China: Erleichterte Verfahren für die Übermittlung personenbezogener Daten ins Ausland

veröffentlicht am 25. Oktober 2023 | Lesedauer ca. 3 Minuten

Am 28. September 2023 veröffentlichte die chinesische Cyberspace-Verwaltung (Cyberspace Administration of China – CAC) den Entwurf der Verordnung zur Standardisierung und Förderung grenzüberschreitender Daten zur Diskussion (nachstehend „Verordnungsentwurf“). Ziel des Verordnungsentwurfs ist es, die derzeit geltenden Anforderungen an die Einhaltung der Datenvorschriften zu lockern. Die Anforderungen basieren auf den am 1. Juni 2023 in Kraft getretenen Measures for the Standard Contract for Outbound Transfer of Personal Information (nachstehend „Standardvertragsmaßnahmen“) und den Security Assessment Measures for Data Provision Abroad (nachstehend „Sicherheitsbewertungsmaßnahmen“), die am 1. September 2022 in Kraft traten.

Aktuelle Regeln für die Sicherheitsbewertung und Standardverträge »
Neue Vorschriften des Verordnungsentwurfs »
Fazit und Empfehlungen »

Aktuelle Regeln für die Sicherheitsbewertung und Standardverträge

Die Sicherheitsbewertung durch die CAC sowie die erforderlichen Verwaltungsmaßnahmen gelten für folgende Fälle:

wenn ein Datenverarbeiter kritische Daten im Ausland bereitstellt;
wenn ein Betreiber einer kritischen Informationsinfrastruktur oder ein Datenverarbeiter, der personenbezogene Daten von mehr als einer Million Personen verarbeitet, personenbezogene Daten ins Ausland übermittelt
wenn ein Datenverarbeiter seit dem 1. Januar des Vorjahres personenbezogene Daten von 100.000 Personen oder sensible personenbezogene Daten von insgesamt 10.000 Personen im Ausland bereitgestellt hat; und
andere von der CAC vorgeschriebene Umstände, für die eine Sicherheits-bewertung für die Übertragung von Daten im Ausland erforderlich ist.

Wenn die oben genannten Schwellenwerte nicht erreicht werden und keine Sicherheitsbewertung erforderlich ist, kann ein Standardvertrag nur dann verwendet werden, wenn alle folgenden Bedingungen erfüllt sind:

der Datenverarbeiter personenbezogener Daten ist kein Betreiber einer kritischen Informationsinfrastruktur;
der Datenverarbeiter verarbeitet die personenbezogenen Daten von weniger als einer Million Personen;
der Datenverarbeiter hat seit dem 1. Januar des Vorjahres kumulativ die personenbezogenen Daten von weniger als 100.000 Personen ins Ausland übermittelt; und
der Datenverarbeiter hat seit dem 1. Januar des Vorjahres kumulativ die sensiblen personenbezogenen Daten von weniger als 10.000 Personen ins Ausland übermittelt.

Auch wenn die Umstände für eine Sicherheitsbewertung auf die meisten im Ausland investierten Unternehmen nicht zutreffen, sehen die oben genannten geltenden Vorschriften eine allgemeine Verpflichtung für jeden Datenverarbeiter vor, einen Standardvertrag abzuschließen und das Meldeverfahren einzuhalten, selbst wenn er nur wenige personenbezogene Daten ins Ausland übermittelt hat oder zu übermitteln beabsichtigt.

Neue Vorschriften des Verordnungsentwurfs

Die wichtigsten Punkte der neuen Vorschriften, die im Rahmen des Verordnungsentwurfs umgesetzt werden sollen, lauten wie folgt:

Grenzüberschreitende Datenübermittlung ohne Anmelde- und Prüfverfahren

Der Gesetzgeber schafft erstmals einen rechtlichen Rahmen für drei Szenarien der grenzüberschreitenden Übermittlung personenbezogener Daten, die nicht mehr dem Anmelde- oder Prüfverfahren der CAC unterliegen:

die Übermittlung personenbezogener Daten ins Ausland ist zulässig, wenn sie zur Erfüllung eines Vertrages mit einer natürlichen Person erforderlich ist, z.B. bei grenzüberschreitenden Einkäufen und Geldtransfers, Flugticket- und Hotelreservierungen, Visaanträgen usw.
die Übermittlung personenbezogener Daten interner Mitarbeiter ins Ausland ist zulässig, wenn sie für die Personalverwaltung erforderlich ist und in Übereinstimmung mit den arbeitsrechtlichen Vorschriften und den tarifvertraglichen Vereinbarungen entspricht; und
die Übermittlung personenbezogener Daten ins Ausland ist zulässig, wenn diese in Notfällen zur Rettung von Leben, Gesundheit oder den Schutz des Eigentums natürlicher Personen erforderlich ist.

Regelungen bei geringem Datenumfang

Erstmals sieht der Gesetzgeber außer den oben genannten Ausnahmefällen eine weitere Sonderbehandlung für Datenverarbeiter mit geringem Datenumfang vor.

Datenverarbeiter, die voraussichtlich innerhalb eines Jahres personenbezogene Daten von weniger als 10.000 Personen ins Ausland übermitteln, müssen keine Sicherheitsbewertung vornehmen lassen, keine Standardverträge abschließen und keine Zertifizierung zum Schutz personenbezogener Daten einholen (drei Ansätze gemäß Artikel 38 des Personal Information Protection Law – PIPL, Punkte 1, 2 und 3).
Datenverarbeiter, die innerhalb eines Jahres personenbezogene Daten von weniger als eine Million Personen ins Ausland übermitteln, müssen keine Sicherheitsbewertung abgeben, sofern sie sich für den Abschluss eines Standardvertrags für die Hinterlegung bei der CAC oder eine Zertifizierung zum Schutz personenbezogener Daten entscheiden.

Werden personenbezogene Daten von mehr als einer Million Personen ins Ausland übermittelt, müssen Datenverarbeiter wie bisher eine Sicherheitsbewertung bei der CAC einreichen.

Negativlisten in Freihandelszonen

Zudem ermutigt der Gesetzgeber zum ersten Mal die Gouverneure von Freihandelszone, zusätzlich zu den oben genannten Ausnahmeregelungen eine eigene Negativliste für den Datentransfer zu erstellen. Es wird davon ausgegangen, das Daten, die nicht auf der Negativliste stehen, ohne Anmeldung bei der CAC ins Ausland übertragen werden können.

Fazit und Empfehlungen

Sollten die Verordnungsentwürfe in Kraft treten, werden diese auf viele ausländisch investierten Unternehmen in China folgende Auswirkungen haben:

Wenn Unternehmen weniger als 10.000 personenbezogene Daten pro Jahr verarbeiten, ist es sehr wahrscheinlich, dass sie von der Vorlage des Standardvertrags befreit werden. Wir empfehlen Ihnen, die Gesetzgebung genau zu verfolgen und die Unterzeichnung des Standardvertrags vorerst zu verschieben, sofern dies möglich ist.
Die Pflicht zur Einreichung von Unterlagen kann unter Umständen entfallen, aber der Personal Information Protection Impact Assessment Report gemäß Artikel 55 PIPL ist weiterhin erforderlich. Diese Selbstbewertung sollte kontinuierlich vor der Übermittlung durchgeführt werden.

Die neuen Regeln des Verordnungsentwurfs können die Vorbereitung und Einreichung von Dokumenten für Unternehmen, die keine Betreiber kritischer Informationsinfrastrukturen sind oder keine kritischen Daten und keine personenbezogenen Daten von mehr als 10.000 Personen ins Ausland übermitteln, erleichtern. Die allgemeinen Anforderungen zur Einhaltung des Datenschutzes gemäß dem Cybersicherheitsgesetz, dem Datensicherheitsgesetz und dem PIPL bleiben hingegen unverändert.

Die CAC wird die Aufsicht vor, während und nach der grenzüberschreitenden Datenübermittlungen verstärken und im Falle von Risiken oder Sicherheitsvorfälle Korrekturen oder die Aussetzung der grenzüberschreitenden Datenübermittlung verlangen.