Ab 1. November führt die Volksrepublik China ihr erstes umfassendes Datenschutzgesetz ein. Die Personal Information Protection Law (PIPL) gilt dann für alle in China tätigen Unternehmen – als wichtiger Handelspartner und Markt auch für deutsche Unternehmen. Das Gesetz übernimmt dabei einige Prinzipien der europäischen DSGVO. Ein kurzer Überblick, was es jetzt zu beachten gibt.
PIPL vs. DSGVO: die Gemeinsamkeiten
Das PIPL soll den Datenmissbrauch durch große Tech- und Internetfirmen in China minimieren. Dabei geht es vor allem um einen wichtigen Punkt, der auch aus der DSGVO bekannt sein sollte: die Einwilligung von Betroffenen zur Datenverarbeitung. So müssen datenverarbeitende Unternehmen in China jetzt unter anderem Einwilligungen einholen, wenn sie personenbezogene Daten erheben, speichern oder verarbeiten möchten. Unternehmen müssen in diesem Kontext Betroffene über den Zweck und die Methoden der Erhebung informieren.
PIPL vs. DSGVO: die Unterschiede
Es tun sich aber bereits jetzt deutliche Lücken im PIPL hervor: So fehlen z. B. essenzielle Betroffenenrechte wie das Recht auf Löschung von Daten komplett. Hier wäre eine weitere Angleichung an die europäische Rechtsfassung wünschenswert. Genau wie die DSGVO fällt auch der Anwendungsbereich des PIPL nicht auf staatliche Organe – mit dem Unterschied, dass sich im chinesischen Gesetz ein Hinweis auf die Befugnisse genau dieser (wie in Artikel 2 DSGVO) vermissen lässt.
Besteht Handlungsbedarf für mich?
Informieren Sie sich, was das neue Gesetz konkret für Sie bedeutet. Das PIPL bezieht sich beispielsweise insbesondere auf Werbung und Tracking – Industriekonzerne, die lediglich Rohstoffe aus China einkaufen, sind also wahrscheinlich weniger betroffen als App- und Softwareentwickler oder Plattformbetreiber. Was die Umsetzung angeht, dürfte Ihnen bereits einiges aus den letzten 2–3 Jahren DSGVO bekannt vorkommen. Nutzen Sie diese Erfahrungswerte und bereits getroffene Maßnahmen für eine möglichst effiziente und effektive Umsetzung.
Aussicht:
Zusammenfassend lässt sich über das PIPL sagen: Grundsätzlich ist, ganz gleich aus welcher Motivation, jede Form des Datenschutzes begrüßenswert und jeder Schritt in diese Richtung ein guter – allerdings wäre für die Zukunft ein weitreichenderer Schutz wünschenswert, der nicht nur Firmen, sondern alle datensammelnden Stellen gleichermaßen in die Pflicht nimmt.