Rechtsbericht | China | Datenschutz
Aktuelle Entwicklungen im chinesischen Datenschutzrecht
Derzeit entstehen in China viele Regelungen in Bezug auf die neuen Datenschutzgesetze. So wurde auch ein Entwurf von Bestimmungen zum grenzüberschreitenden Datentransfer vorgelegt.
28.01.2022
Von Julia Merle | Bonn
Sicherheitsbewertung beim Export von Daten
Die Cyberspace Administration of China (CAC) veröffentlichte Ende Oktober 2021 sogenannte "Draft Measures on Security Assessment of Cross-border Data Transfer". Frühere Entwürfe derartiger Regelungen waren bislang nicht verabschiedet worden.
Es handelt sich bei dem aktuellen Entwurf um geplante Implementierungsbestimmungen bezüglich des Cybersicherheitsgesetzes (nachfolgend: CSL), des Datensicherheitsgesetzes (DSL) und des Gesetzes zum Schutz persönlicher Informationen (PIPL).
Diese drei Gesetze enthalten lediglich allgemeine Vorschriften zum Thema grenzüberschreitende Übertragung von Daten:
Wenn wichtige Daten, die in China von Betreibern kritischer Informationsinfrastruktur gesammelt oder generiert wurden, aus China heraus übermittelt werden sollen, findet nach Art. 31 DSL das CSL Anwendung. Hinsichtlich sonstiger Datenverarbeiter sollen Umsetzungsbestimmungen folgen.
Artikel 37 CSL bestimmt wiederum, dass persönliche Informationen und wichtige Daten, die Betreiber kritischer Informationsinfrastruktur innerhalb des Gebiets der Volksrepublik China sammeln und generieren, grundsätzlich dort gespeichert werden müssen. Wenn es aufgrund der geschäftlichen Tätigkeit wirklich erforderlich ist, Daten aus China heraus zu übermitteln, müssen Sicherheitsbewertungen durchgeführt werden.
Das PIPL behandelt den grenzüberschreitenden Datentransfer in Kapitel 3, Art. 38 bis 43 PIPL (dazu: GTAI-Rechtsbericht zum PIPL, "Datenübermittlung ins Ausland"). Artikel 40 PIPL lässt den Schwellenwert bei der Menge der verarbeiteten persönlichen Daten zur Festlegung offen.
Regelungsentwurf: Kriterien für Sicherheitsbewertungen
Der eingangs genannte jüngste Entwurf der CAC enthält konkretere Vorgaben für die Sicherheitsbewertungen, die durchzuführen sind, bevor in China gesammelte oder generierte wichtige Daten und persönliche Informationen aus China ins Ausland transferiert werden.
Artikel 4 des Entwurfs zählt auf, in welchen Fällen eine Anmeldung bei der CAC (beziehungsweise der lokalen Behörde) erfolgen muss:
- von Betreibern kritischer Informationsinfrastruktur gesammelte und generierte persönliche Informationen sowie wichtige Daten;
- Transfer jeglicher wichtiger Daten;
- Übermittlung persönlicher Informationen ins Ausland durch Verarbeiter, deren Verarbeitungsmenge persönlicher Informationen eine Million erreicht;
- kumulative grenzüberschreitende Bereitstellung von persönlichen Informationen von mehr als 100.000 Personen oder sensiblen personenbezogenen Daten von über 10.000 Personen;
- andere Situationen, in denen eine Sicherheitsbewertung erforderlich ist (Auffangklausel).
In diesen Situationen sollen zunächst interne Risikobewertungen und dann zusätzlich staatliche Sicherheitsbewertungen stattfinden, bevor die Daten ins Ausland übermittelt werden, Art. 3 des Entwurfs.
In allen anderen Fällen ist ebenfalls vor dem grenzüberschreitenden Datentransfer eine interne Selbstbewertung nach den Vorgaben des Art. 5 des Entwurfs erforderlich.
Bei der Sicherheitsbewertung von Datenexporten steht nach Art. 8 des Entwurfs die Bewertung der Risiken für die nationale Sicherheit, öffentliche Interessen und die Rechte und Interessen Einzelner oder Organisationen im Vordergrund. Unter anderem sind Zulässigkeit, Rechtmäßigkeit und Notwendigkeit von Zweck, Umfang und Methode der Datenübermittlung zu prüfen.
Die staatliche Sicherheitsbewertung durch die CAC soll nach Art. 11 des Entwurfs innerhalb von 45 Tagen ab der Annahme abgeschlossen sein, in komplizierten Fällen ist eine Verlängerung auf bis zu 60 Tage möglich. Artikel 12 des Entwurfs sieht grundsätzlich eine Gültigkeitsdauer der Ergebnisse von zwei Jahren vor. Treten innerhalb dieser Frist bestimmte Umstände ein, ist erneut eine Sicherheitsbewertung durchzuführen. Soll der Datentransfer darüber hinaus fortgesetzt werden, ist 60 Tage vor Ablauf der Gültigkeit eine erneute Sicherheitsbewertung zu beantragen; anderenfalls ist die Datenübermittlung einzustellen.
Zum Text des Entwurfs vom 29. Oktober 2021 auf Chinesisch.
Ausgewählte weitere Entwicklungen im Datenschutzbereich
Hinsichtlich der Sicherheit von Netzwerkdaten hat die CAC im November 2021 den Regelungsentwurf "Draft Network Data Security Management Regulations" zur Kommentierung bis 13. Dezember 2021 vorgelegt (Chinesisch). Dieser soll ebenfalls die drei genannten Gesetze näher ausführen und betrifft im 5. Kapitel den grenzüberschreitenden Datentransfer. Insbesondere enthält Art. 73 Nr. 3 dieses Entwurfs eine Reihe von Beispielen zur Bestimmung der "wichtigen Daten" (重要数据). In Art. 2 des Entwurfs ist eine extraterritoriale Anwendbarkeit auch bei Verarbeitung wichtiger inländischer Daten außerhalb Chinas vorgesehen.
Derzeit läuft bis zum 13. März 2022 zudem eine Kommentierungsfrist zu einem Entwurf nicht bindender Richtlinien in Bezug auf "wichtige Daten" (Chinesisch).
Die "kritische Informationsinfrastruktur" betreffend gelten seit 1. September 2021 neue Vorschriften zu deren Sicherheit (Chinesisch) als Durchführungsbestimmungen zum CSL. Danach bezieht sich dieser Begriff auf wichtige Branchen wie unter anderem öffentliche Informationsdienste, Energie, Verkehr oder Finanzen, wo Datenlecks insbesondere die nationale Sicherheit und Wirtschaft ernsthaft gefährden können (vgl. Art. 2).
Die ebenfalls in Ausführung des CSL (Art. 35) erlassenen "Measures for Cybersecurity Review" vom 28. Dezember 2021 (Chinesisch) enthalten nun auch Bezüge zum DSL und Datenverarbeitungsaktivitäten. Sie ersetzen ab dem 15. Februar 2022 die seit Juni 2020 geltende Fassung dieser Maßnahmen.
Die lokalen Datenschutzregelungen von Shenzhen (vom 29. Juni 2021; Chinesisch) und Shanghai (vom 25. November 2021; Chinesisch) traten am 1. Januar 2022 in Kraft.
Abschließend ist festzuhalten: Die Entwicklungen im chinesischen Datenschutzrecht bleiben dynamisch. Künftig ist daher weiter mit Umsetzungsbestimmungen zu den Gesetzen zu rechnen.
Zum Thema: