Am 20. August 2021 hat der Ausschuss des Nationalen Volkskongresses Chinas das Gesetz zum Schutz personenbezogener Daten verabschiedet, das seit dem 1. November 2021 in Kraft getreten ist.
Das Gesetz legt einen Rechtsrahmen fest, der die Verwendung personenbezogener und sensibler Daten sowie deren Verarbeitung regelt. Dies gilt auch für automatisierte
Entscheidungsprozesse und die Anonymisierung von Daten.
Das Gesetz zum Schutz personenbezogener Daten legt den Anwendungsbereich, die Grundprinzipien der Verarbeitung personenbezogener Daten, die grenzüberschreitende Datenübertragung und die Pflichten der an der Verarbeitung beteiligten Stellen fest.
Was den Anwendungsbereich betrifft, so gilt das Gesetz für den Umgang mit personenbezogenen Daten natürlicher Personen innerhalb der Grenzen der Volksrepublik China. Wenn eine solche Verarbeitung außerhalb des Hoheitsgebiets Chinas unter Umständen im Zusammenhang mit der Bereitstellung von Produkten oder Dienstleistungen erfolgt und zur Analyse des Verhaltens von in China ansässigen natürlichen Personen wird dies ebenfalls geregelt. Die bei digitalen Marketingaktionen mit inländischen Personen erzeugten Informationen werden nach dem Lokalisierungsprinzip auf inländischen Servern gespeichert. Wenn es notwendig ist, solche Informationen im Ausland zu verarbeiten, sind ausländische Unternehmen verpflichtet, eine dedizierte Einrichtung zu gründen oder einen Agenten oder benannten Vertreter in China zu beauftragen, der mit den zuständigen Regierungsbehörden kommuniziert (grenzüberschreitende Daten Transfer).
Das Gesetz legt auch die Grundprinzipien für den Umgang mit personenbezogenen Daten fest, ein Verfahren, das den Grundsatz der Rechtmäßigkeit, Angemessenheit, Notwendigkeit und Aufrichtigkeit beachten muss und auf den kleinsten Rahmen zur Verwirklichung der Verarbeitung beschränkt ist.
Für spezielle Daten Verarbeitungen, einschließlich gemeinsamer Verarbeitung und genehmigten Verarbeitung, sieht das PIPL besondere Pflichten vor. Was die gemeinsame Verarbeitung anbelangt, so schreibt das Gesetz den gemeinsamen Verarbeitern eine gesamtschuldnerische Haftung zu, wenn die Tätigkeiten von zwei oder mehr Verarbeitungsunternehmen die Rechte und Interessen der personenbezogenen Daten verletzen und zu Schäden führen. Im Falle einer genehmigten Verarbeitung legt das Gesetz zum Schutz personenbezogener Daten fest, dass der Auftragsverarbeiter die Aktivitäten des mit der Verarbeitung personenbezogener Daten beauftragten Dritten überwachen muss. Der Dritte ist verpflichtet, die erforderlichen Maßnahmen zum Schutz personenbezogener Daten gemäß den PIPL und zur Unterstützung des Auftragsverarbeiters bei der Einhaltung des Gesetzes umzusetzen.
original Quelle des Artikels: https://dlab.uniclick.com/interpretation-and-guidance-of-the-personal-information-protection-law/
