Teil unserer Compliance & Regulation-Serie
Den vollständigen Leitfaden lesenChina PIPL Compliance: Leitfaden zur grenzüberschreitenden Datenübertragung
Das chinesische Gesetz zum Schutz personenbezogener Daten (PIPL – 个人信息保护法), das am 1. November 2021 in Kraft tritt, ist Chinas umfassendes nationales Datenschutzgesetz und eines der anspruchsvollsten Datenschutzrahmenwerke weltweit. Neben dem Datenschutzgesetz (DSL, gültig ab September 2021) und dem Cybersicherheitsgesetz (CSL, gültig ab Juni 2017) bildet PIPL eine Trilogie von Vorschriften, die die Art und Weise, wie Unternehmen Daten in und aus China sammeln, verarbeiten, speichern und übertragen, grundlegend verändern.
Für multinationale Unternehmen, die in China tätig sind oder chinesische Verbraucher bedienen, ist die Einhaltung des PIPL nicht optional – Verstöße können zu Geldstrafen von bis zu 5 % des Jahresumsatzes, zur Einstellung des Geschäftsbetriebs und zur persönlichen strafrechtlichen Haftung verantwortlicher Führungskräfte führen. Die Cyberspace Administration of China (CAC) hat aggressive Durchsetzungsmaßnahmen ergriffen, darunter hochkarätige Maßnahmen gegen Didi Global (1,19 Milliarden US-Dollar Geldstrafe), Full Truck Alliance und Boss Zhipin.
Wichtige Erkenntnisse
– PIPL gilt für die Verarbeitung personenbezogener Daten von Einzelpersonen in China – der extraterritoriale Geltungsbereich umfasst ausländische Unternehmen, die auf chinesische Personen abzielen oder diese analysieren
- Für jeden Verarbeitungszweck ist eine gesonderte Einwilligung erforderlich – eine gebündelte Einwilligung ist ungültig
- „Sensible personenbezogene Daten“ (Biometrie, Finanzen, Gesundheit, genauer Standort, Daten von Minderjährigen) erfordern eine gesonderte, ausdrückliche Einwilligung
- Grenzüberschreitende Übertragungen erfordern einen von drei Mechanismen: CAC-Sicherheitsbewertung, Standardverträge oder Zertifizierung – alle sind von betrieblicher Bedeutung
- Datenlokalisierungsanforderungen gelten für Critical Information Infrastructure Operators (CIIOs)
- Die CAC-Sicherheitsbewertung ist für groß angelegte grenzüberschreitende Übertragungen (über 100.000 Personendaten pro Jahr) obligatorisch.
- Wichtige persönliche Informationen von Minderjährigen (unter 14 Jahren) erfordern eine gesonderte Zustimmung der Eltern und einen erhöhten Schutz
- Bei schwerwiegenden Verstößen können Bußgelder bis zu 5 % des Jahresumsatzes verhängt werden; Als Sanktion steht auch die Betriebsruhe zur Verfügung
PIPL-Framework und -Bereich
Gesetzliche Grundlage
PIPL wurde am 20. August 2021 vom Ständigen Ausschuss des Nationalen Volkskongresses verabschiedet. Es basiert auf globalen Best Practices für den Datenschutz (insbesondere der DSGVO) und spiegelt gleichzeitig den einzigartigen Regulierungskontext Chinas wider, einschließlich nationaler Sicherheitsüberlegungen, die in der gesamten Gesetzgebung verankert sind.
Grundsätze (Artikel 5–9):
- Rechtmäßigkeit, Legitimität, Notwendigkeit und Treu und Glauben
- Klarer und vernünftiger Zweck
- Datenminimierung
- Qualitätssicherung (Richtigkeit und Vollständigkeit)
- Sicherheit und Verantwortung
- Die Verarbeitung wird auf das erforderliche Mindestmaß beschränkt
Territorialer Geltungsbereich
Artikel 3 sieht eine extraterritoriale Anwendung des PIPL vor. Es gilt für:
- Verarbeitung personenbezogener Daten von Personen im Hoheitsgebiet Chinas durch Unternehmen innerhalb Chinas
- Verarbeitung personenbezogener Daten von Personen innerhalb des chinesischen Hoheitsgebiets durch Unternehmen außerhalb Chinas, wenn:
- Der Zweck besteht darin, Einzelpersonen in China Produkte oder Dienstleistungen anzubieten
- Der Zweck besteht darin, das Verhalten von Personen in China zu analysieren oder zu bewerten
- Andere vom CAC festgelegte Umstände
Das bedeutet, dass ein ausländisches Unternehmen, das eine Website auf Chinesisch betreibt, chinesische Verbraucher bedient oder Analysetools verwendet, die das chinesische Benutzerverhalten profilieren, PIPL einhalten muss.
Overseas Personal Information Processors (OPIPs): Ausländische Unternehmen im extraterritorialen Geltungsbereich von PIPL müssen (Artikel 53):
- Richten Sie eine eigene Einheit ein oder ernennen Sie einen Vertreter innerhalb Chinas
- Geben Sie den Namen und die Kontaktdaten des China-Vertreters an die zuständige Abteilung weiter
Rechtsgrundlagen für die Verarbeitung
Artikel 13 des PIPL legt sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten fest. Im Gegensatz zur DSGVO, bei der mehrere Grundlagen gleich gewichtet sind, behandelt PIPL die Einwilligung des Einzelnen als primäre Grundlage mit Ausnahmen für andere Grundlagen:
| Rechtsgrundlage | Beschreibung |
|---|---|
| Individuelle Einwilligung | Gesonderte, informierte, freiwillige, ausdrückliche Einwilligung |
| Vertrag/HR | Erforderlich für die Vertragsabwicklung oder die Personalverwaltung nach gesetzlich festgelegten Regeln |
| Gesetzliche Pflicht | Notwendig zur Erfüllung gesetzlicher Pflichten oder Obliegenheiten |
| Gesundheitsnotstand | Reaktion auf Notfälle im Bereich der öffentlichen Gesundheit oder Schutz von Leben, Gesundheit und Eigentumssicherheit |
| Nachrichten und Überwachungsaktivitäten | Im öffentlichen Interesse, in angemessenem Rahmen |
| Offenlegung | Verarbeitung bereits öffentlich bekanntgegebener Informationen im Rahmen des Zumutbaren |
| Sonstige gesetzliche Bestimmungen | Sonstige durch Gesetze und Verwaltungsvorschriften vorgesehene Umstände |
Kritische Einwilligungsanforderungen (Artikel 14–17):
- Die Einwilligung muss freiwillig und ausdrücklich erfolgen
- Die Einwilligung muss informiert erfolgen – Einzelpersonen müssen verstehen, womit sie einverstanden sind, bevor sie eine Entscheidung treffen
- Einwilligungen können nicht gebündelt werden – Sie müssen für jeden Verarbeitungszweck eine separate Einwilligung einholen
- Der Widerruf der Einwilligung muss so einfach sein wie die Erteilung
- Der Widerruf hat keinen Einfluss auf die vorherige rechtmäßige Verarbeitung
- Die Weigerung, personenbezogene Daten bereitzustellen oder die Einwilligung zu widerrufen, darf die Bereitstellung des Kernprodukts/der Kerndienstleistung nicht beeinträchtigen (es sei denn, die Daten sind für den Dienst erforderlich).
Sensible persönliche Informationen
Artikel 28 definiert sensible personenbezogene Daten (敏感个人信息) als personenbezogene Daten, die, sobald sie durchsickern oder unrechtmäßig verwendet werden, die Würde natürlicher Personen schädigen oder ihre persönliche Sicherheit oder die Sicherheit ihres Eigentums ernsthaft schädigen können. Zu den spezifischen Kategorien gehören:
- Biometrische Informationen (Fingerabdrücke, Stimmabdrücke, Gesichtserkennung, Augeniris, genetische Daten)
- Religiöser Glaube
- Spezifische Identitäten (politische Partei, ethnische Zugehörigkeit)
- Medizinische Gesundheitsinformationen
- Finanzkonten
- Präzise Standortinformationen (Echtzeit-GPS, präzise Bewegungsverfolgung)
- Persönliche Daten von Minderjährigen unter 14 Jahren
Erhöhte Anforderungen für sensible PI:
- Gesonderte, ausdrückliche Einwilligung (zusätzlich zu einer etwaigen Einwilligung zur nicht sensiblen Verarbeitung)
- Begründung der Notwendigkeit – muss spezifische Zwecke verfolgen und eine angemessene Notwendigkeit aufweisen
- Erweiterte Sicherheitsmaßnahmen
- Benachrichtigung von Einzelpersonen über die spezifischen Auswirkungen der Verarbeitung
Persönliche Daten von Kindern (Minderjährige unter 14 Jahren): Muss die Zustimmung der Eltern oder Erziehungsberechtigten einholen. CAC hat spezifische Regeln zum Schutz personenbezogener Daten von Kindern im Internet (2019, geändert 2022) mit zusätzlichen Anforderungen für Online-Dienstanbieter erlassen.
Rechte der betroffenen Person
PIPL gewährt Einzelpersonen (Kapitel IV, Artikel 44–50) die folgenden Rechte:
Recht auf Information und Recht auf Entscheidung: Einzelpersonen haben das Recht, über die Verarbeitung ihrer personenbezogenen Daten Bescheid zu wissen und darüber zu entscheiden sowie die Verarbeitung durch andere einzuschränken oder abzulehnen.
Recht auf Zugang und Kopie: Einzelpersonen können Kopien ihrer persönlichen Daten anfordern. Auftragsverarbeiter müssen diese innerhalb einer angemessenen Frist bereitstellen.
Recht auf Übermittlung: Sofern technisch machbar, können Einzelpersonen die Übermittlung ihrer personenbezogenen Daten an einen anderen benannten Verarbeiter beantragen.
Recht auf Berichtigung: Einzelpersonen können unrichtige oder unvollständige personenbezogene Daten korrigieren.
Recht auf Löschung: Eine Löschung ist erforderlich, wenn: (1) der Verarbeitungszweck erreicht wurde oder unmöglich ist; (2) der Auftragsverarbeiter beschließt, die Bereitstellung von Produkten/Dienstleistungen einzustellen; (3) die Aufbewahrungsfrist ist abgelaufen; (4) Einwilligung zurückgezogen; (5) die Verarbeitung verstößt gegen Gesetze/Vorschriften oder Vereinbarungen.
Recht auf Widerruf der Einwilligung: Bei der einwilligungsbasierten Verarbeitung können Einzelpersonen jederzeit widerrufen. Der Widerruf hat keinen Einfluss auf die vorherige rechtmäßige Verarbeitung.
Recht auf Erklärung: Einzelpersonen können Erklärungen zu den Regeln für die Verarbeitung personenbezogener Daten anfordern.
Recht, automatisierte Entscheidungsfindung abzulehnen: Wenn PI für personalisierte Empfehlungen oder automatisierte Entscheidungen verwendet wird, haben Einzelpersonen das Recht, Entscheidungen mit erheblichen Auswirkungen abzulehnen und eine menschliche Überprüfung zu verlangen.
Grenzüberschreitende Datenübertragung: Die entscheidende Herausforderung
Kapitel III (Artikel 38–43) der PIPL schreibt den strengsten Rahmen für grenzüberschreitende Übermittlungen aller wichtigen Datenschutzgesetze vor und macht diesen Bereich zum operativ anspruchsvollsten Compliance-Bereich für multinationale Unternehmen.
Drei zulässige Mechanismen
1. CAC-Sicherheitsbewertung (Artikel 38(1))
Obligatorisch für:
- Critical Information Infrastructure Operators (CIIOs) – jede grenzüberschreitende Übertragung
- Nicht-CIIO-Verarbeiter: wenn die kumulierten Auslandsübertragungen im laufenden Jahr 100.000 Personendaten (oder 10.000 Personen sensibler personenbezogener Daten) erreichen
- Persönliche Informationen, die durch wichtige Daten (kritische Daten unter DSL) generiert werden
Die CAC-Sicherheitsbewertung umfasst die Einreichung eines Antrags mit detaillierter Dokumentation der Übermittlung, der Datenschutzpraktiken des Empfängers und der vertraglichen Vereinbarungen. Die Bewertungsfristen betragen 60 Arbeitstage (verlängerbar auf 90).
2. Standardvertrag (Artikel 38 Absatz 2)
Für Nicht-CIIO-Verarbeiter, die den Schwellenwert von 100.000 nicht erreichen, können Auslandstransfers mithilfe der vom CAC genehmigten Standardvertragsklauseln durchgeführt werden, die im Februar 2023 veröffentlicht wurden. Hauptanforderungen:
- Verwenden Sie die CAC-SCC-Vorlage ohne Änderungen
- Reichen Sie die SCC innerhalb von 10 Werktagen nach Inkrafttreten des Vertrags beim CAC auf Provinzebene ein
- Führen Sie vor der Übertragung eine Folgenabschätzung zum Schutz personenbezogener Daten (PIPIA) durch
- Bewahren Sie PIPIA- und Vertragsunterlagen 3 Jahre lang auf
3. Zertifizierung (Artikel 38 Absatz 3)
Für gruppeninterne Übertragungen zwischen verbundenen Unternehmen kann eine Zertifizierung durch eine vom CAC akkreditierte Berufsorganisation für den Schutz personenbezogener Daten erforderlich sein. Das PIPIA-Zertifizierungssystem wurde gemeinsam vom National Information Security Standardization Technical Committee (TC260) und CAC entwickelt.
Leitfaden zur Auswahl des Übertragungsmechanismus
| Unternehmenstyp | Anwendbarer Mechanismus |
|---|---|
| CIIO (kritische Infrastruktur) | CAC-Sicherheitsbewertung (obligatorisch) |
| Seit dem 1. Januar wurden die PI von mehr als einer Million Nutzern ins Ausland übertragen | CAC-Sicherheitsbewertung (obligatorisch) |
| 100.000 bis 1 Million private Privatpersonen wurden im laufenden Jahr ins Ausland transferiert | CAC-Sicherheitsbewertung (obligatorisch) |
| Sensible PI von über 10.000 ins Ausland transferierten Personen | CAC-Sicherheitsbewertung (obligatorisch) |
| Nicht-CIIO, unter der Schwelle von 100.000, unabhängige Unternehmen | CAC-Standardvertrag + PIPIA |
| Nicht-CIIO, gruppeninterne Transfers | Zertifizierung oder CAC-Standardvertrag |
Datenlokalisierung für CIIOs
Betreiber kritischer Informationsinfrastrukturen müssen personenbezogene Daten und „wichtige Daten“, die in China erfasst und generiert werden, innerhalb Chinas speichern (Artikel 40). Die grenzüberschreitende Übertragung von in China von CIIOs gesammelten Daten erfordert die CAC-Sicherheitsbewertung. CIIOs werden im Großen und Ganzen durch die CSL- und sektorspezifischen CIIO-Identifizierungsvorschriften definiert und umfassen Energie-, Transport-, Wasser-, Finanz-, öffentliche Dienste-, E-Government-, Landesverteidigungs- und Internet-Infrastrukturbetreiber.
Pflichten für Großverarbeiter
Artikel 58 erlegt den Verarbeitern personenbezogener Daten, deren Dienste eine große Anzahl von Benutzern erreichen, zusätzliche Verpflichtungen auf (der Schwellenwert wird vom CAC festgelegt, wird jedoch gemäß den CAC-Richtlinien allgemein als mehr als 10 Millionen Benutzer angesehen):
- Formulieren Sie Compliance-Programme und -Verfahren zum Schutz personenbezogener Daten.
- Einrichtung eines externen Aufsichtsmechanismus mit sozialer Aufsicht
- Führen Sie regelmäßige Compliance-Audits des Schutzes personenbezogener Daten durch
- Führen Sie Folgenabschätzungen zum Schutz personenbezogener Daten (PIPIAs) durch, bevor Sie Aktivitäten mit erheblichen Risiken verarbeiten
- Akzeptieren Sie die Aufsicht durch die zuständigen nationalen Behörden
- Benennen Sie einen Personal Information Protection Officer (PIPO), der für die Aufsicht verantwortlich ist
Folgenabschätzungen zum Schutz personenbezogener Daten (PIPIAs)
Artikel 55 verlangt PIPIAs vor:
- Verarbeitung sensibler personenbezogener Daten
- Verwendung von PI zur automatisierten Entscheidungsfindung
- Betrauen Sie Dritte mit der Verarbeitung, teilen oder übertragen Sie personenbezogene Daten
- Offenlegung von PI öffentlich
- Grenzüberschreitende Überweisungen (erforderlich für den SCC-Mechanismus)
- Andere Verarbeitungstätigkeiten mit erheblichen Auswirkungen auf Einzelpersonen
Die PIPIA-Dokumentation muss mindestens 3 Jahre lang aufbewahrt werden. Eine PIPIA muss Folgendes analysieren:
- Ob Verarbeitungszweck, -methode und -umfang den Gesetzen/Vorschriften entsprechen
- Auswirkungen auf die Rechte des Einzelnen und den Grad des Sicherheitsrisikos
- Ob Schutzmaßnahmen rechtmäßig, wirksam und im Verhältnis zum Risiko sind
Benachrichtigung über Verstöße
Artikel 57 schreibt vor, dass Auftragsverarbeiter bei Feststellung eines Vorfalls (Verstoß) im Bereich der Sicherheit personenbezogener Daten unverzüglich Abhilfemaßnahmen ergreifen und die zuständigen Behörden und Einzelpersonen benachrichtigen müssen. Die Meldung muss Folgendes enthalten:
- Art der personenbezogenen Daten, die durchgesickert, manipuliert oder verloren gegangen sind
- Ursachen und potenzieller Schaden des Vorfalls
- Abhilfemaßnahmen des Auftragsverarbeiters
- Maßnahmen, die Einzelpersonen ergreifen können, um den Schaden zu mindern
- Kontaktinformationen des Auftragsverarbeiters
Zeitplan: Das Gesetz sagt „sofort“ – die CAC-Leitlinien geben an, dass dies bedeutet, sobald der Verstoß zur internen und behördlichen Benachrichtigung entdeckt wird. Die individuelle Benachrichtigung sollte unverzüglich erfolgen, sobald der Umfang beurteilt ist.
Wenn es unwahrscheinlich ist, dass der Verstoß Einzelpersonen schadet, kann der Auftragsverarbeiter den Vorfall intern aufzeichnen, anstatt Einzelpersonen zu benachrichtigen (vorbehaltlich einer behördlichen Überprüfung).
CAC-Durchsetzung und Strafen
Die Cyberspace Administration of China ist die wichtigste PIPL-Durchsetzungsbehörde und arbeitet mit den Regulierungsbehörden des Sektors zusammen (PBOC für Finanzdaten, NHSA für Gesundheitsdaten usw.).
Verwaltungsrechtliche Sanktionen (Artikel 66):
- Warnung und Anordnung zur Korrektur
- Einziehung unrechtmäßiger Gewinne
- Bußgelder bis zu 1 Million RMB (140.000 USD) für geringere Verstöße
- Bußgelder bis zu 5 % des Jahresumsatzes des Vorjahres bei schwerwiegenden Verstößen
- Aussetzung oder Einstellung des Geschäftsbetriebs (Atomoption)
- Persönliche Haftung für Führungskräfte: Geldstrafen bis zu 1 Million RMB, Verbot, Geschäftsführer/leitender Angestellter eines Unternehmens zu sein
Strafrechtliche Weiterleitung: Verstöße, die die nationale Sicherheit betreffen oder Straftaten darstellen, werden an die Behörden für öffentliche Sicherheit weitergeleitet.
Bemerkenswerte Durchsetzungsmaßnahmen:
- Didi Global (2022): 1,19 Milliarden US-Dollar Geldstrafe wegen schwerwiegender Verstöße gegen die Netzwerkdatensicherheit – die bislang größte Durchsetzungsmaßnahme im Zusammenhang mit PIPL
- BOSS Zhipin und Full Truck Alliance (2021): Suspendierungen und Untersuchungen wegen Verstößen gegen Cybersicherheitsprüfungen im Zusammenhang mit Listungen im Ausland
- Laufende CAC-Untersuchungen von Unternehmen aus den Bereichen Fintech, Gesundheitswesen und Internet
PIPL-Compliance-Checkliste
- Anwendbarkeitsanalyse abgeschlossen (China-Operationen, chinesische Nutzer, extraterritorialer Geltungsbereich)
- China-Vertreter/Entität benannt, wenn ausländische Entität im PIPL-Geltungsbereich liegt
- Bestandsaufnahme personenbezogener Daten, einschließlich der Identifizierung sensibler PIs
- Rechtsgrundlage für jede Verarbeitungstätigkeit dokumentiert (in den meisten Fällen Einwilligung)
- Für jeden Verarbeitungszweck sind separate Einwilligungsmechanismen implementiert
- Die Zustimmung des sensiblen PI wird separat und ausdrücklich eingeholt
- Persönliche Daten von Kindern (unter 14 Jahren) identifiziert – Mechanismus zur Einwilligung der Eltern implementiert
- Datenschutzhinweis in Mandarin-Chinesisch mit allen erforderlichen Offenlegungen
- Verfahren zu den Rechten der betroffenen Personen dokumentiert (Zugriff, Berichtigung, Löschung, Übertragbarkeit, Widerruf)
- Bewertung des grenzüberschreitenden Transfers abgeschlossen – Mechanismus festgelegt (CAC-Bewertung, SCC oder Zertifizierung)
- PIPIA wird für alle grenzüberschreitenden Überweisungen durchgeführt (obligatorisch für den SCC-Mechanismus)
- CAC SCC innerhalb von 10 Tagen beim CAC der Provinz eingereicht (sofern der SCC-Mechanismus verwendet wird)
- CIIO-Bestimmung abgeschlossen – ggf. Datenlokalisierung implementiert
- Verpflichtungen für Großverarbeiter bewertet (Schwellenwert von 10 Mio.+ Nutzern)
- ggf. benannter PIPO (Großverarbeiter)
- Drittanbietervereinbarungen entsprechen PIPL Kapitel II
- Sicherheitsmaßnahmen umgesetzt: Verschlüsselung, Zugangskontrolle, Überwachung
- Verfahren zur Meldung von Verstößen dokumentiert (sofortige Reaktion)
- Automatisierte Entscheidungstransparenz und Opt-out-Mechanismen implementiert
Häufig gestellte Fragen
Was macht Chinas grenzüberschreitende PIPL-Übertragungsanforderungen so herausfordernd?
Drei Faktoren: (1) Obligatorische CAC-Sicherheitsbewertung für groß angelegte Transfers – der Bewertungsprozess ist langwierig (mehr als 60 Arbeitstage) und erfordert umfangreiche Dokumentation einschließlich Risikobewertungen; (2) Selbst für kleinere Transfers unter Verwendung von Standardverträgen muss innerhalb von 10 Tagen nach Unterzeichnung ein PIPIA ausgefüllt und der Vertrag beim CAC eingereicht werden. (3) Die Datenmengen, die die Pflichtauswertung auslösen (100.000 Personen/Jahr), werden von mittelständischen Unternehmen deutlich überschritten. Multinationale Unternehmen mit Niederlassungen in China müssen effektiv über spezielle PIPL-Compliance-Programme für grenzüberschreitende Datenströme verfügen.
Wie gilt PIPL für Unternehmen ohne physische Präsenz in China?
Artikel 3 Absatz 2 wendet PIPL auf ausländische Auftragsverarbeiter an, die Produkte oder Dienstleistungen für Einzelpersonen in China bereitstellen oder das Verhalten von Einzelpersonen in China analysieren. Gemäß Artikel 53 müssen solche Auftragsverarbeiter eine repräsentative Körperschaft oder Einzelperson in China benennen und den zuständigen Behörden Kontaktdaten melden. Praktisch jede ausländische Website mit erheblichem chinesischen Traffic, jede App mit chinesischen Nutzern oder jede Analyseplattform, die chinesische Verbraucherdaten verarbeitet, muss PIPL einhalten – einschließlich der Anforderung eines chinesischen Vertreters.
Wie sieht der CAC-Sicherheitsbewertungsprozess in der Praxis aus?
Die CAC-Sicherheitsbewertung umfasst die Einreichung eines detaillierten Antrags über das CAC auf Provinzebene (für die meisten Unternehmen) oder das nationale CAC (für CIIOs). Zu den erforderlichen Dokumenten gehören: der Selbstbewertungsbericht zur Datenexport-Sicherheitsbewertung, der PI-Exportvertrag, der PIPIA-Bericht und andere unterstützende Materialien. Die Bewertung umfasst: ob der Zweck und die Methode des Datenexports mit dem Gesetz vereinbar sind; ob das Land des ausländischen Empfängers über ausreichenden Schutz verfügt; Risiken für individuelle Rechte aus der Übertragung; und Angemessenheit des vertraglichen Schutzes. Die Begutachtung dauert 60 Arbeitstage (bei komplexen Fällen verlängerbar auf 90). Viele multinationale Unternehmen haben festgestellt, dass dieser Prozess in der Praxis sechs bis zwölf Monate dauert.
Wie interagiert PIPL mit dem chinesischen Datenschutzgesetz (DSL)?
PIPL und DSL arbeiten zusammen. PIPL konzentriert sich auf den Schutz personenbezogener Daten. DSL regelt alle Daten (einschließlich nicht personenbezogener Daten) auf der Grundlage der nationalen Sicherheit und wirtschaftlichen Bedeutung mit einem abgestuften Klassifizierungssystem von „allgemeinen Daten“ bis zu „Kerndaten des Staates“. Das DSL verlangt, dass die gesamte Datenverarbeitung den Datenklassifizierungsanforderungen, kritischen Datenverarbeitungsbeschränkungen und grenzüberschreitenden Übertragungsregeln für „wichtige Daten“ entspricht. Für kritische Daten (重要数据) gelten im Rahmen von DSL eigene Anforderungen zur Bewertung der grenzüberschreitenden Übertragung. Multinationale Unternehmen in China müssen die Einhaltung sowohl der PIPL (für personenbezogene Daten) als auch der DSL (für alle als kritisch eingestuften Daten, einschließlich kommerzieller Daten) bewerten.
Gibt es branchenspezifische PIPL-Anforderungen?
Ja. Mehrere Sektorregulierungsbehörden haben PIPL-konforme oder ergänzende Vorschriften erlassen: Die People's Bank of China (PBOC) hat Anforderungen zum Schutz und zur Übermittlung von Finanzdaten; die National Health Security Administration (NHSA) regelt Gesundheitsdaten; Das Ministerium für Industrie und Informationstechnologie (MIIT) regelt die Datenerfassung über mobile Apps mit spezifischen Listen verbotener Datenerfassungspraktiken. Das TC260 (National Information Security Standardization Technical Committee) hat GB/T 35273 (Personal Information Security Specification) als freiwilligen, aber weithin referenzierten technischen Standard herausgegeben. Sektorregulierte Unternehmen müssen sowohl PIPL als auch ihre branchenspezifischen Anforderungen erfüllen.
Nächste Schritte
Chinas PIPL gehört zu den weltweit anspruchsvollsten Datenschutzrahmen, insbesondere für grenzüberschreitende Datenoperationen. Die Kombination aus Einwilligungsverarbeitung, strengen grenzüberschreitenden Übertragungsmechanismen, Datenlokalisierung für CIIOs und aktiver CAC-Durchsetzung macht die PIPL-Konformität zu einem Risiko auf Vorstandsebene für jedes Unternehmen mit erheblichem China-Exposure.
Das Team von ECOSIRE kann Ihnen dabei helfen, PIPL-konforme Datenarchitekturen zu entwerfen, das Einwilligungsmanagement für chinesische Benutzer zu implementieren, PIPIAs durchzuführen und den Auswahlprozess für grenzüberschreitende Übertragungsmechanismen zu steuern.
Erste Schritte: ECOSIRE Services
Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Chinas Regulierungslandschaft für den Datenschutz entwickelt sich rasant weiter. Wenden Sie sich an einen qualifizierten, in China zugelassenen Rechtsberater, um Ratschläge speziell für Ihre Organisation und Ihre Aktivitäten zu erhalten.
Geschrieben von
ECOSIRE Research and Development Team
Entwicklung von Enterprise-Digitalprodukten bei ECOSIRE. Einblicke in Odoo-Integrationen, E-Commerce-Automatisierung und KI-gestützte Geschäftslösungen.
Verwandte Artikel
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Mehr aus Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.