PIPL betrifft auch europäische Unternehmen

In China wird Datenschutz immer wichtiger. Das neue Personal Information Protection Law (PIPL) übernimmt verschiedene Prinzipien aus der DSGVO. [...]

Europäischer und chinesischer Datenschutz basiert nicht auf den gleichen Voraussetzungen und verfolgt nicht den gleichen Zweck (c) pixabay.com

Die Flut an neuen IT-Gesetzen in der Volksrepublik China scheint kein Ende zu nehmen und betrifft aufgrund der so genannten „extraterritorialen Wirkung“ immer stärker auch Unternehmen außerhalb des eigenen Landes. Nachdem in den letzten Jahren schon das Chinese Cybersecurity Law, das Data Security Law und das Kryptografiegesetz Thema waren, hat der chinesische Gesetzgeber mit dem am 20. August 2021 verabschiedeten Personal Information Protection Law (PIPL) einen neuen Meilenstein in der chinesischen Datenschutzgesetzgebung vorgelegt. Das PIPL ist dabei in jedweder Hinsicht besonders, denn es ist nicht nur die erste umfassende chinesische Datenschutzgesetzgebung, sondern übernimmt im gleichen Zuge auch eine Vielzahl von Regelungsprinzipien aus der in Europa bereits seit 2016 bekannten Datenschutzgrundverordnung (DSGVO).

Gerade deshalb stellen sich verschiedene Fragen, welche Rechtsfolgen das neue Gesetz, das zum 1. November 2021 in Kraft treten wird, entfaltet und ob das chinesische Datenschutzniveau nunmehr mit dem europäischen Standard vergleichbar ist.

PIPL vs. DSGVO: Unterschiede

Das PIPL ist nicht das einzige chinesische Gesetz, das Regelungsprinzipien aus dem EU-Datenschutz in chinesisches Recht überträgt, gleichwohl aber das erste Gesetz, das hierbei einen umfassenden, fast schon harmonisierenden Ansatz verfolgt. Dennoch wird das chinesische Datenschutzniveau ab November 2021 nicht mit dem Maßstab der DSGVO vergleichbar sein, denn:

  • zum einen ist in China eine Verfassungstradition des Datenschutzes unbekannt;
  • zum anderen verfolgt die Volksrepublik China eine ebenso gesetzlich begründete, umfassende staatliche Überwachungspraxis und in der Vergangenheit war es durchaus so, dass der unter Unternehmen und Privatpersonen nicht immer effektiv durchgesetzt wurde.

Zwar kann man einerseits hohe Bußgelder und Strafen infolge von Datenschutzverstößen androhen, aber letztlich ist jede gesetzliche Regelung nur so effektiv wie ihre Kontrollintensität. Hinzu kommt, dass die Aufsichtsbehörden in China nicht unabhängig sind.

Ein weiterer Grund, warum der neue chinesische nicht wirklich mit den EU-Regularien zu vergleichen ist, betrifft die unterschiedliche Regelungsintention, denn Datenschutz wird in China vor allem unter wirtschaftlichen und politischen Gesichtspunkten betrachtet, auch mit Blick auf die nationale Sicherheit: Indem man gesetzliche Regelungen schafft, die den europäischen ähnlich sind, können sich chinesische Technologieexporteure, die vielfach von der DSGVO erfasst sind, besser auf deren Regelungen einstellen. Und man hat natürlich Sorge angesichts einer unkontrollierten Massendatenerhebung aus der Bevölkerung von Privatkonzernen, die jenseits der staatlichen Kontrolle stattfindet.

Auch darum finden sich in den Gesetzen Chinas beispielsweise Pflichten zur Datenlokalisierung, womit die Daten chinesischer Bürger nicht ohne Weiteres in das Ausland übermittelt werden dürfen – und das betrifft natürlich auch europäische Unternehmen in China.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

PIPL schützt nicht vor staatlichen Eingriffen

Ein weiterer Grund für die exponentiell wachsende IT-Regulierung in China ist die Sorge der Volksrepublik, dass die chinesischen Tech-Konzerne durch ihr globales Wachstum zunehmend mächtiger und damit für die Staatspolitik unkontrollierbar werden. Bevor es zu spät ist, soll durch strenge Regularien vorgebeugt werden. Gerade am Beispiel der Studentenproteste in Hongkong wurde überdies deutlich, wie sich Entwicklungen in sozialen Medien verselbstständigen und eventuell chinakritische Tendenzen im eigenen Land nicht mehr zu kontrollieren sind.

Auch hat sich Anfang dieses Jahres am Fall der Socialmedia-App „Clubhouse“ gezeigt, dass neue digitale Räume durchaus von der chinesischen Bevölkerung genutzt werden, um offen regierungskritische Gespräche zu führen. Neben der Regulierung kauft sich der Staat außerdem in wichtige Unternehmen aus der chinesischen Tech-Branche ein, wie jüngst die Beteiligung des chinesischen Staates an „Bytedance“ zeigt, dem Mutterkonzern der erfolgreichen internationalen Kurzvideoplattform „TikTok“.

Während das hohe EU-Datenschutzniveau für Bürger und Behörden gilt, verfolgt das PIPL einen anderen Schutzzweck – ein weiterer Grund also für die fehlende Vergleichbarkeit von europäischem und chinesischem Datenschutzrecht. Das neue Datenschutzgesetz zielt vor allem auf landeseigene Unternehmen, ausländische Unternehmen mit Geschäftstätigkeit in China und auf ausländische Behörden im Verhältnis zum chinesischen Bürger ab. Die Überwachungsgesetzgebung ist demgegenüber auch in der Volksrepublik China bereichsspezifischer Natur. Zumindest über Pflichten zur Datenlokalisierung kann aber mittelbar auch ein Schutz des chinesischen Bürgers gegenüber ausländischen Behörden gewährleistet werden, indem dessen Daten nicht ohne Weiteres in das Ausland übermittelt werden dürfen.

PIPL – neue Risiken für deutsche Unternehmen?

Klar ist, dass das PIPL eine erhebliche extraterritoriale Wirkung entfaltet und damit auch ausländische Unternehmen betrifft, die in der Volksrepublik China geschäftlich tätig sind. Darunter fallen zum Beispiel:

  • Pflichten, Repräsentanzen zu Datenschutzfragen in China aufzubauen;
  • bestimmte Auslandsdatentransfers zu unterlassen oder
  • Berichtspflichten gegenüber den chinesischen Aufsichtsbehörden.

Für Plattformbetreiber bzw. Social Networks gibt es darüber hinaus besonders strenge Pflichten, so beispielsweise, ein unabhängiges Aufsichtskomitee zu bestimmen. Für diesen Bereich sind tatsächlich auch Parallelen zur aktuellen europäischen Plattformregulierung erkennbar. Vor allem die chinesischen Regularien zur Datenlokalisierung und der eingeschränkte Auslandsdatentransfer dürften vielen Unternehmen nicht nur hierzulande Sorge bereiten, und die Tatsache, dass die gesetzlichen Regelungen auf Chinesisch verfasst sind und behördliche, sprachliche sowie natürlich auch gewisse kulturelle Barrieren bestehen. Hinzu tritt die oft erkennbare Auslegungsflexibilität chinesischer Rechtsvorschriften: So existieren auch im neuen PIPL verhältnismäßig unspezifische behördliche Genehmigungserfordernisse.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Neben seiner umfassenden Forschungs- und Projekterfahrung, die Dennis-Kenji Kipker als Wissenschaftlicher Geschäftsführer an der Universität Bremen gewinnen konnte, ist bei ihm auch die Praxis als Legal Advisor des VDE, Abteilung CERT@VDE, nicht zu kurz gekommen. Daneben ist er noch im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) tätig. Der Autor kümmert sich außerdem als Geschäftsführer von Certavo gleichermaßen um die IT-Sicherheit und den Datenschutz.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*