Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Datenschutz China Maßnahmen für die Einhaltung der Vorschriften für die Übermittlung personenbezogener Daten (China)

Mit der Globalisierung der digitalen Wirtschaft werden personenbezogene Daten und Informationen (folgend: PI) zu einer immer wichtigeren Ressource und spielen eine immer größere Rolle in der Weltwirtschaft. Der grenzüberschreitende Fluss personenbezogener Daten umfasst das Mitarbeitermanagement in multinationalen Unternehmen, den grenzüberschreitenden elektronischen Handel, die Informationsverfolgung und Cloud-Speicherung in multinationalen Technologieunternehmen, den Reiseverkehr und den Tourismus. Neben ihrem wirtschaftlichen Wert sind personenbezogene Daten auch eng mit den Persönlichkeitsrechten und Interessen natürlicher Personen verbunden. Vor diesem Hintergrund ist der Schutz personenbezogener Daten und die Regulierung des grenzüberschreitenden Verkehrs personenbezogener Daten zu einem zentralen Anliegen geworden.

In diesem Artikel werden die Maßnahmen und Anforderungen an die grenzüberschreitende Übermittlung personenbezogener Daten (im Folgenden "PI") in China auf der Grundlage der einschlägigen Gesetze und Vorschriften näher erläutert.

I. Die wichtigsten Compliance-Routen für den PI-Ausgangstransfer

Gemäß Artikel 38 des Gesetzes zum Schutz personenbezogener Daten der Volksrepublik China gibt es drei Wege zur Einhaltung der Vorschriften für den PI-Ausgangstransfer:

1. Sicherheitsbewertung des ausgehenden PI-Transfers

Erstens muss der PI-Verarbeiter die Art und Menge der ins Ausland übermittelten Daten abschätzen. Wenn die Situation mit der in Artikel 4[1] der Measures for the Security Assessment of Outbound Data Transfer (nachstehend "MSA" genannt) festgelegten Situation übereinstimmt, muss eine Sicherheitsbewertung der zu übermittelnden PI durchgeführt werden, und zwar in folgenden Schritten

  • Durchführung einer Risiko-Selbstbewertung, die den Zweck, den Umfang und die Rechtmäßigkeit der Datenübermittlung sowie die Verarbeitung dieser Daten durch die Empfänger im Ausland umfasst;
  • Einreichen der Antragsunterlagen (einschließlich der oben genannten Selbsteinschätzung sowie der zwischen dem Datenverarbeiter und den Offshore-Empfängern geschlossenen Vereinbarungen) bei der zuständigen Behörde zur Prüfung.

Die Nationale Cyberspace-Verwaltung, die für die Prüfung der Antragsunterlagen zuständig ist, schließt die Sicherheitsbewertung des Datentransfers innerhalb von 45 Tagen nach Ausstellung der schriftlichen Annahmeerklärung an den Datenverarbeiter ab; die Sicherheitsbewertung ist ab dem Datum der Bewertungsergebnisse zwei Jahre lang gültig. Werden die Daten nach Ablauf der Frist weiterhin ins Ausland übermittelt, so muss der Datenverarbeiter 60 Arbeitstage vor Ablauf der Gültigkeitsdauer erneut eine Bewertung beantragen.

2. Standardvertrag für den PI-Ausgangstransfer

Wenn die Situation der PI-Auslandsübermittlung nicht mit den in Artikel 4 des MSA festgelegten Umständen übereinstimmt, kann der PI-Verarbeiter wählen, ob er die PI-Auslandsübermittlung durch Unterzeichnung eines Standardvertrags oder durch Durchführung einer PI-Schutzzertifizierung erfüllt; wenn der PI-Verarbeiter sich für Ersteres entscheidet, müssen die in Artikel 4 [2] der Measures for the Standard Contract for the Outbound Transfer of Personal Information (im Folgenden "MSC" genannt) festgelegten Umstände erfüllt sein.

Die konkreten Schritte sind wie folgt:

  • Der Auftragsverarbeiter schließt den Standardvertrag mit dem Offshore-Empfänger unter Bezugnahme auf die Vorlage ab und führt eine Datenschutz-Folgenabschätzung (im Folgenden "DPIA" genannt) durch;
  • Dann sollte der Auftragsverarbeiter die Unterlagen (einschließlich der Datenschutzfolgenabschätzung und des Standardvertrags) innerhalb von 10 Arbeitstagen nach Inkrafttreten des Vertrags bei der zuständigen Behörde einreichen.

Es ist zu beachten, dass der MSC seit dem 1. Juni 2023 in Kraft ist und eine sechsmonatige Frist vorsieht. PI-Verarbeiter, die sich für die Unterzeichnung des Standardvertrags entscheiden, müssen die Hinterlegungsverfahren vor Ablauf der Nachfrist (bis zum 30. November 2023) abschließen.

3. Zertifizierung des PI-Schutzes

Abgesehen von den oben genannten Maßnahmen kann die PI-Schutzbescheinigung auch als Maßnahme zur Einhaltung der PI-Auslandsübermittlung dienen, wird aber in der Praxis relativ wenig angewendet.

II. Neue Verordnung über die Einhaltung der Vorschriften für den Datentransfer ins Ausland

Mit der Verbesserung des Daten-Compliance-Systems sollten PI-Verarbeiter die Aktualisierung der Compliance-Anforderungen rechtzeitig im Auge behalten, um die entsprechenden Verpflichtungen zu erfüllen. Bitte beachten Sie, dass der Entwurf zur Regulierung und Erleichterung des grenzüberschreitenden Datenverkehrs am 28. September 2023 veröffentlicht wurde, der die bestehenden Compliance-Anforderungen für PI-Auslandsübermittlungen modifiziert; wenn der Entwurf in Zukunft in Kraft tritt, werden die Compliance-Verpflichtungen für PI-Auslandsübermittlungen weitgehend abgeschwächt.

Erstens legt der Entwurf einige Umstände fest, unter denen die Einhaltung der Vorschriften für die Übermittlung von Daten ins Ausland nicht erforderlich ist, wie z. B. Daten, die im Rahmen des internationalen Handels, der akademischen Zusammenarbeit, der multinationalen Produktion und der Marketingaktivitäten ins Ausland gelangen und keine PI oder wichtige Daten enthalten; wenn PI im Ausland erhoben, aber im Inland verarbeitet und dann ins Ausland übermittelt werden, usw., die in den derzeitigen Gesetzen und Vorschriften nicht aufgeführt sind.

Darüber hinaus überarbeitet der Entwurf die Anforderungen an die Einhaltung der Vorschriften auf der Grundlage der Menge der von den Verarbeitern in einem Jahr ins Ausland übermittelten PI und nicht mehr auf der Grundlage der kumulativen Gesamtzahl, was den Aufwand für die Einhaltung der Vorschriften für Unternehmen verringert, die insgesamt eine große Menge an PI verarbeiten, aber weniger in einem bestimmten Jahr:

Es gibt jedoch noch einige Fragen, die in dem Entwurf nicht geklärt sind, wie z.B.: Wann soll der in der obigen Tabelle aufgeführte Zeitraum beginnen? Außerdem wird nicht erläutert, ob bei den PI, die innerhalb eines Jahres ins Ausland übermittelt werden sollen, zwischen sensiblen und nicht sensiblen Informationen unterschieden werden sollte. Es wird vermutet, dass die oben genannten Probleme gelöst werden können, wenn die entsprechenden Gesetze und Verordnungen später veröffentlicht werden.

[1] Artikel 4 Um Daten unter den folgenden Umständen ins Ausland zu übermitteln, muss ein Datenverarbeiter bei der nationalen Cyberspace-Verwaltung eine Sicherheitsbewertung des ausgehenden Datentransfers über die lokale Cyberspace-Verwaltung der Provinz beantragen:(1) Der Datenverarbeiter übermittelt wichtige Daten ins Ausland. (2) Der Betreiber einer kritischen Informationsinfrastruktur oder der Datenverarbeiter, der personenbezogene Daten von mehr als einer Million Menschen verarbeitet hat, stellt personenbezogene Daten im Ausland bereit. (3) Der Datenverarbeiter, der seit dem 1. Januar des Vorjahres kumulativ die personenbezogenen Daten von mehr als 100.000 Personen oder die sensiblen personenbezogenen Daten von mehr als 10.000 Personen verarbeitet hat, liefert personenbezogene Daten ins Ausland. (4) Jeder andere Umstand, bei dem die nationale Cyberspace-Verwaltung einen Antrag auf Sicherheitsbewertung der ausgehenden Datenübermittlung verlangt.

[2] Artikel 4 Um einem Empfänger im Ausland personenbezogene Daten durch Abschluss eines Standardvertrags zur Verfügung stellen zu können, muss ein Auftragsverarbeiter für personenbezogene Daten alle folgenden Bedingungen erfüllen: (1) Er ist kein Betreiber einer kritischen Informationsinfrastruktur; (2) er hat die personenbezogenen Daten von weniger als einer Million Personen verarbeitet; (3) er hat seit dem 1. Januar des Vorjahres kumulativ die personenbezogenen Daten von weniger als 100.000 Personen an ausländische Empfänger übermittelt; und (4) er hat seit dem 1. Januar des Vorjahres kumulativ die sensiblen personenbezogenen Daten von weniger als 10.000 Personen übermittelt. Wenn ein Gesetz, eine Verwaltungsvorschrift oder die nationale Cyberspace-Verwaltung etwas anderes vorsieht, sind diese Bestimmungen maßgebend.

Beitrag veröffentlicht am
31. Oktober 2023

Xiang Tang
Landing Law Offices
Juris Master, Attorney at Law, Partner

Stichworte in diesem Beitrag
Diesen Beitrag teilen

Alle Fachbeiträge zeigen

Insolvenzrecht, Geschäftsführerhaftung in der Insolvenz
22.04.2024

Beschränkung der Geschäftsführerhaftung wegen Insolvenzverschleppung auf den Schaden

Seit dem 01.01.2021 gibt es eine neue gesetzliche Regelung (§ 15b Abs. 4 S. 2 InsO), wonach sich diese Ersatzpflicht auf den Ausgleich des Schadens beschränkt, der der Gläubigerschaft der juristischen Person entstanden ist. Die vom Insolvenzverwalter vorgenommene Addition, wie im vorangegangenen Absatz beschrieben, stellt danach nur eine Vermutung zur Schadenshöhe dar, die widerlegt werden kann.

Beitrag lesen
Wohnungstürschlüssel
Mietrecht, Wohnraummietrecht, Räumungsvollstreckung
17.04.2024

Verlängerung der Räumungsfrist: Pauschaler Verweis auf „angespannten Wohnungsmarkt“ genügt nicht

Welche Anforderungen sind an die Verlängerung einer Räumungsfrist für Mieter zu stellen? Mit dieser Frage hat sich das Landgericht Berlin II befasst.

Beitrag lesen
Baurecht, Werkvertragsrecht
17.04.2024

„Schlüsselfertig“ – was bedeutet das?

Der BGH hat mit einer Entscheidung vom 2.11.2022 (BGH VII ZR 22/20) klargestellt, dass der Begriff „schlüsselfertig“ eine funktionale Beschreibung des Leistungsinhalts des geschlossenen Vertrages darstellt und konkrete Leistungsbeschreibungen (aus dem Vertrag) insoweit vorgehen. Lediglich bei Lücken der konkreten Leistungsbeschreibung können diese durch die Schlüsselfertigkeitsklausel gefüllt werden. Eine solche Lücke liegt nicht vor, wenn ausdrücklich bestimmte Leistungen herausgenommen werden.

Beitrag lesen
Alle Fachbeiträge

Einwilligung in Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Wir möchten unser Angebot für Sie dauerhaft attraktiv gestalten. Dafür sind wir auf Informationen darüber angewiesen, wie unsere Seiten genutzt werden. Dafür erheben wir automatisiert Daten.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

An einigen Stellen unseres Angebote nutzen wir externe Dienste, um Ihnen bestimmte Inhalte oder Funktionen zuverlässig und komfortabel bereitstellen zu können (z.B. Karten, interaktive Formulare oder Kalender zur Terminvereinbarung).

Videowiedergabe mit Vimeo

Wir verwenden auf unserer Website den externen Dienst Vimeo. Dabei handelt es sich um ein Video-Portal des US-amerikanischen Unternehmens Vimeo.com, Inc., 330 West 34th Street, 5th Floor, New York, New York 10001, USA. Durch das Einbinden von Vimeo-Videos werden Cookies gesetzt, die bei Abrufen des Videos unter anderem Ihre IP-Adresse, den Browser-Typ, Ihr Betriebssystem, Ihr Klickverhalten und Ihre Verweildauer erheben und sodann speichern. Die Speicherung erfolgt auf Servern in den USA, die über keinerlei Datenschutzrecht verfügen. Näheres entnehmen Sie bitte den unter https://vimeo.com/privacy abrufbaren Informationen.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Terminvereinbarung mit Calenso

Wir verwenden auf unserer Website den externen Dienst Calenso. In diesem Zuge werden Ihre E-Mail-Adresse, weitere Kontaktinformationen, Termininhalte und -daten, sowie alle von Ihnen in diesem Zusammenhang zusätzlich angegebenen Daten erhoben und gespeichert. Dies dient dem alleinigen Zweck, Termine und Gruppentermine online buchbar zu machen. Hierzu wird seitens Calenso eine Webanwendung zur Buchung von Terminvereinbarungen zur Verfügung gestellt. Die Daten werden auf Servern in der Schweiz verarbeitet. Sie stellen Ihre Daten für die Laufzeit des Vertrages mit Calenso zur Verfügung. Näheres zu der Verarbeitung der Daten durch Calenso entnehmen Sie bitte den unter https://calenso.com/datenschutz abrufbaren Informationen.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum