Standardverträge für die grenzüberschreitende Datenübertragung

Dazu zählt insbesondere der im internationalen Geschäftsverkehr unerlässliche Transfer von Daten zwischen China und dem Ausland. Für Daten mit Personenbezug (sogenannte „persönliche Informationen“) enthält Artikel 38 des Personal Information Protection Law („PIPL“) einen Katalog an Erlaubnistatbeständen, bei deren Vorliegen eine grenzüberschreitende Übertragung zulässig ist. Diese sind:

 

Für China geltende internationale Abkommen und Verträge zum grenzüberschreitenden Datentransfer können ferner vorrangige Sondervorschriften vorsehen, an denen es gegenwärtig aber noch fehlt. 

 

Zur Sicherheitsüberprüfung nach Artikel 38 Ziffer 1 PIPL hat die CAC am 7. Juli 2022 die Outbound Data Trans­fer Security Assessment Measures erlassen, welche am 1. September 2022 in Kraft treten werden. Wir stellen diese Maßnahmen im dritten Teil unserer Artikelserie im Detail vor. Im thematischen Zusammenhang mit Artikel 38 Ziffer 2 PIPL (Zertifizierung durch eine akkreditierte Organisation) steht ein jüngst veröffentlichter Leitfaden, der Gegenstand des ersten Teils dieser Serie war. 

 

Wir möchten in diesem zweiten Teil einen Blick auf den am 30. Juni 2022 von der CAC veröffentlichten Entwurf der Provisions on the Standard Contract for Outbound Cross-Border Transfer of Personal Information („Bestim­mungen“) werfen, welche der Umsetzung von Artikel 38 Ziffer 3 PIPL (Standardvertrag) dienen und für die meis­ten in China tätigen Unternehmen und deren internationalen Datentransfer praktisch am bedeutsamsten sind.

 

Der Entwurf der Bestimmungen, zu dem bis zum 29. Juli 2022 Stellungnahmen eingereicht werden konnten, setzt sich aus vier Teilen zusammen:

 

Um persönliche Informationen aufgrund eines Standardvertrages ins Ausland übertragen zu dürfen, muss der Übertragende folgende Voraussetzungen erfüllen:

 

Sollte eine dieser Voraussetzungen nicht erfüllt werden können, der Übertragende also die Schwellenwerte über­schreiten oder als CIIO qualifiziert werden, ist vor dem Datenexport zwingend eine behördliche Sicher­heits­überprüfung gemäß den Outbound Data Transfer Security Assessment Measures durchzuführen.

 

Die Bestimmungen wiederholen die bereits im PIPL geregelte Pflicht des Übertragenden, vor Übertragung der Daten ins Ausland eine datenschutzrechtliche Folgenabschätzung vorzunehmen, welche umfassend das Risiko der Übertragung für die Rechte und Interessen betroffener Individuen ermitteln muss. 

 

Inhaltlich schreibt der Entwurf vor, dass im Standardvertrag Regelungen zu mindestens folgenden Punkten getroffen werden müssen:

 

Darüber hinaus können die Parteien weitere, für sie wichtige Punkte betreffend Datenschutz bzw. Daten­sicher­heit vereinbaren, solange diese nicht im Widerspruch zu den Regelungen im Standardvertrag stehen. Die eigent­liche Übertragung der Daten darf jedoch erst nach Inkrafttreten des mit dem Empfänger ab­ge­schlos­se­nen Standardvertrages stattfinden.

 

Eine wichtige Besonderheit und erheblicher Unterschied zu Standardvertragsklauseln nach der DSGVO ist die Pflicht des Übertragenden, den mit dem Empfänger abgeschlossenen Standardvertrag innerhalb von 10 Tagen nach dessen Inkrafttreten bei der zuständigen Überwachungsbehörde auf Provinzebene einzureichen. Dies gilt ferner auch für den Bericht zur datenschutzrechtlichen Folgenabschätzung. Zwar handelt es sich dabei nicht um ein Genehmigungsverfahren, jedoch wird dies wohl zur Folge haben, dass der CAC bekannt sein wird, welche Unternehmen persönliche Informationen ins Ausland übertragen und eine weitere Überwachung und behördliche Interventionen nicht auszuschließen sind. Zudem kann eine unterbliebene, nicht rechtzeitige oder unzutreffende Mitteilung an die Behörde die Haftung des Übertragenden auslösen.

 

Bei wesentlichen Änderungen der Datenübertragung selbst (z.B. Zweck, Umfang, Art der Daten etc.) oder der Situation im Land des Empfängers muss der Standardvertrag nach dem Entwurf der Bestimmungen zwingend neu abgeschlossen und der zuständigen Behörde angezeigt werden. Außerdem kann die Behörde vom Über­tra­gen­den die unverzügliche Einstellung aller auf dem Standardvertrag beruhenden Übertragungsvorgänge ver­lan­gen, sollte die Übertragung nicht mehr die Sicherheitsanforderungen aus dem Standardvertrag sowie den einschlägigen Gesetzen (insbes. dem PIPL) erfüllen. 

 

Dass nach langer Unsicherheit nun endlich ein erster Entwurf betreffend Standardverträge veröffentlicht wurde, ist grundsätzlich zu begrüßen. Viele der in den Bestimmungen bzw. dem angehängten Standardvertrag enthaltenen Aspekte kommen vor allem für diejenigen Unternehmen nicht überraschend, die bereits ein gut funktionierendes Managementsystem zum Datenschutz und grenzüberschreitenden Datentransfer eingerichtet haben. Jedoch darf nicht ungeprüft, insbesondere bei Verwendung der Standardvertragsklauseln nach DSGVO, davon ausgegangen werden, dass Datentransfers aus China heraus problemlos möglich sind. Durch sorg­fäl­ti­gen Abgleich der jeweiligen Regelungen nach EU- und chinesischem Recht können Abweichungen ermittelt und Ressourcen dort eingesetzt werden, wo Unterschiede zu einem erhöhten Schadens- oder Haftungsrisiko führen können.

 

Es bleibt nun abzuwarten, ob und inwiefern die CAC die zum Entwurf der Bestimmungen eingegangenen Stel­lungnahmen berücksichtigen wird. Bis zur Veröffentlichung der finalen Version liefern die Bestimmungen in ihrer jetzigen Form bereits eine sehr nützliche Orientierung zur Erarbeitung und Verhandlung entsprechender Verträge mit Datenempfängern im Ausland.

 

Im letzten Teil dieser Serie werfen wir einen Blick auf die am 1. September 2022 in Kraft tretenden Outbound Data Transfer Security Assessment Measures, mit denen spezifische Regelungen zur behördlichen Sicher­heits­überprüfung für besonders sensible Szenarien des Datenexports eingeführt werden.