Geschrieben am 22.06.2023 von:
In der Volksrepublik China trat am 01.11.2021 ein neues Datenschutzgesetz in Kraft (Personal Information Protection Law of the People’s Republic of China, kurz PIPL), welches hinsichtlich der Verarbeitung personenbezogener Daten ähnliche Vorgaben wie die DS-GVO enthält. Auch im Falle von Datenexporten ins Ausland wurden Regelungen getroffen. Wie auch in der DS-GVO kann eine Übermittlung von personenbezogenen Daten in Drittländer (im vorliegenden Fall also ins nicht chinesische Ausland) durch geeignete Garantien legitimiert werden. Eines dieser Instrumente sind die neuen Standardvertragsklauseln (SCCs), die durch die Cyberspace Administration of China (CAC) erstellt wurden.
Anders als die von der Europäischen Kommission im Juni 2021 erstellten und genehmigten Standarddatenschutzklauseln für Übermittlungen außerhalb der EU und des EWR decken die chinesischen Klauseln keine vier Module ab, sondern bestehen nur aus einem einzigen Modul. Dieses gilt für Datenexporteure Chinas und die Datenimporteure aus Drittländern, unabhängig von ihrer Rolle und Funktion. Ähnlich wie im Anwendungsbereich der DS-GVO entfaltet auch das PIPL exterritoriale Wirkung: Es gilt auch für solche Datenexporteure, die zwar nicht in China ansässig sind, jedoch für die betreffende Verarbeitung dem chinesischen Datenschutzgesetz unterliegen. Das Gesetz findet Anwendung auf Verarbeitungen persönlicher Daten natürlicher Personen außerhalb des Gebiets der Volksrepublik China, wenn bestimmte Umstände vorliegen, wie zum Beispiel die Verarbeitung zum Zweck, natürlichen Personen innerhalb des chinesischen Gebiets Waren oder Dienstleistungen anzubieten oder das Verhalten natürlicher Personen innerhalb des chinesischen Gebiets zu analysieren oder zu bewerten.
Zu beachten ist, dass die Übermittlung von personenbezogenen Daten aus China in Drittländer nicht immer aufgrund der SCCs erfolgen kann. Denn die SCCs können auschließlich dann verwendet werden, wenn alle vier nachfolgenden Voraussetzungen erfüllt sind:
- Die Verarbeitung personenbezogener Daten erfolgt von weniger als einer Millionen Menschen
- Seit dem 1. Januar des vorangegangenen Jahres wurden grenzüberschreitende Übertragungen von „allgemeiner persönlicher Informationen“ von insgesamt weniger als 100.000 Personen vorgenommen.
- Seit dem 1. Januar des vorangegangenen Jahres wurden grenzüberschreitende Übertragung „sensibler persönlicher Informationen“ von insgesamt weniger als 10.000 Personen vorgenommen.
- Es handelt sich nicht um eine*n Betreiber*in kritischer Informationsinfrastrukturen („CIIO“)
Wichtig ist hierbei, dass Unternehmen die Datenübertragungen nicht aufteilen dürfen, um diesen Sicherheitsmechanismus zu umgehen, und müssen die jährliche Gesamtmenge der zu übertragenden Daten schätzen.
Was ist für deutsche Unternehmen nun zu beachten? Der Datenimporteur darf personenbezogene Daten nur gemäß den Bedingungen verarbeiten, die im Anhang 1 (Erläuterungen zu Drittlandübermittlung) enthalten sind und darf die Daten nicht über den vereinbarten Umfang hinaus verarbeiten. Der*die Importeur*in soll die Verarbeitung in einer Art und Weise durchführen, die die Rechte und Interessen der betroffenen Person nur minimal beeinflussen und die Sicherheit der Datenverarbeitung durch technische und organisatorische Maßnahmen gewährleisten. Im Falle von Datenschutzverletzungen muss der*die Importeur*in sofort Maßnahmen zur Abhilfe ergreifen, den*die Verarbeiter*in benachrichtigen und die Aufsichtsbehörden informieren. Eine weitere Übermittlung von personenbezogenen Daten durch den*die ausländische*n Empfänger*in ist nur möglich, wenn bestimmte Bedingungen erfüllt sind.