Am 1. November 2021 trat das Datenschutzgesetz für personenbezogene Informationen (Personal Information Protection Law, PIPL) in Kraft. Zusammen mit dem PIPL bilden in China mittlerweile drei Gesetze den Rahmen für Datenschutz:
- Cyber Security Law (2017)
- Data Security Law (September 2021)
- Personal Information Protection Law (1. November 2021)
Das PIPL regelt den Schutz persönlicher Daten, beispielsweise wie Einverständnis einzuholen ist und wie transparent Datenverarbeitung sein muss. Wer gegen das Gesetz verstößt, kann ein Bußgeld von bis zu 50 Millionen Renminbi (RMB) bekommen. In schlimmen Fällen droht sogar Geschäftsverbot und strafgerichtliche Verfolgung. Für den Datenschutz verantwortliche Privatpersonen können Bußgelder von bis zu einer Millionen RMB erhalten.
Auch ausländische Firmen betroffen
Knifflig wird es für ausländische Unternehmen, wenn sie personenbezogene Daten von China ins Ausland übertragen. Die Unternehmen müssen sicherstellen, dass der Umgang mit Daten im Ausland den Vorschriften des PIPL und dem ausländischen Datenschutzgesetz entspricht. Sie müssen außerdem Verantwortliche benennen, die für den Datenschutz zuständig sind. Besonders wichtig ist, dass personenbezogene Daten in China gespeichert werden müssen, wenn sie eine bestimmte (und bisher nicht definierte) Menge überschreiten.
Das Gesetz betrifft die Daten aller chinesischen Personen. Deshalb sind auch Unternehmen außerhalb Chinas, die diese Daten verarbeiten, von dem Gesetz betroffen. Unklar ist weiterhin, welche Daten das Gesetz als „wichtig“ definiert. Denn diese müssen Unternehmen einer weiteren Sicherheitsprüfung unterziehen, bevor sie sie übermitteln können.
Was Firmen jetzt wegen des neuen Datenschutzgesetzes tun sollten
- Eine verantwortliche Person für den Umgang mit personenbezogenen Daten festgelegen. Firmen im Ausland sollten unbedingt eine gute Vertretung in China finden.
- Maßnahmen zum Schutz für personenbezogene Daten überarbeiten, an das PIPL anpassen und aktuell halten.
- Je nach Firmengröße, Nutzung der Daten und vorhandenen Ressourcen überlegen, was besser geeignet ist: Daten übertragen oder Daten lokal speichern.