Maßnahmen zur Bewertung der Sicherheit ausgehender Datenübertragungen

PrintMailRate-it
veröffentlicht am 10. August 2022
von Felix Engelhardt
 
 
Dieser Artikel ist Teil 4 der Serie Grenzüberschreitender Datentransfer in China und widmet sich den Maßnahmen zur Bewertung der Sicherheit bei grenzüberschreitender Datenübertragung.
 

 

Die schnelle, sichere und reibungslose Übertragung von Daten aller Art zwischen Un­ternehmen in China und dem Ausland ist essentiell auf nahezu allen Ebenen, sei es im Rahmen von transnationalen Forschungs- und Entwicklungsprojekten, im operativen Geschäft oder im Zuge von Unternehmenstransaktionen, um nur einige wichtige Beispiele zu nennen. 

     

       

Der regulatorische Überbau in der Volksrepublik warf bisher mehr Fragen als Antworten auf. Aktuelle Ent­wick­lungen bezüglich der Möglichkeit der Zertifizierung gewisser Datentransfers sowie die Absicherung solcher Transfers durch staatlich vorgegebene Standardverträge haben in begrenztem Umfang Klarheit für die Über­tra­gung persönlicher Daten ins Ausland geschaffen. 
 
Zum Abschluss unserer dreiteiligen Artikelserie zu den jüngsten rechtlichen Entwicklungen beim grenz­über­schrei­tenden Datentransfer aus China möchten wir in diesem dritten Teil die mit Spannung erwartenden Outbound Data Transfer Security Assessment Measures („Maßnahmen“) vorstellen, deren finale Fassung am 7. Juli 2022 von der Cyberspace Administration of China („CAC“) veröffentlicht wurde. 
 
Die Arbeit an Vorschriften zur Umsetzung des grundsätzlichen Datenexportverbots aus Chinas Cybersecurity Law („CSL“) begann bereits 2019. Damals war ein entsprechender Entwurf jedoch noch beschränkt auf die Übertragung persönlicher Informationen. Nachdem das CSL im Jahr 2021 um die beiden anderen Säulen der chinesischen Netzwerk- und Datenregulierung, nämlich das Data Security Law („DSL“) sowie das Personal Information Protection Law („PIPL“), ergänzt wurde, sah die CAC die Notwendigkeit, die alten Durch­füh­rungs­vorschriften aus dem Jahr 2019 zu überarbeiten und an die geänderte Gesetzeslage anzupassen. Ein Entwurf der Maßnahmen wurde im Oktober 2021 zur öffentlichen Stellungnahme bis 28. November 2021 veröffentlicht. Die nun bekannt gemachte finale Fassung entspricht im Wesentlichen dem Entwurf. 
 

Maßnahmen zur Bewertung der Sicherheit ausgehender Datenübertragungen

Im Kern schreiben die Maßnahmen eine zwingende staatliche Sicherheitsüberprüfung durch die CAC im Vor­feld bestimmter grenzüberschreitender Datentransfers vor, nämlich wenn
  • es sich bei den zu übertragenden Daten um sogenannte „wichtige Daten“ handelt;
  • persönliche Informationen entweder von Betreibern kritischer Informationsinfrastrukturen oder von Daten­verarbeitern übertragen werden, die Informationen von mehr als 1 Mio. Individuen verarbeiten;
  • Datenverarbeiter persönliche Informationen von mehr als 100.000 Individuen bzw. sensible persönliche Informationen von mehr als 10.000 Individuen seit dem 1. Januar des vergangenen Jahres übertragen haben;
  • andere Vorschriften der CAC eine vorherige Sicherheitsüberprüfung vor einem Datenexport verlangen.
 
Hierbei ist zu beachten, dass in den oben genannten Fällen nicht nur eine Übermittlung der in China gesam­mel­ten bzw. generierten Daten ins Ausland eine Pflicht zur Beantragung der Sicherheitsüberprüfung auslöst, sondern auch der Zugriff aus dem Ausland auf in China gespeicherte Daten. 
 
Sollte die Übertragung unter eine der aufgelisteten Kategorien fallen, ist ein Antrag bei der lokal zuständigen Unterabteilung der CAC unter Vorlage folgender Unterlagen zu stellen:
  • ausgefülltes Antragsformular;
  • ein Risikobewertungsbericht;
  • Rechtsdokument zur Übertragung zwischen Übertragendem und Empfänger im Ausland;
  • Sonstige Unterlagen, die die CAC für erforderlich erachtet.
 
Bei der durch den Übertragenden selbst durchzuführenden Risikobewertung müssen Aspekte wie Art und Umfang der zu übertragenden Daten, die Risiken der Übertragung für die nationale Sicherheit, das öffentliche Interesse oder Rechte und Interessen von Individuen und Organisationen sowie die technischen und orga­ni­sa­torischen Fähigkeiten des Datenempfängers berücksichtigt werden. 
 
Das mit dem Empfänger abzuschließende „Rechtsdokument“ kann nach den Maßnahmen ein Vertrag oder jedes sonstige Dokument mit Rechtswirkung sein, welches die jeweiligen Pflichten und Verantwortlichkeiten zur Datensicherheit regelt, mindestens jedoch
  • den Zweck, die Art und Weise und den Umfang der Datenübertragung ins Ausland;
  • Ort und Dauer der Datenspeicherung im Ausland sowie Maßnahmen zur Behandlung der ins Ausland über­mittelten Daten, wenn die Speicherfrist erreicht, der vereinbarte Zweck erfüllt oder das Rechtsdokument beendet ist;
  • Beschränkungen für den Empfänger zur Weitergabe der exportierten Daten an Dritte; 
  • Zu ergreifende Sicherheitsmaßnahmen, wenn sich die tatsächlichen Kontrollbefugnisse oder der Tätig­keits­bereich des Empfängers wesentlich ändern oder wenn Änderungen der Datenschutzpolitik und ‑vorschriften oder der Cybersicherheitsumgebung des Landes oder der Region des Empfängers oder andere Umstände höherer Gewalt zu Schwierigkeiten bei der Gewährleistung der Datensicherheit führen;
  • Abhilfemaßnahmen, Haftung, Streitbeilegung;
  • Notfallmaßnahmen und Wege der Geltendmachung von Rechten durch Individuen.
 
Nach Einreichung der Unterlagen stellt sich das Verfahren der Sicherheitsüberprüfung – vereinfacht gespro­chen – wie folgt dar:
  1. Prüfung der Unterlagen durch die lokale CAC-Behörde auf Vollständigkeit (5 Tage);
  2. Falls vollständig, Weiterleitung an die nationale CAC; falls nicht vollständig, Benachrichtigung des Antrag­stellers und Aufforderung zur Berichtigung;
  3. Vorprüfung durch CAC, ob die Sicherheitsprüfung eingeleitet wird und entsprechende Benachrichtigung an den Antragsteller (7 Tage);
  4. Durchführung der Sicherheitsüberprüfung unter Einbeziehung relevanter nationaler und lokaler Behörden, Einrichtungen, Organisationen, etc. (45 Tage, Verlängerung in komplizierten Fällen oder bei Nachrei­chung/ Korrektur von Unterlagen möglich);
  5. Schriftliche Benachrichtigung des Antragstellers über das Ergebnis der Sicherheitsüberprüfung;
  6. Falls der Antragsteller dem Ergebnis widerspricht, besteht die Möglichkeit der erneuten Prüfung durch die CAC (innerhalb von 15 Tagen ab Erhalt des ersten Prüfungsergebnisses).
 
Sollte die CAC der Übertragung stattgeben, ist dieser positive Bescheid für zwei Jahre im Umfang der Prüfung gültig. Sollten sich die der Datenübertragung zugrunde liegenden Umstände während dieser zwei Jahre ändern, sind die Übertragenden verpflichtet, einen erneuten Antrag auf Datenübertragung zu stellen. Gleiches gilt nach Ablauf der zwei Jahre, sofern der jeweilige Datenexport fortgesetzt werden soll. Außerdem kann die CAC von sich aus die Übertragung selbst nach einmal erfolgter Freigabe untersagen, sollten zwischenzeitlich relevante Änderungen eingetreten sein. In diesem Fall bleibt für den Übertragenden nur die Durchführung der erfor­der­lichen Korrekturmaßnahmen und eine erneute Antragstellung. 
 
Verstöße gegen die Pflichten aus den Maßnahmen können entsprechend dem CSL, dem DSL, dem PIPL oder nach strafrechtlichen Vorschriften sanktioniert werden.
 

Einschätzung und Empfehlungen 

Da die Maßnahmen in ihrer endgültigen Form im Wesentlichen dem Entwurf aus 2021 entsprechen, ergeben sich keine großen Überraschungen. Es ist zwar davon auszugehen, dass eine große Zahl an Stellungnahmen innerhalb der Frist eingegangen sind (eine genaue Zahl wurde durch die CAC nicht veröffentlicht). Die nur marginalen Abweichungen in der Endfassung lassen aber darauf schließen, wie wenig gewillt die chinesische Regierung ist, in diesem sicherheits- und wirtschaftspolitisch hochsensiblen Bereich von ihrer klaren Linie abzuweichen. 
 
Zentrale Fragen wie zur Reichweite der „wichtigen Daten“ bleiben trotz (oder gerade wegen) einer lediglich sehr allgemein gehaltenen Definition in den Maßnahmen weiter bestehen. Mit Ausnahme der Automobilindustrie bleiben Unternehmen nach wie vor im Dunkeln darüber, welche ihrer vielfältigen Daten als „wichtig“ qualifiziert werden und somit den verschärften Anforderungen einschlägiger Gesetze und Verordnungen (einschließlich der Maßnahmen) unterliegen. Zudem ist nicht völlig klar, wie der Stichtag des 1. Januars des Vorjahres zur Berech­nung der Schwellenwerte angewandt werden soll (Gilt dies nur für 2021? Gilt die Berechnung ab Beginn der Datenverarbeitung in China?). Auch kann nicht sicher gesagt werden, welche „sonstigen Dokumente mit Rechtswirkung“ den Anforderungen der Maßnahmen genügen können. Schließlich steht nicht fest, ob und wie ausführlich der Antragsteller über den Inhalt der Sicherheitsüberprüfung informiert werden wird oder lediglich das Ergebnis mitgeteilt bekommt. 
 
Die Maßnahmen räumen Unternehmen eine Übergangsfrist von 6 Monaten für solche Datentransfers ein, die bereits vor Inkrafttreten der Maßnahmen am 1. September 2022 durchgeführt bzw. begonnen haben. Diese Frist ist sehr kurz bemessen und setzt Unternehmen zusätzlich unter Druck, sämtliche Datenexporte auf den Prüf­stand zu stellen und gemäß den sich aus den Maßnahmen ergebenden Anforderungen abzusichern. Aufgrund der Ungewissheit in Bezug auf „wichtige Daten“ kann allen in China tätigen Unternehmen nur dringend empfoh­len werden, proaktiv zumindest im ersten Schritt eine Selbstprüfung durchzuführen, um in einem zweiten Schritt gegebenenfalls erforderliche Anpassungen vorzunehmen und mit relevanten Datenempfängern im Ausland die neue Ausgangslage zu koordinieren. Dass die chinesische Regierung es ernst meint mit der Durchsetzung der Datenvorschriften ist spätestens seit dem jüngst verhängten Rekordbußgeld gegen den Fahrdienstleister Didi Chuxing klar.

Deutschland Weltweit Search Menu