Alle News

  • Start
  • Alle News
  • (Teil 2) Chinas Datenschutzrecht: Das Gesetz zum Schutz von persönlichen Informationen und das 4. Buch im Zivilgesetzbuch

(Teil 2) Chinas Datenschutzrecht: Das Gesetz zum Schutz von persönlichen Informationen und das 4. Buch im Zivilgesetzbuch

Datensicherheit Klein


Was Unternehmen über die neuesten Entwicklungen im Datenschutzrecht der VR China wissen sollten

Von Ondrej Zapletal
Burkardt & Partner Rechtsanwälte, Shanghai

(Teil 1: Einleitung sowie Informationen zum Cybersicherheitsgesetz und Datensicherheitsgesetz lesen Sie hier)


TEIL 2 
. Entwurf des Gesetzes zum Schutz von persönlichen Informationen
. 4. Buch im Zivilgesetzbuch

SCHUTZ VON PERSÖNLICHEN INFORMATIONEN
Das Gesetz zum Schutz personenbezogener Daten ("PIPL") wird – nach dem Erlass - Chinas erstes umfassendes Gesetz auf diesem Gebiet sein. Geregelt werden vor allem Grundsätze und gesetzliche Standards für den Schutz personenbezogener Daten, die als "alle Arten von Informationen in Bezug auf identifizierte oder identifizierbare natürliche Personen in China" ("Personendaten") definiert sind.

Sofern keine anderen gesetzlich vorgesehen Gründe vorliegen, sind Organisationen und Einzelpersonen ("Datenverarbeiter"), die Personendaten selbstbestimmt verarbeiten, generell verpflichtet, die freiwillige und ausdrückliche Einwilligung der betroffenen Person einzuholen. Diese soll auf der Grundlage einer ordnungsgemäßen Benachrichtigung erfolgen. Für die Veröffentlichung, Weitergabe von Personendaten an Dritte, die Verarbeitung von "sensiblen" Personendaten oder von Personendaten Minderjähriger ist eine Sondereinwilligung durch die betroffene Person bzw. durch deren gesetzlichen Vertreter erforderlich.

Personendaten sollen vor allem nach den Prinzipien der Genauigkeit, Offenheit, Datensicherheit und Transparenz verarbeitet werden. Die Datenverarbeitung ist auf das für die Zwecke der Verarbeitung notwendige Maß und Dauer zu beschränken.

Nach dem im PIPL vorgesehen Datenlokalisierungsprinzip sind Personendaten innerhalb Chinas zu speichern, sofern die Menge der verarbeiteten Personendaten einen bestimmten Schwellenwert überschreitet. Soweit eine Bereitstellung von Personendaten außerhalb Chinas erforderlich ist, ist eine von den zuständigen Behörden organisierte Sicherheitsbewertung zu durchlaufen. Sofern die Mengen der verarbeiteten Personendaten den Schwellenwert nicht erreichen, können die Datenverarbeiter Personendaten unter den im PIPL geregelten Bedingungen im Ausland bereitstellen. Der konkrete Schwellenwert für verarbeitete Personendaten wird von den zuständigen Behörden festgelegt werden.

Im Gegensatz zu den meisten chinesischen Gesetzen kann sich die Anwendbarkeit des PIPL auch auf Unternehmen außerhalb Chinas erstrecken, soweit Unternehmen außerhalb Chinas Personendaten mit dem Ziel verarbeiten, natürlichen Personen in China Produkte oder Dienstleistungen bereitzustellen oder Analysen oder Bewertungen von Aktivitäten dieser Personen durchzuführen.

Die Datenverarbeiter sind nach dem PIPL verpflichtet, den Datenschutz durch Formulierung von internen Unternehmensrichtlinien, Durchführung von Schulungen und anderen Maßnahmen sicherzustellen. Hierfür sind die Verantwortlichkeiten innerhalb eines Unternehmens klar zu benennen. Darüber hinaus müssen die Unternehmen ausreichende technische Sicherheitsmaßnahmen (z. B. Verschlüsselung) implementieren, einen Notfallplan für einen Sicherheitsvorfall bereithalten und regelmäßige Audits durchführen.

Bei der gesetzwidrigen Verarbeitung von Personendaten können die zuständigen Behörden im schwerwiegenden Fällen ein Bußgeld von bis zu 50 Mio. RMB oder 5% des Jahresumsatzes des Unternehmens verhängen und die Geschäftslizenz des Unternehmens widerrufen. Die im Unternehmen für die Datenverarbeitung verantwortliche Person kann mit einem Bußgeld von bis zu 1 Mio. RMB belegt werden. Bei gemeinsamer Datenverarbeitung durch zwei oder mehrere Unternehmen haften diese gesamtschuldnerisch.


DAS 4. BUCH IM ZIVILGESETZBUCH
Das 4. Buch des am 1. Januar 2021 in Kraft getretenen Zivilgesetzbuches der VR China ("ZGB") kann man als Basisregelung für den Datenschutz in China betrachten. Im Unterschied zu den drei vorstehenden Gesetzen schützt das ZGB personenbezogene Daten, die Privatsphäre und andere Persönlichkeitsrechte auf privatrechtlicher Ebene, d. h. zwischen natürlichen und juristischen Personen und gewährleistet eine rechtliche Grundlage für Zivilverfahren im Fall von Datenschutzverstößen. Folglich können Datenschutzverstöße auch zur zivilrechtlichen Haftung und u.a. Schadenersatzpflicht führen.

Das ZGB definiert Datenverarbeitung in Übereinstimmung mit den Begriffsdefinitionen im PIPL und im DSG. Das ZGB adressiert Organisationen und Einzelne, d. h. nicht nur (aber auch) Datenverarbeiter.

In Abweichung vom PIPL definiert das ZGB personenbezogene Daten als alle Arten von Informationen, die elektronisch oder anderweitig aufgezeichnet wurden und die zur unabhängigen Identifizierung einer bestimmten natürlichen Person verwendet oder mit anderen Informationen kombiniert werden können, um eine bestimmte natürliche Person zu identifizieren, einschließlich Namen, Geburtsdaten, ID-Nummern, biometrische Informationen, Adressen, Telefonnummern, E-Mail-Adressen, Gesundheitsinformationen, Aufenthaltsorte  usw. ("personenbezogene Daten").

Auch nach dem ZGB ist die Zustimmungserfordernis für Datenverarbeitung durch die betroffene Person erforderlich, es sei denn, die personenbezogenen Daten wurden so verarbeitet, dass eine Identifizierung der Person oder eine Wiederherstellung der Daten ausgeschlossen ist. Das ZGB unterscheidet sich vom PIPL durch die geringere Anzahl von Ausnahmetatbeständen.

Zu den wichtigsten Schutzpflichten für personenbezogene Daten nach dem ZGB gehören u.a. die Geheimhaltungs- und Wahrheitspflicht (gesammelte und gespeicherte personenbezogene Daten dürfen nicht öffentlich gemacht oder verfälscht werden), die Auskunfts- und Korrekturpflicht (Personen haben das Recht, ihre gesammelten personenbezogenen Daten einzusehen und bei fehlerhaften Daten eine Korrektur zu verlangen), die Pflicht zur Veröffentlichung von Datenverarbeitungsregeln, und die Sicherungspflicht, d.h. die Pflicht zur Einführung von technischen u.a. notwendigen Sicherheitsmaßnahmen für die Datenverarbeitung.


Grafik Zapletal


Quelle/Copyright: Burkardt & Partner Rechtsanwälte, Shanghai


CNBW-Mitglied
Burkardt & Partner Rechtsanwälte, Shanghai
Ondrej Zapletal,
O.ZAPLETAL@BKTlegal.com
www.BKTLegal.com


Burkardt
Folgen Sie uns auf LinkedIn


Bkt New Logo