Zertifizierung grenzüberschreitender Datenübertragung

PrintMailRate-it
veröffentlicht am 2. August 2022
 
 
Dieser Artikel ist Teil 1 der Serie Grenzüberschreitender Datentransfer in China und widmet sich der Zer­ti­fi­zierung von grenzüberschreitender Datenübertragung.
 

 

Praxisleitfaden für Cybersicherheit – Authentifizierungsspezifikation für die grenz­über­schreitende Übertragung persönlicher Informationen

     

       

Nach Einholung von Stellungnahmen verschiedener Stakeholder wurde die finale Fassung des Praxisleitfaden für Cybersicherheit – Authentifizierungsspezifikation für die grenzüberschreitende Übertragung persönlicher Informationen durch das National Information Security Standardization Technical Committee (kurz: TC260) am 24. Juni 2022 veröffentlicht und ist am selben Tag in Kraft getreten. Dieses Dokument stellt einen freiwillig zu befolgenden Leitfaden zur Zertifizierung bestimmter Vorgänge grenzüberschreitender Verarbeitung persönlicher Informationen dar, nämlich für 
  • Datentransfers zwischen verbundenen Unternehmen sowie
  • Datenverarbeitung außerhalb Chinas in Fällen von Artikel 3 Absatz 2 PIPL (extraterritoriale Anwendung).
 
Insbesondere die erste Fallgruppe ist für die meisten ausländisch investierten Unternehmen von heraus­ra­gen­der Bedeutung, da Datentransfers zwischen dem Mutterhaus und den Tochtergesellschaften bzw. anderen verbundenen Unternehmen den Großteil des internationalen Datenverkehrs ausmachen. 
 
Die grundlegenden Voraussetzungen für eine Zertifizierung sind:
  • Abschluss eines verbindlichen Vertrages zwischen Übertragendem und Empfänger der Daten mit vor­ge­schrie­benem Mindestinhalt;
  • Benennung jeweils einer für den Datenschutz verantwortlichen Person mit fachlicher sowie Manage­ment­er­fah­rung auf Entscheidungsebene;
  • Einrichten von Organisationsstrukturen zum Datenschutz;
  • Datenschutzrechtliche Folgenabschätzung.
 
Schließlich listet der Leitfaden noch verschiedene Rechte betroffener Individuen sowie Pflichten von Über­tra­gendem und Empfänger auf.
 
Insgesamt sorgt dieser Leitfaden für mehr Verwirrung als Klarheit. Weder wird die für die Zertifizierung zustän­dige Stelle (oder Kriterien für deren Bestimmung) benannt noch wird das Verfahren zur Zertifizierung beschrie­ben. Einzig geregelt wird, wer den Zertifizierungsantrag stellen darf (nämlich die in China ansässige Partei bzw. das Unternehmen). Auch ist nicht klar, ob die Zertifizierung als Erlaubnistatbestand nach Artikel 38 PIPL die­nen soll, wonach ein Datenexport nach Zertifizierung durch eine spezialisierte Einrichtung gemäß den Vor­schrif­ten der Cyberspace Administration of China („CAC“) zulässig ist. Ein im ersten Entwurf noch enthaltener Verweis darauf wurde in der finalen Fassung gestrichen. Schließlich lässt sich dem Leitfaden auch kein Hinweis darauf entnehmen, wie lang eine einmal erteilte Zertifizierung gültig sein soll. Überdies enthält der Leitfaden einige problematische Bestimmungen, insbesondere die Aufnahme einer Bestimmung in den Über­tra­gungs­ver­trag, wonach sich der Empfänger der Aufsicht durch die zuständige chinesische Überwachungsbehörde unterwirft.
 

Ausblick und Empfehlungen

Aufgrund des fehlenden Verweises auf Artikel 38 PIPL bleibt zu hoffen, dass in naher Zukunft zusätzliche Regelungen erlassen werden, die sowohl die Voraussetzungen als auch das Verfahren zur Zertifizierung der grenzüberschreitenden Übertragung persönlicher Informationen mit hinreichender Klarheit und im Einklang mit höherrangigem Recht regeln. 
 
Wenngleich der Leitfaden allein nicht zur Absicherung konzerninterner Datenübertragungen zwischen China und dem Ausland taugt, können Unternehmen dennoch etwas daraus mitnehmen. So ist es empfehlenswert, dass verbundene Unternehmen Verträge über den Datenaustausch abschließen. Der Leitfaden enthält nütz­liche Hinweise darauf, was in derartige Verträge aufgenommen werden sollte. Weiter sollte eine interne Manage­ment- und Organisationsstruktur mit Blick auf den Datenschutz geschaffen werden. Auch hier schlüsselt der Leitfaden hilfreich auf, worauf die chinesischen Überwachungsbehörden achten werden, wenn diese sich die Organisationsstrukturen und Verantwortlichkeiten bei den beteiligten Parteien genauer anschauen. 
 
Im zweiten Teil dieser Serie stellen wir den kürzlich veröffentlichten Entwurf der CAC zu datenschutz­recht­lichen Standardverträgen vor.

Deutschland Weltweit Search Menu