
Wenn die personenbezogenen Daten aufgrund der Notwendigkeit verarbeitet werden, die Gesundheit, das Leben und die Sicherheit des Eigentums natürlicher Personen in einer Notsituation zu schützen;
-
Verarbeitung in angemessenem Umfang für Maßnahmen von öffentlichem Interesse;
-
Verarbeitung von personenbezogenen Daten, die von der betroffenen Person öffentlich gemacht wurden, in angemessenem Umfang gemäß dem PIPL
Die PIPL-Datensubjektrechte
PIPL gewährt Einzelpersonen die folgenden Betroffenenrechte, wie in den Artikeln 44–49 beschrieben.
-
Recht auf Auskunft, Widerspruchsrecht und Recht auf Einschränkung der Verarbeitung
-
Auskunftsrecht und Recht auf Datenübertragbarkeit
-
Recht auf Berichtigung
-
Recht auf Vergessenwerden (Recht auf Löschung)
-
Recht auf Klärung der Verarbeitungsvorschriften
-
Recht für unmittelbare Familienmitglieder einer verstorbenen Person
Parallel zu den Rechten der betroffenen Person gibt es Pflichten für den Datenverarbeiter.
Die Pflichten des Datenverarbeiters gemäß PIPL
Es ist wichtig, zunächst darauf hinzuweisen, dass es unter der PIPL einen Verantwortlichen und einen Auftragsverarbeiter gibt, genau wie in der DSGVO. Aber dieses Gesetz verwendet andere Begriffe für sie. Somit ist laut PIPL der Datenverarbeiter tatsächlich der Datenverantwortliche im Sinne der DSGVO.
Jeder Verarbeiter von personenbezogenen Daten chinesischer Staatsbürger muss das Gesetz zum Schutz personenbezogener Daten von China einhalten. Die Einhaltung der Gesetze impliziert Verpflichtungen für den Verarbeiter personenbezogener Daten, um diese zu schützen.
Checkliste der Pflichten des Datenverarbeiters:
-
Checkliste der Pflichten des Datenverarbeiters:
-
Entwickeln Sie ein internes Ordnungssystem
-
Implementieren Sie eine kategorisierte Verwaltung personenbezogener Daten;
-
Ergreifung geeigneter sicherheitstechnischer Maßnahmen (Verschlüsselung und Anonymisierung)
-
Bestimmen Sie in angemessener Weise die Betriebserlaubnis für die Verarbeitung personenbezogener Daten,
-
Regelmäßige Durchführung von Sicherheitsschulungen und Schulungen für Mitarbeiter;
-
Organisation und Entwicklung der Umsetzung von Notfallplänen für Vorfälle im Zusammenhang mit der Sicherheit personenbezogener Daten; und
-
Vornahme aller sonstigen, durch Gesetze und Verwaltungsvorschriften vorgeschriebenen Maßnahmen.
Um das Gesetz und seine Anwendung besser zu verstehen, werfen wir einen genaueren Blick auf die gesetzliche Definition von sensiblen Informationen.
Als sensible Informationen gelten laut PIPL solche, deren Weitergabe oder Verwendung zu einer Verletzung der Würde natürlicher Personen oder zu Schäden an ihrer Person oder ihrem Eigentum führen kann. Einschließlich:
-
Biometrische Identifikatoren der Person,
-
Religiöser Glaube,
-
Krankenakten und Gesundheitszustand,
-
Finanzstatus und Standortverfolgung,
-
Personenbezogene Daten von Minderjährigen unter 14 Jahren.
Die Definition sensibler Informationen gemäß PIPL weist mehrere Merkmale auf, ist jedoch nicht mit personenbezogenen Daten (PII) gemäß DSGVO identisch. Denn PIPL geht noch etwas weiter. Dieses Gesetz definiert sensible Daten als alle Informationen, die einer Person materiellen Schaden zufügen können, wenn sie durchgesickert oder illegal verwendet werden.
PIPL und DSGVO
PIPL wird stark von der europäischen DSGVO beeinflusst. Die Einhaltung von PIPL wird für Unternehmen, die bereits DSGVO-konform sind, viel einfacher sein. Unternehmen müssen jedoch die Unterschiede zwischen diesen beiden Gesetzen kennen, um keine Verstöße und Strafen zu riskieren. Deshalb werfen wir einen Blick auf die wichtigsten Unterschiede zwischen PIPL und DSGVO.
PIPL vs. DSGVO – Die Unterschiede
-
Zum Zwecke der Verarbeitung personenbezogener Daten kategorisiert PIPL Minderjährige unter 14 Jahren, während die DSGVO eine Person unter 16 Jahren als Minderjährigen kategorisiert – einige EU-Mitgliedsstaaten erlauben es, diese Grenze auf bis zu 13 Jahre festzulegen.
-
Die DSGVO kategorisiert nicht automatisch alle personenbezogenen Daten von Minderjährigen als sensibel (erfordert die Zustimmung eines Elternteils oder Vormunds). Während PIPL eine automatische Kategorisierung hat.
-
Strafen bei Nichteinhaltung und Verstoß gegen PIPL können bis zu 50 Millionen RMB betragen, während bei Nichteinhaltung der DSGVO Höchststrafen von bis zu 20 Millionen Euro verhängt werden können.
-
Unter der DSGVO ist der Datenschutzbeauftragte (DSB) nicht für die Nichteinhaltung der Organisation verantwortlich. PIPL sagt dies nicht explizit.
-
Die DSGVO hat eine rechtmäßige Grundlage für legitime Zwecke, aber PIPL hat dies nicht. Finanzdaten sind unter der DSGVO nicht sensibel, aber unter PIPL sind sie sensibel.
-
Die DSGVO hat keine starke Datenaufbewahrung, PIPL jedoch schon. Die Frist für die Benachrichtigung bei Datenschutzverletzungen beträgt unter der DSGVO 72 Stunden, während sie unter PIPL „unverzüglich“ erfolgen muss – dies wird jedoch nicht näher erläutert.
PIPL compliance for your company
As you learned from our article, the chances that your company will also have to comply with the PIPL guidelines are very likely due to the extraterritorial scope of application. It is best to seek advice on this from data protection experts, such as our data protection service. The good news is that if you are already taking the GDPR into account in your day-to-day business, PIPL compliance is not rocket science.
PIPL-Compliance für Ihr Unternehmen
Wie Sie unserem Artikel entnommen haben, sind die Chancen, dass auch Ihr Unternehmen die PIPL-Richtlinien einhalten muss, aufgrund des extraterritorialen Geltungsbereichs sehr wahrscheinlich. Lassen Sie sich dazu am besten von Datenschutzexperten beraten, z. B. von unserem Datenschutzservice. Die gute Nachricht ist: Wenn Sie die DSGVO bereits in Ihrem Geschäftsalltag berücksichtigen, ist die PIPL-Compliance kein Hexenwerk.