Das chinesische Personal Information Protection Law verstehen

Chinas Personal Information Protection Law (PIPL), das am 1. November 2021 in Kraft trat, gehört zu den bedeutendsten Datenschutzregelungen außerhalb Europas. Für globale Websites, insbesondere solche mit chinesischen Besuchern oder Niederlassungen in China, schafft PIPL Einwilligungspflichten, die unabhängig von — und teilweise im Konflikt mit — den Anforderungen der GDPR bestehen.

PIPL regelt die Verarbeitung personenbezogener Informationen von Personen innerhalb Chinas. Der territoriale Anwendungsbereich ist weit gefasst: Das Gesetz gilt für jede Organisation, die personenbezogene Informationen von Personen in China verarbeitet, unabhängig davon, wo die Organisation selbst ansässig ist. Wenn Ihre Website für chinesische Nutzer zugänglich ist und Sie von diesen personenbezogene Daten erheben, ist PIPL für Sie relevant.

PIPL vs. GDPR: Wichtige Unterschiede in der Praxis

Obwohl PIPL oft als „Chinas GDPR“ bezeichnet wird, verdeckt dieser Vergleich wichtige Unterschiede, die beeinflussen, wie Sie Einwilligungen umsetzen:

• Einwilligung als primäre Rechtsgrundlage: Die GDPR bietet sechs Rechtsgrundlagen für die Verarbeitung, einschließlich berechtigter Interessen. PIPL ist stärker einwilligungszentriert. Zwar erkennt das Gesetz auch andere Rechtsgrundlagen an (Vertragserfüllung, rechtliche Verpflichtung, öffentliches Interesse), doch der Anwendungsbereich berechtigter Interessen ist deutlich enger, und Einwilligung ist für die meisten kommerziellen Datenverarbeitungen der erwartete Standard.
• Gesonderte Einwilligung für sensible Daten: PIPL verlangt eine gesonderte, ausdrückliche Einwilligung für die Verarbeitung sensibler personenbezogener Informationen, wozu biometrische Daten, Finanzinformationen, Standortverfolgung und Daten von Minderjährigen unter 14 Jahren gehören. Cookie-basierte Verhaltensverfolgung kann in diese Kategorie fallen.
• Verpflichtende Datenlokalisierung: Betreiber kritischer Informationsinfrastrukturen und Organisationen, die personenbezogene Informationen oberhalb eines vom Cyberspace Administration of China (CAC) festgelegten Schwellenwerts verarbeiten, müssen Daten innerhalb Chinas speichern. Dies beeinflusst, wo Ihre Analyse- und Cookie-Daten verarbeitet werden dürfen.
• Beschränkungen beim grenzüberschreitenden Datentransfer: Die Übermittlung personenbezogener Informationen aus China heraus erfordert einen von drei Mechanismen: Bestehen einer CAC-Sicherheitsprüfung, Erlangung einer Zertifizierung durch eine anerkannte Stelle oder Abschluss von Standardvertragsklauseln, die von der CAC veröffentlicht wurden. Dies ist restriktiver als die Übermittlungsmechanismen der GDPR.
• Betroffenenrechte mit chinesischen Besonderheiten: PIPL gewährt betroffenen Personen Rechte, die denen der GDPR ähneln (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit), ergänzt diese aber um das Recht, automatisierte Entscheidungsfindung abzulehnen, sowie das Recht, eine Erläuterung der Regeln automatisierter Verarbeitung zu verlangen.

Was PIPL für Cookies und Tracking bedeutet

PIPL erwähnt „Cookies“ nicht ausdrücklich in der Weise, wie es die ePrivacy-Richtlinie der EU tut. Allerdings umfasst die weite Definition personenbezogener Informationen — alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen — den Großteil cookie-basierter Tracking-Technologien:

• Analyse-Cookies, die das Nutzerverhalten über mehrere Seiten hinweg verfolgen, erfassen nach der Definition von PIPL personenbezogene Informationen, selbst wenn der Nutzer nicht eingeloggt ist.
• Werbe-Cookies und seitenübergreifende Tracking-Pixel fallen eindeutig in den Anwendungsbereich, da sie Profile erstellen, die an Gerätekennungen gebunden sind.
• Sitzungs-Cookies für grundlegende Funktionen (Warenkörbe, Login-Status) sind in der Regel auf Grundlage der Vertragserfüllung zulässig, ähnlich wie unter der GDPR.
• Drittanbieter-Cookies, die Daten mit externen Parteien teilen, lösen zusätzliche PIPL-Anforderungen hinsichtlich Offenlegung gegenüber Dritten und möglicherweise Regeln für grenzüberschreitende Übermittlungen aus.

PIPL-Durchsetzung: Reale Konsequenzen

Anders als manche Datenschutzgesetze, die vor allem auf dem Papier existieren, wird PIPL aktiv und zunehmend strenger durchgesetzt. Die Cyberspace Administration of China, zusammen mit dem Ministerium für öffentliche Sicherheit und anderen Behörden, hat konkrete Maßnahmen ergriffen:

• Große App-Stores in China haben Apps wegen übermäßiger Datenerhebung und fehlender ordnungsgemäßer Einwilligung entfernt. Hunderte von Apps wurden in Durchsetzungskampagnen aus den Stores genommen.
• Unternehmen wurden dafür mit Geldbußen belegt, dass sie personenbezogene Informationen über das für den angegebenen Zweck Erforderliche hinaus erhoben haben.
• Die CAC hat öffentliche Verwarnungen an Unternehmen ausgesprochen, deren Datenschutzerklärungen die Datenverarbeitungsaktivitäten nicht ausreichend beschrieben.
• In schweren Fällen erlaubt PIPL Geldbußen von bis zu 50 Millionen RMB (etwa 7 Millionen USD) oder 5 % des Umsatzes des vorangegangenen Jahres, zusätzlich zu einer möglichen Aussetzung der Geschäftstätigkeit.

Für internationale Unternehmen besteht das Risiko sowohl auf regulatorischer als auch auf kommerzieller Ebene. Nicht-Compliance kann zur Entfernung von Apps aus chinesischen App-Stores, zur Sperrung von Diensten und zu Reputationsschäden in einem Markt mit über einer Milliarde Internetnutzern führen.

Geo-Targeting chinesischer Besucher

Wenn Ihre Website ein globales Publikum bedient, zu dem auch chinesische Nutzer gehören, benötigen Sie eine geo-targeted Einwilligungsstrategie. Das bedeutet, zu erkennen, wann sich ein Besucher in China befindet, und Einwilligungsmechanismen bereitzustellen, die die Anforderungen von PIPL erfüllen:

• IP-basierte Erkennung: Verwenden Sie IP-Geolokalisierung, um Besucher aus dem chinesischen Festland zu identifizieren. Dies ist derselbe Ansatz, der für GDPR-Geo-Targeting von Besuchern aus dem EWR verwendet wird.
• Sprachbasierte Signale: Wenn die Browsersprache eines Nutzers auf Chinesisch (zh-CN oder zh-TW) eingestellt ist, kann dies als sekundäres Signal dienen, sollte jedoch nicht das einzige Kriterium sein.
• Inhalt des Einwilligungsbanners: Der Einwilligungshinweis, der chinesischen Nutzern angezeigt wird, sollte in vereinfachtem Chinesisch verfasst sein, die Zwecke der Datenerhebung klar benennen, den Verantwortlichen identifizieren und eine echte Möglichkeit bieten, nicht notwendige Verarbeitungen abzulehnen.
• Gesonderte Einwilligung für sensible Verarbeitungen: Wenn Sie Cookies für Verhaltensprofiling oder Standortverfolgung einsetzen, sollten chinesische Nutzer eine separate, granularere Einwilligungsabfrage für diese Kategorien sehen.

GDPR und PIPL mit einem CMP handhaben

Die meisten globalen Websites müssen gleichzeitig mehrere Datenschutzregime einhalten. Die Herausforderung besteht darin, den richtigen Einwilligungs-Flow dem richtigen Nutzer zu präsentieren, ohne getrennte Systeme zu betreiben. So funktioniert ein einheitlicher Ansatz:

Regionserkennung als Grundlage

Das CMP muss zunächst den Standort des Besuchers bestimmen. Auf dieser Basis wendet es die jeweils passenden Einwilligungsregeln an:

• Besucher aus EWR/UK: TCF-2.3-Einwilligungsbanner mit Consent Mode V2, Opt-in-Modell, vollständige GDPR-Anforderungen.
• Chinesische Besucher: PIPL-konformer Einwilligungshinweis in vereinfachtem Chinesisch, Opt-in für nicht notwendige Verarbeitungen, klare Offenlegung grenzüberschreitender Übermittlungen, wenn Daten China verlassen.
• US-Besucher: Bundesstaatsspezifische Regeln (CCPA/CPRA für Kalifornien, Landesgesetze für Colorado, Connecticut, Virginia usw.), typischerweise Opt-out-Modelle.
• Andere Regionen: Standardverhalten auf Basis der Risikobereitschaft des Publishers und der jeweils anwendbaren lokalen Gesetze.

Überlegungen zur Speicherung von Einwilligungen

Die Anforderungen zur Datenlokalisierung unter PIPL bedeuten, dass Einwilligungsnachweise für chinesische Nutzer möglicherweise auf Servern innerhalb Chinas gespeichert werden müssen, wenn Ihre Datenverarbeitungsvolumina die von der CAC festgelegten Schwellenwerte überschreiten. Für die meisten internationalen Websites mit nur gelegentlichem chinesischem Traffic ist es unwahrscheinlich, dass dieser Schwellenwert erreicht wird, aber stark frequentierte Seiten, die gezielt auf China ausgerichtet sind, sollten lokalen Rechtsrat einholen.

Dokumentation grenzüberschreitender Übermittlungen

Wenn ein chinesischer Nutzer in Cookies einwilligt, die Daten an Server außerhalb Chinas senden (was bei nahezu allen westlichen Analyse- und Werbeplattformen der Fall ist), sollte das CMP diese Einwilligung als Teil der Begründung für die grenzüberschreitende Übermittlung dokumentieren. Der Einwilligungshinweis sollte ausdrücklich erwähnen, dass Daten international übertragen werden.

Praktische Schritte für globale Compliance

Hier ist ein priorisierter Aktionsplan für Websites, die PIPL zusätzlich zur GDPR berücksichtigen müssen:

• Analysieren Sie Ihren chinesischen Traffic: Prüfen Sie Ihre Analytics, um zu verstehen, welcher Prozentsatz Ihrer Besucher aus China kommt. Ist dieser Anteil gering, ist Ihr Risiko niedriger, aber nicht gleich null.
• Ordnen Sie Ihre Cookies den PIPL-Kategorien zu: Ermitteln Sie, welche Cookies personenbezogene Informationen im Sinne von PIPL verarbeiten und ob dabei sensible personenbezogene Informationen betroffen sind.
• Implementieren Sie geo-targeted Einwilligung: Verwenden Sie ein CMP, das unterschiedliche Einwilligungserlebnisse je nach Standort des Besuchers mit jeweils passender Sprache und Rechtsgrundlage bereitstellen kann.
• Aktualisieren Sie Ihre Datenschutzerklärung: Fügen Sie einen Abschnitt hinzu, der speziell die Rechte nach PIPL und Ihre Datenverarbeitungspraktiken für chinesische Nutzer adressiert.
• Überprüfen Sie grenzüberschreitende Übermittlungen: Dokumentieren Sie, wie personenbezogene Informationen chinesischer Nutzer international übertragen und verarbeitet werden, und stellen Sie sicher, dass Sie über einen gültigen Übermittlungsmechanismus verfügen.

Wichtiger Hinweis: Die PIPL-Compliance für Websites, die auf China ausgerichtet sind, kann komplex sein, und die regulatorische Auslegung entwickelt sich weiterhin. Dieser Artikel bietet einen allgemeinen Überblick, aber Organisationen mit bedeutenden Aktivitäten oder Nutzerbasen in China sollten rechtliche Beratung einholen, die auf ihre konkrete Situation zugeschnitten ist.

FlexyConsent unterstützt geo-targeted Einwilligungserlebnisse mit regionsspezifischen Regeln und ermöglicht es Ihnen, GDPR, PIPL, CCPA und andere Datenschutzgesetze über eine einzige Plattform abzudecken. Der kostenlose Plan umfasst Geo-Erkennung und die Konfiguration von Einwilligungen für mehrere Regionen.