• 24. März 2023
  • fellaws Focus

Datenschutz China

Update: Chinesische SCC werden für den internationalen Datentransfer zum 1. Juni 2023 verpflichtend.

Die Cyberspace Administration of China (“CAC”) hat am 24. Februar 2023 die bereits im letzten Jahr angekündigten und seitdem erwarteten Standardvertragsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten („PRC SCC“) sowie die dazugehörigen Umsetzungsmaßnahmen veröffentlicht. Wir hatten bereits in unserem EFAR-Beitrag vom 25. August 2022 auf die Besonderheiten des chinesischen Datenschutzes aufmerksam gemacht und werden im Folgenden ein Update zu den jetzt veröffentlichen chinesischen SCC geben.

Für Unternehmen, die außerhalb Chinas personenbezogene chinesische Daten verarbeiten, stellen die PRC SCC die „einfachste“ Möglichkeit dar, um nach chinesischem Recht datenschutzkonform zu arbeiten. Im Gegensatz zu den im Jahr 2021 überarbeiteten europäischen SCC bestehen die PRC SCC lediglich aus einem Modul, welches unabhängig von der Rolle der datenverarbeitenden Partei anzuwenden ist. 

Voraussetzung für die Anwendbarkeit

Die chinesischen SCC können für die Datenübermittlung personenbezogener Daten an (aus chinesischer Perspektive) Drittstaaten herangezogen werden, sofern die Unternehmen gemäß Art. 4 PRC SCC die folgenden Bedingungen erfüllen:  

  • Bei dem Datenexporteur handelt es sich nicht um einen Betreiber kritischer Informationsinfrastrukturen (KII – in der Regel sind das Unternehmen aus den Bereichen Finanzwesen, Energie, Telekommunikation, öffentliche Versorgungseinrichtungen, Gesundheitswesen, Transportwesen und ähnlichen Branchen);

  • es werden keine personenbezogenen Daten von mehr als 1 Mio. Personen verarbeitet und

  • der Datenexporteur hat seit dem 1. Januar des vorangegangenen Jahres keine aggregierten Übermittlungen von „allgemeinen personenbezogenen Daten“ von mehr als 100.000 Personen oder „sensiblen personenbezogenen Daten“ von mehr als 10.000 Personen vorgenommen.


Die Vereinbarung von PRC SCC erscheint in diesem Zusammenhang insbesondere für kleinere und mittlere Unternehmen sinnvoll.

Zur Unterzeichnung der PRC SCC müssen seitens des Datenexporteurs weitere Maßnahmen ergriffen werden, um nach chinesischem Recht datenschutzkonform arbeiten zu können, z.B.:

  • Die PRC SCC dürfen nicht abgeändert werden. Ergänzungen sind nur möglich, wenn diese nicht im Widerspruch zu den Bedingungen der PRC SCC stehen.

  • Gemäß Art. 55 PIPL muss eine Datenschutz-Folgeabschätzung (ähnlich der der DSGVO) durchgeführt werden, welche der Aufsichtsbehörde innerhalb von 10 Tagen vorzulegen ist. Die Datenschutz-Folgenabschätzung muss bestimmte Mindestkriterien abdecken, unter anderem muss die Gültigkeit, die Notwendigkeit und Angemessenheit des Datenexports dargelegt werden. Der Datenexporteur muss Umfang, Kategorie, Volumen und Sensibilität des Datenexports offenlegen. Darüber hinaus müssen Informationen zu technischen/organisatorischen Maßnahmen, dem Risiko einer Datensicherheitslücke und Abhilfemöglichkeiten für die Betroffenen sowie zu Datenschutzgesetzen ausländischer Zielländer, etc. bereitgestellt werden.

  • Zwingend muss als anwendbares Recht chinesisches Recht vereinbart werden und China ist als Gerichtsstand für Streitbeilegungen zu wählen.

Auch die Weitergabe von personenbezogenen Daten durch den Empfänger wird bestimmten Voraussetzungen unterliegen. So dürfen ausländische Datenempfänger beispielsweise nur dann Daten an Dritte weitergeben, wenn die von der Weitergabe betroffene Person über diese informiert wird, ausreichend technische Maßnahmen zur sicheren Datenweitergabe ergriffen wurden und der Empfänger seinerseits den entsprechenden Datenschutzstandard gewährleistet.

Sollten die vorgenannten Bedingungen nicht vorliegen bzw. eingehalten werden können, so können PRC SCC nicht wirksam vereinbart werden und es müssen andere Maßnahmen nach chinesischem Recht ergriffen werden, wie z.B. eine Sicherheitsbewertung durch die CAC, um einen nach chinesischen Standards sicheren und rechtmäßigen Datentransfer zu gewährleisten.


Was gilt es jetzt für Unternehmen zu beachten?

Unternehmen, die bereits personenbezogene Daten aus China ins Ausland übermitteln, sollten unverzüglich mit der Erarbeitung der Datenschutz-Folgenabschätzung beginnen und die Unterzeichnung der SCC vorbereiten. Nach Inkrafttreten der PRC SCC am 1. Juni 2023 haben die Unternehmen eine Frist vom sechs Monaten zur Umsetzung. Für neue grenzüberschreitende Datenverarbeitungsvorgänge gilt diese Übergangsfrist nicht. Unternehmen müssen in diesem Fall die PRC SCC direkt anwenden. Die Nichteinhaltung der Fristen kann Sanktionen in Höhe von bis zu 5 % des Jahresumsatzes eines Unternehmens zur Folge haben.

Aber auch Unternehmen, die bisher noch keine Daten aus China verarbeiten, sollten sich, sofern sie dies in Betracht ziehen, frühzeitig mit dem chinesischen Datenschutzrecht auseinandersetzen und die Möglichkeit der Nutzung der PRC SCC prüfen.


Hendrik Muschal I Rechtsanwalt I Fachanwalt für Arbeitsrecht I Partner

Alina Jung I Rechtsanwältin







Bildquelle: Image by rawpixel.com on Freepik

Kontakt

fellaws
Ihr Partner für Arbeitsrecht und Datenschutz
Meinekestraße 27
10719 Berlin