Standardverträge für die grenzüberschreitende Datenübertragung

PrintMailRate-it
veröffentlicht am 4. August 2022
 
 
Dieser Artikel ist Teil 2 der Serie Grenzüberschreitender Datentransfer in China und widmet sich den Stan­dard­verträgen für die grenzüberschreitender Datenübertragung.
 

 

Datenregulierung in China nimmt zum Teil im weltweiten Vergleich eine Vorreiterrolle ein, wirft aber zugleich noch zahlreiche Fragen für datenverarbeitende Unternehmen auf. Viele wichtige Aspekte werden von den einschlägigen Vorschriften unzureichend geregelt und dienen nicht als verlässliche Grundlage für den rechtmäßigen Umgang mit Daten aller Art. 

     

       

Dazu zählt insbesondere der im internationalen Geschäftsverkehr unerlässliche Transfer von Daten zwischen China und dem Ausland. Für Daten mit Personenbezug (sogenannte „persönliche Informationen“) enthält Artikel 38 des Personal Information Protection Law („PIPL“) einen Katalog an Erlaubnistatbeständen, bei deren Vorliegen eine grenzüberschreitende Übertragung zulässig ist. Diese sind:
  1. Bestehen einer Sicherheitsüberprüfung durch die Cyberspace Administration of China („CAC”);
  2. Zertifizierung durch eine akkreditierte Organisation gemäß entsprechender Vorschriften der CAC;
  3. Abschluss eines Vertrages mit dem Datenempfänger im Ausland gemäß dem durch die CAC veröffentlichten Standardvertrag; 
  4. Sonstige Bestimmungen in chinesischen Gesetzen, Verordnungen oder gemäß Vorschriften der CAC. 
 
Für China geltende internationale Abkommen und Verträge zum grenzüberschreitenden Datentransfer können ferner vorrangige Sondervorschriften vorsehen, an denen es gegenwärtig aber noch fehlt. 
 
Zur Sicherheitsüberprüfung nach Artikel 38 Ziffer 1 PIPL hat die CAC am 7. Juli 2022 die Outbound Data Trans­fer Security Assessment Measures erlassen, welche am 1. September 2022 in Kraft treten werden. Wir stellen diese Maßnahmen im dritten Teil unserer Artikelserie im Detail vor. Im thematischen Zusammenhang mit Artikel 38 Ziffer 2 PIPL (Zertifizierung durch eine akkreditierte Organisation) steht ein jüngst veröffentlichter Leitfaden, der Gegenstand des ersten Teils dieser Serie war. 
 
Wir möchten in diesem zweiten Teil einen Blick auf den am 30. Juni 2022 von der CAC veröffentlichten Entwurf der Provisions on the Standard Contract for Outbound Cross-Border Transfer of Personal Information („Bestim­mungen“) werfen, welche der Umsetzung von Artikel 38 Ziffer 3 PIPL (Standardvertrag) dienen und für die meis­ten in China tätigen Unternehmen und deren internationalen Datentransfer praktisch am bedeutsamsten sind.
 

Bestimmungen über Standardverträge für die grenzüberschreitende Übermittlung persönlicher Informationen

Der Entwurf der Bestimmungen, zu dem bis zum 29. Juli 2022 Stellungnahmen eingereicht werden konnten, setzt sich aus vier Teilen zusammen:
  • den allgemeinen Regelungen der Bestimmungen, die die Voraussetzungen, den notwendigen Inhalt des Standardvertrages, Berichtspflichten, Beschwerdemöglichkeiten und Haftungsfragen betreffen;
  • dem von der CAC vorgegebenen Standardvertrag;
  • Annex I zum Standardvertrag bezüglich der konkreten Umstände der jeweiligen Datenübertragung; sowie
  • Annex II zum Standardvertrag, in dem die Parteien sonstige Vereinbarungen treffen können.
 
Um persönliche Informationen aufgrund eines Standardvertrages ins Ausland übertragen zu dürfen, muss der Übertragende folgende Voraussetzungen erfüllen:
  • Der Übertragende ist kein Betreiber sogenannter kritischer Informationsinfrastrukturen („CIIO“);
  • Verarbeitung persönlicher Informationen von weniger als 1 Mio. Individuen;
  • Grenzüberschreitende Übertragung persönlicher Informationen von insgesamt weniger als 100.000 Indi­vi­du­en seit 1. Januar des vorangegangenen Jahres;
  • Grenzüberschreitende Übertragung sensibler persönlicher Informationen von insgesamt weniger als 10.000 Individuen seit 1. Januar des vorangegangenen Jahres.
 
Sollte eine dieser Voraussetzungen nicht erfüllt werden können, der Übertragende also die Schwellenwerte über­schreiten oder als CIIO qualifiziert werden, ist vor dem Datenexport zwingend eine behördliche Sicher­heits­überprüfung gemäß den Outbound Data Transfer Security Assessment Measures durchzuführen.
 
Die Bestimmungen wiederholen die bereits im PIPL geregelte Pflicht des Übertragenden, vor Übertragung der Daten ins Ausland eine datenschutzrechtliche Folgenabschätzung vorzunehmen, welche umfassend das Risiko der Übertragung für die Rechte und Interessen betroffener Individuen ermitteln muss. 
 
Inhaltlich schreibt der Entwurf vor, dass im Standardvertrag Regelungen zu mindestens folgenden Punkten getroffen werden müssen:
  • Allgemeine Informationen der Vertragsparteien (wie Name, Anschrift, Kontaktperson, etc.);
  • Zweck, Umfang, Arten von Daten, Anzahl, Art der Übertragung, Dauer der Speicherung, Speicherort, etc.;
  • Verantwortlichkeiten und Pflichten der Parteien sowie bestehende technische und organisatorische Maß­nahmen zur Risikobegrenzung;
  • Auswirkungen des nationalen Rechts im Land des Empfängers auf die Einhaltung der Regelungen im Standardvertrag;
  • Rechte der betroffenen Individuen sowie Beschwerdemöglichkeiten;
  • Abhilfemaßnahmen, Kündigung, Haftung und Streitbeilegung.
 
Darüber hinaus können die Parteien weitere, für sie wichtige Punkte betreffend Datenschutz bzw. Daten­sicher­heit vereinbaren, solange diese nicht im Widerspruch zu den Regelungen im Standardvertrag stehen. Die eigent­liche Übertragung der Daten darf jedoch erst nach Inkrafttreten des mit dem Empfänger ab­ge­schlos­se­nen Standardvertrages stattfinden.
 
Eine wichtige Besonderheit und erheblicher Unterschied zu Standardvertragsklauseln nach der DSGVO ist die Pflicht des Übertragenden, den mit dem Empfänger abgeschlossenen Standardvertrag innerhalb von 10 Tagen nach dessen Inkrafttreten bei der zuständigen Überwachungsbehörde auf Provinzebene einzureichen. Dies gilt ferner auch für den Bericht zur datenschutzrechtlichen Folgenabschätzung. Zwar handelt es sich dabei nicht um ein Genehmigungsverfahren, jedoch wird dies wohl zur Folge haben, dass der CAC bekannt sein wird, welche Unternehmen persönliche Informationen ins Ausland übertragen und eine weitere Überwachung und behördliche Interventionen nicht auszuschließen sind. Zudem kann eine unterbliebene, nicht rechtzeitige oder unzutreffende Mitteilung an die Behörde die Haftung des Übertragenden auslösen.
 
Bei wesentlichen Änderungen der Datenübertragung selbst (z.B. Zweck, Umfang, Art der Daten etc.) oder der Situation im Land des Empfängers muss der Standardvertrag nach dem Entwurf der Bestimmungen zwingend neu abgeschlossen und der zuständigen Behörde angezeigt werden. Außerdem kann die Behörde vom Über­tra­gen­den die unverzügliche Einstellung aller auf dem Standardvertrag beruhenden Übertragungsvorgänge ver­lan­gen, sollte die Übertragung nicht mehr die Sicherheitsanforderungen aus dem Standardvertrag sowie den einschlägigen Gesetzen (insbes. dem PIPL) erfüllen. 
 

Einschätzung und Empfehlungen

Dass nach langer Unsicherheit nun endlich ein erster Entwurf betreffend Standardverträge veröffentlicht wurde, ist grundsätzlich zu begrüßen. Viele der in den Bestimmungen bzw. dem angehängten Standardvertrag enthaltenen Aspekte kommen vor allem für diejenigen Unternehmen nicht überraschend, die bereits ein gut funktionierendes Managementsystem zum Datenschutz und grenzüberschreitenden Datentransfer eingerichtet haben. Jedoch darf nicht ungeprüft, insbesondere bei Verwendung der Standardvertragsklauseln nach DSGVO, davon ausgegangen werden, dass Datentransfers aus China heraus problemlos möglich sind. Durch sorg­fäl­ti­gen Abgleich der jeweiligen Regelungen nach EU- und chinesischem Recht können Abweichungen ermittelt und Ressourcen dort eingesetzt werden, wo Unterschiede zu einem erhöhten Schadens- oder Haftungsrisiko führen können.
 
Es bleibt nun abzuwarten, ob und inwiefern die CAC die zum Entwurf der Bestimmungen eingegangenen Stel­lungnahmen berücksichtigen wird. Bis zur Veröffentlichung der finalen Version liefern die Bestimmungen in ihrer jetzigen Form bereits eine sehr nützliche Orientierung zur Erarbeitung und Verhandlung entsprechender Verträge mit Datenempfängern im Ausland.
 
Im letzten Teil dieser Serie werfen wir einen Blick auf die am 1. September 2022 in Kraft tretenden Outbound Data Transfer Security Assessment Measures, mit denen spezifische Regelungen zur behördlichen Sicher­heits­überprüfung für besonders sensible Szenarien des Datenexports eingeführt werden.

Deutschland Weltweit Search Menu