MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Was ist das chinesische Gesetz zum Schutz persönlicher Informationen? Hintergründe der Verabschiedung und Maßnahmen, die japanische Unternehmen ergreifen sollten

General Corporate

Was ist das chinesische Gesetz zum Schutz persönlicher Informationen? Hintergründe der Verabschiedung und Maßnahmen, die japanische Unternehmen ergreifen sollten

Viele Rechtsabteilungen von Unternehmen, die eine Geschäftsexpansion in China planen oder bereits dort tätig sind, stehen oft vor Herausforderungen im Zusammenhang mit dem Schutz persönlicher Informationen in China.

In diesem Artikel stellen wir umfassend die rechtlichen Regelungen vor, die Sie kennen sollten, wenn Sie Ihr Geschäft in China ausbauen. Wir erklären auch anschaulich, wie Sie darauf reagieren können und welche Punkte japanische Unternehmen beachten sollten. Nutzen Sie diesen Artikel als Referenz, um das chinesische Gesetz zum Schutz persönlicher Informationen zu verstehen und beginnen Sie mit der Entwicklung Ihrer Strategie.

Hintergrund und Ziele des chinesischen Gesetzes zum Schutz persönlicher Informationen

Chinesische Flagge

Bisher gab es in China kein Gesetz, das den Schutz persönlicher Informationen so umfassend regelte wie das japanische Gesetz zum Schutz persönlicher Informationen. Es gab jedoch bereits seit einiger Zeit Bestrebungen, ein solches Gesetz zu erarbeiten, und am 1. November 2021 wurde das “Chinesische Gesetz zum Schutz persönlicher Informationen” erlassen, das erstmalig in China den Schutz persönlicher Informationen umfassend festlegt.

Obwohl Gesetze wie das “Cybersicherheitsgesetz” und das “Datensicherheitsgesetz” stark von nationalen Sicherheitsinteressen geprägt sind, legt das chinesische Gesetz zum Schutz persönlicher Informationen den Schwerpunkt auf den Schutz der Rechte von Einzelpersonen.

Das Grundgerüst des chinesischen Gesetzes zum Schutz persönlicher Informationen scheint stark von den rechtlichen Regelungen anderer Länder in den letzten Jahren, wie der “EU-Datenschutz-Grundverordnung (DSGVO)”, beeinflusst zu sein. Allerdings sind die anerkannten Rechtsgrundlagen für die Zulässigkeit und die Details der Rechte der betroffenen Personen einzigartig, was individuelle Anpassungsmaßnahmen erforderlich macht.

Regulierungsgegenstände des chinesischen Gesetzes zum Schutz persönlicher Informationen

Zielgruppe

In diesem Kapitel erläutern wir, was unter die Regulierung des chinesischen Gesetzes zum Schutz persönlicher Informationen fällt.
Wenn die folgenden Bedingungen erfüllt sind, unterliegen Sie der Regulierung, also ist Vorsicht geboten.

  • Wenn das Ziel darin besteht, Personen in China Waren oder Dienstleistungen anzubieten
  • Wenn das Ziel darin besteht, das Verhalten von Personen in China zu analysieren oder zu bewerten
  • In anderen durch Gesetze festgelegten Fällen

Das chinesische Gesetz zum Schutz persönlicher Informationen kann in manchen Fällen nicht nur innerhalb Chinas, sondern auch im Ausland Wirkung entfalten. Auch wenn Sie sich im Ausland befinden, aber Verkaufsaktivitäten oder Verhaltensanalysen in Bezug auf in China ansässige “Personen” durchführen, wird das Gesetz angewendet, also ist auch hier Vorsicht geboten.

Schlüsselpunkte zum Verständnis des chinesischen Gesetzes zum Schutz persönlicher Informationen

In diesem Kapitel erläutern wir acht Schlüsselpunkte, die für das Verständnis des chinesischen Gesetzes zum Schutz persönlicher Informationen wesentlich sind.

Rechtsgrundlage der Zulässigkeit

Unternehmen dürfen personenbezogene Daten nur dann verarbeiten, wenn sie einem der in dem chinesischen Gesetz zum Schutz persönlicher Informationen (Chinese Personal Information Protection Law) festgelegten rechtmäßigen Gründe entsprechen.

Die sieben Gründe sind wie folgt:

  • Einwilligung der betroffenen Person
  • Erfüllung eines Vertrags
  • Erfüllung einer gesetzlichen Verpflichtung
  • Öffentliche Gesundheit
  • Öffentliches Interesse
  • Verarbeitung veröffentlichter personenbezogener Daten
  • Weitere Umstände, die durch Gesetze und Vorschriften festgelegt sind

Wie man hieraus ersehen kann, ist das im GDPR (General Data Protection Regulation) enthaltene “berechtigte Interesse” nicht eingeschlossen. Daher ist zu erwarten, dass im Vergleich zum GDPR häufiger die Einwilligung der betroffenen Person als Grundlage für die Verarbeitung personenbezogener Daten erforderlich sein wird.

Zudem ist festgelegt, dass die Einwilligung so beschaffen sein muss, dass die betroffene Person sie jederzeit leicht widerrufen kann. Es bedarf daher einer sorgfältigen Gestaltung der Benutzeroberfläche (UI), die einen einfachen Widerruf der Einwilligung ermöglicht, sowie einer klaren und verständlichen Beschreibung der Methode zum Widerruf.

Informationsbereitstellung

Bevor Unternehmen personenbezogene Daten verarbeiten, müssen sie die betroffene Person in klaren und verständlichen Worten über die Inhalte informieren, die vom chinesischen Gesetz zum Schutz personenbezogener Daten (Chinese Personal Information Protection Law) gefordert werden.

Darüber hinaus wird nicht nur die Offenlegung des Verarbeitungszwecks verlangt, sondern auch eine detaillierte Bereitstellung von Informationen über die Methoden der Verarbeitung, die Arten der personenbezogenen Daten, die Speicherdauer, sowie die Art und Weise und das Verfahren zur Ausübung der Rechte.

Einigung mit dem Auftragnehmer

Wenn Sie die Verarbeitung personenbezogener Daten an einen Auftragnehmer delegieren, ist es notwendig, im Voraus eine Einigung über den Verarbeitungszweck, die Fristen, die Methoden und Schutzmaßnahmen in einem Auftragsverarbeitungsvertrag zu erzielen.

Zugleich übernehmen Sie die Verantwortung für die Überwachung der Auftragsverarbeitung. Wenn Sie personenbezogene Daten gemeinsam mit einem anderen Unternehmen verarbeiten, sollten Sie, wie im Falle einer Delegation, im Voraus über den Zweck und die Methoden der Datenverarbeitung sowie über die Rechte und Pflichten beider Parteien eine Einigung erzielen.

Regulierungen bei grenzüberschreitenden Transfers

Wenn persönliche Informationen, die innerhalb Chinas gesammelt wurden, an Dritte außerhalb des Landes weitergegeben werden, sind zwei Maßnahmen erforderlich.

Die erste Maßnahme besteht darin, den Namen und die Kontaktdaten des Empfängers, den Zweck und die Methoden der Verarbeitung, die Arten der persönlichen Informationen sowie die Methoden und Verfahren, mit denen die betroffene Person ihre Rechte gegenüber dem Empfänger ausüben kann, zu kommunizieren. Zudem muss die Zustimmung der betroffenen Person individuell eingeholt werden.

Die zweite Maßnahme erfordert die Umsetzung einer der folgenden vier Optionen:

  • Erfolgreiche nationale Sicherheitsbewertung
  • Zertifizierung des Datenschutzes durch eine Fachinstitution
  • Vertragsabschluss mit dem Empfänger außerhalb der Region auf Basis von Standardverträgen
  • Erfüllung weiterer Bedingungen, die von der nationalen Abteilung für Internetinformationen festgelegt sind

Abhängig vom Inhalt der zu übertragenden persönlichen Informationen kann eine nationale Sicherheitsbewertung erforderlich sein. Daher sollten Sie gemäß der ‘Japanese Data Overseas Transfer Security Assessment Guidelines’ (データ国外移転安全評価弁法) überprüfen, ob eine nationale Sicherheitsbewertung notwendig ist, bevor Sie die zu ergreifende Maßnahme auswählen.

Über Rechte

Das chinesische Gesetz zum Schutz persönlicher Informationen (Chinese Personal Information Protection Law) räumt der betroffenen Person verschiedene Rechte ein, darunter das Recht auf Information, das Recht auf Einsicht, das Recht auf Vervielfältigung, das Widerrufsrecht, die Datenportabilität, das Recht auf Berichtigung und das Recht auf Löschung.

Zudem wird im chinesischen Gesetz ein “Recht der Verstorbenen” anerkannt, das in der Datenschutz-Grundverordnung (GDPR) nicht vorgesehen ist. Das “Recht der Verstorbenen” ermöglicht es den nächsten Angehörigen, die Rechte der verstorbenen Person auszuüben, falls diese verstorben ist. Daher sollten wir auch den Schutz der Informationen Verstorbener im Auge behalten.

Meldepflicht bei Vorfällen

Um die Offenlegung von persönlichen Informationen zu verhindern, wird von Unternehmen erwartet, dass sie Maßnahmen ergreifen, die denen ähneln, die von einem ISMS (Informationssicherheitsmanagementsystem) gefordert werden.

Folgende Maßnahmen werden beispielsweise gefordert:

  • Erstellung interner Richtlinien
  • Klassifizierung und Management nach Vertraulichkeitsgrad
  • Verschlüsselung nach Bedarf
  • Durchführung von Pseudonymisierung und ähnlichen Maßnahmen
  • Durchführung von Schulungen für Mitarbeiter
  • Entwicklung eines Incident-Response-Prozesses usw.

Da Maßnahmen zur Sicherheitsverwaltung auch im japanischen Cybersecurity-Gesetz und im japanischen Datenschutzgesetz festgelegt sind, ist es empfehlenswert, die Anforderungen dieser drei Gesetze sorgfältig zu prüfen und entsprechende Vorkehrungen zu treffen.

Verwandter Artikel: Was ist das chinesische Cybersecurity-Gesetz? Erklärung der wichtigsten Punkte zur Einhaltung[ja]

Verwandter Artikel: Was ist das chinesische Datenschutzgesetz? Erklärung der Maßnahmen, die japanische Unternehmen ergreifen sollten[ja]

Pflicht zur Bestellung eines DPO und eines Vertreters

Unternehmen sind verpflichtet, einen DPO (Datenschutzbeauftragten) zu ernennen, wenn die Anzahl der verarbeiteten personenbezogenen Daten eine bestimmte Menge erreicht.

Darüber hinaus müssen Unternehmen, die dem extraterritorialen Anwendungsbereich unterliegen, einen Vertreter in China einsetzen und Informationen wie Namen und Kontaktdaten bei der zuständigen Behörde anmelden.

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung

Unternehmen sind verpflichtet, im Voraus eine Risikobewertung durchzuführen und Risiken angemessen zu kontrollieren, wenn sie in eines der folgenden fünf Szenarien fallen:

Fälle, in denen eine Durchführungspflicht erforderlich ist, sind wie folgt:

  • Bei der Verarbeitung sensibler Informationen
  • Bei automatisierten Entscheidungsfindungen
  • Bei der Auftragsverarbeitung von personenbezogenen Daten oder bei der Weitergabe an Dritte
  • Bei der Übertragung von personenbezogenen Daten ins Ausland
  • Wenn es einen erheblichen Einfluss auf die Rechte und Interessen von Personen gibt

Strafen im chinesischen Datenschutzgesetz

Achtung

Bei Verstößen drohen hohe Sanktionen (bis zu 50 Millionen Yuan oder 5% des Vorjahresumsatzes als Geldstrafe). Da das Gesetz auch außerhalb Chinas Anwendung findet, ist es für japanische Unternehmen, die Geschäfte mit China betreiben, dringend erforderlich, entsprechende Maßnahmen zu ergreifen.

Maßnahmen zum Schutz personenbezogener Daten, die japanische Unternehmen ergreifen sollten

Checkliste

In diesem Kapitel stellen wir vier Maßnahmen vor, die japanische Unternehmen zum Schutz personenbezogener Daten ergreifen sollten.

Überprüfung der internen Strukturen

Zunächst sollten Sie die internen Strukturen überprüfen. Aufgrund der Verpflichtung zur Bestellung eines Vertreters oder eines Datenschutzbeauftragten (DPO) ist es notwendig, die internen Strukturen zu überdenken.

Beispiele hierfür sind die Einrichtung von Fachabteilungen für Recht und Technik, die für die Compliance-Arbeit mit Daten, die personenbezogene Informationen enthalten, zuständig sind, die Organisation von Arbeitsabläufen und die Durchführung detaillierter Daten-Mappings.

Aktualisierung von Vorschriften und Richtlinien

Es ist auch wichtig, Vorschriften und Richtlinien zu aktualisieren. Es ist notwendig, Vorschriften und Richtlinien zu aktualisieren, die den drei chinesischen Datenschutzgesetzen entsprechen.

Darüber hinaus ist es erforderlich, nicht nur Vorschriften zu erlassen, die die gesetzlichen Anforderungen widerspiegeln, sondern auch operative Abläufe zu etablieren, die von allen Mitarbeitern umgesetzt werden können.

Verständnis der betrieblichen Praxis

Da das Gesetz zum Schutz personenbezogener Daten erst am 1. November 2021 (Reiwa 3) in Kraft getreten ist, ist es notwendig, die betriebliche Praxis zu verstehen und kontinuierlich Maßnahmen zu ergreifen. Auch für die Mitarbeiter des Unternehmens sind angemessene Handhabung und strikte Einhaltung der Gesetze als Regeln festgelegt.

Daher sollten Unternehmen regelmäßige Schulungen für ihre Mitarbeiter durchführen, um das Bewusstsein für die neuesten Gesetze und Verfahren zu schärfen.

Aufbau einer Kooperationsstruktur mit Experten

Der Aufbau und die Stärkung einer Kooperationsstruktur mit Experten ist ebenfalls unerlässlich. Durch die Zusammenarbeit mit Experten, die mit den chinesischen Rechtsvorschriften vertraut sind, können Sie schnell reagieren. Unternehmen müssen zudem den Compliance-Status im Bereich des Datenschutzes regelmäßig überwachen und bewerten. Daher ist der Aufbau einer Kooperationsstruktur mit externen Experten unverzichtbar.

Zusammenfassung: Verstehen Sie mehrere Rechtsvorschriften und ergreifen Sie die richtigen Maßnahmen

Beschreibung des Materials

Am 1. November 2021 wurde in China das erste umfassende Gesetz zum Schutz persönlicher Informationen, das “Chinesische Gesetz zum Schutz persönlicher Informationen”, in Kraft gesetzt. Für global agierende Unternehmen sind die chinesischen Datenschutzvorschriften (Cybersicherheitsgesetz, Datensicherheitsgesetz und Gesetz zum Schutz persönlicher Informationen) aufgrund der Bedeutung des Marktes und der Strenge der Vorschriften unverzichtbare Gesetze. Je nach Situation sollten Sie sicherstellen, dass Sie die notwendigen Praktiken mit Hilfe von Experten durchführen können.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat sich das globale Geschäft zunehmend ausgeweitet, und die Notwendigkeit einer rechtlichen Überprüfung durch Experten ist stetig gestiegen. Unsere Kanzlei bietet Lösungen im Bereich des internationalen Rechts an.

Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Internationales Recht & Auslandsgeschäfte[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben