Mit dem neuen Gesetz zum Schutz personenbezogener Informationen PIPL rückt die Abschätzung der Folgen für die Betroffenen durch das Personal Information Security Impact Assessment (PISIA) in das Zentrum der Aufmerksamkeit. PISIA bewertet die Gesetzeskonformität der aktuellen Verarbeitung personenbezogener Daten, identifiziert die Risiken für die betroffenen Personen und bewertet die Wirksamkeit der ergriffenen Datenschutz-Maßnahmen.
Die Umsetzung von PISIA lässt sich nach der chinesischen Norm GB/T 39335-2020 grob in drei Schritte unterteilen. Zunächst sind eine umfassende Datenrecherche durchzuführen und ein klares Dateninventar sowie ein Daten-Mapping-Diagramm zu erstellen. Danach wird analysiert, ob sich die Maßnahmen des Unternehmens auf die legitimen Rechte und Interessen der Betroffenen auswirken, welche Auswirkungen sie haben können und wie hoch die Wahrscheinlichkeit eines Sicherheitsvorfalls ist. Schließlich sind Verbesserungsmaßnahmen zu ergreifen und ein Risikobewertungsbericht zu veröffentlichen.
Die Durchführung von PISIA hilft Unternehmen nicht nur dabei, die Einhaltung von Gesetzen und Vorschriften nachzuweisen. Sie kann auch als Beweis fungieren, dass Unternehmen Risiken proaktiv bewerten und bestimmte Sicherheitsmaßnahmen ergreifen. Dies kann dazu beitragen, Unternehmen vor Haftungsansprüchen und Reputationsschäden zu bewahren.
Mit der offiziellen Einführung des PIPL am 1. November 2021 werden schrittweise entsprechende unterstützende Maßnahmen eingeführt. Wir empfehlen, PISIA zeitnah mit einer Data Mapping-Analyse zu beginnen und die Aktivitäten zu dokumentieren, um bei Behördenkontrollen vorbereitet zu sein.
China Intellectual Property Blog 