International
Neue Regelungen erleichtern den grenzüberschreitenden Datenverkehr aus China
Chinas neue Datenschutzbestimmungen erleichtern den Datentransfer ins Ausland.
Das chinesische Datenschutzrecht hat sich rasant entwickelt und stellt ausländische Unternehmen vor neue Compliance-Herausforderungen, insbesondere beim grenzüberschreitenden Datenverkehr.
Um bestimmte Daten rechtskonform zu übermitteln, müssen Unternehmen entweder einen Standardvertrag abschließen, eine Zertifizierung vornehmen oder eine Sicherheitsüberprüfung bei chinesischen Behörden durchlaufen. Seit März 2024 gelten jedoch Erleichterungen und Ausnahmen.
Nachfolgend finden Sie eine Zusammenstellung von wesentlichen Bestimmungen, Definitionen und Erleichterungen, die Unternehmen kennen müssen, um gesetzeskonform und sicher im chinesischen Markt zu agieren.
Überblick über die Datenschutzgesetzgebung in China
Der Umgang mit Daten aller Art ist in den letzten Jahren zu einem der wichtigsten Compliance-Themen für in China tätige Unternehmen geworden. Die wichtigsten Säulen von Datenschutz und Datensicherheit, die ausländische Unternehmen kennen sollten, sind:
- Cybersicherheitsgesetz (Cyber Security Law, CSL): Das CSL ist seit Juni 2017 in Kraft und stellt Chinas erstes umfassendes IT-Sicherheitsgesetz dar. Es enthält Regelungen zu Datenschutz, IT-Sicherheit und dem Verhalten im Internet.
- Datensicherheitsgesetz (Data Security Law, DSL): Seit September 2021 in Kraft, regelt das DSL den Umgang mit Daten, die als wichtig für die nationale Sicherheit und soziale Stabilität angesehen werden.
- Gesetz zum Schutz persönlicher Informationen (Personal Information Protection Law, PIPL): Seit November 2021 ist das PIPL in Kraft und das wichtigste Regelwerk für den Schutz personenbezogener Daten.
- Maßnahmen zur Sicherheitsbewertung für die Bereitstellung von Daten im Ausland (seit 1. September 2022)
- Maßnahmen für den Standardvertrag für die Übermittlung personenbezogener Daten ins Ausland (seit 1. Juni 2023)
- Bestimmungen zur Erleichterung und Regelung des grenzüberschreitenden Datenverkehrs (seit 22. März 2024)
Wichtige Definitionen
Sensible personenbezogene Daten:
Eine Unterkategorie personenbezogener Daten, deren Offenlegung die persönliche Würde oder Sicherheit einer Person beeinträchtigen könnte, wie biometrische Informationen, Religionszugehörigkeit und medizinische Daten.
Eine Unterkategorie personenbezogener Daten, deren Offenlegung die persönliche Würde oder Sicherheit einer Person beeinträchtigen könnte, wie biometrische Informationen, Religionszugehörigkeit und medizinische Daten.
Wichtige Daten:
Daten, deren Manipulation oder Verlust die nationale Sicherheit und soziale Stabilität gefährden können. Bisher gibt es nur wenige Regelungen, die „wichtige Daten“ definieren.
Daten, deren Manipulation oder Verlust die nationale Sicherheit und soziale Stabilität gefährden können. Bisher gibt es nur wenige Regelungen, die „wichtige Daten“ definieren.
Betreiber kritischer Informationsinfrastrukturen
(Critical Information Infrastructure Operators, CIIO):
Unternehmen in wesentlichen Sektoren wie Telekommunikation, Energie, Verkehr und Finanzen, deren Netzwerke und Informationssysteme bei Beeinträchtigung die nationale Sicherheit und Wirtschaft gefährden könnten. Hierzu zählen zum Beispiel GPS-Daten.
(Critical Information Infrastructure Operators, CIIO):
Unternehmen in wesentlichen Sektoren wie Telekommunikation, Energie, Verkehr und Finanzen, deren Netzwerke und Informationssysteme bei Beeinträchtigung die nationale Sicherheit und Wirtschaft gefährden könnten. Hierzu zählen zum Beispiel GPS-Daten.
Neue Erleichterungen bei internationalen Datentransfers
Am 22. März 2024 hat die Cyberspace Administration of China (CAC) neue Vorschriften erlassen, die den internationalen Datenverkehr erleichtern. In sechs spezifischen Szenarien sind Unternehmen nun von der Pflicht befreit, eine Sicherheitsbewertung, einen Standardvertrag oder eine Zertifizierung vorzunehmen.
- Übermittlung bestimmter Daten im Rahmen internationaler Geschäftstätigkeiten: Daten, die im Rahmen von internationalem Handel, Transport oder akademischer Zusammenarbeit erhoben werden, aber keine personenbezogenen oder wichtige Daten enthalten.
- Rückübermittlung von im Ausland gesammelten Daten: Wenn Daten im Ausland gesammelt und zur Verarbeitung nach China zurückgeschickt werden, ohne dass in China neue personenbezogene Daten hinzugefügt werden.
- Erfüllung eines Vertrags: Datenübermittlung zur Erfüllung eines Vertrags mit einer Person, zum Beispiel bei Flugticket- und Hotelreservierungen, Visaanträgen oder elektronischen Einkäufen.
- Notwendigkeit für HR-Zwecke: Übermittlung von Mitarbeiterdaten zur Personalverwaltung im Ausland.
- Notwendigkeit in Notfällen: Übermittlung von Daten zum Schutz von Leben und Gesundheit in Notfällen.
- Übermittlung geringer Datenmengen: Übermittlung von personenbezogenen Daten von weniger als 100.000 Personen seit dem 1. Januar des laufenden Jahres.
Trotz dieser Befreiungen müssen Unternehmen dennoch ein PIPIA (Personal Information Protection Impact Assessment) durchführen, um sicherzustellen, dass die Datenverarbeitung den Anforderungen des Personal Information Protection Law (PIPL) entspricht. Zudem müssen Datenverarbeitende die betroffenen Personen informieren und deren Zustimmung einholen, wenn die Daten ins Ausland übermittelt werden. Auch gelten technische Anforderungen zur Gewährleistung der Daten in China und im Ausland.
Einige lokale Regierungen, darunter Shanghai und Tianjin, haben in ihren Freihandelszonen Allgemeine- und Negativlisten eingeführt, um den grenzüberschreitenden Datenverkehr für Unternehmen über die geltenden Bestimmungen hinaus zu erleichtern.
Detaillierte Informationen zu diesen Pilotzonen sowie konkrete Handlungsempfehlungen zur Datenübertragung finden Sie im englischsprachigen Praxis-Leitfaden der Deutschen Handelskammer in China (AHK Greater China).
Detaillierte Informationen zu diesen Pilotzonen sowie konkrete Handlungsempfehlungen zur Datenübertragung finden Sie im englischsprachigen Praxis-Leitfaden der Deutschen Handelskammer in China (AHK Greater China).
Erfordernis eines Standardvertrags oder einer Zertifizierung
Datenverarbeitende (mit Ausnahme von CIIO) müssen einen Standardvertrag abschließen oder eine Zertifizierung vornehmen, wenn sie personenbezogene Daten von 100.000 bis 1.000.000 Personen oder sensible Daten von bis zu 10.000 Personen ins Ausland übermitteln. Der Standardvertrag muss zusammen mit dem PIPIA-Report bei der CAC registriert werden.
Der Standardvertrag steht auf der Website der CAC (in chinesischer Sprache) bereit:
Die Zertifizierung zum Schutz personenbezogener Daten erfolgt über ein anerkanntes Zertifizierungsinstitut.
Die Zertifizierung bleibt für drei Jahre gültig.
Erfordernis einer Sicherheitsbewertung durch die CAC
Eine Sicherheitsbewertung durch die CAC ist erforderlich, wenn:
- Ein CIIO personenbezogene oder wichtige Daten ins Ausland übermittelt.
- Ein Datenverarbeitender wichtige Daten oder personenbezogene Daten von mehr als 1.000.000 Personen oder sensible Daten von mehr als 10.000 Personen pro Kalenderjahr ins Ausland übermittelt.
Das Ergebnis der Sicherheitsbewertung ist drei Jahre gültig.
Stand: 2. September 2024