8.1 Chinas PIPL

Am 1. November 2021 trat in China das Personal Information Protection Law (PIPL) in Kraft – Chinas erstes umfassendes Bundesgesetz zum Schutz personenbezogener Daten. Für deutsche Unternehmen, die in China tätig sind oder chinesische Nutzerdaten verarbeiten, ist dieses Gesetz von erheblicher Bedeutung.

Anwendungsbereich und Extraterritorialität

Das PIPL folgt einem extraterritorialen Ansatz, der deutliche Parallelen zur DSGVO aufweist. Es gilt für jede Verarbeitung personenbezogener Daten natürlicher Personen in China – unabhängig davon, ob die Verarbeitung auf chinesischem Boden stattfindet. Ausländische Unternehmen, die chinesischen Bürgern Produkte oder Dienstleistungen anbieten oder deren Verhalten analysieren, fallen ebenso unter das Gesetz. Sie müssen in China eine lokale Vertretung oder einen Beauftragten benennen, was dem Vorbild der DSGVO (Art. 27) entspricht.

Einwilligungsmodell

Grundsätzlich ist für die Verarbeitung personenbezogener Daten eine ausdrückliche, freiwillige und informierte Einwilligung erforderlich. Das PIPL kennt jedoch auch gesetzliche Verarbeitungserlaubnisse – etwa für die Vertragserfüllung, gesetzliche Pflichten oder öffentliches Interesse. Bei besonders sensiblen Kategorien (Gesundheit, Finanzen, Minderjährige unter 14 Jahren) ist stets eine gesonderte Einwilligung nötig.

Datenlokalisierungspflichten

Betreiber kritischer Informationsinfrastrukturen sowie Unternehmen, die eine vom Cyberspace Administration of China (CAC) festgelegte Datenmenge überschreiten, sind verpflichtet, personenbezogene Daten innerhalb Chinas zu speichern. Grenzüberschreitende Übermittlungen erfordern entweder eine behördliche Sicherheitsbewertung, die Zertifizierung durch eine anerkannte Stelle oder den Abschluss von Standardvertragsklauseln nach chinesischem Vorbild.

Betroffenenrechte

Das PIPL gewährt Betroffenen ein Bündel von Rechten: Auskunft über verarbeitete Daten, Berichtigung unrichtiger Informationen, Löschung sowie Datenübertragbarkeit (Portabilität). Auch das Recht, eine erteilte Einwilligung zu widerrufen, ist ausdrücklich vorgesehen.

Durchsetzung und Sanktionen

Zuständige Aufsichtsbehörde ist die CAC. Bei Verstößen drohen Bußgelder von bis zu 50 Millionen CNY (ca. 6,5 Mio. Euro) oder bis zu 5 % des Jahresumsatzes – je nachdem, welcher Betrag höher ist. Schwere Verletzungen können zum Betriebsverbot führen.

Kritischer Kontext für deutsches Publikum

Ein wichtiger Vorbehalt: Das PIPL richtet sich primär an Unternehmen und private Akteure. Staatliche Sicherheitsbehörden und Überwachungsaktivitäten sind vom Gesetz ausdrücklich ausgenommen. China betreibt ein ausgeprägtes staatliches Überwachungssystem (u. a. Sozialkredit, Gesichtserkennung), das durch das PIPL nicht eingeschränkt wird. Für Unternehmen liefert das Gesetz einen nützlichen Compliance-Rahmen – als umfassenden Schutz für Bürger vor staatlichem Zugriff ist es hingegen nicht konzipiert. Diese Dualität sollte beim Abwägen von Marktchancen und Reputationsrisiken stets bedacht werden.