China schlägt ein neues Kapitel im Bereich Datenschutz auf und zeigt der Welt seine Entschlossenheit für einen besseren Datenschutz durch zahlreiche Gesetze und deren Umsetzungsmaßnahmen im Jahr 2021. Die Unternehmen müssen nun mit einer strengeren Regulierungsaufsicht rechnen. VON Christoph Schmitt und Biying Dong
Dies ist ein Beitrag aus unserem Investment Guide 2022.
2021 könnte als Datenschutzjahr in Chinas Geschichte eingehen. Mit der Veröffentlichung zweier wichtiger Gesetze und mehr als zehn damit zusammenhängender Ausführungsbestimmungen wurde für den Datenschutz ein klarerer Rechts- und Regulierungsrahmen geschaffen. Der grenzüberschreitende Datentransfer rückt dabei als zentrales Thema in den Fokus.
Neuer Rechtsrahmen geschaffen
Den aktuell gültigen Rechtsrahmen für grenzüberschreitenden Datentransfer bestimmen das „Cybersecurity Law“ von 2017 und die 2021 in Kraft getretenen „Data Security Law“ und „Personal Information Protection Law“. Diese Gesetze sehen erstmals ein grundlegendes Sicherungssystem für wichtige und personenbezogene Daten vor, auch wenn noch vielerlei Fragen offenbleiben. Wie bei fast allen chinesischen Gesetzen sind viele Anforderungen sehr allgemein gehalten und dienen lediglich als Rahmen für die Regulierungstätigkeit verschiedener Stellen. Ein vollständiges Bild erlangt man erst über weitere, konkretisierende Ausführungsbestimmungen. Zu den Ausführungsbestimmungen zählt der von der Cyberspace Administration of China (CAC) veröffentlichte Gesetzentwurf „Measures for Data Export Security Assessment (Draft for Comments)“, der für die Datenübermittlung ins Ausland als spezielles Regelwerk mit Bestimmungen gilt. Mit ihm werden die drei übergeordneten Gesetze konsolidiert und in mehrfacher Hinsicht ergänzt.
Definition grenzüberschreitenden Datentransfers
Gemäß §2 des Entwurfs liegt ein grenzüberschreitender Datentransfer vor, wenn sich der Empfänger der Daten außerhalb Chinas befindet, wofür die folgenden Konstellationen infrage kommen:
- Die Daten werden vom Datenverarbeiter direkt ins Ausland transferiert.
- Die Daten sind innerhalb Chinas gespeichert, Datenempfänger im Ausland haben aber Zugriff auf die Daten.
- In China tätige Unternehmen verarbeiten Daten (z.B. von Kunden, Mitarbeitern, Bewerbern) auf Servern externer Dienstleister und die Server befinden sich außerhalb Chinas.
Ob sich aus Geschäftstätigkeiten ein grenzüberschreitender Datentransfer ergibt bzw. ob die folgenden Anforderungen auf Unternehmen anwendbar sind, ist anhand dieser Konstellationen zu prüfen.
Zweistufiges System für die Bewertung
Für den Auslandsdatentransfer wird ein zweistufiges Sicherheitssystem eingeführt, bestehend aus der Selbstbewertung der Datenverarbeiter und der Sicherheitsbewertung der zuständigen Behörden.
Bewertung durch die Unternehmen selbst
Alle Datenverarbeiter, die Daten außerhalb Chinas bereitstellen, müssen sich vor der Datenübermittlung einer Selbstbewertung unterziehen. Im Entwurf stehen sechs Aspekte der Selbstbewertung im Mittelpunkt, so u.a.:
- Rechtmäßigkeit, Notwendigkeit und Sicherheit des Datentransfers,
- Zweck der zu exportierenden Daten,
- Methode der Datenübermittlung,
- Pflichten der Datenempfänger und deren Sicherheits- und Abhilfemaßnahmen,
- Verträge zwischen Datenverarbeitern und Datenempfängern sowie
- Datenschutzniveau des Landes, in dem sich die Datenempfänger befinden.
Neben der Selbstbewertung kann auch eine von der CAC genehmigte Sicherheitsbewertung erforderlich werden.
Erforderliche Sicherheitsbewertung
Eine derartige Sicherheitsbewertung ist durchzuführen, wenn einer der folgenden Umstände zutrifft:
- Die vom Betreiber kritischer Informationsinfrastrukturen gesammelten und generierten Daten sind wichtige und/oder personenbezogene Daten.
- Die zu exportierenden Daten enthalten wichtige Daten.
- Datenverarbeiter, die mehr als eine Million personenbezogene Daten verarbeiten, übermitteln die Daten ins Ausland.
- Die Informationen betreffen bei personenbezogenen Daten mehr als 100.000 Personen und bei sensiblen personenbezogenen Daten mehr als 10.000 Personen.
- Andere Umstände, in denen nach den Vorschriften der CAC eine Sicherheitsbewertung erforderlich ist.
Zur Einstufung wichtiger Daten gab es bislang keine rechtsverbindliche Definition. Im September 2021 hat China dann einen Entwurf über die Leitlinien zur Identifizierung wichtiger Daten veröffentlicht. Wichtig sind demzufolge Daten, deren Missbrauch die nationale Sicherheit gefährdet oder die das öffentliche Interesse betreffen. Die Identifizierungsmethoden und -merkmale wichtiger Daten werden im Entwurf sehr detailliert vorgestellt.
Datenlokalisierung
Neben der Selbst- und Sicherheitsbewertung könnte für Unternehmen die Pflicht zur Datenlokalisierung bestehen. Gemäß §40 des „Personal Information Protection Law“ sind Betreiber kritischer Informationsinfrastrukturen und Verarbeiter, deren Datenverarbeitung bestimmte Schwellenwerte überschreitet, verpflichtet, die personenbezogenen Daten innerhalb Chinas zu speichern. Den hier unklar definierten Schwellwert hat der Entwurf konkretisiert (siehe oben Punkte c und d).
Handlungsempfehlungen und Fazit
Beim grenzüberschreitenden Datentransfer kann eine Pflichtverletzung bei der Einhaltung der Regularien beim Datenexport empfindliche Bußgelder nach sich ziehen. Ein schwerwiegender Verstoß kann gar die Aussetzung oder Einstellung des Geschäftsbetriebs bedeuten. Daher sind Vorbereitungsmaßnahmen zu empfehlen:
- Um Datenströme rund um Erhebung, Verarbeitung, Übermittlung und Anwendung der Daten zu dokumentieren und kontrollieren zu können, sollte ein ausgefeiltes Datenmanagement eingerichtet werden. Die ausführliche Dokumentation datenschutzrechtlich relevanter Prozesse und Handlungen oder die Durchführung eines Data Mapping können dazu beitragen, die aktuelle Datensicherheitslage zu veranschaulichen.
- Unternehmen sollten ausreichende Sicherheitsmaßnahmen ergreifen. Dazu zählt ein Notfallplan mit Präventionsmaßnahmen, um im Falle von Datenschutzpannen gut vorbereitet und schnell reagieren zu können.
- Unternehmen wird dringend geraten, die weitere Entwicklung der Gesetzgebung zu verfolgen und sich umfassend mit den geltenden Vorschriften auseinanderzusetzen, um Maßnahmen und Vertragsgestaltungen darauf abstellen zu können. Dies gilt besonders für Branchen unter spezieller Beobachtung, wie die Automobilindustrie, das Finanzwesen sowie die Gesundheits- und Pharmabranche.
Die weiteren Entwürfe und unterstützenden Ausführungsmaßnahmen werden 2022 noch mehr Klarheit für die grenzüberschreitenden Datentransferaktivitäten bringen.
Biying Dong
Biying Dong, LL.M., ist chinesische Juristin am China Desk bei Hoffmann Liebs. Mit ihren Erfahrungen bei deutschen und internationalen Unternehmen und sprachlichen Fähigkeiten in Deutsch, Englisch und Chinesisch sowie ihrer interkulturellen Kompetenz unterstützt sie das China Desk bei der Rechtsberatung und der Mandantenakquise.
Christoph Schmitt
Christoph Schmittist Partner sowie Co-Head des China Desk der Sozietät Hoffmann Liebs und berät seit ca. zwei Jahrzehnten national und international Unternehmen mit der handels--, gesellschafts- und arbeitsrechtlich. Er ist bundesweit anerkannter Spezialist für nationales und internationales Wirtschaftsvertragsrecht, insbesondere für Unternehmenskaufverträge, Kooperationsverträgen/Joint Ventures sowie für AGB-Recht und Vertriebsrecht.