Aber warum?

Gründe gibt es im Detail jede Menge! Zusammengefassen kann man sie alle unter dem Buzzword "Digitalisierung". (Personenbezogene) Daten und davon angetriebene "Tech-Unternehmen" werden auch in China immer wichtiger und zusehends fungiert die chinesische Bevölkerung hierbei nicht mehr nur als Produzent, sondern selber auch als Konsument. Keine Überraschung also, dass Unternehmen zusehends ein Interesse daran haben personenbezogene Daten der chinesischen Bevölkerung zu sammeln und zu analysieren. Damit in Zukunft seine Bürger dabei nicht schutzlos der skrupellosen Profitgier von marodierenden Unternehmen ausgeliefert, welche gleichzeitig auch die eigene Autorität untergraben, sind, hat der chinesische Staatsapparat hier einen Schutzwall in Form eines neuen strengen Datenschutzgesetzes geschaffen.

Und was steht drinnen?

Von der chinesischen Regierung wird man vielleicht etwas anderes hören, aber letztlich hat man bei dem PIPL (die Abkürzung steht übrigens für Personal Information Protection Law) den Datenschutz nicht neu erfunden, sondern. es mag einen daher nicht überraschen, dass im PIPL auf die altbekannten Klassiker (wann / wie darf man Daten verarbeiten? oder "gibt es Strafen?" eingegangen wird. Wir haben hier mal die wichtigsten Fragen in a nutshell zusammengefasst:

1. unter welchen Umständen darf man personenbezogene Daten verarbeiten?

Dass es beim PIPL nicht nur um Beschränkung von Datenverarbeitungen, sondern auch um eine Modernisierung des Datenschutzrechts geht merkt man vor allem daran, dass man mit dem Mythos "Datenverarbeitung geht nur mit Einwilligung" aufräumt und stattdessen klar regelt, dass es auch weitere Rechtsgrundlagen wie etwa die Vertragserfüllung oder berechtigte Interessen gibt. Langer Rede kurzer Sinn: Hier hat man sich im Wesentlichen an der DSGVO orientiert. Beispielsweise gelten für sensible Daten (etwa Gesundheitsdaten) strengere Anforderungen für die Verarbeitung als für "normale" Daten.

2. für wen gilt das Gesetz?

Hier gilt das sogenannte "Marktort" - Prinzip! Das heißt, dass alle Unternehmen, welche in China tätig sind, in den Anwendungsbereich des Gesetzes fallen. Dies gilt auch wenn die Daten außerhalb Chinas erhoben werden bzw. der Sitz des Unternehmens außerhalb Chinas liegt.
Achtung! Wichtig! Solche Unternehmen müssen in Zukunft der chinesischen Aufsichtsbehörde (CAC) einen Ansprechpartner nennen. Das kennt auch die DSGVO schon in Form des sogenannten EU-Vertreters nach Art 27 DSGVO.

3. was passiert wenn man sich nicht an das Gesetz hält?

Unternehmen, die sich nicht an die Vorschriften halten, können mit Geldstrafen von bis zu 50 Millionen Yuan (6,6 Millionen Euro) oder fünf Prozent ihres Jahresumsatzes belegt werden. Solche Bußgelder sind freilich nur die ultima ratio und werden sicher nicht gleich beim ersten Verstoß verhängt werden. Auf eine "Ermahnen statt Strafen"-Policy sollten man aber lieber nicht vertrauen.

Ausblick

Wer jetzt denkt, dass in China mit dem PIPL ein Zeitalter der Aufklärung anbricht und vielleicht sogar in Bälde China als "sicheres Drittland" wertet muss leider enttäuscht werden: gegenüber (privatwirtschaftlichen) Unternehmen wird mit dem PIPL durchaus ein gutes Datenschutz-Niveau etabliert. Staatliche Eingriffe (man denke nur an Überwachungskameras oder das Social-Scoring-System) sind aus dem Anwendungsraum des PIPL jedoch herausgenommen. Auch ist fraglich, ob das PIPL nicht in erster Linie dem chinesischen Staat als wirtschafts-politische Waffe dienen soll, da die chinesischen Aufsichtsbehörden nicht unabhängig sind.
Ungeachtet dessen ist jedoch nicht zu leugnen, dass europäische Unternehmen in Zukunft auch in China das Datenschutzrecht beachten werden müssen. Widerstand ist zwecklos!