Rechtsmeldung | China | Datenschutzrecht
Regeln für die Datenschutzzertifizierung in China
Bezüglich der Zertifizierung der Verarbeitung persönlicher Daten hat China Implementierungsvorschriften erlassen. Sie beschreiben insbesondere das Zertifizierungsverfahren.
21.12.2022
Von Julia Merle | Bonn
Eine der in Art. 38 Abs. 1 Personal Information Protection Law (PIPL) aufgeführten Bedingungen für eine notwendige grenzüberschreitende Übertragung persönlicher Daten ist die Durchführung einer Zertifizierung des Schutzes personenbezogener Daten durch eine spezialisierte Stelle (Ziff. 2).
Zur Umsetzung einschlägiger PIPL-Bestimmungen haben die chinesische State Administration for Market Regulation und die Cyberspace Administration of China die "Implementation Rules for Personal Information Protection Certification" herausgegeben.
Danach sollen Datenverarbeiter für eine Zertifizierung generell den Standard "GB/T 35273" (Chinesisch) beachten.
Für grenzüberschreitende Verarbeitungsaktivitäten kommt der Standard "TC260-PG-20222A" hinzu. Dieser Leitfaden lag bisher in der Fassung aus Juni 2022 (Chinesisch) vor. Er wurde zum 16. Dezember 2022 aktualisiert (Version 2.0, Chinesisch).
Das Verfahren der Zertifizierung soll in drei Schritten ablaufen, Regelung Nr. 4:
- technische Verifizierung durch spezialisierte Institutionen,
- "Vor-Ort-Audit" sowie
- Überwachung nach der Zertifizierung durch die Zertifizierungsstelle.
Ferner werden zwei Formen des Prüfzeichens (certification mark) geregelt: ohne und mit grenzüberschreitenden Verarbeitungsaktivitäten.
Das Zertifikat soll grundsätzlich drei Jahre gültig sein (Regelung Nr. 5).
Zum Thema:
- Implementierungsregelungen vom 18. November 2022 (Chinesisch)
- GTAI-Rechtsmeldung "China spezifiziert Regeln für grenzüberschreitenden Datentransfer" vom 4. August 2022
