Rechtsbericht | China | Datenschutzrecht
Neue chinesische Bestimmungen im Bereich Datentransfer
Die Cyberspace Administration of China hat am 22. März 2024 neue Regeln zur grenzüberschreitenden Datenübertragung veröffentlicht. Sie sind seit dem Tag ihrer Verkündung in Kraft.
09.04.2024
Von Julia Merle | Bonn
Die neuen Bestimmungen sehen Erleichterungen vor: Danach sind nun solche Datenverarbeiter (außer Betreiber kritischer Informationsinfrastrukturen) grundsätzlich von den Verpflichtungen zum Abschluss eines Standardvertrages, der Durchführung einer Sicherheitsbewertung und der Zertifizierung ausgenommen, die seit dem 1. Januar des jeweiligen laufenden Jahres personenbezogene Daten (ausgenommen sensible) von weniger als 100.000 Personen ins Ausland transferieren (Art. 5 Abs. 4 der Bestimmungen).
Darüber hinaus werden noch fünf weitere Fälle gelistet (in Art. 3, 4 und 5), die grundsätzlich zu einer Befreiung von den genannten Pflichten führen. Dazu zählt auch die Übertragung von - weder personenbezogenen noch wichtigen - Daten ins Ausland, die nach Art. 3 der Bestimmungen etwa bei der grenzüberschreitenden Herstellung oder beim internationalen Handel erhoben wurden. Ferner wird beispielsweise der für das grenzüberschreitende Personalmanagement notwendige Datentransfer aufgeführt.
Die neuen Bestimmungen ergänzen die sogenannten
Maßnahmen zur Sicherheitsbewertung beim grenzüberschreitenden Transfer von Daten vom 7. Juli 2022 (dazu GTAI-Rechtsmeldung vom 4. August 2022) und die
Maßnahmen hinsichtlich des Standardvertrages für den grenzüberschreitenden Transfer von persönlichen Daten vom 22. Februar 2023 (dazu GTAI-Rechtsmeldung vom 15. Mai 2023)
und gehen diesen nach Art. 13 bei Unvereinbarkeit vor.
Diesbezüglich sind außerdem die beiden Leitlinien (Guidelines) zur Beantragung der Sicherheitsbewertung sowie zur Einreichung des Standardvertrages aktualisiert worden.
Eine Sicherheitsbewertung ist nach Art. 7 Abs. 2 der neuen Bestimmungen insbesondere weiterhin erforderlich bei jeglichem Transfer "wichtiger Daten" (dazu: Art. 2) oder auch bei einer grenzüberschreitenden Übertragung personenbezogener Daten von nun über 1 Million Personen. Handelt es sich um sensible personenbezogene Daten, liegt die Schwelle weiter bei 10.000 Individuen - statt des Vorjahres nunmehr aber im laufenden Jahr. Das Ergebnis gilt zunächst für drei Jahre (zuvor zwei Jahre) und kann bei gleichbleibenden Umständen binnen einer bestimmten Frist um den gleichen Zeitraum verlängert werden (Art. 9 der Bestimmungen).
Liegt die Übertragung unsensibler personenbezogener Daten bei solchen von mehr als 100.000, jedoch unter 1 Million Personen, ist entweder der Abschluss eines Standardvertrages oder eine Zertifizierung (dazu GTAI-Rechtsmeldung vom 21. Dezember 2022) notwendig (Art. 8 der Bestimmungen).
Ende September 2023 war ein Entwurf von Ausnahmeregelungen veröffentlicht worden.
Zum Thema:
- Text der "Provisions on the Promotion and Regulation of Cross-Border Data Flows" vom 22. März 2024 auf Chinesisch
- Guidelines in der jeweiligen aktualisierten 2. Edition auf Chinesisch
- GTAI-Rechtsbericht China: E-Commerce und Datenschutz (Stand: 6. September 2022)