Startseite   ›   Ressourcen   ›   Artikel   ›   PIPL: Chinas persönliche Informationen...

PIPL: Chinas Gesetz zum Schutz persönlicher Daten

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: November 5, 2025

Probieren Sie Termly kostenlos aus.
PIPL-China-Gesetz zum Schutz personenbezogener Daten-01

Das chinesische Gesetz zum Schutz personenbezogener Daten (PIPL) trat am 1. November 2021 in Kraft.

Wie die Datenschutz-Grundverordnung ( DSGVO ), ist dieses Gesetz umfassend, entspricht dem sich abzeichnenden globalen Standard für Datenschutz und betrifft Websites und Unternehmen auf der ganzen Welt.

Im Folgenden erkläre ich mehr über das PIPL und wie Sie Ihr Unternehmen darauf vorbereiten können, es besser an das chinesische Datenschutzgesetz anzupassen.

Inhaltsübersicht
  1. Was ist das neue chinesische Datenschutzgesetz?
  2. Was bedeutet Chinas PIPL für die Verbraucher?
  3. Was bedeutet die PIPL für Vermarkter?
  4. Was bedeutet das PIPL für multinationale Unternehmen des Privatsektors?
  5. Wer muss sich an Chinas PIPL halten?
  6. Was sind die PIPL-Anforderungen für Unternehmen?
  7. Wie man die PIPL einhält
  8. Chinas PIPL-Sanktionen und Geldstrafen
  9. Chinas Datenschutzgesetze im Vergleich zu anderen Ländern: Wie ist das PIPL im Vergleich zu ähnlichen Gesetzen?
  10. Schlussfolgerung

Was ist das neue chinesische Datenschutzgesetz?

Das chinesische Datenschutzgesetz PIPL ist das jüngste in einer Reihe von Gesetzen zum Schutz der personenbezogenen Daten von Einzelpersonen in China.

Laut Todd Liao , einem Anwalt bei Morgan Lewis in Shanghai, besteht der Zweck des PIPL darin, einen allgemeinen Rahmen dafür zu schaffen, wie Unternehmen innerhalb und außerhalb Chinas personenbezogene Daten verarbeiten, sammeln und übermitteln sollten.

Dies macht das PIPL dem EU- DSGVO .

Was bedeutet PIPL?

PIPL ist eine Abkürzung, die für das chinesische Gesetz zum Schutz persönlicher Daten steht.

Wann ist das Inkrafttreten der PIPL?

Es wurde am 20. August 2021 verabschiedet und die PIPLs traten am 1. November 2021 in Kraft .

Was bedeutet Chinas PIPL für die Verbraucher?

Chinas neuestes Gesetz zum Schutz personenbezogener Daten wird für Verbraucher entscheidende Veränderungen mit sich bringen.

Das PIPL gewährt Einzelpersonen in Kapitel IV des PIPL bestimmte Rechte, darunter:

  • Das Recht zu wissen, was Unternehmen mit ihren persönlichen Daten machen werden
  • Das Recht, Entscheidungen über ihre persönlichen Daten zu treffen
  • das Recht, Unternehmen die Verarbeitung ihrer personenbezogenen Daten zu untersagen oder einzuschränken
  • das Recht auf Kopieren und Einsichtnahme in ihre persönlichen Daten bei den Verarbeitern
  • Das Recht auf Löschung und Berichtigung ihrer persönlichen Daten
  • Das Recht auf Übertragbarkeit ihrer personenbezogenen Daten
  • Das Recht, von Ihnen eine Erläuterung der Verarbeitungsregeln zu verlangen

Nahe Angehörige einer Person können diese Rechte auch nach dem Tod der Person in ihrem eigenen berechtigten Interesse ausüben, es sei denn, die Person hatte zu Lebzeiten andere Vorkehrungen getroffen.

Was Verbraucher über das PIPL denken

Die chinesischen Verbraucher haben lange auf die Notwendigkeit einer Lösung wie der PIPL gewartet.

Laut einer Umfrage von Cisco vom Oktober 2021 zeigten sich Verbraucher in China im Vergleich zu Verbrauchern aus allen anderen untersuchten Ländern am begeistertsten von Datenschutzgesetzen.

Etwa 80 % derjenigen, die das chinesische Cybersicherheitsgesetz von 2017 kannten , waren der Meinung, dass es positive Auswirkungen hatte .

Daher ist davon auszugehen, dass die chinesischen Verbraucher das PIPL gutheißen werden, insbesondere weil es für eine hohe Datensicherheit im privaten Sektor sorgt.

Darüber hinaus wird PIPL den Verbrauchern mehr Kontrolle darüber geben, ob und wie ihre persönlichen Daten weitergegeben werden.

Das PIPL schützt jedoch nicht die persönlichen Daten der Verbraucher vor der Bearbeitung und Verarbeitung durch die Regierung, da es nur den privaten Sektor regelt.

Was bedeutet die PIPL für Vermarkter?

Das PIPL hat auf verschiedene Weise Auswirkungen auf Vermarkter und Werbetreibende:

  • den Vermarktern klarere Leitlinien für die Tätigkeit im In- und Ausland an die Hand zu geben
  • Beitrag zur Schaffung eines einheitlichen globalen Standards, an den sich multinationale Unternehmen anpassen können

Marketer sollten das Gelernte anwenden aus DSGVO Konformität und überprüfen Sie Folgendes sorgfältig auf PIPL-Konformität :

  • Cookies zur Speicherung persönlicher Informationen
  • Kampagnen zur Lead-Generierung
  • Kundenanalytik und -beziehungen
  • Standortverfolgung von Personen in Retargeting- und Remarketing-Kampagnen
  • Kontaktformulare
  • Newsletters
  • Verwendung von Algorithmen zur Vorhersage des Verbraucherverhaltens
  • Verwendung von und Zugriff auf Daten Dritter
  • Nutzung, Verarbeitung und Übermittlung grenzüberschreitender Daten

Um sicherzustellen, dass Sie die aktuellen Datenschutzgesetze einhalten, verwenden Sie Termly 's Compliance-Scanner und Datenschutzerklärung Generator .

Was bedeutet das PIPL für multinationale Unternehmen des Privatsektors?

Das PIPL trägt dazu bei, die Beziehungen zwischen multinationalen Unternehmen des privaten Sektors zu verbessern.

So wurde beispielsweise im März 2021 bekannt, dass große chinesische Technologieunternehmen wie ByteDance und Tencent einen mobilen Identifikator namens CAID entwickeln.

Die CAID erfüllte zwar alle chinesischen Datenschutzstandards, verstieß jedoch gegen das Datenschutz-Update von Apple, das Werbetreibende daran hinderte, den Identifier for Advertisers (IDFA) zu verwenden.

Dies bedeutete, dass Apple eine schwierige Entscheidung treffen musste: Sollte das Unternehmen seine Geschäftsbeziehung mit chinesischen Vermarktern beenden oder CAID akzeptieren und chinesischen Werbetreibenden einen Vorteil gegenüber denen in anderen Märkten verschaffen?

Glücklicherweise muss sich Apple über dieses Problem keine Gedanken mehr machen.

Mit dem PIPL hat Chinas Datenschutzregime internationale Standards eingeholt. Dadurch wird – zumindest im privaten Sektor – mehr Einheitlichkeit darüber herrschen, welche Daten wann verwendet und erhoben werden dürfen.

Wer muss sich an Chinas PIPL halten?

Gemäß Artikel 73 gilt das PIPL für alle Personen, die personenbezogene Daten verarbeiten", d. h. für Personen und Organisationen, die selbst über die Zwecke und Methoden der Verarbeitung entscheiden".

Das chinesische Datenschutzgesetz gilt nur für Organisationen im privaten Sektor und nicht für Einzelpersonen, die aus familiären oder persönlichen Gründen mit personenbezogenen Daten umgehen.

Wie die EU DSGVO verlangt auch Chinas PIPL von Organisationen auf der ganzen Welt die Einhaltung der Vorschriften. Jede Organisation, die personenbezogene Daten von in China lebenden Personen verarbeitet, sammelt oder übermittelt, muss die PIPL einhalten.

Anders als das DSGVO schützt das PIPL jedoch nur die Daten von Verbrauchern vor privaten Unternehmen. Das bedeutet, dass die chinesische Regierung weiterhin uneingeschränkten Zugang zu den persönlichen Daten der chinesischen Verbraucher hat.

Was sind die PIPL-Anforderungen für Unternehmen?

Das PIPL legt strenge Compliance-Standards fest. Hier sind die Konzepte und Definitionen, die Unternehmen beachten müssen.

Grundlage für die Verarbeitung

Gemäß Artikel 13 dürfen Unternehmen personenbezogene Daten nur dann verarbeiten, wenn sie mindestens eines der folgenden Kriterien erfüllen:

  • Sie haben die Zustimmung des Einzelnen eingeholt.
  • Sie benötigen personenbezogene Daten von Personen, um einen Vertrag zu erfüllen oder abzuschließen, bei dem der Verbraucher eine interessierte Partei ist.
  • Sie benötigen personenbezogene Daten für die Personalverwaltung, wie sie in den Arbeitsgesetzen und gesetzlichen Tarifverträgen festgelegt ist.
  • Sie benötigen personenbezogene Daten von Personen, um gesetzliche Aufgaben, Verpflichtungen oder Verantwortlichkeiten zu erfüllen.
  • Sie benötigen personenbezogene Daten von Personen für Tätigkeiten und Vorfälle von öffentlichem Interesse, z. B. für die Berichterstattung über Nachrichten und Notfälle.
  • Die Personen selbst haben ihre persönlichen Daten bereits offengelegt.

Das PIPL verbietet es Unternehmen auch, personenbezogene Daten in "irreführender oder zwingender" Weise zu behandeln. Stellen Sie also sicher, dass Sie eine transparente Datenschutzpolitik haben, die den Verbrauchern ein genaues Bild davon vermittelt, wie Sie mit ihren personenbezogenen Daten umgehen werden.

Definition von sensiblen persönlichen Informationen

Wie die DSGVO legt das PIPL eine umfassende Definition für „ sensible personenbezogene Daten (SPI) “ fest.

Gemäß Artikel 28 des PIPL beziehen sich sensible personenbezogene Daten auf personenbezogene Daten, die leicht die Würde, die persönliche Sicherheit oder die Sicherheit des Eigentums einer Person schädigen können.

Dieses SPI umfasst:

  • Informationen über biometrische Merkmale
  • Der Status "besonders ausgewiesen
  • Religiöse Überzeugungen
  • Medizinische Gesundheit
  • Finanzielle Informationen
  • Individuelle Standortbestimmung
  • Persönliche Daten von Minderjährigen unter 14 Jahren

Verpflichtungen der Verarbeiter

Das PIPL legt zahlreiche Verpflichtungen für Verarbeiter personenbezogener Daten fest.

Unternehmen müssen Einzelpersonen vor der Verarbeitung ihrer personenbezogenen Daten über Folgendes informieren :

  • Name und Kontaktmöglichkeit des für die Verarbeitung personenbezogener Daten Verantwortlichen
  • Der Zweck der Verarbeitung der personenbezogenen Daten der Person, die Kategorien der verarbeiteten personenbezogenen Daten, die Verarbeitungsmethoden und die Aufbewahrungsfrist
  • Verfahren und Methoden, mit denen Einzelpersonen ihre Rechte nach dem PIPL geltend machen können
  • Alle Änderungen im Bearbeitungsprozess

Darüber hinaus müssen die Unternehmen vor dem Umgang mit personenbezogenen Daten Folgendes beachten:

  • Betriebsvorschriften und interne Verwaltungsstrukturen
  • Sicherheitsmaßnahmen zur Verhinderung von Datenverstößen und -lecks, wie z. B. De-Identifizierung und Verschlüsselung
  • Kategorisierte Verwaltung persönlicher Informationen
  • Festlegung von Betriebsgrenzen für den Umgang mit personenbezogenen Daten und regelmäßige Sicherheitsschulungen und -aufklärung für Mitarbeiter

Wenn Ihr Unternehmen eine bestimmte Datenmenge verarbeitet – die von der Abteilung für Cybersicherheit und Informatisierung der chinesischen Regierung noch nicht festgelegt wurde – müssen Sie Datenschutzbeauftragte ernennen.

Diese Beamten sind für die Überwachung des Umgangs mit personenbezogenen Daten und der Schutzmaßnahmen verantwortlich.

Nach der Ernennung dieser Beamten müssen Sie der Regierung deren Kontaktmöglichkeiten und Namen mitteilen.

Gemäß Artikel 54 müssen Unternehmen, die personenbezogene Daten verarbeiten, ihre Verfahren zur Verwaltung personenbezogener Daten regelmäßig daraufhin überprüfen, ob sie den einschlägigen Gesetzen und Verwaltungsvorschriften entsprechen.

Zustimmung

Artikel 14 des PIPL verlangt von den Unternehmen äußerste Sorgfalt bei der Einholung und Festlegung der Zustimmung. Wie in DSGVO muss die Zustimmung erteilt werden:

  • Freiwillig
  • Eine ausdrückliche Erklärung
  • nachdem die Person vollständig darüber informiert wurde, wie ihre Informationen verwendet werden

Einzelpersonen haben das Recht, ihre Einwilligung jederzeit zu widerrufen, und Unternehmen müssen ihnen eine bequeme Möglichkeit bieten, ihre Einwilligung zurückzuziehen. Unternehmen müssen auch neue oder erneuerte Einwill igungen von Einzelpersonen einholen, wenn:

  • Weitergabe ihrer Daten an einen Dritten
  • Änderung der Art und Weise, wie sie mit ihren Daten umgehen
  • Verwendung ihrer Daten für jegliche Art von automatisierter Entscheidungsfindung

Wenn Sie die Zustimmung zur automatisierten Entscheidungsfindung einholen, müssen Sie den Entscheidungsprozess transparent erläutern und dem Verbraucher nachweisen, dass die Ergebnisse fair und gerecht sein werden.

Verbraucher können keine ordnungsgemäße Einwilligung erteilen, wenn Ihre automatisierte Entscheidungsfindung zu verzerrten Ergebnissen führt.

Sie müssen auch genau angeben, welche Zustimmung für die einzelnen personenbezogenen Daten erforderlich ist. Andernfalls werden Sie nicht in der Lage sein, die Standards der PIPL für eine spezifische Einwilligung zu erfüllen.

Darüber hinaus verlangt die PIPL , dass Sie die Zustimmung der Eltern oder des Vormunds einholen, bevor Sie die Daten von Minderjährigen unter 14 Jahren verarbeiten.

Dritte Parteien in China

Gemäß Artikel 21 müssen Sie, wenn Ihr Unternehmen die personenbezogenen Daten eines Verbrauchers an einen Dritten oder eine beauftragte Partei in China weitergeben will, dies tun:

  • Einholung der Zustimmung des Verbrauchers
  • Schließen Sie einen Vertrag mit einem Dritten, in dem festgelegt ist, was dieser mit den Daten tun wird.

Gemäß PIPL ist es Dritten nicht gestattet, Verbraucherdaten an andere Dritte weiterzugeben.

Sie müssen einen weiteren Vertrag erstellen, um diese zweite Datenübertragung zu regeln.

Grenzüberschreitende Übermittlung von personenbezogenen Daten

Das PIPL sieht zahlreiche Beschränkungen für die grenzüberschreitende Übermittlung personenbezogener Daten vor.

Gemäß Artikel 38 muss Ihr Unternehmen eine der folgenden Bedingungen erfüllen, bevor es personenbezogene Daten von Verbrauchern außerhalb Chinas übermittelt:

  • Bestehen Sie eine Sicherheitsbewertung. Diese wird von der staatlichen Abteilung für Cybersicherheit und Informatisierung durchgeführt.
  • Schließen Sie einen Vertrag mit der ausländischen Empfangsseite. Sie müssen diesen Vertrag nach den Standards der staatlichen Behörde für Cybersicherheit und Informationstechnik erstellen. Uns liegen noch nicht viele Details vor, aber dieser Vertrag wird wahrscheinlich den Standardvertragsklauseln (SCC) der EU für Datenübermittlungen zwischen EU- und Nicht-EU-Ländern ähneln.
  • Erlangung einer Zertifizierung zum Schutz personenbezogener Daten. Diese kann von einer spezialisierten Stelle gemäß den Bestimmungen der staatlichen Abteilung für Cybersicherheit und Informationstechnologie ausgestellt werden. Die chinesische Regierung stellt weitere Informationen über diese spezialisierte Einrichtung zur Verfügung und darüber, wie Sie von dieser Einrichtung eine Zertifizierung zum Schutz personenbezogener Daten erhalten können.
  • Erfüllen Sie andere Bedingungen in Vorschriften oder Gesetzen.

Wenn die Personen, die in Ihrem Unternehmen mit personenbezogenen Daten umgehen, nicht in China leben, müssen Sie einen "designierten Vertreter" oder ein "spezielles Büro" in China benennen, das sich um alle Angelegenheiten im Zusammenhang mit dem Umgang mit personenbezogenen Daten kümmert.

Nach der Ernennung dieses Vertreters müssen Sie der chinesischen Regierung dessen Namen und Kontaktmethode mitteilen. Leider hat die chinesische Regierung noch nicht mitgeteilt, wie Sie diesen Vertreter auswählen können.

Das PIPL verbietet es Unternehmen außerdem, ohne Genehmigung der chinesischen Regierung persönliche Daten an ausländische Regierungsstellen weiterzugeben.

Nur gemäß Artikel 41:

die zuständigen Behörden der Volksrepublik China [...] die Ersuchen ausländischer Justiz- oder Strafverfolgungsbehörden um Übermittlung personenbezogener Daten bearbeiten sollen.

Wie man die PIPL einhält

Die PIPL erlegt den Unternehmen viele Verpflichtungen auf. Wenn Ihr Unternehmen jedoch bereits DSGVO-konform ist, haben Sie den größten Teil Ihrer Arbeit bereits erledigt.

Sie sollten die Unterschiede zwischen dem PIPL und DSGVO beachten und einen Anwalt aufsuchen, der Ihnen hilft, sich auf die Einhaltung des PIPL vorzubereiten.

Nachdem Sie sich einen Überblick über die Anforderungen der PIPL verschafft haben, sollten Sie die folgenden Schritte in Erwägung ziehen:

  • Zusammenstellung eines Teams zur Überprüfung der Verfahren und der Software für den Umgang mit personenbezogenen Daten.
  • Arbeiten Sie mit den Personal-, Vertriebs-, Marketing-, IT- und anderen Abteilungen Ihres Unternehmens, die mit personenbezogenen Daten umgehen, zusammen, um Verfahren und Richtlinien zu erstellen, die den PIPL entsprechen. Wenn Sie Arbeiten an Dritte oder Agenturen auslagern, z. B. an den Kundendienst, Cloud-Plattformen und Marketingdienste, verlangen Sie von ihnen die Unterzeichnung eines Vertrags, in dem ihre Verantwortlichkeiten gemäß den PIPL-Grundsätzen dargelegt sind.
  • Schulung und Unterrichtung aller Angestellten, Freiberufler und unabhängigen Auftragnehmer über den PIPL-konformen Umgang mit personenbezogenen Daten.
  • Aktualisieren Sie Ihre Datenschutzrichtlinien, Allgemeinen Geschäftsbedingungen, Cookie-Benachrichtigungen und alle Verträge, damit sie mit den PIPL übereinstimmen. Wenn Sie vorher keine ausdrückliche, freiwillige Zustimmung eingeholt haben, müssen Sie diese Personen benachrichtigen und sie bitten, jedes Mal, wenn Sie ihre personenbezogenen Daten verarbeiten, ihre ausdrückliche, freiwillige Zustimmung zu geben.
  • Stellen Sie sicher, dass Ihre Software und Ihre IT-Infrastruktur über die erforderlichen Sicherheitsmaßnahmen und Zugriffsrechte verfügen.
  • Protokollieren Sie alle Richtlinien, Maßnahmen und Verfahren, die Sie zum Schutz der persönlichen Daten von Personen eingeführt haben. Erstellen Sie einen Audit-Plan, um diese Verfahren regelmäßig zu überprüfen.

Termly_Ikone

Testen Sie Termly kostenlos!

Termly ist eine einfach zu bedienende Lösung für verschiedene weltweite Datenschutzgesetze.

termly-dashboard-add-privacy-policy-screenshot

Wir wissen, dass es verwirrend und zeitaufwändig sein kann, mit den komplexen Datenschutzgesetzen Schritt zu halten; deshalb nehmen wir Ihnen die harte Arbeit ab!

Testen Sie KOSTENLOS unsere Generatoren für Rechtsrichtlinien und unsere cookie consent Verwaltungslösungen!

Kostenlos anmelden

Chinas PIPL-Sanktionen und Geldstrafen

Die Strafen und Bußgelder des PIPL sind im Vergleich zu anderen Gesetzen sehr hoch. Verstöße gegen die PIPL können zu folgenden Konsequenzen führen:

  • Aussetzung des Dienstes in China.
  • Beschlagnahmung aller Einkünfte, die ein Unternehmen aus Verstößen gegen die PIPL erzielt hat.
  • Strafanzeige, wenn der Verstoß gegen die PIPL eine Straftat darstellt.
  • Strafe für die Verwaltung der öffentlichen Sicherheit, wenn der Verstoß gegen die PIPL eine Verletzung der Verwaltung der öffentlichen Sicherheit darstellt.
  • Entschädigung der Opfer, wenn der Umgang mit personenbezogenen Daten die Interessen und Rechte an personenbezogenen Daten verletzt und zu einem Schaden führt.

Weigert sich das Unternehmen, die Verstöße zu korrigieren, kann die Regierung eine Geldstrafe von bis zu 1 Million Yuan gegen die verantwortliche Person verhängen, die direkt für die Verstöße verantwortlich ist.

Alle anderen direkt verantwortlichen Personen werden ebenfalls mit Geldstrafen zwischen 10.000 und 100.000 Yuan belegt.

Darüber hinaus werden "schwere Verstöße" - die in Artikel 66 als wiederholte, vorsätzliche und flagrante Verstöße definiert werden - mit einer von zwei Strafen belegt:

  • Geldbußen bis zu 50 Millionen Yuan (7.821.055 USD)
  • Etwa 5 % der Jahreseinnahmen des zuwiderhandelnden Unternehmens und Geldstrafen zwischen 100.000 und 1 Million Yuan (15.642 bis 156.421 USD) für andere direkt verantwortliche Mitarbeiter

Auch den anderen oben genannten direkt verantwortlichen Personen kann es für eine bestimmte Zeit untersagt werden, die folgenden Positionen zu bekleiden:

  • Hochrangiger Manager
  • Direktor
  • Datenschutzbeauftragter
  • Beauftragter für den Schutz personenbezogener Daten

Chinas Datenschutzgesetze im Vergleich zu anderen Ländern: Wie ist das PIPL im Vergleich zu ähnlichen Gesetzen?

Hier sehen Sie, wie Chinas Datenschutzgesetze im Vergleich zu denen anderer Länder aussehen.

PIPL vs. DSGVO

Wie bereits erwähnt, ähnelt die PIPL der DSGVO in vielerlei Hinsicht.

Wie die DSGVO legt auch das PIPL strenge Standards für den Schutz der Privatsphäre fest und verlangt die ausdrückliche und freiwillige Zustimmung, bevor Unternehmen mit personenbezogenen Daten von Verbrauchern umgehen dürfen.

Es hat auch eine breite internationale Rechtsprechung, was bedeutet, dass auch Unternehmen, die nichts mit China zu tun haben, von dem Gesetz betroffen sein können, wenn sie Daten von Menschen in China sammeln.

Beide Gesetze regeln auch die Informationsverarbeitung im Ausland.

Nach Artikel 53 des PIPL müssen Offshore-Unternehmen, die personenbezogene Daten außerhalb Chinas verarbeiten, einen Vertreter ernennen oder ein "eigenes Büro" in China einrichten, bevor sie personenbezogene Daten von Verbrauchern in China rechtmäßig übermitteln können. In ähnlicher Weise verlangt die DSGVO , dass Unternehmen einen EU-Vertreter für Offshore-Verantwortliche ernennen müssen.

Es gibt auch einige wesentliche Unterschiede zwischen der PIPL und der DSGVO.

Im Gegensatz zu DSGVO schließt Artikel 13 des PIPL die Personalverwaltung und die Mitarbeiter in die Definition der geschützten persönlichen Daten ein. Das bedeutet, dass alle personenbezogenen Daten im Zusammenhang mit der Personalverwaltung und der Beschäftigung, einschließlich Leistungsbeurteilungen und Gehaltsabrechnungen, nicht ins Ausland übermittelt werden dürfen, es sei denn, der Mitarbeiter hat seine Zustimmung gegeben oder die Daten wurden anonymisiert. Diese Regelung hat viele Auswirkungen für Unternehmen, die Personalabteilungen außerhalb Chinas haben.

Die PIPL und die DSGVO haben auch unterschiedliche Rechtsgrundlagen für die Verarbeitung.

Während die DSGVO "legitime Prozesse" als rechtmäßige Grundlage für die Verarbeitung ansieht, ist dies im PIPL nicht der Fall. Neben der Einwilligung erlaubt Artikel 13 des PIPL den für die Verarbeitung personenbezogener Daten Verantwortlichen auch die Verarbeitung personenbezogener Daten, wenn:

  • Sie benötigen personenbezogene Daten, um einen Vertrag zu erfüllen oder abzuschließen, an dem der Verbraucher als Partei beteiligt ist.
  • Sie benötigen die personenbezogenen Daten für die Personalverwaltung, wie sie in den Arbeitsgesetzen und gesetzlichen Tarifverträgen festgelegt ist.
  • Sie benötigen personenbezogene Daten, um gesetzliche Aufgaben, Verpflichtungen oder Verantwortlichkeiten zu erfüllen.
  • Sie benötigen die personenbezogenen Daten für Tätigkeiten und Vorfälle von öffentlichem Interesse, z. B. für die Berichterstattung über Nachrichten und Notfälle.
  • Die Personen selbst haben ihre persönlichen Daten bereits weitergegeben.

PIPL vs. CCPA

Die PIPL ähnelt auch dem California Consumer Privacy Act(CCPA), der am 1. Januar 2020 in Kraft trat und am 1. Januar 2023 durch den California Privacy Rights Act of 2020(CPRA) geändert wird.

Wie das PIPL legt auch das CCPA eine weit gefasste Definition des Begriffs "personenbezogene Daten" fest:

  • Name
  • E-Mail
  • Geolokalisierungsdaten
  • IP-Adresse
  • Daten der Haushalte
  • Biometrische Informationen

Anders als die PIPL verlangt der CCPA jedoch nicht, dass Unternehmen die ausdrückliche Zustimmung einer Person einholen, bevor sie deren personenbezogene Daten verwenden oder sammeln. Stattdessen müssen Organisationen nur dann eine Zustimmung einholen, wenn sie beabsichtigen, die personenbezogenen Daten einer Person zu verkaufen.

Das CCPA betrachtet auch die Weitergabe oder den Austausch von Informationen nicht als Verkauf von Informationen, während das PIPL alle Formen der Datenverarbeitung und -bearbeitung regelt. Somit hat das PIPL einen breiteren Anwendungsbereich als das CCPA.

Ein weiterer Unterschied zwischen dem PIPL und dem CCPA besteht darin, wie Minderjährige behandelt werden.

Der CCPA verbietet es Unternehmen, personenbezogene Daten von Verbrauchern unter 16 Jahren absichtlich zu verkaufen, es sei denn, eine der beiden Situationen tritt ein:

  • Der Verbraucher ist zwischen 13 und 16 Jahre alt und hat dem Verkauf seiner persönlichen Daten "zugestimmt".
  • Der Verbraucher ist unter 13 Jahre alt, und sein Erziehungsberechtigter hat dem Verkauf seiner persönlichen Daten zugestimmt".

Im Gegensatz dazu hat das PIPL ein einfacheres Modell für den Schutz der personenbezogenen Daten von Minderjährigen. Gemäß Artikel 31 müssen die für die Verarbeitung personenbezogener Daten Verantwortlichen Folgendes tun, wenn sie die personenbezogenen Daten von Minderjährigen unter 14 Jahren verarbeiten:

  • Holen Sie die Zustimmung der Eltern oder des Vormunds des Minderjährigen ein.
  • Schaffung spezieller Regeln für den Umgang mit personenbezogenen Daten für Minderjährige unter 14 Jahren.

Schlussfolgerung

Obwohl die PIPL-Konformität entmutigend aussieht, ist es nicht so schwer, wenn Sie bereits DSGVO -kompatibel.

Das PIPL enthält viele Bestimmungen, die denen des DSGVO und in geringerem Maße das CCPA, sodass Unternehmen, die diese Gesetze bereits einhalten, mit den Anforderungen des PIPL vertraut sind.

Wir empfehlen dringend, einen Anwalt oder Datenschutzexperten zu beauftragen, der Sie bei der Einhaltung der PIPL-Richtlinien unterstützt.

Unternehmen sollten so bald wie möglich Maßnahmen ergreifen, um Strafen und Bußgelder zu vermeiden.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin
zustimmung-banner-einstellungen-termly-dashboar

KOSTENLOSE Lösung zur Einhaltung des Datenschutzes

Termly bietet Ihnen einfache Lösungen für zahlreiche Datenschutzgesetze weltweit!
Probieren Sie Termly kostenlos aus.

Verwandte Artikel

  1. Termly
    Termly vs. Ketch: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    14. November 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  2. EU-konforme-Datenschutzpolitik-01
    EU-konforme Datenschutzrichtlinie
    Artikel

    7. November 2025
    Hanna De La Garza
  3. Rechtliche Anforderungen für E-Commerce-Geschäfte-01
    5 Arten von rechtlichen Anforderungen für E-Commerce-Shops
    Artikel

    5. November 2025
    Natasha Piirainen
  4. 14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen können
    14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  5. Was ist der Unterschied zwischen einem Datenschutzhinweis und den Allgemeinen Geschäftsbedingungen
    Was ist der Unterschied zwischen einer Datenschutzrichtlinie, einem Haftungsausschluss und den Allgemeinen Geschäftsbedingungen?
    Artikel

    15. Oktober 2025
    Natasha Piirainen
  6. 5-Best-DSGVO-WordPress-Plugins-für-DSGVO-Einhaltung-01
    Die 5 besten DSGVO WordPress-Plugins für DSGVO Compliance
    Artikel

    15. Oktober 2025
    Natasha Piirainen
  7. Browsewrap-vs-Klickwrap-01
    Clickwrap- vs. Browsewrap-Vereinbarungen und wann sie zu verwenden sind
    Artikel

    15. Oktober 2025
    Natasha Piirainen
  8. Do-Not-Track-Disclosures-01
    Do-Not-Track-Veröffentlichungen
    Artikel

    15. Oktober 2025
    Natasha Piirainen
  9. DSGVO-Cookie-Notiz-Banner-Beispiele-01
    DSGVO Beispiele für Cookie-Hinweis-Banner
    Artikel

    15. Oktober 2025
    Natasha Piirainen

Weitere Artikel ansehen