Das chinesische Datenschutz-Labyrinth: Leitfaden für rechtssichere Datenexporte

I. Einleitung

Seit Beginn des Jahres 2022 wurden in China eine Vielzahl von Datenschutzgesetzen erlassen. Da eine notwendige Konkretisierung und Harmonisierung dieser Gesetze zunächst fehlte, war auch die konkrete Reichweite und Bedeutung dieser Gesetze für ausländische Unternehmen in China schwer abschätzbar.

In den Jahren 2023 und 2024 hat es sodann eine Vielzahl von Gesetzesanpassungen und -konkretisierungen im Datenschutzrecht gegeben. Als vorläufiger Schlussakkord wurde von der „Chinese Cyberspace Administration“ zuletzt am 22. März 2024 die „Verordnung zur Erleichterung und Regelung der grenzüberschreitenden Datenübermittlung“ erlassen.

Insofern besteht der Hauptfokus für ausländische Unternehmen im chineischen Datenschutzrecht darauf, die Vorgaben für grenzüberschreitende Datenübermittlung einzuhalten. Mit diesem Newsletter möchten wir Ihnen einen Leitfaden an die Hand geben, mit dem Sie feststellen können, inwiefern und inwieweit Ihr Unternehmen von den Vorgaben für grenzüberschreitende Datenübermittlung aus China betroffen ist.

Zudem erhalten Sie diesem Newsletter beigefügt unseren Evalutionsbogen zum chinesischen Datenschschutzrecht. Gerne können Sie diesen Evalutionsbogen ausgefüllt an die nachstehende Kontaktperson übersenden. Das Schindhelm Team in China wird Ihnen sodann eine kostenfreie Ersteinschätzung zu etwaig bestehendem Handlungsbedarf zukommen lassen.

II. Welche Szenarien sind beim Datenexport aus China ins Ausland zu beachten?

  1. Folgende Unternehmen müssen eine staatliche Genehmigung für Datenexporte im Rahmen des sog. „Verfahrens zur Sicherheitsbeurteilung“ beantragen:
    a. „Betreiber von kritischen Infrastrukturen“ im Sinne der Verordnung „Vorschriften über Sicherheitsschutz kritischer Informationsinfrastrukturen“, die Daten ins Ausland exportieren;
    b. Unternehmen, die sog. „kritische Daten“ im Sinne der Verordnung „Maßnahmen zur Sicherheitsbewertung von Datenübertragungen ins Ausland“ exportieren;
    c. Unternehmen, die „personenbezogene Daten“ von 1.000.000 Personen (oder mehr) pro Jahr exportieren;
    d. Unternehmen, die „sensible personenbezogene Daten von 10.000 Personen (oder mehr) pro Jahr exportieren.
     
  2. Folgende Unternehmen müssen einen schriftlichen Standardvertrag für Datenexport mit dem ausländischen Datenempfänger abschließen:
    a. Unternehmen, die „personenbezogene Daten“ von 100.000 (oder mehr) aber weniger als 1.000.000 Personen pro Jahr exportieren;
    b. Unternehmen, die „sensible personenbezogene Daten von weniger als 10.000 Personen pro Jahr exportieren.

Sofern die (sensiblen) personenbezogenen Daten an eine Vielzahl von ausländischen Datenempfängern exportiert werden, besteht für das chinesische Unternehmen alternativ die Möglichkeit, einmalig eine Sicherheitszertifizierung zu beantragen. Mit dieser Zertifizierung können dann die Datenexporte durchgeführt werden, ohne dass mit sämtlichen ausländischen Datenempfängern ein gesonderter Standardvertrag abzuschließen ist.

3. Zudem müssen alle Unternehmen in China, die personenbezogene Daten erfassen und verarbeiten, die gesetzlichen Informations- und Aufklärungspflichten gegenüber den relevanten Personen erfüllen sowie eine Datenschutz-Risikoanalyse durchführen und dokumentieren.

III. Wie werden die exportierten Daten und Datenexporteure in China klassifiziert?

Die Verordnung „Vorschriften über Sicherheitsschutz kritischer Informationsinfrastrukturen“ bestimmt Unternehmen als „Betreiber von kritischen Infrastrukturen“, die in den Bereichen öffentliche Kommunikation und Informationsdienste, Energie, Verkehr, Wasserwirtschaft, Finanzen, öffentliche Dienste und nationale Verteidigung tätig sind. Da der unmittelbare Marktzutritt für ausländische Unternehmen in diesen Bereichen sehr begrenzt ist, ist dieser Komplex für ausländische Unternehmen grundsätzlich nicht relevant.

Kritische Daten“ im Sinne der Verordnung „Maßnahmen zur Sicherheitsbewertung von Datenübertragungen ins Ausland“ umfassen u. a. Erhebungen und Analysen von Verkehrsdaten, Erhebungen und Analysen von Verkäuferverhalten und Erhebungen von Geopositionsdaten.

Personenbezogene Daten“ im Sinne des „Personal Information Protection Law“ sind alle Informationen, die zur Identifizierung einer Person dienen und in elektronischer oder sonstiger Form gespeichert werden.

Sensible personenbezogene Daten“ im Sinne des „Personal Information Protection Law“ sind solche Daten, die in den falschen Händen das persönliche Wohl und Eigentum stark gefährden könnten (z. B. biometrische Daten, Religion, Behinderungen, Gesundheitsdaten, Finanzdaten, der Wohnort sowie sämtliche personenbezogene Daten von Minderjährigen unter 14 Jahren).

IV. Unter welcher Voraussetzung greift eine Befreiung vom Verfahren des Standardvertrages bzw. der Sicherheitszertifizierung?

Unter den folgenden Voraussetzungen können Unternehmen auf die Ausführung des Standardvertrages bzw. die Durchführung der Sicherheitszertifizierung verzichten:

a. Der Export von personenbezogenen Kundendaten ist erforderlich, damit der Datenempfänger Vertragsbeziehungen begründen, erfüllen und abwickeln kann (z. B. grenzüberschreitende Einkäufe, grenzüberschreitende Verkäufe, grenzüberschreitende Zahlungen usw.);

b. Der Export von personenbezogenen Arbeitnehmerdaten ist erforderlich, um eine grenzüberschreitende Personalverwaltung umsetzen zu können;

c. Der Export der personenbezogenen Daten ist erforderlich, um das Leben und die Gesundheit sowie das Eigentum der Personen zu schützen,

d. Der Export der personenbezogenen Daten (nicht „sensible personenbezogenen Daten“) innerhalb eines Jahrs beläuft sich auf weniger als 100.000 Personen.


Evalutionsbogen zum chinesischen Datenschschutzrecht

 



Autor: Marcel Brinkmann