Datentransfer China

Um personenbezogene Daten aus China zu übermitteln, müssen Unternehmen üblicherweise entweder einen Standardvertrag abschließen, eine Zertifizierung vornehmen oder eine Sicherheitsüberprüfung durch chinesische Behörden durchlaufen. Unter bestimmten Voraussetzungen sind diese Maßnahmen nicht mehr notwendig.

Übermittlung von personenbezogenen Daten aus China ins Ausland

Die Übertragung personenbezogener Daten aus China in die EU stellt eine Herausforderung für Unternehmen dar. Am 28. September 2023 veröffentlichte die Cyberspace Administration of China (CAC) den Entwurf der “Bestimmungen zur Standardisierung und Förderung grenzüberschreitenden Datenverkehrs“. Ziel ist es, die aktuell strengen Regelungen zu lockern. Diese sind durch das “Personal Information Protection Law” (PIPL) seit November 2021 sowie den “Maßnahmen zum Standardvertrag für die grenzüberschreitende Übermittlung personenbezogener Daten” seit Juni 2023 gültig.
Am 22. März 2024 veröffentlichte die CAC nun die lang erwartete finale Fassung der ”Bestimmungen zur Standardisierung und Förderung grenzüberschreitenden Datenverkehrs (auf Chinesisch)”. Diese sind ab sofort gültig.

Strenge Regeln gelockert

Wichtigste Ausnahmen von den bisherigen Beschränkungen sind:
  • Daten, die in Bereichen wie internationalem Handel, akademischer Zusammenarbeit, grenzüberschreitender Produktion und Marketing übermittelt werden, aber keine personenbezogenen oder wichtige Daten enthalten (Datenverarbeiter müssen “wichtige Daten” bei der CAC melden. Gibt es keine Vorschriften zur Definition von “wichtigen Daten”, ist eine Sicherheitsüberprüfung solcher Daten nicht erforderlich.)
  • personenbezogene Daten, die nicht in China erhoben oder gesammelt werden (zum Beispiel solche, die in der Muttergesellschaft in Deutschland gesammelt, an die Niederlassung in China bereitgestellt und wieder zurück an das Headquarter gesendet werden)
  • wenn es für die Erfüllung eines Vertrags erforderlich ist, die Daten der betroffenen Person zu erheben, zum Beispiel für grenzüberschreitende elektronische Einkäufe, Geldüberweisungen, Flugtickets und Hotelreservierungen sowie Visumanträge
  • personenbezogene Daten von Mitarbeitenden, die zwecks Personalverwaltung gemäß einem rechtmäßig abgeschlossenen Arbeitsvertrag erforderlich sind
  • personenbezogene Daten, die zum Schutz der Gesundheit und der Sicherheit des Eigentums einer natürlichen Person in einem Notfall erforderlich sind
  • grenzüberschreitender Transfer durch Datenverarbeiter, die personenbezogene Daten von weniger als 100.000 Personen innerhalb eines Jahres aus China ins Ausland übertragen
  • personenbezogene Daten, die nicht unter die von den Pilot-Freihandelszonen zu formulierende Negativliste fallen.
Datenverarbeiter müssen allerdings weiterhin bestimmte Vorschriften einhalten. Sie müssen zum Beispiel die betroffenen Personen informieren und deren Zustimmung einholen, wenn die Daten ins Ausland übermittelt werden.

Nicht personenbezogene Daten

Die EU und China führten am 27. August 2024 erste Gespräche im Rahmen des neuen Mechanismus für die grenzüberschreitende Übermittlung von Daten. Der Mechanismus soll europäische Unternehmen bei der Handhabung von nicht personenbezogenen Daten unterstützen.

Übermittlung von personenbezogenen Daten nach China

Für China existiert kein Angemessenheitsbeschluss der EU-Kommission. Unternehmen müssen im Regelfall bei der Übermittlung von personenbezogenen Daten nach China auf die Standardvertragsklauseln zurückgreifen.
Allerdings ist der staatliche Zugriff auf personenbezogene Daten in China kaum beschränkt, sodass es allenfalls gilt, durch Ergänzungsvereinbarungen mit dem Vertragspartner in China Risiken zu mindern – etwa auf organisatorischem Weg (so wenige Daten wie möglich) und technischem Weg (Verschlüsselung).