10 Praxishinweise für Standardverträge unter China's verschärften Datenschutzgesetzen

veröffentlicht am 10. Mai 2023 | Lesedauer ca. 5 Minuten

Dieser Artikel ist Teil 3 der Serie Grenzüberschreitender Datentransfer in China und widmet sich Praxishinweisen für Standardverträge unter China's verschärften Datenschutzgesetzen.

Datenschutzrechtliche Compliance bleibt für einen Großteil der in China tätigen ausländisch investierten Unternehmen im Jahr 2023 eine große Herausforderung. Die Gründe hierfür sind vielfältig und reichen von Unwissenheit über die einschlägigen Vorschriften sowie unklare oder unvollständige Regelungen bis hin zu mangelnden praktischen Erfahrungen bei der Anwendung der relevanten Bestimmungen. Erschwerend kommt hinzu, dass der chinesische Ansatz des Datenschutzes zwar durchaus in einigen Punkten dem Regelungssystem unter der Datenschutzgrundverordnung der Europäischen Union („DSGVO”) entspricht, in anderen wichtigen Punkten jedoch wesentlich davon abweicht.

Das zeigt sich insbesondere im Bereich der grenzüberschreitenden Übermittlung persönlicher Daten. Ein vergleichender Blick auf die entsprechenden Regelungen in der DSGVO (Kapitel V, Artikel 44-50) und Chinas Gesetz zum Schutz persönlicher Informationen (Personal Information Protection Law [KHB1] , „PIPL”, Kapitel 3, Artikel 38-43) lässt deutliche Unterschiede erkennen. Einer der markantesten ist sicherlich, dass der Staat in China eine wesentlich aktivere Rolle im Rahmen der jeweiligen Übermittlungsvorgänge einnimmt, was sich auch und vor allem mit dessen stark ausgeprägten Sicherheitsstreben erklären lässt. Diese präventive staatliche Kontrolle betrifft dabei nicht nur die unter bestimmten Umständen erforderliche Sicherheitsüberprüfung, sondern selbst Datenübermittlungen auf Basis eines sogenannten Standardvertrages nach Artikel 38 Absatz 1 Ziffer 3 PIPL.

Wir haben in einem Artikel den einschlägigen Entwurf zu Provisions on the Standard Contract for Outbound Cross-Border Transfer of Personal Information („Bestimmungen”) bereits ausführlich vorgestellt. Die Cyberspace Administration of China („CAC”) hat nunmehr die Bestimmungen in eine finale Form gebracht und am 22. Februar 2023 verkündet. Mit Wirkung zum 1. Juni 2023 regeln die Bestimmungen verbindlich die grenzüberschreitende Übermittlung persönlicher Informationen auf Grundlage des von der CAC vorgegebenen Standardvertrages. Da die endgültigen Bestimmungen im Wesentlichen dem vorherigen Entwurf entsprechen, möchten wir betroffene Unternehmen auf die Aspekte aufmerksam machen, die wir als besonders wichtig erachten.

Standardvertrag zur grenzüberschreitenden Datenübertragung – 10 wichtige Praxishinweise

grundsätzliche Verfügbarkeit des Standardvertrages als rechtliche Grundlage für Datenübermittlungen in andere Länder

Ein erster wichtiger Punkt betrifft die grundsätzliche Verfügbarkeit des Standardvertrages als rechtliche Grundlage für Datenübermittlungen in andere Länder. Der Standardvertrag kann nämlich nur dann verwendet werden, soweit die Übermittlung nicht zwingend eine vorherige Sicherheitsüberprüfung durchlaufen muss. Daher ist vorab gründlich zu prüfen, ob die in den Bestimmungen genannten Schwellenwerte erfüllt und auch nicht durch künstliche Aufspaltung der übertragenen Datenmengen umgangen werden.

Umfassende datenschutzrechtliche Folgenabschätzung

Der Abschluss eines Standardvertrages allein ist nicht ausreichend, um rechtskonform persönliche Informationen von China in andere Länder zu übermitteln. Es muss stets auch eine umfassende datenschutzrechtliche Folgenabschätzung durchgeführt, dokumentiert und für mindestens drei Jahre aufbewahrt werden. Bezüglich des vorgeschriebenen Mindestinhalts der Folgenabschätzung sollten Unternehmen sich vorrangig an den Bestimmungen orientieren. Ergänzend kann der (nicht verbindliche) Standard GB/T 39335-2020 Information Security Technology – Guidance for Personal Information Security Impact Assessment herangezogen werden.

Einreichung

Wie oben bereits angedeutet, bestehen signifikante Unterschiede zwischen dem europäischen und chinesischen Datenschutz hinsichtlich der Beteiligung staatliche Stellen bei der Übermittlung von Daten ins Ausland. Anders als in der EU muss jeder (!) abgeschlossene Standardvertrag gemeinsam mit der dazugehörigen Folgenabschätzung innerhalb von zehn Werktagen ab Inkrafttreten des Vertrages bei der lokal zuständigen Abteilung der CAC eingereicht werden. Das stellt kein Genehmigungsverfahren dar, sondern dient lediglich dazu, die CAC in die Lage zu versetzen, Übermittlungsszenarien mit relativ hohem Schadensrisiko frühzeitig zu erkennen und die verantwortlichen Datenverarbeiter vor Schadenseintritt zur Korrektur aufzufordern. Viele ausländische Unternehmen wird es nur bedingt beruhigen, dass auch die CAC und deren Mitarbeiter selbst nach dem PIPL und den Bestimmungen zur Geheimhaltung verpflichtet sind. Durch eine sorgfältige Erstellung der Datenschutz-Folgenabschätzung und möglichst allgemein gehaltene Formulierungen beim Ausfüllen von Anhang 1 („Beschreibung der grenzüberschreitenden Übermittlung persönlicher Informationen") kann das Risiko der unrechtmäßigen Aneignung, Nutzung, Weitergabe usw. von sensiblen Daten und Informationen bis zu einem gewissen Grad minimiert werden.

Umfassender Überblick über sämtliche Aspekte der Übermittlungsbeziehung

In China ansässige Datenverarbeiter sollten sich vor Abschluss des Standardvertrages einen umfassenden Überblick über sämtliche Aspekte der Übermittlungsbeziehung mit dem Empfänger im Ausland verschaffen. Es ist dabei ratsam, nicht nur die aktuellen Verhältnisse im Vertrag zu berücksichtigen, sondern auch mögliche zukünftige Änderungen zu antizipieren, die mit hoher Wahrscheinlichkeit in naher Zukunft eintreten werden. Das können Entwicklungen innerhalb (z.B. Änderungen der Art oder des Umfangs der übermittelten Daten, des Verarbeitungszweckes durch den Empfänger oder des Speicherortes im Ausland) als auch außerhalb der jeweiligen Vertragsbeziehung sein (z.B. anstehende Gesetzesänderungen im Empfängerstaat, kürzlich bekannt gewordene Sicherheitsrisiken in einer bestimmten Industrie oder Region). Dadurch können Unternehmensressourcen geschont werden, die andernfalls für die erneute Durchführung der Folgenabschätzung, die Ergänzung bzw. den Neuabschluss des Vertrages sowie die erneute Registrierung bei der CAC erforderlich werden.

Instrument zur umfassenden Regelung der datenschutzrechtlichen Beziehungen zwischen dem Datenverarbeiter in China und dem Empfänger im Ausland

Es ist wichtig zu wissen, dass der Standardvertrag als Instrument zur umfassenden Regelung der datenschutzrechtlichen Beziehungen zwischen dem Datenverarbeiter in China und dem Empfänger im Ausland nach Maßgabe chinesischen Rechts konzipiert ist. Das hat zur Folge, dass es den Parteien nicht freisteht, einzelne Bestimmungen des Vertrages individuell abzuwandeln. Derartige individuelle Vereinbarungen sind nur insofern zulässig, als sie nicht mit den verbindlichen Regelungen im Standardvertrag in Konflikt stehen. Somit sind die Parteien gut beraten, den unabdingbaren Inhalt des Standardvertrages genau unter die Lupe zu nehmen, um zu verstehen, welche Pflichten und Haftungsrisiken für die jeweilige Partei daraus resultieren und wo ihnen noch Spielraum für einzelfallspezifische Abmachungen verbleibt. Die Unabdingbarkeit der Regelungen im Standardvertrag schließt jedoch unseres Erachtens nicht aus, die gegenseitigen Pflichten zu erweitern, wenn dadurch ein höherer Schutz für die übermittelten persönlichen Informationen erreicht wird.

Zeitpunkt der Wirksamkeit des Standardvertrages

Unternehmen dürfen ferner laut den Bestimmungen persönliche Informationen erst ab dem Zeitpunkt der Wirksamkeit des Standardvertrages an den Vertragspartner im Ausland übermitteln. Diese Vorschrift ist im Zusammenhang mit einer weiteren Vorschrift in den Bestimmungen zu sehen, wonach betroffenen Unternehmen eine Übergangsfrist von sechs Monaten eingeräumt wird, sollten sie bei Inkrafttreten der Bestimmungen am 1. Juni 2023 bereits persönliche Informationen ins Ausland unter Verletzung der Vorgaben aus den Bestimmungen übermitteln. Das bedeutet, das betroffene Unternehmen zwar einen frühen Zeitpunkt für die Wirksamkeit des Vertrages wählen können, ihnen die chinesische Regierung aber in den ersten sechs Monaten (also bis zum 31. November 2023) Zeit zur Durchführung aller nach den Bestimmungen erforderlichen Maßnahmen gewährt.

Zustimmung

Personen, deren persönliche Informationen von China ins Ausland übermittelt werden sollen, müssen in jedem Fall zuvor der Übermittlung zugestimmt haben. Diese Zustimmung muss zusätzlich zu einer allgemeinen Zustimmung zur Datenverarbeitung erfolgen. Fehlt die gesonderte Zustimmung, führt es grundsätzlich zur Rechtswidrigkeit der grenzüberschreitenden Übermittlung. Insbesondere kann die fehlende Zustimmung nicht durch den Abschluss des Standardvertrages ersetzt werden. Hier zeigt sich ein weiterer wesentlicher Unterschied zwischen PIPL und DSGVO, da Letztere eine Einwilligung der betroffenen Person konkret zur grenzüberschreitenden Übermittlung nur ausnahmsweise erforderlich macht, sollte kein Angemessenheitsbeschluss der EU-Kommission oder angemessene Garantien (zu denen auch die EU-Standarddatenschutzklauseln zählen) vorliegen.

Allgemeinen Voraussetzungen zur Datenverarbeitung

Demgegenüber müssen bei einer grenzüberschreitenden Übermittlung aufgrund eines Standardvertrages nach chinesischem Recht ähnlich wie nach der DSGVO im Übrigen auch die allgemeinen Voraussetzungen zur Datenverarbeitung erfüllt sein, wie etwa die Beachtung der allgemeinen Verarbeitungsgrundsätze, die Information betroffener Personen oder das Ergreifen technisch-organisatorischer Schutzmaßnahmen. Es dürfen jedoch nicht ungeprüft aus der DSGVO bekannte Vorgaben übertragen werden, da es in der Tat inhaltliche Unterschiede zur Rechtslage in China gibt, beispielsweise hinsichtlich der zulässigen Gründe für die Datenverarbeitung.

Haftung

Die bereits dargestellte strikte Geltung des Standardvertrages zwischen den Parteien ist vor allem auch mit Blick auf die Frage der Haftung relevant. Denn nach dem Standardvertrag haften die Parteien gegenüber geschädigten Datensubjekten als Gesamtschuldner mit interner Ausgleichsmöglichkeit. Es kann also nicht vereinbart werden, dass eine Partei in jedem oder in bestimmten Fällen zunächst ausschließlich gegenüber der geschädigten Person haftet, da ihr insofern ein Wahlrecht zusteht. Es sollte aber durchaus zulässig sein, den späteren internen Ausgleich entsprechend den Vorstellungen der Parteien näher auszugestalten.

Form der Streitbeilegung

Schließlich möchten wir noch darauf hinweisen, dass zwar auf den Standardvertrag zwingend chinesisches Recht anwendbar ist, die Parteien aber eine gewisse Flexibilität bei der Wahl der Form der Streitbeilegung haben. Der Standardvertrag gewährt den Parteien nämlich die Wahl zwischen einem Verfahren vor chinesischen Volksgerichten oder, alternativ, einem Schiedsverfahren vor der China International Economic and Trade Arbitration Commission (CIETAC), der China Maritime Arbitration Commission (CMAC), der Beijing Arbitration Commission (BAC), dem Shanghai International Arbitration Center (SHIAC) oder einer anderen Schiedsinstitution eines Mitgliedsstaates des New Yorker Übereinkommens über die Anerkennung und Vollstreckung ausländischer Schiedssprüche. Unter den allgemeinen Gründen des Für und Wider von gerichtlicher Streitbeilegung vs. Schiedsgerichtsbarkeit könnte hier vor allem die relative Freiheit der Parteien bei der Besetzung eines Schiedsgerichts von Vorteil sein. Denn dadurch ist es den Parteien möglich, Schiedsrichter zu benennen, die vertraut mit den datenschutzrechtlichen Vorschriften und Gegebenheiten im Empfängerland sind, insbesondere in der EU. Chinesische Gerichte werden dementgegen in aller Regel erst kostspielige Sachverständigengutachten dazu einholen müssen, um eine ausreichende Entscheidungsgrundlage für den Streitfall zu schaffen. Das ist im Falle von Streitigkeiten aus dem Standardvertrag sehr wahrscheinlich, da er explizite Regelungen zu den Auswirkungen von Vorschriften zum Schutz personenbezogener Daten im Land oder in der Region des ausländischen Empfängers auf die Ausführung des Standardvertrages enthält.