Maßnahmen zur Sicherheitsbewertung für die grenzüberschreitende Datenübermittlung

PrintMailRate-it

Am 29. Oktober 2021 veröffentlichte die Cyberspace Administration of China ("CAC") die Maßnahmen zur Sicherheitsbewertung für die grenzüberschreitende Datenübermittlung (Entwurf zur Stellungnahme) ("Entwurf zur Stellungnahme"), die die Bestimmungen zur grenzüberschreitenden Datenübermittlung im Cybersecurity Law of the People's Republic of China, dem Data Security Law of the People's Republic of China sowie dem Personal Information Protection Law of the People's Republic of China näher konkretisieren. Der Entwurf zur Stellungnahme definiert die Fälle, in denen bei der Übermittlung von in China gesammelten oder generierten wichtigen sowie von personenbezogenen Informationen ins Ausland eine vorherige Sicherheitsbewertung durchlaufen werden muss.


Im Vergleich zu den Maßnahmen zur Sicherheitsbewertung für die grenzüberschreitende Übermittlung personenbezogener Daten (Entwurf zur Stellungnahme), die von CAC im Juni 2019 veröffentlicht wurden, enthält dieser neue Entwurf zur Stellungnahme klarere Bestimmungen zum Anwendungsbereich, zu den Bewertungsmethoden und zu den Bewertungsinstitutionen für die Sicherheitsbewertung der grenzüberschreitenden Datenübermittlung.


Anwendungsbereich

Der Entwurf zur Stellungnahme regelt fünf Umstände, die eine Meldung an die CAC zur Si-cherheitsbewertung für die grenzüberschreitende Datenübermittlung durch die zuständige Behörde auf Provinzebene erfordern:

  • es handelt sich bei den grenzüberschreitend übertragenen Daten um personenbezogene Informationen oder wichtige Daten, die von Betreibern kritischer Informationsinfrastrukturen gesammelt oder generiert werden;
  • die grenzüberschreitend übertragenen Daten enthalten wichtige Daten;
  • ein Datenverarbeiter, der personenbezogene Informationen von mehr als einer Million Personen verarbeitet, übermittelt personenbezogene Informationen ins Ausland;
  • ein Datenverarbeiter übermittelt personenbezogenen Informationen von mehr als 100.000 Personen oder sensible personenbezogene Informationen von mehr als 10.000 Personen grenzüberschreitend;
  • andere von CAC festgelegte Umstände, unter denen eine Sicherheitsbewertung für die grenzüberschreitende Datenübermittlung erforderlich ist.


Neben den unter Punkt 1 genannten Betreibern kritischer Informationsinfrastrukturen können auch Betreiber nicht-kritischer Informationsinfrastrukturen an der Erhebung und Verarbeitung wichtiger Daten im Sinne von Punkt 2 beteiligt sein. Allerdings fehlt es mit Ausnahme des Automobilbereichs, in dem Kategorien wichtiger Daten definiert sind, in anderen Branchen und Bereichen derzeit noch an einer klaren gesetzlichen Definition des Begriffs „wichtiger Daten“.


Mangels einer eindeutigen gesetzlichen Regelung zur Berechnung der Menge an "personenbezogenen Informationen", werden in dem Entwurf zur Stellungnahme zwei Berechnungsstandards im Hinblick auf die "Menge der Verarbeitung" und die "Menge der Übermittlung" vorgeschlagen. Trotz dieser Berechnungsstandards fehlt es derzeit ebenfalls an einer expliziten rechtlichen Definition des "Übermittelns". Datenverarbeiter, die in den grenzüberschreitenden Datentransfer involviert sind, sollten daher vorsichtig sein, wenn sie Organisationen und Einzelpersonen außerhalb Chinas Zugang zu Daten/persönlichen Informationen gewähren. Außerdem sollten Datenverarbeiter auch bei der "faktischen/indirekten Übermittlung" von Daten/persönlichen Informationen besondere Vorsicht walten lassen, wie z.B. bei der Übermittlung an inländische Empfänger, die selbst Systeme oder Dienstanbieter nutzen, deren Server sich außerhalb Chinas befinden. Hervorzuheben ist ferner, dass beide Be-rechnungsstandards einen relativ niedrigen Schwellenwert festlegen, was zu einem proaktiven Antrag auf eine Sicherheitsbewertung führt, wenn einer der beiden Werte erreicht wird.


Für Datenverarbeiter, die der CAC Sicherheitsbewertungen vorlegen müssen, sind ein "Selbstbewertungsbericht" sowie "Verträge oder andere rechtsverbindliche Dokumente, die mit dem Empfänger im Ausland abgeschlossen wurden (nachstehend zusammenfassend als "Verträge" bezeichnet)“, die wichtigsten Unterlagen, die zur Bewertung vorgelegt werden müssen. Insbesondere müssen Datenverarbeiter und Empfänger in den zur Prüfung vorgelegten Verträgen vollumfänglich die Verantwortlichkeiten und Pflichten zum Schutz der Daten vereinbart haben. Was den konkreten Inhalt betrifft, so enthält den Entwurf zur Stellungnahme ebenfalls entsprechende Anforderungen.


Bewertungsmethoden und Bewertungsinstitutionen

Der Entwurf zur Stellungnahme sieht vor, dass die Sicherheitsbewertung für die grenzüberschreitende Datenübermittlung eine Kombination aus vorheriger Bewertung und kontinuierlicher Überwachung sowie eine Kombination aus Risikoselbstbewertung und Sicherheitsbewertung sein soll. Bevor die Daten von Datenverarbeitern grenzüberschreitend übermittelt werden, wird von betroffenen Unternehmen verlangt, "eine vorherige Risikoselbstbewertung für die grenzüberschreitende Datenübermittlung durchzuführen und einen Risikoselbstbewertungsbericht über die grenzüberschreitende Datenübermittlung zu erstellen".
Die chinesische Regierung betont zwar die "Selbstbewertung" um das Selbstmanagement der Unternehmen in Bezug auf die Risiken der grenzüberschreitenden Datenübermittlung zu fördern, bleibt aber dennoch die zentrale Institution des Datensicherheitsmanagements. Da-tenverarbeiter müssen die Sicherheitsbewertung für die grenzüberschreitende Datenübermittlung über die Cyberspace-Verwaltung auf Provinzebene bei der CAC melden. Nach Erhalt der Erklärung wird die CAC die zuständigen Industrieabteilungen, die relevanten Abteilungen des Staatsrats, die Cyberspace-Verwaltung der Provinzen und spezialisierte Agenturen mit der Durchführung der Sicherheitsbewertung beauftragen.


Haftung und Folgen von Verstößen

Nach dem Entwurf zur Stellungnahme werden Verantwortlichkeiten vom Netzbetreiber auf den Datenverarbeiter erweitert. Datenverarbeiter sind für die Authentizität der eingereichten Be-wertungsunterlagen verantwortlich. Das Ergebnis der Datenübermittlungsbewertung ist zwei Jahre gültig. Der Datenverarbeiter muss die Bewertung innerhalb von 60 Arbeitstagen vor Ablauf der Gültigkeitsdauer erneut beantragen, wenn die ursprünglichen grenzüberschreitenden Datentätigkeiten nach Ablauf der Gültigkeitsdauer fortgesetzt werden sollen. Ändert sich jedoch die Tätigkeit der grenzüberschreitenden Datenübermittlung während der Gültigkeitsdauer, so muss der Datenverarbeiter die Bewertung unverzüglich erneut beantragen.


Wird bei der grenzüberschreitenden Übermittlung personenbezogener Informationen zuvor keine Datensicherheitsbewertung beantragt oder wird die Sicherheitsbewertung nicht gemäß den Anforderungen der Bewertungsvorschriften durchgeführt, so kann der Betreiber mit einer Verwaltungsstrafe von maximal 50 Millionen RMB oder 5 Prozent des Vorjahresumsatzes belegt werden. Es kann zudem angeordnet werden, das betreffende Geschäft ganz auszusetzen, das Geschäft bis zur Berichtigung auszusetzen oder sogar die Geschäftslizenz zu widerrufen. Im Falle der Sicherheitsbewertung bei grenzüberschreitender Übermittlung wichtiger Daten können Betreibern bei schweren Verstößen Verwaltungsstrafen von mehr als einer Million und weniger als zehn Millionen RMB auferlegt werden.


Zusammenfassend lässt sich sagen, dass gemäß den jüngst erlassenen Vorschriften im Zusammenhang mit der Datensicherheit und dem Schutz personenbezogener Informationen, einschließlich dem Entwurf zur Stellungnahme, Unternehmen unserer Ansicht nach in Erwägung ziehen sollten,

  • vor der Durchführung von grenzüberschreitenden Datenaktivitäten eine Vorabprüfung hinsichtlich wichtiger Daten vorzunehmen,
  • zu beurteilen, ob die grenzüberschreitende Übermittlung personenbezogener Informationen eine Sicherheitsbewertung erfordern,
  • eine interne Bewertung der potenziellen grenzüberschreitenden Datenrisiken des Unternehmens selbst vorzunehmen und
  • mit der Erstellung von Verträgen zur grenzüberschreitenden Datenübermittlung zu beginnen, die den gesetzlichen Anforderungen entsprechen, um die potenziellen Risiken der Einhaltung der Corporate Compliance besser zu kontrollieren.​

Aus dem Newsletter

Kontakt

Contact Person Picture

Shujie Zhao

Legal Counsel

+86 21 6163 5350

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu