China veröffentlicht Standardvertragsklauseln für grenzüberschreitende Datentransfers (Konsultation)

von Dr. Axel Spies, veröffentlicht am 11.07.2022
Rechtsgebiete: WirtschaftsrechtDatenschutzrechtIT-Recht5|3376 Aufrufe

Die chinesische Cyberspace-Verwaltung hat am 30. Juni 2022 ihre lang erwartete Vorlage für den Standardvertrag über den grenzüberschreitenden Datentransfer zur öffentlichen Konsultation freigegeben. Die Konsultationsfrist endet bereits am 29. Juli 2022.

Der Entwurf der chinesischen Standardvertragsklauseln (chinesischen SCCs) ergänzt und konkretisiert den Weg des "Standardvertrags" und wird sicherlich eine wichtige Orientierungshilfe für die Einhaltung des Datenschutzes durch multinationale Unternehmen in China.

Die Entwürfe der chinesischen SCCs ähneln den SCCs der EU, spiegeln aber auch einige Besonderheiten und den Schwerpunkt der chinesischen Datenschutzaufsicht wider. Multinationale Unternehmen sollten ihre Arbeitsabläufe im Bereich des grenzüberschreitenden Datentransfers auf der Grundlage der in den Entwürfen überprüfen und die bestehenden Compliance-Maßnahmen entsprechend anpassen, wenn diese hauptsächlich in Übereinstimmung mit der DSGVO eingeführt wurden.

ANWENDUNGSBEREICH

Gemäß den Bestimmungen des Entwurfs sind die SCCs für China nur dann anwendbar, wenn alle der folgenden Bedingungen erfüllt sind:

  • Der für die Verarbeitung personenbezogener Daten Verantwortliche (so genannte PI Handler) ist kein Betreiber einer kritischen Informationsinfrastruktur (CIIO).
  • Der Umfang der vom PI-Handler verarbeiteten personenbezogenen Daten betrifft nicht mehr als 1 Million Personen.
  • Die kumulative Zahl der Personen, deren personenbezogene Daten der PI-Handler seit dem 1. Januar des Vorjahres ins Ausland übermittelt hat, hat 100.000 nicht erreicht.
  • Die kumulative Zahl der Personen, deren sensible personenbezogene Daten der PI-Verantwortliche seit dem 1. Januar des Vorjahres ins Ausland übermittelt hat, beträgt nicht mehr als 10.000.

Der oben genannte Schwellenwert entspricht im Allgemeinen dem am 7. Juli 2022 veröffentlichten Entwurf der „Measures on Security Assessment of Overseas Data Transfer.“

Wird mindestens eine der oben genannten Bedingungen nicht erfüllt, kommen die Maßnahmen zur Sicherheitsbewertung zur Anwendung, was bedeutet, dass die Übermittlung einer Sicherheitsbewertung durch die chinesische Regierung unterzogen wird. In diesem Fall können weder die SCC noch die Zertifizierung anstelle einer Sicherheitsüberprüfung verwendet werden.

Im Vergleich zu den SCCs der EU scheinen die SCCs des Entwurfs in China deshalb nur in relativ begrenzten Fällen anwendbar zu sein. Obwohl der Entwurf eine Begrenzung des Kumulierungszeitraums auf zwei Jahre vorsieht, erscheinen die Schwellenwerte von 1 Million, 100.000 und 10.000 Personen für viele datenintensive Branchen, z. B. Einzelhandel, Transportwesen, Gesundheitswesen und Online-Dienste für Unternehmen, die mit Verbrauchern arbeiten, angesichts der Bevölkerungszahl Chinas recht niedrig, insbesondere wenn die Berechnung unabhängig von den Geschäftsszenarien auf Unternehmensebene durchgeführt wird.

Darüber hinaus können multinationale Unternehmen mit großen Niederlassungen in China, die mehr als 10.000 Mitarbeiter beschäftigen, bei der grenzüberschreitenden Übermittlung personenbezogener Daten dieser Mitarbeiter möglicherweise nicht die SCC-Entwürfe für China verwenden, da die ins Ausland zu übermittelnden personenbezogenen Daten in der Regel sensible persönliche Daten enthalten. Daher ist es wahrscheinlich, dass viele Unternehmen in der Praxis nicht in der Lage sein werden, den SCC-Weg zu beschreiten und weiterhin den strengen Sicherheitsbewertungen für grenzüberschreitende Datenübertragungen unterworfen sein werden. Neben der Begrenzung des Datenvolumens sind die Parteien des Entwurfs der chinesischen SCC auch auf den Datenverantwortlichen und den Datenempfänger im Ausland beschränkt; es scheint jedoch so zu sein, dass in China ansässige beauftragte Parteien (die im Wesentlichen mit "Datenverarbeitern" gemäß der DSGVO gleichzusetzen sind) nicht in der Lage sein werden, diesen Mechanismus zu nutzen.

Vor diesem Hintergrund gibt es einige Überschneidungen zwischen den SCC, der Sicherheitsbewertung und den bestehenden Zertifizierungswegen für grenzüberschreitende Datenübermittlungen. Insbesondere verlangen die Maßnahmen zur Sicherheitsbewertung auch einen Vertrag zwischen dem Datenverarbeiter und dem Datenempfänger im Ausland als Teil der bei der Behörde einzureichenden Unterlagen. Die inhaltlichen Anforderungen an einen solchen Vertrag überschneiden sich weitgehend mit dem Entwurf der chinesischen SCCs. Daher können Unternehmen bei Datenübertragungen, die der Sicherheitsbewertung unterliegen, auch auf den Entwurf der chinesischen SCCs zurückgreifen, um den für die Sicherheitsbewertung erforderlichen Datenübertragungsvertrag zu formulieren. Die am 24. Juni 2022 herausgegebene Cyber Security Standard Practical Guidance - Security Certification Specification on Cross-border Transfer of Personal Information (=„Certification Specification“) deutet ebenfalls darauf hin, dass eine verbindliche Vereinbarung für grenzüberschreitende Datenübertragungen erforderlich ist, um die Zertifizierung zum Schutz personenbezogener Daten zu erhalten.

MELDEPFLICHT

China wendet für die SCC-Entwürfe eine Überwachungsmethode an, die eine "Kombination aus Zustimmung und Anmeldung" vorsieht. Eine vorherige Genehmigung ist für den Entwurf der chinesischen SCCs nicht erforderlich. Stattdessen muss der PI-Verantwortliche innerhalb von 10 Arbeitstagen nach Inkrafttreten der vorgeschriebenen Vereinbarung eine Mustervereinbarung bei der lokalen Niederlassung der Cyberspace Administration of China (CAC) auf Provinzebene einreichen.

In Anlehnung an das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law, PIPL) wird in dem Entwurf bekräftigt, dass ein Bericht über die Folgenabschätzung für die Übermittlung personenbezogener Daten zusammen mit den unterzeichneten chinesischen SCCs ebenfalls bei der örtlichen CAC eingereicht werden muss. Im Gegensatz dazu verlangt die EU bekanntlich keine Einreichung von SCCs bei den DPAs.

Die Einreichung ist allerdings nicht gleichbedeutend mit einer Genehmigung, was bedeutet, dass die Zentrale Aufsichtsbehörde die SCC und den Bericht über die Folgenabschätzung für die Datenübermittlung nicht inhaltlich prüfen und die geplante Datenübermittlung ablehnen würde. Es bleibt jedoch genügend Raum für die Überwachung nach der Einreichung: Die örtliche Aufsichtsbehörde auf Provinzebene ist berechtigt, die Übermittlung personenbezogener Daten ins Ausland auszusetzen, wenn sie feststellt, dass die tatsächliche Übermittlung nicht den einschlägigen Vorschriften für die grenzüberschreitende Datenübermittlung entspricht. Wird ein Verstoß gegen die Aufbewahrungsvorschriften festgestellt, kann die Aufsichtsbehörde auch anordnen, dass die Daten innerhalb einer bestimmten Frist berichtigt werden müssen; sie kann Sanktionen verhängen, wenn sich der PI-Verantwortliche oder der Empfänger im Ausland weigert, die Daten zu berichtigen, oder wenn die mit den PI verbundenen Rechte und Interessen verletzt werden; oder sie kann strafrechtliche Schritte einleiten, wenn ein Verbrechen vorliegt.

VORAUSSETZUNG FÜR DIE ÜBERMITTLUNG VON DATEN INS AUSLAND: DAS PIPIA

In den Artikeln 55 und 56 PIPL wird das Konzept der chinesischen Datenschutz-Folgenabschätzung (PIPIA) erwähnt, das einer Datenschutz-Folgenabschätzung (DPIA) gemäß der DSGVO ähnelt. Es werden folgende gemeinsame Punkte festgelegt, die in jedem PIPIA-Szenario bewertet werden:

  1. die Rechtmäßigkeit, Legitimität und Notwendigkeit des Zwecks, des Umfangs und der Methode der Verarbeitung personenbezogener Daten (PI);
  2. die Risiken, die der PI-Export für die mit PI verbundenen Rechte und Interessen mit sich bringen kann; und
  3. die Rechtmäßigkeit und Wirksamkeit der Schutzmaßnahmen und ob sie dem Risikoniveau entsprechen.

In Anlehnung an die PIPL werden in den Entwürfen zusätzliche Punkte genannt, die in einer PIPIA im Szenario eines grenzüberschreitenden Datentransfers zu bewerten sind:

(1) die Verantwortlichkeiten und Verpflichtungen, zu denen sich der Empfänger im Ausland verpflichtet, sowie die Frage, ob sein Management und seine technischen Maßnahmen und Fähigkeiten zur Erfüllung der Verantwortlichkeiten und Verpflichtungen die Sicherheit der zu exportierenden PI gewährleisten können;

(2) die Risiken von Datenlecks, Schäden, Manipulationen und Missbrauch usw. nach der grenzüberschreitenden Übermittlung; und

(3) die Auswirkungen der PI-Schutzpolitik und -vorschriften des Landes oder der Region, in dem/der der Empfänger im Ausland ansässig ist, auf die Erfüllung der SCC-Entwürfe für China (sozusagen ein umgekehrtes „Schems II“).

Nach dem Entwurf der Bestimmungen soll die PIPIA immer durchgeführt werden, bevor personenbezogene Daten ins Ausland übermittelt werden. Unabhängig davon, welchen Weg der Datenexporteur für die grenzüberschreitende Datenübermittlung wählt (z. B. Sicherheitsbewertung, Zertifizierung, SCC), sollte eine PIPIA eine Vorbedingung sein.

Onward Transfer (Weiterübermittlung) der Daten

Außerdem interessant: Die Entwürfe der chinesischen SCC beschränken die Weiterübermittlung von Daten an Dritte außerhalb Chinas, es sei denn, alle folgenden Bedingungen sind erfüllt:

(1) es besteht ein tatsächlicher geschäftlicher Bedarf;

(2) die betroffene Person wird informiert und es wird eine gesonderte Einwilligung eingeholt;

(3) der Empfänger in Übersee schließt einen Vertrag mit dem Dritten ab, und der Dritte erfüllt den Standard eines gleichwertigen Schutzes und würde die Mithaftung übernehmen; und

(4) dem Verantwortlichen wird eine Kopie der Vereinbarung mit dem Dritten vorgelegt.

Darüber hinaus verlangt der Entwurf der chinesischen SCCs die Identifizierung eines solchen ausländischen Dritten. Dies kann jedoch auf erhebliche praktische Hindernisse stoßen, da der ausländische Empfänger mitunter nicht in der Lage ist, den Bedarf für die Weiterübermittlung zu prognostizieren, geschweige denn die Identität der weiteren Empfänger zu kennen.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

Danke! Im Allgemeinen ähneln die chinesischen SCC-Entwürfe in gewissem Maße den EU-SSCs. Im Gegensatz zu den EU-SCC, die zwischen Übertragungen von Controller zu Prozessor und von Controller zu Controller unterscheiden, verwenden die chinesischen SCC ein einziges Modul und enthalten viele Bestimmungen, die dem Controller-zu-Prozessor-Modul der EU-SCC ähneln.

Nach dem Entwurf der Bestimmungen ist einer der PIPIA-Faktoren die Frage, ob die Gesetze in anderen Rechtsordnungen die Leistung der chinesischen SCC beeinflussen werden. Dieser Punkt findet sich auch in Artikel 4 des Entwurfs der chinesischen SCCs wieder. Diese Überlegung geht auf den Europäischen Gerichtshofs in der Rechtssache Schrems II zurück, wonach die an einer Übermittlung beteiligten Parteien von Fall zu Fall prüfen sollten, ob das "Recht des Bestimmungsdrittlandes einen angemessenen Schutz ... der gemäß den Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet". Zu diesem Zweck müssen Datenexporteure aus der EU bekanntlich eine Datenschutz-Folgenabschätzung (TIA) durchführen, um alle Übermittlungen personenbezogener Daten in Nicht-EU-Länder zu überprüfen und angemessene Schutzmaßnahmen zu ergreifen. Jetzt kommt also die Rolle rückwärts.

Da der Entwurf der chinesischen SCCs wohl der einfachste Weg für die Durchführung grenzüberschreitender Datenübermittlungen ist, werden die Leitlinien wohl von den meisten Unternehmen begrüßt werden. Aber Unternehmen, die diesen Weg einschlagen wollen, sollten sich jedoch des engen Anwendungsbereichs und der verschiedenen Unsicherheiten bewusst sein, die mit den  SCCs verbunden sind; beispielsweise die Gültigkeit einer SCC, sobald die kumulative Anzahl der Personen, deren personenbezogene Daten übermittelt werden, den Schwellenwert für die Sicherheitsbewertung erreicht. Fraglich ist auch der Spielraum für Verhandlungen über die Entwürfe für chinesische SCCs, wenn ausländische Datenempfänger sich weigern, einige der Bestimmungen, wie etwa die Zusammenarbeit bei Audits, zu akzeptieren.

0

Tja, lieber EuGH und Herr Magister Schrems. Jetzt darf man sich nicht wundern, wenn die chinesischen Behörden ihrererseits ein Data Transfer Impact Assessment für Europe verlangen. Die Zäune werden höher. Schlecht für die Wirtschaft.

0

Auch noch interessant: Die SCC-Entwürfe für China verlangen von den Parteien, dass sie technische und verwaltungstechnische Maßnahmen festlegen, um die Risiken der grenzüberschreitenden Datenübermittlung zu mindern, und nennen als Beispiele mehrere gängige Methoden wie Verschlüsselung, Anonymisierung, De-Identifizierung und Zugangskontrolle. Auch in dieser Hinsicht gibt es in dem EU SCCs  entsprechende Regelungen. 

0

Der Entwurf des chinesischen SCC sieht vor, dass der ausländische Datenempfänger die Aufsicht des CAC akzeptiert und die von der Regierung der VR China geforderten Abhilfemaßnahmen trifft. Bedeutet dies, dass der ausländische Datenempfänger den chinesischen Aufsichtsbehörden regelmäßig über die Einhaltung der chinesischen Gesetze und Maßnahmen zum Schutz der Daten berichten muss? Diese Akzeptanz der Überwachung durch die chinesischen Aufsichtsbehörden könnte für ausländische Unternehmen ein echtes Problem darstellen, insbesondere für solche ohne Geschäftspräsenz in China. 

0

Die von den chinesischen Behörden im Rahmen des PIPL festgelegten Datenübertragungsmechanismen haben bislang ihren Schwerpunkt auf die Datenlokalisierung gelegt und Unternehmen stark begünstigt bzw. einen Anreiz geschaffen, chinesische personenbezogene Daten in China zu speichern. Diesen Ansatz werden die neuen SCCs nicht ändern.

0

Kommentar hinzufügen