Chinesische Cyberspace-Verwaltung: Sicherheitsbewertung des grenzüberschreitenden Datentransfers kommt zum 01.09.22

Auf die chinesische Datenexporteure und die Datenempfänger in Europa kommt einige Arbeit zu. Die Maßnahmen der chinesischen Cyberspace-Verwaltung zur Sicherheitsbewertung von grenzüberschreitenden Datenübertragungen gelten wie rückwirkend für grenzüberschreitende Datenübertragungen, die vor dem 1. September 2022 durchgeführt wurden. Die betroffenen Datenexporteure haben eine Frist von nur sechs Monaten, um nicht-konforme Aktivitäten im Zusammenhang mit Datenübertragungen aus China zu korrigieren.

HINTERGRUND

Die chinesische Cyberspace-Verwaltung (CAC) hatte am 7. Juli 2022 die endgültige Fassung der Maßnahmen zur Sicherheitsbewertung des grenzüberschreitenden Datentransfers (Measures for Security Assessment of Cross-Border Data Transfer) veröffentlicht (siehe ausf. im Blog v. 11.07. hier) und die Fragen von Beteiligten (Responses) beantwortet. Die Maßnahmen werden nun am 1. September 2022 in Kraft treten.

ANWENDUNGSBEREICH

Die Maßnahmen der CAC legen den Anwendungsbereich einer Sicherheitsbewertung fest, der mit dem Entwurf der Bestimmungen über den Standardvertrag für die grenzüberschreitende Übermittlung personenbezogener Daten (Entwurf der Bestimmungen) übereinstimmt. Gemäß Artikel 4 der Maßnahmen muss, wie schon im Blog geschildert, ein Unternehmen, das personenbezogene Daten aus China heraus überträgt, eine Sicherheitsbewertung beantragen, wenn eines der folgenden Kriterien erfüllt ist:

1. Betreiber kritischer Informationsinfrastrukturen

Wenn ein Unternehmen in China als Betreiber kritischer Informationsinfrastrukturen (CIIO) eingestuft wird, müssen seine Übertragungen wichtiger Daten und personenbezogener Informationen aus China heraus, unabhängig vom Umfang, einer Sicherheitsbewertung unterzogen werden.

2. Personenbezogene Daten von mehr als 1 Million Personen werden verarbeiten

Der Datenexporteur verarbeitet personenbezogene Daten von mehr als 1 Million Personen. Darüber hinaus gilt ein solches Unternehmen nach dem Gesetz zum Schutz personenbezogener Daten auch als "Verarbeiter personenbezogener Daten, dessen Verarbeitung personenbezogener Daten die von der staatlichen Cyberspace-Verwaltung vorgeschriebene Zahl erreicht", und muss daher die gesammelten und erzeugten personenbezogenen Daten in China speichern (Pflicht zur Datenlokalisierung). Vgl. zur Speicherpflicht in China Johannes ZD 2022, 90 .

3. Datenvolumen

Für diese Kategorie kommt es auf die grenzüberschreitende Übermittlung personenbezogener Daten über zwei Jahre an. Unternehmen, die personenbezogene Daten aus China heraus übertragen, die (1) aus personenbezogenen Daten von mehr als 100.000 Personen oder (2) aus sensiblen personenbezogenen Daten von mehr als 10.000 Personen seit dem 1. Januar des Vorjahres bestehen, werden ebenfalls einer Sicherheitsbewertung unterzogen.

4. Verarbeiter von “wichtigen Daten”

Wenn die zu übermittelnden Daten in die Kategorie der "wichtigen Daten" fallen, muss eine solche Datenübermittlung unabhängig von ihrem Umfang und der Art des Datenexporteurs einer Sicherheitsbewertung unterzogen werden. Die Maßnahmen definieren den Begriff "wichtige Daten" zum ersten Mal auf Verordnungsebene als "alle Daten, die, sobald sie manipuliert, sabotiert, durchgesickert oder unrechtmäßig erlangt oder verwendet werden, die nationale Sicherheit, den wirtschaftlichen Betrieb, die soziale Stabilität sowie die öffentliche Gesundheit und Sicherheit gefährden können". Detaillierte, bindende Leitlinien zum Umfang der Kategorie fehlen leider bislang: Am 13. Januar 2022 veröffentlichte das National Information Security Standardization Technical Committee (TC260) den Entwurf eines Leitfadens für die Identifizierung wichtiger Daten, der versucht, "wichtige Daten" aufzuzählen. Diese Richtlinie ist jedoch nicht endgültig, und hat keine rechtlich bindende Wirkung.

VERFAHREN ZUR SICHERHEITSBEWERTUNG

Das Verfahren zur Sicherheitsbewertung ist eine Kombination aus einer Selbstbewertung der Sicherheit und der Sicherheitsbewertung durch die zuständigen Behörden (vornehmlich durch die CAC).

1. Self-Assessment

Unabhängig vom Unternehmen muss eine Selbstbeurteilung (Self-Assessment) durchgeführt und bei der Regierung eingereicht werden. Der für die Verarbeitung Verantwortliche muss die ausgefüllten SCCs (siehe Blog) zusammen mit dem Bericht innerhalb von zehn Arbeitstagen bei der "für ihr Gebiet zuständigen Internet-Informationsabteilung der Provinz" (dem lokalen CAC-Büro) einreichen. Die Datenexporteure müssen dafür die folgenden Faktoren berücksichtigen:

• Zweck, Umfang und Art der grenzüberschreitenden Datenübermittlung sowie die Rechtmäßigkeit, Legitimität und Notwendigkeit der Datenverarbeitung durch den Empfänger im Ausland.
• Umfang, Reichweite, Art und Sensibilität der übermittelten Daten sowie die möglichen Risiken für die nationale Sicherheit, die öffentlichen Interessen und die legitimen Rechte und Interessen von Personen oder Organisationen, die sich aus der grenzüberschreitenden Datenübermittlung ergeben.
• Die Zusage des Datenempfängers im Ausland, Verantwortung und Verpflichtungen zu übernehmen, sowie die Management- und technischen Maßnahmen zur Erfüllung der Verantwortung und Verpflichtungen und die Fähigkeit, die Sicherheit der übermittelten Daten zu gewährleisten.
• Das Risiko der Manipulation, der Zerstörung, des Durchsickerns, des Verlusts, der Weitergabe, der unrechtmäßigen Beschaffung oder der unrechtmäßigen Verwendung von Daten während und nach der Ausreise sowie das Vorhandensein von Kanälen zur Wahrung der Rechte und Interessen an personenbezogenen Daten.
• Angemessene Einhaltung der Verantwortlichkeiten und Verpflichtungen im Zusammenhang mit der Datensicherheit in Verträgen zwischen dem Datenverarbeiter und dem Empfänger im Ausland oder in anderen rechtsverbindlichen Dokumenten.
• Andere neuralgische Punkte, die die Sicherheit des grenzüberschreitenden Datentransfers beeinflussen können.

2. Sicherheitsbewertung durch die CAC

Die von der Regierung durchgeführte Sicherheitsbewertung konzentriert sich auf die Beurteilung des Risikos, das grenzüberschreitende Datenübertragungsaktivitäten für die nationale Sicherheit, öffentliche Interessen und die legitimen Rechte und Interessen von Einzelpersonen oder Organisationen darstellen können. Die Faktoren, die bei einer CAC-Sicherheitsbewertung berücksichtigt werden, umfassen alle Faktoren, die auch bei einer Selbstbewertung berücksichtigt werden, sowie zwei zusätzliche Faktoren: (1) die Auswirkungen der Datensicherheitsvorschriften und -richtlinien des datenempfangenden Landes auf die ausgehenden Daten und (2) die Frage, ob das Datenschutzniveau der Empfänger im Ausland den Anforderungen der chinesischen Gesetze, Verwaltungsvorschriften und verbindlichen nationalen Normen entspricht. 

GENEHMIGUNGSVERFAHREN

Zu Beginn des Genehmigungsverfahrens prüft die CAC auf Provinzebene die Vollständigkeit der Unterlagen innerhalb von fünf Arbeitstagen nach Eingang uaf Vollständigkeit. Dann legt die CAC auf Provinzebene die Antragsunterlagen der staatlichen CAC zur inhaltlichen Prüfung und Genehmigung vor, wenn die Unterlagen den Anforderungen entsprechen. Andernfalls werden die Antragsunterlagen zur weiteren Bearbeitung an die Antragsteller zurückgeschickt. Die  Zentralkommission der CAC entscheidet dann inach Erhalt der Unterlagen über die Annahme der Unterlagen und informiert die Antragsteller schriftlich. Der ganze Prozess kann bis zu 45 (und vermutlich noch länger) Arbeitstage andauern. Wenn der Antragsteller die Sicherheitsbewertung bestanden hat, kann er mit der vorgeschlagenen grenzüberschreitenden Datenübermittlung in Übereinstimmung mit den eingereichten Unterlagen beginnen. Die Ergebnisse der Sicherheitsbewertung sind zwei Jahre lang gültig. 

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben