Datenschutz in der Volksrepublik China.

 Ein Überblick über die Regeln für grenzüberschreitende Datentransfers aus China.

Albrecht von Wilucki, Rechtsanwalt der Kanzlei Buse Heberer Fromm
Albrecht von Wilucki, LL.M. (Boston Uni.)
Rechtsanwalt, Attorney at law

Datenschutz in der Volksrepublik China.

Blog: Arbeitsrecht - Beitrag vom 09.04.2024
Die wirtschaftlichen Beziehungen zwischen Deutschland und China sind trotz der Herausforderungen weiterhin positiv. Datenschutz ist aber und gerade in diesem Kontext ein wichtiges Thema.

Deutsch-chinesische Beziehungen

Datenschutz ist nicht nur in Deutschland, sondern auch im internationalen Wirtschaftsverkehr ein wichtiges Thema. Die EU-DSGVO und das Bundesdatenschutzgesetz regeln in Deutschland die Erhebung und Verarbeitung personenbezogener Daten.

Auch in China gab es in jüngster Zeit wichtige Gesetzgebung im Bereich des Datenschutzes und der Datensicherheit.

Das Gesetz zum Schutz persönlicher Daten in China: PIPL

Das Gesetz zum Schutz persönlicher Daten 个人信息保护法 (Personal Information Protection Law, PIPL) trat am 01.11.2021 in Kraft. Es schützt die Rechte und Interessen betroffener Personen in Bezug auf personenbezogene Daten, regelt die Verarbeitung solcher Daten und fördert deren sachgemäße Verwendung.

Das PIPL gilt für die Verarbeitung personenbezogener Daten von natürlichen Personen in China. Nach Art. 3 Abs. 2 PIPL gilt es außerdem für ausländische Unternehmen, die Daten chinesischer Bürger verarbeiten. Das entspricht Art. 3 Abs. 2 DSGVO.

Wenn ausländische Unternehmen Produkte oder Dienstleistungen für chinesische Bürger bereitstellen oder deren Daten analysieren wollen, müssen sie gemäß Art. 53 PIPL einen Vertreter in China benennen und ihn den lokalen Datenschutzbehörden melden.

Grundsätze für die Verarbeitung nach PIPL

Personenbezogene Daten sind gemäß Art. 5 PIPL nach den Grundsätzen der Rechtmäßigkeit, Zulässigkeit, Notwendigkeit und des guten Glaubens zu behandeln und dürfen nicht mit irreführenden, betrügerischen oder erzwungenen Mitteln erhoben werden.

Die Verarbeitung personenbezogener Daten muss nach Art. 6 PIPL einen eindeutigen und angemessenen Zweck haben und in direktem Zusammenhang mit dem Zweck der Erhebung stehen.

Die Erhebung personenbezogener Daten ist auf das zur Erreichung des Zwecks der Verarbeitung erforderliche Mindestmaß zu beschränken.

Die Verarbeitung erfolgt außerdem gemäß Art. 7 PIPL nach den Grundsätzen der Offenheit und Transparenz. Um diese zu wahren, müssen die Regeln für den Umgang mit personenbezogenen Daten offengelegt und Zweck, Methode und Umfang klar angegeben werden.

Grenzüberschreitende Datentransfers

Für die Zulässigkeit grenzüberschreitender Datentransfers gibt es dann folgende drei Möglichkeiten:

  • Standardvertragsklauseln
    In folgenden Fällen können die Daten auf der Grundlage von Standardvertragsklauseln ins Ausland transferiert werden:

    • Betreiber nicht-kritischer Informationsinfrastrukturen überträgt Daten.
    • Es werden personenbezogene Daten von weniger als 1 Million Personen verarbeitet.
    • Die kumulative Übermittlung personenbezogener Daten außerhalb des Landes seit dem 01.01. des Vorjahres betrifft weniger als 100.000 Personen.
    • Die kumulative Übermittlung sensibler personenbezogener Daten außerhalb des Landes seit dem 01.01. des Vorjahres betrifft weniger als 10.000 Personen.
  • Authentifizierung personenbezogener Daten
    Verarbeiter personenbezogener Daten im Ausland können gemäß Art. 3 Abs. 2 PIPL eine Authentifizierung der Verarbeitung durch eine spezialisierte Agentur oder ihre Vertreter in China beantragen. Der ausländische Verarbeiter führt eine Datenschutz-Folgenabschätzung (vergleichbar mit Art. 35 DSGVO) durch und erstellt einen Bericht, der mindestens drei Jahre aufbewahrt werden muss.
  • Sicherheitsbewertung
    In den folgenden Fällen erfordert ein grenzüberschreitender Datentransfer eine Sicherheitsbewertung:

    • Verarbeiter der wichtigen Daten,
    • Betreiber kritischer Informationsinfrastrukturen und Datenverarbeiter, die personenbezogene Daten von mehr als 1 Million Personen verarbeiten,
    • Datenverarbeiter, die seit dem 01.01. des Vorjahres personenbezogene Daten von 100.000 Personen oder sensible personenbezogene Daten von insgesamt 10.000 Personen ins Ausland übermittelt haben.

Was wir für Sie tun können!

Sie haben Fragen zum Thema internationale Datentransfers mit China und zum chinesischen Datenschutz? Sprechen Sie uns gerne an!

Das Wichtigste kurz zusammengefasst:

  • Das PIPL sieht auch extraterritoriale Anwendung vor.
  • Grundsätze der Datenverarbeitung in China sind: Rechtmäßigkeit, Notwendigkeit und guter Glauben, Minimierung und Transparenz.
  • Es gibt drei Möglichkeiten für grenzüberschreitende Datentransfers: Standardvertragsklauseln, Authentifizierung, Sicherheitsbewertung.

Newsletter

Bleiben Sie auf dem Laufenden!
Sie möchten informiert werden, wenn ein neuer Blogbeitrag erschienen ist und erfahren, über welches Thema wir als nächstes berichten? Dann melden Sie sich hier zu unseren Newsletter an:

Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.

Blog: Arbeitsrecht
Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.
02.06.2020

Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht?

Blog: Arbeitsrecht
Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht? Unternehmen gewähren Mitarbeiter*innen mehr Flexibilität – Fünf Dos and Don´ts für HR.
21.06.2022
Tanja Radoux

With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.

Blog: Arbeitsrecht
With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.
30.11.2021
Jan Tibor Lelley, Tobias Vößing

Wie umgehen mit politischem Extremismus am Arbeitsplatz?

Blog: Arbeitsrecht
Wie umgehen mit politischem Extremismus am Arbeitsplatz? Welche Möglichkeiten das Arbeitsrecht im Umgang mit politischen Extremisten am Arbeitsplatz bietet.
09.01.2024
Tobias Grambow

Wenn der Geschäftsführer nichts kann.

Blog: Arbeitsrecht
Wenn der Geschäftsführer nichts kann. Über persönliche Haftung von Geschäftsführern für eigenes Unvermögen und Überwachungsverschulden.
19.12.2023
Peter Fissenewert

Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich.

Blog: Arbeitsrecht
Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich. Keine Übergangsfrist – Bearbeitung anonymer Meldungen wird Pflicht.
17.01.2023
Jan Tibor Lelley
Let’s connect

Möchten Sie Informationen zu aktuellen Rechtsentwicklungen, Einladungen zu Veranstaltungen und Seminaren von uns erhalten? Dann bitten wir Sie um Ihre ausdrückliche Einwilligung.

…zur Einwilligungserklärung

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB