Umgang mit Daten in China
Am 1. September bzw. 1. November 2021 sind die neuen chinesischen Gesetze «Data Security Law» (DSL) und «Personal Information Protection Law» (PIPL) für den Umgang mit Daten in China in Kraft getreten. Die Gesetze sind unter gewissen Voraussetzungen über die Grenzen Chinas hinaus verbindlich. Für Schweizer Unternehmen, die einen Standort in China oder anderweitige wirtschaftliche Verbindungen zu China haben, bedeutet dies, dass der Anwendungsbereich und die Auswirkungen dieser neuen Gesetze geprüft werden sollte.
Was regeln die neuen chinesischen Gesetze DSL und PIPL?
DSL regelt den Umgang mit jeglicher Art von Daten. Der sachliche Anwendungsbereich beschränkt sich nicht auf personenbezogene Daten, wie dies beim Schweizer Datenschutzgesetz (DSG) und die Europäische Datenschutzgrundverordnung (DSGVO) der Fall ist. Ziel des Gesetzes ist die Gewährleistung der Datensicherheit und die Förderung der Entwicklung sowie der Kontrolle der Datennutzung durch den Staat. Das Gesetz schützt ausserdem die Rechte und die vom chinesischen Gesetzgeber als legitim erachteten Interessen von Bürgern und Organisationen in China und soll die Souveränität, Sicherheit und Entwicklungsinteressen des Staates China wahren.
PIPL regelt den Umgang mit personenbezogenen Daten, ähnlich wie DSG und DSGVO. Ziel des Gesetzes ist der Schutz der Rechte und Interessen von natürlichen Personen in China im Zusammenhang mit ihren Daten. Es fördert und kontrolliert ausserdem die vom chinesischen Gesetzgeber als sinnvoll erachtete Nutzung und Haltung personenbezogener Daten.
Welche Schweizer Unternehmen sind von DSL und PIPL betroffen?
Sowohl DSL als auch PIPL regeln in erster Linie die Bearbeitung von Daten innerhalb von China. Der geografische Anwendungsbereich beider Gesetze ist jedoch nicht auf China beschränkt.
DSL ist anwendbar auf die Bearbeitung von Daten ausserhalb von China, sofern diese potenziell die nationale Sicherheit oder die öffentlichen Interessen Chinas gefährdet, oder die Rechte chinesischer Bürger oder Organisationen beeinträchtigt.
PIPL ist anwendbar auf die Bearbeitung von personenbezogenen Daten ausserhalb von China, sofern diese im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an natürliche Personen in China steht, der Analyse und Bewertung des Verhaltens von natürlichen Personen in China dient, oder sofern andere chinesische Gesetze und Regularien die Anwendbarkeit vorsehen.
Schweizer Unternehmen sind also immer dann betroffen, wenn sie Daten in China bearbeiten (z.B. weil sie einen Standort in China haben) oder bearbeiten lassen (z.B. weil sie Dienste zur Bearbeitung von Daten von chinesischen Anbietern wie Alibaba Cloud nutzen). Ebenfalls betroffen, sind Schweizer Unternehmen, welche mit ihrem Angebot Konsumenten in China ansprechen und dabei deren Daten erheben – ähnlich wie dies aufgrund der DSGVO bereits bei der Angebotsausrichtung auf Konsumenten in der EU der Fall ist.
Was ist der Einfluss von DSL und PIPL auf Schweizer Firmen?
Eraneos Group unterstützt Schweizer Unternehmen dabei, die neuen chinesischen Gesetze DSL und PIPL besser zu verstehen und hilft bei der Umsetzung von Massnahmen zur Erfüllung der sich daraus ergebenden Anforderungen.
