Mehr Klarheit bei den Compliance-Anforderungen zur Verarbeitung personenbezogener Daten

veröffentlicht am 21. März 2025 | Lesedauer ca. 5 Minuten

Am 12. Februar 2025 hat die Cyberspace Administration of China (CAC) der Volksrepublik China (PRC) die Verwaltungsmaßnahmen für Compliance-Audits zum Schutz personenbezogener Daten veröffentlicht. Diese Maßnahmen werden am 1. Mai 2025 in Kraft treten und zielen darauf ab, einen standardisierten Rahmen für die Durchführung von Compliance-Audits für die Verarbeitung personenbezogener Daten zu schaffen. Die neuen Maßnahmen wurden zusammen mit Leitlinien veröffentlicht, in denen die Einzelheiten für die Durchführung der Audits festgelegt sind.

Im Einklang mit dem Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law, PIPL) der VR China bieten diese Maßnahmen detaillierte Richtlinien für Organisationen zur Durchführung von Compliance-Audits ihrer Aktivitäten zur Verarbeitung personenbezogener Daten. Die Maßnahmen gelten für alle in China tätigen Verarbeiter personenbezogener Daten (PI-Verarbeiter).

PI-Verarbeiter sind dafür verantwortlich, dass Audits zur Einhaltung der Vorschriften durchgeführt werden. Diese Prüfungen können von internen Audit-Teams durchgeführt werden, doch können Unternehmen auch qualifizierte externe Prüfer beauftragen, um Objektivität und Fachwissen zu gewährleisten.

Die neuen Maßnahmen sehen vor, dass Unternehmen, die personenbezogene Daten verarbeiten, regelmäßig überprüft werden, um die Einhaltung der chinesischen Datenschutzgesetze sicherzustellen. Die Häufigkeit dieser Prüfungen hängt von der Menge der verarbeiteten Daten ab. Unternehmen, die personenbezogene Daten von mehr als zehn Millionen Personen verarbeiten, müssen alle zwei Jahre ein Audit durchführen. Darüber hinaus können das CAC und andere zuständige Behörden von PI-Verarbeitern verlangen, dass sie eine spezialisierte Agentur mit der Prüfung der Einhaltung der Vorschriften für die Verarbeitung personenbezogener Daten beauftragen:

Wenn der Umgang mit personenbezogenen Daten relativ große Risiken birgt, wie z. B. schwerwiegende Auswirkungen auf persönliche Rechte und Interessen oder schwerwiegende Mängel bei den Sicherheitsmaßnahmen
Wenn der Umgang mit personenbezogenen Daten die Rechte und Interessen vieler Menschen verletzen kann
Wenn ein Sicherheitsvorfall bei personenbezogenen Daten eintritt, der zur Weitergabe, Manipulation, zum Verlust oder zur Beschädigung der personenbezogenen Daten von mehr als 1 Mio. Menschen oder der sensiblen personenbezogenen Daten von mehr als 100.000 Menschen führt.

Diese Schwellenwerte bzw. Anforderungen für ein Compliance-Audit sind eine Vereinfachung gegenüber dem ursprünglichen Entwurf der Maßnahmen aus dem Jahr 2023. Nach diesem Entwurf hätten sich alle PI-Verarbeiter, die personenbezogene Daten von mehr als 1 Mio. Personen verarbeitet haben, jedes Jahr einem Compliance-Audit unterziehen müssen, alle anderen Verarbeiter alle zwei Jahre.

Die Prüfungen sollen umfassend sein und alle Aspekte der Informationsverarbeitung abdecken, einschließlich der Art und Weise, wie Informationen erfasst, gespeichert, weitergegeben und geschützt werden. Von den Unternehmen wird erwartet, dass sie Lücken in der Einhaltung der Vorschriften aufdecken, Sicherheitsrisiken bewerten und gegebenenfalls Abhilfemaßnahmen ergreifen. Im Gegensatz zu anderen Bewertungen, die sich auf bestimmte Vorfälle oder Projekte konzentrieren, verfolgen die Compliance-Audits einen umfassenden Ansatz, bei dem die gesamte Datenverwaltung und -einhaltung einer Organisation bewertet wird.

Unternehmen können Audits intern durchführen oder externe Prüfer beauftragen, um Objektivität zu gewährleisten. Unabhängig von der Vorgehensweise müssen die Unternehmen die Prüfungsergebnisse dokumentieren und Abhilfemaßnahmen ergreifen, wenn Verstöße oder Risiken festgestellt werden. Die CAC und andere Aufsichtsbehörden können diese Prüfungsberichte anfordern und Sanktionen gegen Unternehmen verhängen, die die Prüfungsanforderungen nicht erfüllen oder Mängel nicht beheben.

Eine wichtige Frage ist, wie sich Compliance-Audits von Datenschutz-Folgenabschätzungen (PIAs) unterscheiden.

Obwohl sowohl Compliance-Audits als auch PIAs nach dem PIPL vorgeschrieben sind, erfüllen sie unterschiedliche Funktionen und gelten für unterschiedliche Situationen. Konformitätsprüfungen sind breit angelegte Bewertungen des gesamten Datenschutzrahmens eines Unternehmens, die sicherstellen, dass alle Tätigkeiten zur Verarbeitung personenbezogener Daten mit den rechtlichen Anforderungen übereinstimmen. Sie finden regelmäßig und fortlaufend statt.

Im Gegensatz dazu handelt es sich bei PIAs um spezifische, risikoorientierte Bewertungen, die Unternehmen vor der Aufnahme bestimmter Datenverarbeitungstätigkeiten durchführen müssen. Eine PIA ist beispielsweise erforderlich, wenn ein Unternehmen plant, sensible personenbezogene Daten zu verarbeiten, automatisierte Entscheidungen zu treffen oder personenbezogene Daten grenzüberschreitend zu übermitteln. Der Zweck einer PIA besteht darin, die mit einer bestimmten Datenverarbeitungstätigkeit verbundenen Risiken zu ermitteln, den potenziellen Schaden für den Einzelnen zu bewerten und Maßnahmen zur Risikominderung zu ergreifen, bevor mit der Verarbeitung begonnen wird. Im Gegensatz zu Compliance-Audits, die regelmäßig durchgeführt werden, werden PIAs durch bestimmte Umstände ausgelöst und müssen bei Bedarf durchgeführt werden. Darüber hinaus können Compliance-Audits von externen Prüfern durchgeführt werden, während PIAs in der Regel intern vom Datenschutzteam eines Unternehmens durchgeführt werden.

Für Unternehmen in China, die von den neuen Maßnahmen betroffen sind, bringen die Maßnahmen zusätzliche Anforderungen an Datenschutz und Sicherheit mit sich. Während früher der Schwerpunkt auf spezifischen Fragen wie der grenzüberschreitenden Übermittlung personenbezogener Daten lag, müssen die betroffenen Unternehmen nun den Datenschutz und die Sicherheit beim Umgang mit personenbezogenen Daten in einem viel breiteren und umfassenderen Sinne berücksichtigen.