Datenschutz China Maßnahmen für die Einhaltung der Vorschriften für die Übermittlung personenbezogener Daten (China)
Mit der Globalisierung der digitalen Wirtschaft werden personenbezogene Daten und Informationen (folgend: PI) zu einer immer wichtigeren Ressource und spielen eine immer größere Rolle in der Weltwirtschaft. Der grenzüberschreitende Fluss personenbezogener Daten umfasst das Mitarbeitermanagement in multinationalen Unternehmen, den grenzüberschreitenden elektronischen Handel, die Informationsverfolgung und Cloud-Speicherung in multinationalen Technologieunternehmen, den Reiseverkehr und den Tourismus. Neben ihrem wirtschaftlichen Wert sind personenbezogene Daten auch eng mit den Persönlichkeitsrechten und Interessen natürlicher Personen verbunden. Vor diesem Hintergrund ist der Schutz personenbezogener Daten und die Regulierung des grenzüberschreitenden Verkehrs personenbezogener Daten zu einem zentralen Anliegen geworden.
In diesem Artikel werden die Maßnahmen und Anforderungen an die grenzüberschreitende Übermittlung personenbezogener Daten (im Folgenden "PI") in China auf der Grundlage der einschlägigen Gesetze und Vorschriften näher erläutert.
I. Die wichtigsten Compliance-Routen für den PI-Ausgangstransfer
Gemäß Artikel 38 des Gesetzes zum Schutz personenbezogener Daten der Volksrepublik China gibt es drei Wege zur Einhaltung der Vorschriften für den PI-Ausgangstransfer:
1. Sicherheitsbewertung des ausgehenden PI-Transfers
Erstens muss der PI-Verarbeiter die Art und Menge der ins Ausland übermittelten Daten abschätzen. Wenn die Situation mit der in Artikel 4[1] der Measures for the Security Assessment of Outbound Data Transfer (nachstehend "MSA" genannt) festgelegten Situation übereinstimmt, muss eine Sicherheitsbewertung der zu übermittelnden PI durchgeführt werden, und zwar in folgenden Schritten
- Durchführung einer Risiko-Selbstbewertung, die den Zweck, den Umfang und die Rechtmäßigkeit der Datenübermittlung sowie die Verarbeitung dieser Daten durch die Empfänger im Ausland umfasst;
- Einreichen der Antragsunterlagen (einschließlich der oben genannten Selbsteinschätzung sowie der zwischen dem Datenverarbeiter und den Offshore-Empfängern geschlossenen Vereinbarungen) bei der zuständigen Behörde zur Prüfung.
Die Nationale Cyberspace-Verwaltung, die für die Prüfung der Antragsunterlagen zuständig ist, schließt die Sicherheitsbewertung des Datentransfers innerhalb von 45 Tagen nach Ausstellung der schriftlichen Annahmeerklärung an den Datenverarbeiter ab; die Sicherheitsbewertung ist ab dem Datum der Bewertungsergebnisse zwei Jahre lang gültig. Werden die Daten nach Ablauf der Frist weiterhin ins Ausland übermittelt, so muss der Datenverarbeiter 60 Arbeitstage vor Ablauf der Gültigkeitsdauer erneut eine Bewertung beantragen.
2. Standardvertrag für den PI-Ausgangstransfer
Wenn die Situation der PI-Auslandsübermittlung nicht mit den in Artikel 4 des MSA festgelegten Umständen übereinstimmt, kann der PI-Verarbeiter wählen, ob er die PI-Auslandsübermittlung durch Unterzeichnung eines Standardvertrags oder durch Durchführung einer PI-Schutzzertifizierung erfüllt; wenn der PI-Verarbeiter sich für Ersteres entscheidet, müssen die in Artikel 4 [2] der Measures for the Standard Contract for the Outbound Transfer of Personal Information (im Folgenden "MSC" genannt) festgelegten Umstände erfüllt sein.
Die konkreten Schritte sind wie folgt:
- Der Auftragsverarbeiter schließt den Standardvertrag mit dem Offshore-Empfänger unter Bezugnahme auf die Vorlage ab und führt eine Datenschutz-Folgenabschätzung (im Folgenden "DPIA" genannt) durch;
- Dann sollte der Auftragsverarbeiter die Unterlagen (einschließlich der Datenschutzfolgenabschätzung und des Standardvertrags) innerhalb von 10 Arbeitstagen nach Inkrafttreten des Vertrags bei der zuständigen Behörde einreichen.
Es ist zu beachten, dass der MSC seit dem 1. Juni 2023 in Kraft ist und eine sechsmonatige Frist vorsieht. PI-Verarbeiter, die sich für die Unterzeichnung des Standardvertrags entscheiden, müssen die Hinterlegungsverfahren vor Ablauf der Nachfrist (bis zum 30. November 2023) abschließen.
3. Zertifizierung des PI-Schutzes
Abgesehen von den oben genannten Maßnahmen kann die PI-Schutzbescheinigung auch als Maßnahme zur Einhaltung der PI-Auslandsübermittlung dienen, wird aber in der Praxis relativ wenig angewendet.
II. Neue Verordnung über die Einhaltung der Vorschriften für den Datentransfer ins Ausland
Mit der Verbesserung des Daten-Compliance-Systems sollten PI-Verarbeiter die Aktualisierung der Compliance-Anforderungen rechtzeitig im Auge behalten, um die entsprechenden Verpflichtungen zu erfüllen. Bitte beachten Sie, dass der Entwurf zur Regulierung und Erleichterung des grenzüberschreitenden Datenverkehrs am 28. September 2023 veröffentlicht wurde, der die bestehenden Compliance-Anforderungen für PI-Auslandsübermittlungen modifiziert; wenn der Entwurf in Zukunft in Kraft tritt, werden die Compliance-Verpflichtungen für PI-Auslandsübermittlungen weitgehend abgeschwächt.
Erstens legt der Entwurf einige Umstände fest, unter denen die Einhaltung der Vorschriften für die Übermittlung von Daten ins Ausland nicht erforderlich ist, wie z. B. Daten, die im Rahmen des internationalen Handels, der akademischen Zusammenarbeit, der multinationalen Produktion und der Marketingaktivitäten ins Ausland gelangen und keine PI oder wichtige Daten enthalten; wenn PI im Ausland erhoben, aber im Inland verarbeitet und dann ins Ausland übermittelt werden, usw., die in den derzeitigen Gesetzen und Vorschriften nicht aufgeführt sind.
Darüber hinaus überarbeitet der Entwurf die Anforderungen an die Einhaltung der Vorschriften auf der Grundlage der Menge der von den Verarbeitern in einem Jahr ins Ausland übermittelten PI und nicht mehr auf der Grundlage der kumulativen Gesamtzahl, was den Aufwand für die Einhaltung der Vorschriften für Unternehmen verringert, die insgesamt eine große Menge an PI verarbeiten, aber weniger in einem bestimmten Jahr:
Es gibt jedoch noch einige Fragen, die in dem Entwurf nicht geklärt sind, wie z.B.: Wann soll der in der obigen Tabelle aufgeführte Zeitraum beginnen? Außerdem wird nicht erläutert, ob bei den PI, die innerhalb eines Jahres ins Ausland übermittelt werden sollen, zwischen sensiblen und nicht sensiblen Informationen unterschieden werden sollte. Es wird vermutet, dass die oben genannten Probleme gelöst werden können, wenn die entsprechenden Gesetze und Verordnungen später veröffentlicht werden.
[1] Artikel 4 Um Daten unter den folgenden Umständen ins Ausland zu übermitteln, muss ein Datenverarbeiter bei der nationalen Cyberspace-Verwaltung eine Sicherheitsbewertung des ausgehenden Datentransfers über die lokale Cyberspace-Verwaltung der Provinz beantragen:(1) Der Datenverarbeiter übermittelt wichtige Daten ins Ausland. (2) Der Betreiber einer kritischen Informationsinfrastruktur oder der Datenverarbeiter, der personenbezogene Daten von mehr als einer Million Menschen verarbeitet hat, stellt personenbezogene Daten im Ausland bereit. (3) Der Datenverarbeiter, der seit dem 1. Januar des Vorjahres kumulativ die personenbezogenen Daten von mehr als 100.000 Personen oder die sensiblen personenbezogenen Daten von mehr als 10.000 Personen verarbeitet hat, liefert personenbezogene Daten ins Ausland. (4) Jeder andere Umstand, bei dem die nationale Cyberspace-Verwaltung einen Antrag auf Sicherheitsbewertung der ausgehenden Datenübermittlung verlangt.
[2] Artikel 4 Um einem Empfänger im Ausland personenbezogene Daten durch Abschluss eines Standardvertrags zur Verfügung stellen zu können, muss ein Auftragsverarbeiter für personenbezogene Daten alle folgenden Bedingungen erfüllen: (1) Er ist kein Betreiber einer kritischen Informationsinfrastruktur; (2) er hat die personenbezogenen Daten von weniger als einer Million Personen verarbeitet; (3) er hat seit dem 1. Januar des Vorjahres kumulativ die personenbezogenen Daten von weniger als 100.000 Personen an ausländische Empfänger übermittelt; und (4) er hat seit dem 1. Januar des Vorjahres kumulativ die sensiblen personenbezogenen Daten von weniger als 10.000 Personen übermittelt. Wenn ein Gesetz, eine Verwaltungsvorschrift oder die nationale Cyberspace-Verwaltung etwas anderes vorsieht, sind diese Bestimmungen maßgebend.