Grenzüberschreitender Datentransfer aus China: Neue Vereinfachungen

PrintMailRate-it

​​​Au​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​veröffentlicht am 27. März 2024 | Lesedauer ca. 6 Minuten


Vorschriften zur Förderung und Regulierung des grenzüberschreitenden Datenverkehrs veröffentlicht, Leitfaden für Anträge auf Sicherheitsbewertung von Datenexporten und Leitfaden für die Einreichung des Standardvertrags für den Export personenbezogener Daten aktualisiert.


 ​

Am 22. März 2024 veröffentlichte die chinesische Cyberspace-Verwaltung („CAC“) offiziell die lang erwarteten Vorschriften zur Förderung und Regulierung des grenzüberschreitenden Datenverkehrs („Vorschriften“). Sie traten am selben Tag in Kraft. Im Vergleich zu dem am 28. September 2023 veröffentlichten Entwurf (siehe in bereits bestehendem Artikel), lockern die Vorschriften die regulatorischen Anforderungen für grenz­über­schrei­ten­​de Datenübermittlungen weiter. Das Gesetz befreit nun Unternehmen, die ab dem 1. Januar des laufenden Jahres personenbezogene Daten von weniger als 100.000 Personen übermitteln, generell von der Verpflichtung, einen Standardvertrag abzuschließen oder sich einer Zertifizierung zu unterziehen. Im vorherigen Ver­ord­​nungs­entwurf lag die Schwelle für die Befreiung von denselben Verpflichtungen bei 10.000 Personen. Die Behörden aktualisierten am selben Tag auch den Leitfaden für Anträge auf Sicherheitsbewertung von Datenexporten („Leitfaden zur Sicherheitsbewertung“) und den Leitfaden für die Einreichung des Standardvertrags für den Export personenbezogener Daten („Leitfaden zum Standardvertrag“).​



​Wichtige Definitionen

Betreiber kritischer Informationsinfrastrukturen („CIIO“) 

Betreiber kritischer Informationsinfrastrukturen („CIIO“) sind Betreiber wichtiger Netzwerkeinrichtungen und Informationssysteme in wichtigen Branchen und Bereichen wie öffentliche Telekommunikation, In­for­ma­​tions­dienste, Energie, Verkehr, Wasserwirtschaft, Finanzen, öffentliche Dienste, elektronische Behördendienste und nationale Verteidigungswissenschaft, -technologie und -industrie sowie andere wichtige Netz­werk­ein­rich­tung­​en und Informationssysteme, die im Falle einer Zerstörung, eines Funktionsverlusts oder eines Datenlecks der nationalen Sicherheit, der nationalen Wirtschaft, dem Lebensunterhalt der Bevölkerung und den öffentlichen Interessen schweren Schaden zufügen können. 

„Wichtige Daten“

„Wichtige Daten“ beziehen sich auf Daten, die, wenn sie manipuliert, zerstört, durchgesickert, unrechtmäßig erlangt oder unrechtmäßig verwendet werden, die nationale Sicherheit, den wirtschaftlichen Betrieb, die soziale Stabilität, die öffentliche Gesundheit und Sicherheit usw. gefährden können.

„Sensible personenbezogene Daten“ ​

„Sensible personenbezogene Daten“ sind personenbezogene Daten, die die persönliche Würde einer na­tür­lich­​en Person verletzen oder ihre persönliche oder materielle Sicherheit beeinträchtigen könnten, wenn sie offen­​gelegt oder unrechtmäßig verwendet werden, einschließlich Informationen wie biometrische Iden­ti­fi­ka­​tion, religiöse Überzeugung, spezifische Identität, medizinische Gesundheit, Finanzkonten und Standortbestimmung, sowie personenbezogene Daten von Minderjährigen unter 14 Jahren.

Bericht über die Folgenabschätzung zum Schutz personenbezogener Daten („PIPIA“)​

Der Bericht über die Folgenabschätzung zum Schutz personenbezogener Daten („PIPIA“) bezieht sich auf das Verfahren zur Überprüfung der Rechtmäßigkeit und Legitimität der Verarbeitung personenbezogener Daten, zur Ermittlung der verschiedenen Risiken einer Beeinträchtigung der Rechte und Vorteile der betroffenen Personen sowie zur Bewertung der Wirksamkeit der verschiedenen Maßnahmen zum Schutz der betroffenen Personen.

​Befreiung v​om Anmelde- oder Überprüfungsverfahren bei CAC​

Die Vorschriften sehen sechs Fälle vor, in denen das Gesetz einen Datenverarbeiter von der Verpflichtung be­​freit, eine Sicherheitsbewertung für die grenzüberschreitende Übermittlung von Daten durchzuführen, einen Standardvertrag für die Übermittlung personenbezogener Daten ins Ausland abzuschließen oder eine Zer­ti­fi­zier­​ung zum Schutz personenbezogener Daten vorzunehmen:​
  • ​Wenn Daten (mit Ausnahme personenbezogener Informationen oder wichtiger Daten) ins Ausland übermittelt werden, die im Rahmen von Aktivitäten wie internationalem Handel, grenzüberschreitendem Transport, akademischer Zusammenarbeit, grenzüberschreitender Produktion und Fertigung, Marketing und Werbung usw. erhoben oder erzeugt werden.
  • Wenn personenbezogene Daten, die im Ausland gesammelt oder erzeugt wurden, dann nach China über­​mittelt und dort verarbeitet werden, danach wieder ins Ausland zurückgeschickt werden, ohne dass per­so­nen­be­zo­ge­​ne Daten oder wichtige Daten, die während der Datenverarbeitung in China erzeugt wurden, hinzugefügt werden.
  • Wenn personenbezogene Daten ins Ausland übermittelt werden müssen, um einen Vertrag für eine Person als Partei abzuschließen und zu erfüllen, wie zum Beispiel bei grenzüberschreitenden Einkäufen, Postversand, Überweisungen, Zahlungen, Kontoeröffnungen sowie Flugticket- und Hotelreservierungen, Visumsanträgen, Prüfungsleistungen usw.
  • Wenn es notwendig ist, personenbezogene Daten interner Mitarbeiter ins Ausland zu übermitteln, um Personalverwaltung durchzuführen, und dies in Übereinstimmung mit den gesetzlich formulierten arbeits­​rechtlichen Vorschriften und einem gesetzlich unterzeichneten Kollektivvertrag geschieht.
  • Wenn es notwendig ist, personenbezogene Daten ins Ausland zu übermitteln, um das Leben, die Gesundheit oder das Eigentum natürlicher Personen in einem Notfall zu schützen.
  • Wenn ein Datenverarbeiter (außer ein CIIO) ab dem 1. Januar des laufenden Jahres personenbezogene Daten (mit Ausnahme sensibler personenbezogener Daten) von weniger als 100.000 Personen ins Ausland über­​mittelt. 

Da es sich jedoch um eine grenzüberschreitende Übermittlung personenbezogener Daten handelt, ist die Erstellung eines PIPIA nach dem Gesetz über den Schutz personenbezogener Daten („PIPL“) weiterhin er­for­der­​lich.

​Erfordernis einer Sicherheitsbewerung durch CAC​

In den beiden folgenden Fällen muss sich ein Datenverarbeiter der Sicherheitsbewertung durch die CAC unter­​ziehen:
  • Wenn ein CIIO personenbezogene Informationen oder wichtige Daten ins Ausland übermittelt, oder 
  • Wenn ein Datenverarbeiter (mit Ausnahme eines CIIO) ab dem 1. Januar des laufenden Jahres wichtige Daten ins Ausland übermittelt oder personenbezogene Daten (mit Ausnahme sensibler Daten) von 1.000.000 oder mehr Personen oder sensible Daten von 10.000 oder mehr Personen ins Ausland übermittelt. 

Das Ergebnis der Sicherheitsbewertung ist drei Jahre lang gültig. Wenn der Datenverarbeiter keine neue Sicherheitsbewertung durchführen muss, weil sich die Umstände der Datenverarbeitung bei grenz­üb­er­schrei­ten­​den Datenübermittlungen nicht geändert haben, kann er innerhalb von 60 Arbeitstagen vor Ablauf der vorherigen Sicherheitsbewertung eine Verlängerung des Berichts über die vorherige Sicherheitsbewertung um weitere drei Jahre beantragen. 
 

​Erfordernis eines Standardvertrags oder einer Zertifizierung​

Wenn ein Datenverarbeiter (mit Ausnahme eines CIIO) ab dem 1. Januar des laufenden Jahres personen­be­​zogene Daten (mit Ausnahme sensibler Daten) von 100.000 oder mehr, aber weniger als 1.000.000 Personen oder sensible Daten von weniger als 10.000 Personen ins Ausland übermittelt, müssen der Übermittler und der Empfänger entweder einen Standardvertrag für die Übermittlung personenbezogener Daten ins Ausland ab­​schließen oder es muss eine Zertifizierung zum Schutz personenbezogener Daten vorliegen.

Bei Abschluss eines Standardvertrags muss der Verarbeiter personenbezogener Daten innerhalb von zehn ​Arbeitstagen nach Inkrafttreten des Standardvertrags einen Antrag auf Hinterlegung bei der CAC stellen, indem er den unterzeichneten Standardvertrag, den PIPIA sowie andere erforderliche Dokumente einreicht. Der Ver­​arbeiter muss den Standardvertrag ändern und den PIPIA erneut durchführen, wenn sich die Umstände der Datenverarbeitung für die grenzüberschreitende Übermittlung personenbezogener Daten ändern. 

Für die Zertifizierung zum Schutz personenbezogener Daten muss der Datenverarbeiter einen Antrag auf der dafür vorgesehenen Website und bei einem qualifizierten Zertifizierungsinstitut stellen. Die Zertifizierung ist für drei Jahre gültig. Der Datenverarbeiter kann sie erneuern, wenn er die Überwachungsanforderungen erfüllt hat. 
 

​Pilot-Freihandelszonen stellen „Negativlisten“ aus​

Pilot-Freihandelszonen können eigene Negativlisten für die Datenübermittlung erstellen, in denen die Daten aufgeführt sind, die einer grenzüberschreitenden Sicherheitsbewertung, dem Abschluss eines Standardvertrags für die Übermittlung personenbezogener Daten ins Ausland oder einer Zertifizierung zum Schutz personen­be­​zogener Daten unterliegen. Wenn Daten nicht in der jeweiligen Negativliste aufgeführt sind, können sie frei ins Ausland übermittelt werden, ohne dass eine Anmeldung oder ein Antrag bei der CAC erforderlich ist. 

​Identifizieren von wichtigen Daten​

Die Vorschriften sehen vor, dass ein Datenverarbeiter „wichtige Daten“ gemäß den einschlägigen Vorschriften identifizieren und melden muss. Wenn es keine Vorschriften gibt, die bestimmte Daten als wichtige Daten definieren, muss ein Datenverarbeiter keine Sicherheitsbewertung für den grenzüberschreitenden Daten­​transfer solcher Daten durchführen. 

Bislang gibt es nur wenige Vorschriften, die „wichtige Daten“ definieren. Das Datensicherheitsgesetz („DSL“) sieht vor, dass alle Regionen und Abteilungen den spezifischen Katalog wichtiger Daten für ihre jeweiligen Regionen sowie für relevante Branchen und Bereiche festlegen. Dies geschieht im Rahmen des Systems der Datenklassifizierung und des hierarchischen Schutzes, wobei dem Schutz der im Katalog enthaltenen Daten Vorrang eingeräumt wird. Eine klare Definition von wichtigen Daten gibt es aber bisher nur in den „Be­​stimmungen zum Sicherheitsmanagement im Automobilbereich“ (zur Erprobung). Ähnliche Bestimmungen oder Regelungen für andere Branchen und Regionen stehen noch aus. 

Die Vorschriften werden die zuständigen Abteilungen oder Regionen dazu veranlassen, den Prozess der Identifizierung und Festlegung wichtiger Daten zu beschleunigen, indem sie entweder gesondert an die je­​weiligen Unternehmen herantreten oder die entsprechenden Kataloge veröffentlichen, die für die bezeichneten Branchen oder Regionen gelten. 

​Änderungen im Leitfaden zur Sicherheitsbewertung und im Leitfaden zum Standardvertrag​

Gemäß dem aktualisierten Leitfaden zur Sicherheitsbewertung und dem Leitfaden zum Standardvertrag wird die Website ​als offizieller Online-Kanal nicht nur für die Sicherheitsbewertung, sondern auch für das Ein­​reichen von Standardverträgen bereitgestellt. CIIO oder andere Einrichtungen, für die es nicht angemessen ist, die Sicherheitsbewertung über dieses Online-System zu beantragen, können auch direkt bei der CAC auf Provinzebene einen Antrag stellen, indem sie die erforderlichen Antragsunterlagen in Papierform und elektronisch einreichen. 

Hinweis für ausländische Einrichtungen: Der Leitfaden zur Sicherheitsbewertung und der Leitfaden zum Standardvertrag betrachten die Verarbeitung personenbezogener Daten inländischer natürlicher Personen durch ausländische Einrichtungen auch als grenzüberschreitende Übermittlung personenbezogener Daten. Dies kann der Fall sein, wenn ausländische Unternehmen personenbezogene Daten aus China sammeln, um natürliche Personen in China mit Produkten oder Dienstleistungen zu versorgen, oder wenn sie die Aktivitäten inländischer natürlicher Personen analysieren und bewerten. In diesem Fall müssen ausländische Unter­​nehmen eine spezielle Vertretung einrichten oder einen Vertreter in China gemäß Artikel 53 des PIPL benennen, um die Anforderungen an den Schutz personenbezogener Daten gemäß den chinesischen Gesetzen und Vor­​schriften zu erfüllen.

​Schlussfolgerungen und Empfehlungen​

Mit der Umsetzung der gelockerten Compliance-Anforderungen im Rahmen der Vorschriften entbindet das Gesetz viele ausländisch investierte Unternehmen von den Anmelde- und Prüfungsformalitäten bei der CAC.

Die Datenverarbeiter, einschließlich der im Ausland investierten Unternehmen, müssen jedoch weiterhin andere einschlägige Verpflichtungen gemäß den Gesetzen und Vorschriften einhalten, wenn sie personenbezogene Daten ins Ausland transferieren. Dazu gehört die gesetzliche Verpflichtung, die betroffenen Personen zu informieren, eine gesonderte Zustimmung der Personen einzuholen, den PIPIA durchzuführen usw. 

Um in den Genuss der gelockerten Anforderungen zu kommen, sollten ausländisch investierte Unternehmen, sofern dies praktikabel ist, die Übermittlung sensibler personenbezogener Daten ins Ausland vermeiden. Andernfalls lösen diese Art von Daten weiterhin die oben beschriebenen verschärften Verfahren aus. 

Außerdem kann die CAC die Aufsicht vor, während oder nach der grenzüberschreitenden Datenübermittlung verstärken. Bei relativ großen Risiken oder Sicherheitsvorfällen bei grenzüberschreitenden Datenübertragungen kann die CAC Korrektur- oder Beseitigungsmaßnahmen verlangen. Bei Verweigerung von Korrekturmaßnahmen oder bei schwerwiegenden Folgen können die Behörden das betreffende Unternehmen oder die ver­ant­wort­​liche(n) Person(en) auf der Grundlage der chinesischen Gesetze und Vorschriften, insbesondere des Cyber­sich­er­heits­​gesetzes, des DSL und des PIPL, rechtlich zur Verantwortung ziehen. 

Dementsprechend sollten Unternehmen, die in China tätig sind, jetzt einen detaillierteren daten­schutz­recht­lich­​en „Gesundheitscheck“ durchführen, um frühzeitig zu erkennen, ob und wenn ja, welche Maßnahmen in ihrem individuellen Fall empfehlenswert sind.​
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu