Am 1. November 2021 ist in China ein neues Gesetz in Kraft getreten, das erstmals die Speicherung, Übertragung und Verarbeitung personenbezogener Daten umfassend zu regulieren versucht. Das Personal Information Protection Law (PIPL) enthält das Prinzip der Einwilligung in die Verwendung und Übermittlung persönlicher Daten, Folgenabschätzungen für Privatsphäre und Sicherheit und den Umgang mit Datenschutzverletzungen. In Artikel 2 heißt es: „Die persönlichen Daten natürlicher Personen werden rechtlich geschützt; keine Organisation oder Einzelperson darf die Rechte und Interessen natürlicher Personen in Bezug auf persönliche Daten verletzen.“
Warum hat die chinesische Regierung sich jetzt zu diesem Schritt entschlossen? Bislang gab es in China keinen umfassenden Schutz personenbezogener Daten. Das neue Gesetz schließt diese Lücke und stellt so – ähnlich wie die Europäische Datenschutzgrundverordnung (DSGVO) aus dem Jahre 2018 – einen wichtigen Schritt zur Vereinheitlichung, Aktualisierung und Konkretisierung von Datenschutzgrundsätzen dar.
Bislang gab es in China keinen umfassenden Schutz personenbezogener Daten. Das Personal Information Protection Law (PIPL) schließt diese Lücke.
In die endgültige Fassung des Gesetzes wurden noch wesentliche Änderungen aufgenommen, die von einem Verbot der algorithmischen Preisdiskriminierung bis hin zu einer neuen Anforderung der Datenübertragbarkeit sowie neuen Ansätzen für den grenzüberschreitenden Datentransfer und die Verarbeitung von Daten von Minderjährigen unter 14 Jahren reichen. Die dynamisch geführte Debatte ist noch lange nicht abgeschlossen, denn das Gesetzeswerk stellt eher einen Rahmen dar, dessen Konkretisierung noch aussteht.
Zunächst sah es so aus, als würde sich China bei der Entwicklung eines eigenen Gesetzesrahmens am vergleichsweise minimalistischen US-Vorbild orientieren. In den USA herrscht ein Flickenteppich aus Regelungen vor. „Historisch gesehen haben wir in den USA eine Reihe unterschiedlicher Gesetze auf Bundes und Einzelstaaten-Ebene“, so die Datenschutz-Expertin Amie Stepanovich. Bald zeichnete sich jedoch eine Hinwendung zur Europäischen Datenschutzgrundverordnung ab. Der jetzt in englischer Übersetzung vorliegende final verabschiedete Text bestätigt diese Tendenz. Es finden sich darin über weite Strecken ähnliche Konzepte und sogar nahezu identische Formulierungen.
„Dieses Gesetz ist tatsächlich sehr stark von der DSGVO inspiriert“, erklärt Han Xinhua, Jura-Professorin und Mitglied im Cybersicherheitskomitee der Communication University of China. „Die Regeln sind in vielerlei Hinsicht sehr ähnlich, wie z. B. die Definition von personenbezogenen Daten, die Regeln für die Verarbeitung sensibler Informationen, die Verpflichtung zum Ergreifen von Sicherheitsmaßnahmen, die Bestimmungen und Fristen zur Speicherung, die Einführung der Figur des Datenschutzbeauftragten usw.“
Da das neue Gesetz für alle Daten gilt, die in China erhoben werden, müssen sich auch ausländische Firmen und Institutionen, die in China aktiv sind, mit ihm befassen. Allerdings haben sich die meisten Firmen bereits in der Vergangenheit informell am DSGVO-Standard orientiert, so die Einschätzung des Experten Yiming Hu. Jetzt „müssen sie allerdings genau hinsehen“.
Die Absage an das US-Modell und die weitgehende Übernahme der DSGVO im bevölkerungsreichsten Land der Erde mit dem größten digitalen Binnenmarkt stellt für Europa einen beachtlichen Export-Erfolg im Bereich der digitalen Wirtschaft dar.
Die Debatten über Nutzerrechte im digitalen Raum finden in einem Kontext statt, in dem Korruption, Willkür und mangelnde rechtsstaatliche Strukturen als Hemmnis für Chinas Entwicklung angesehen werden.
In China wird seit Jahren über die Notwendigkeit und Gestaltung umfassender Nutzerrechte im digitalen Raum diskutiert. Diese Debatten finden in einem Kontext statt, in dem Korruption, Willkür und mangelnde rechtsstaatliche Strukturen als Hemmnis für Chinas Entwicklung angesehen werden. Dies kommt auch im gegenwärtig gültigen „Hauptwiderspruch“ in der chinesischen Gesellschaft zum Ausdruck, den die Partei als denjenigen zwischen „unausgewogener und mangelhafter Entwicklung und den ständig wachsenden Bedürfnissen der Menschen nach einem besseren Leben“ betrachtet. Die von der Partei ausgerufene Kampagne für gemeinschaftlichen Wohlstand („common prosperity movement“) zielt deshalb auf eine bessere Regierungsführung und mehr Gleichgewicht in der Wirtschaft ab.
Die Kampagne ist eine Reaktion auf die in den letzten Jahren gewachsene Kluft zwischen arm und reich, die Entstehung einer neuen urbanen Mittelschicht und nicht zuletzt auf die Entstehung mächtiger heimischer Digitalkonzerne sowie auf die um sich greifende Korruption in Staat und Partei. Die Ära Xi Jin-Pings ist denn auch gekennzeichnet durch eine „heftige und weitreichende Anti-Korruptions-Kampagne“, so die Sinologen Daniel Fuchs und Frido Wenten.
In den letzten Jahren sind mit den Digitalkonzernen mächtige „Verarbeiter personenbezogener Daten“ auf den Plan getreten, die das gesellschaftliche Gleichgewicht gefährden. Das Verhältnis der chinesischen Regierung zu den Konzernen ist dabei durchaus kompliziert. Ihr Machtzuwachs wird aufmerksam beobachtet und, wenn für nötig befunden, begrenzt. Zum Beispiel stoppte die Regierung Ende 2020 kurzfristig den Börsengang der Ant Financial Services Group, einer Tochtergesellschaft der chinesischen Alibaba Group.
Das Verhältnis der chinesischen Regierung zu den mächtigen Digitalkonzernen ist kompliziert.
Han Xinhua erläutert, es sei ein „Drei-Säulen-Modell“ entstanden: „Die bipolare Struktur aus öffentlicher Macht und privaten Rechten in der Industriegesellschaft wird durch eine Dreiecksstruktur aus öffentlicher Macht, privater Macht und privaten Rechten ersetzt.“ Diese Entwicklung habe die Kräfteverhältnisse in der digitalen Welt verändert. Sie betont, in dem neuen Machtdreieck gelte es, die individuellen Rechte gegenüber den anderen beiden Polen zu stärken. Das neue Gesetz zielt dann auch darauf ab, diese Rechte zu befördern. Xinhua betont, die Verabschiedung des Gesetzes erfolge „in erster Linie aufgrund Chinas internem Druck“, und nicht etwa aufgrund des Bestrebens, dem Ausland entgegenzukommen oder sich an westliche Standards anzupassen.
Das neue Gesetz ist im Kontext einer ganzen Reihe weiterer Gesetze zu sehen, die in den letzten Jahren den digitalen Rechtsraum in China neu zu definieren versuchen. Da ist zum einen das Cybersicherheitsgesetz, das am 1. Juni 2017 auf dem chinesischen Festland in Kraft trat. Des Weiteren ist das am 1. September 2021 in Kraft getretene Datenschutzgesetz zu nennen, das Bestimmungen enthält, die die Nutzung, Sammlung und den Schutz von Daten in der VR China abdecken.
Zhenbin Zuo, Experte für Chinesisches Recht an der Universität Cambridge, sieht sowohl das Cybersicherheitsgesetz als auch das Datensicherheitsgesetz im Kontext der nationalen Sicherheitsgesetzgebung. Auch Präsident Xi Jinping betonte diese Verbindung: „Ohne Cybersicherheit gibt es keine nationale Sicherheit“.
Artikel 58 des Cybersicherheitsgesetzes enthält eine sogenannte „gatekeeper provision“, die Plattformbetreiber für alle Praktiken von Drittanbietern auf der Plattform verantwortlich macht. Die Betreiber werden laut Zuo so dazu gezwungen, „ihre Drittanbieter selbst zu regulieren und ein gutes Ökosystem von Online-Apps zu unterhalten. Dies ähnelt den Anforderungen der Federal Trade Commission in den USA an Facebook nach dem Vorfall mit Cambridge Analytica.“
Im Gegensatz dazu, so Zhenbin Zuo, gehe es beim jetzt verabschiedeten PIPL eher um den Schutz individueller Rechte und Interessen. „Aber es geht zugleich – wie in den begleitenden rechtlichen Kommentaren zum PIPL deutlich wird – über weite Strecken auch darum, Unternehmensinteressen zu fördern und eine nationale digitale Wirtschaft aufzubauen“.
Im Kontext der Bekämpfung hyperkapitalistischer Auswüchse schlägt sich der Staat auf die Seite der kleinen Leute, des Millionenheers von Nutzern digitaler Plattformen.
Das von der DSGVO der EU inspirierte neue Gesetz in China stärkt tatsächlich die Rechte des Einzelnen gegenüber den Digitalkonzernen. Für die Partei- und Staatsführung dient das Gesetz jedoch zwei anderen Zielen: Erstens ist es Bestandteil der Kampagne gegen Korruption und Missbrauch und dürfte so zu einer Stärkung des Vertrauens der Bevölkerung in die Institutionen führen. Zugleich gehört es zweitens in den Kontext einer Politik der Regulierung, Einschränkung und sogar Gängelung der Digitalkonzerne.
Die Stärkung individueller Datenschutzrechte und die Eindämmung der Macht und der Datensammelwut privater und staatlicher Stellen sollen auch in Zukunft ein reibungsloses Funktionieren des chinesischen Digitalwirtschaft garantieren. Im Kontext der Bekämpfung hyperkapitalistischer Auswüchse schlägt sich der Staat damit auf die Seite der kleinen Leute, des Millionenheers von Nutzern digitaler Plattformen. Er schlägt so zwei Fliegen mit einer Klappe: Er beschränkt die Macht der Konzerne und profiliert sich gleichzeitig als Anwalt der neuen digital-affinen chinesischen Mittelklasse.