PIPL betrifft auch europäische Unternehmen

In China wird Datenschutz immer wichtiger. Das neue Personal Information Protection Law (PIPL) übernimmt verschiedene Prinzipien aus der DSGVO. [...]

Europäischer und chinesischer Datenschutz basiert nicht auf den gleichen Voraussetzungen und verfolgt nicht den gleichen Zweck (c) pixabay.com

Die Flut an neuen IT-Gesetzen in der Volksrepublik China scheint kein Ende zu nehmen und betrifft aufgrund der so genannten „extraterritorialen Wirkung“ immer stärker auch Unternehmen außerhalb des eigenen Landes. Nachdem in den letzten Jahren schon das Chinese Cybersecurity Law, das Data Security Law und das Kryptografiegesetz Thema waren, hat der chinesische Gesetzgeber mit dem am 20. August 2021 verabschiedeten Personal Information Protection Law (PIPL) einen neuen Meilenstein in der chinesischen Datenschutzgesetzgebung vorgelegt. Das PIPL ist dabei in jedweder Hinsicht besonders, denn es ist nicht nur die erste umfassende chinesische Datenschutzgesetzgebung, sondern übernimmt im gleichen Zuge auch eine Vielzahl von Regelungsprinzipien aus der in Europa bereits seit 2016 bekannten Datenschutzgrundverordnung (DSGVO).

Gerade deshalb stellen sich verschiedene Fragen, welche Rechtsfolgen das neue Gesetz, das zum 1. November 2021 in Kraft treten wird, entfaltet und ob das chinesische Datenschutzniveau nunmehr mit dem europäischen Standard vergleichbar ist.

PIPL vs. DSGVO: Unterschiede

Das PIPL ist nicht das einzige chinesische Gesetz, das Regelungsprinzipien aus dem EU-Datenschutz in chinesisches Recht überträgt, gleichwohl aber das erste Gesetz, das hierbei einen umfassenden, fast schon harmonisierenden Ansatz verfolgt. Dennoch wird das chinesische Datenschutzniveau ab November 2021 nicht mit dem Maßstab der DSGVO vergleichbar sein, denn:

  • zum einen ist in China eine Verfassungstradition des Datenschutzes unbekannt;
  • zum anderen verfolgt die Volksrepublik China eine ebenso gesetzlich begründete, umfassende staatliche Überwachungspraxis und in der Vergangenheit war es durchaus so, dass der unter Unternehmen und Privatpersonen nicht immer effektiv durchgesetzt wurde.

Zwar kann man einerseits hohe Bußgelder und Strafen infolge von Datenschutzverstößen androhen, aber letztlich ist jede gesetzliche Regelung nur so effektiv wie ihre Kontrollintensität. Hinzu kommt, dass die Aufsichtsbehörden in China nicht unabhängig sind.

Ein weiterer Grund, warum der neue chinesische nicht wirklich mit den EU-Regularien zu vergleichen ist, betrifft die unterschiedliche Regelungsintention, denn Datenschutz wird in China vor allem unter wirtschaftlichen und politischen Gesichtspunkten betrachtet, auch mit Blick auf die nationale Sicherheit: Indem man gesetzliche Regelungen schafft, die den europäischen ähnlich sind, können sich chinesische Technologieexporteure, die vielfach von der DSGVO erfasst sind, besser auf deren Regelungen einstellen. Und man hat natürlich Sorge angesichts einer unkontrollierten Massendatenerhebung aus der Bevölkerung von Privatkonzernen, die jenseits der staatlichen Kontrolle stattfindet.

Auch darum finden sich in den Gesetzen Chinas beispielsweise Pflichten zur Datenlokalisierung, womit die Daten chinesischer Bürger nicht ohne Weiteres in das Ausland übermittelt werden dürfen – und das betrifft natürlich auch europäische Unternehmen in China.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

PIPL schützt nicht vor staatlichen Eingriffen

Ein weiterer Grund für die exponentiell wachsende IT-Regulierung in China ist die Sorge der Volksrepublik, dass die chinesischen Tech-Konzerne durch ihr globales Wachstum zunehmend mächtiger und damit für die Staatspolitik unkontrollierbar werden. Bevor es zu spät ist, soll durch strenge Regularien vorgebeugt werden. Gerade am Beispiel der Studentenproteste in Hongkong wurde überdies deutlich, wie sich Entwicklungen in sozialen Medien verselbstständigen und eventuell chinakritische Tendenzen im eigenen Land nicht mehr zu kontrollieren sind.

Auch hat sich Anfang dieses Jahres am Fall der Socialmedia-App „Clubhouse“ gezeigt, dass neue digitale Räume durchaus von der chinesischen Bevölkerung genutzt werden, um offen regierungskritische Gespräche zu führen. Neben der Regulierung kauft sich der Staat außerdem in wichtige Unternehmen aus der chinesischen Tech-Branche ein, wie jüngst die Beteiligung des chinesischen Staates an „Bytedance“ zeigt, dem Mutterkonzern der erfolgreichen internationalen Kurzvideoplattform „TikTok“.

Während das hohe EU-Datenschutzniveau für Bürger und Behörden gilt, verfolgt das PIPL einen anderen Schutzzweck – ein weiterer Grund also für die fehlende Vergleichbarkeit von europäischem und chinesischem Datenschutzrecht. Das neue Datenschutzgesetz zielt vor allem auf landeseigene Unternehmen, ausländische Unternehmen mit Geschäftstätigkeit in China und auf ausländische Behörden im Verhältnis zum chinesischen Bürger ab. Die Überwachungsgesetzgebung ist demgegenüber auch in der Volksrepublik China bereichsspezifischer Natur. Zumindest über Pflichten zur Datenlokalisierung kann aber mittelbar auch ein Schutz des chinesischen Bürgers gegenüber ausländischen Behörden gewährleistet werden, indem dessen Daten nicht ohne Weiteres in das Ausland übermittelt werden dürfen.

PIPL – neue Risiken für deutsche Unternehmen?

Klar ist, dass das PIPL eine erhebliche extraterritoriale Wirkung entfaltet und damit auch ausländische Unternehmen betrifft, die in der Volksrepublik China geschäftlich tätig sind. Darunter fallen zum Beispiel:

  • Pflichten, Repräsentanzen zu Datenschutzfragen in China aufzubauen;
  • bestimmte Auslandsdatentransfers zu unterlassen oder
  • Berichtspflichten gegenüber den chinesischen Aufsichtsbehörden.

Für Plattformbetreiber bzw. Social Networks gibt es darüber hinaus besonders strenge Pflichten, so beispielsweise, ein unabhängiges Aufsichtskomitee zu bestimmen. Für diesen Bereich sind tatsächlich auch Parallelen zur aktuellen europäischen Plattformregulierung erkennbar. Vor allem die chinesischen Regularien zur Datenlokalisierung und der eingeschränkte Auslandsdatentransfer dürften vielen Unternehmen nicht nur hierzulande Sorge bereiten, und die Tatsache, dass die gesetzlichen Regelungen auf Chinesisch verfasst sind und behördliche, sprachliche sowie natürlich auch gewisse kulturelle Barrieren bestehen. Hinzu tritt die oft erkennbare Auslegungsflexibilität chinesischer Rechtsvorschriften: So existieren auch im neuen PIPL verhältnismäßig unspezifische behördliche Genehmigungserfordernisse.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Neben seiner umfassenden Forschungs- und Projekterfahrung, die Dennis-Kenji Kipker als Wissenschaftlicher Geschäftsführer an der Universität Bremen gewinnen konnte, ist bei ihm auch die Praxis als Legal Advisor des VDE, Abteilung CERT@VDE, nicht zu kurz gekommen. Daneben ist er noch im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) tätig. Der Autor kümmert sich außerdem als Geschäftsführer von Certavo gleichermaßen um die IT-Sicherheit und den Datenschutz.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*