Am 22. März 2024 veröffentlichte die Cyberspace Administration of China (CAC) neue Bestimmungen zur Regulierung und Förderung des internationalen Datenverkehrs, die am selben Tag in Kraft traten. In diesen Vorschriften werden sechs Szenarien genannt, unter denen Unternehmen von der Melde- und Kontrollpflicht bei der CAC befreit werden. Diese Änderungen sind insbesondere für deutsche Unternehmen – die Tochtergesellschaften in China haben – von Bedeutung, da sie vor allem die Anforderungen an die internationale Personalverwaltung erleichtern. In diesem Artikel erläutern wir die relevanten Ausnahmen und deren Bedeutung für multinationale Konzerne.
Der Inhalt im Überblick
- Instrumente für internationale Datentransfers gemäß PIPL
- Was wurde geändert?
- Wann muss man keine Übermittlungsinstrumente nutzen?
- Keine Befreiung bei „wichtigen Daten“
- Übermittlung der Mitarbeiterdaten zur internationalen Personalverwaltung
- Notwendigkeit für den Abschluss oder die Erfüllung eines Vertrages
- Reine Verarbeitung von Daten aus Ländern außerhalb Chinas
- Übermittlung von weniger als 100.000 Individuen
- Weitere Ausnahmetatbestände
- Datentransfers erleichtert – Nationale Sicherheit weiterhin wichtig
Instrumente für internationale Datentransfers gemäß PIPL
Das „Personal Information Protection Law“ (PIPL) der Volksrepublik China sieht in § 38 vor, dass Datenverarbeiter, die personenbezogene Daten an einen Empfänger außerhalb Chinas übermitteln, eines der folgenden Übermittlungsinstrumente verwenden müssen:
- Durchführung der Nationalen Sicherheitsbewertung, die von der CAC organisiert wird
- Zertifizierung durch ein Fachorgan nach den Bestimmungen der CAC
- Abschluss der durch die CAC erstellten Standardvertragsklauseln mit dem Empfänger
- Sonstige Bestimmungen in chinesischen Gesetzen, Verordnungen oder gemäß Vorschriften der CAC
Was sich hinter der letztgenannten Öffnungsklausel verbirgt, wird nun in diesem Artikel dargestellt.
Was wurde geändert?
Die neuen Bestimmungen vom 22. März 2024 lockern die oben genannten Anforderungen unter bestimmten Umständen, wodurch Unternehmen in spezifizierten Fällen von der Pflicht befreit werden, Übermittlungsinstrumente zu nutzen.
Seit der Einführung der Maßnahmen für die Standardvertragsklauseln im Juni 2023 mussten die Daten entweder auf Basis der SCCs oder einer Zertifizierung unterstützt werden, sofern keine nationale Sicherheitsbewertung erforderlich ist. Viele bisher abgeschlossene SCCs befinden sich noch im Verfahren der Aktenmeldung bei provinzebenen CAC-Behörden, was nun möglicherweise nicht mehr nötig ist.
Wann muss man keine Übermittlungsinstrumente nutzen?
Der erste Schritt wäre, die Natur der Daten zu überprüfen. Für wichtige Daten gilt diese Befreiung in keinem Fall. Daten, die nicht als „wichtige Daten“ klassifiziert sind, können in bestimmten Fällen ohne Übermittlungsinstrumente außerhalb Chinas übermittelt werden.
Keine Befreiung bei „wichtigen Daten“
Wenn Unternehmen „wichtige Daten“ ins Ausland übermitteln, gelten keine Ausnahmeregelungen und eine nationale Sicherheitsbewertung wird erforderlich.
Bei wichtigen Daten handelt es sich um
„Informationen, die bei Manipulation, Zerstörung, Durchsickern, illegalem Zugriff oder unrechtmäßiger Nutzung die nationale Sicherheit, die Wirtschaft, die soziale Stabilität sowie die öffentliche Gesundheit und Sicherheit gefährden könnten“ (Outbound Data Transfer Security Assessment Measures, Art. 19).
Unternehmen müssen nicht selbst einschätzen, ob die zu übermittelnden Daten unter „wichtige Daten“ fallen, denn diese werden „von den zuständigen Stellen durch Mitteilungen oder öffentliche Bekanntmachungen als wichtig eingestuft“ (Ziffer 2 der Bestimmungen).
Übermittlung der Mitarbeiterdaten zur internationalen Personalverwaltung
Für europäische Unternehmen, die Konzerngesellschaften in China haben, ist insbesondere diese Ausnahmevorschrift von Bedeutung:
„wenn es notwendig ist, personenbezogene Daten der Arbeitnehmer ins Ausland zu übermitteln, um Personalverwaltung durchzuführen, und dies in Übereinstimmung mit den gesetzlich formulierten arbeitrechtlichen Vorschriften und/oder einem gesetzlich unterzeichneten Tarifvertrag geschieht“ (Ziffer 5.2 der Bestimmungen).
Viele multinationale Unternehmen nutzen zentralisierte IT-Systeme oder Tools, um Mitarbeiterdaten zu verwalten, Leistungsbeurteilungen durchzuführen, Gehaltszahlungen oder andere Leistungen für die Mitarbeiter abzuwickeln. Je nach Umfang der übertragenen Mitarbeiterdaten mussten die chinesischen Tochtergesellschaften bisher entweder eine nationale Sicherheitsbewertung durchführen oder die chinesischen SCC abschließen und bei der CAC einreichen. Diese Anforderungen sind nun aufgehoben, unabhängig vom Datenvolumen.
Der Begriff „Mitarbeiter“ umfasst in diesem Kontext nicht nur interne Angestellte, sondern auch Praktikanten, Bewerber, Leiharbeiter und weitere.
Notwendigkeit für den Abschluss oder die Erfüllung eines Vertrages
Der Datenverarbeiter wird ebenfalls von der Verpflichtung befreit, eine Sicherheitsbewertung durchzuführen, einen Standardvertrag abzuschließen oder eine Zertifizierung vorzunehmen, wenn personenbezogene Daten ins Ausland übermittelt werden müssen, um einen Vertrag für eine Person als Partei abzuschließen und zu erfüllen. Beispielsweise bei grenzüberschreitenden Einkäufen, Postversand, Überweisungen, Zahlungen, Kontoeröffnungen sowie Flugticket- und Hotelreservierungen, Visumsanträgen, Prüfungsleistungen usw. (Ziffer 5.1 der Bestimmungen).
Reine Verarbeitung von Daten aus Ländern außerhalb Chinas
Unternehmen, die ein zentrales Rechenzentrum in China betreiben oder Dienstleiter dort beauftragen, sind nun berechtigt, Daten ohne den Einsatz von Übermittlungsinstrumenten zu übermitteln, wenn diese personenbezogenen Daten:
- im Ausland gesammelt oder erzeugt wurden,
- nach China übermittelt und dort verarbeitet werden, und
- anschließend wieder ins Ausland zurückgeschickt werden, ohne dass während der Verarbeitung in China neue personenbezogene oder wichtige Daten hinzugefügt werden (Ziffer 4 der Bestimmungen).
Diese Regelung ist insbesondere relevant für Konzernunternehmen, die beispielsweise ihre Daten, welche in Deutschland erhoben wurden, zur Analyse nach China senden und anschließend wieder auf diese Daten in Deutschland zugreifen möchten. Sofern bei diesem Prozess keine neuen personenbezogenen Informationen oder wichtigen Daten aus China integriert werden, entfällt die Notwendigkeit, eines der Übermittlungsinstrumente zu verwenden.
Übermittlung von weniger als 100.000 Individuen
Die neue Regelung bietet KMU erhebliche Erleichterungen. Sie sind von der Pflicht zur Nutzung spezifischer Übermittlungsinstrumente befreit, wenn sie seit dem 1. Januar des laufenden Jahres personenbezogene Daten von weniger als 100.000 Individuen ins Ausland übermittelt haben (Ziffer 5.4 der Bestimmungen).
Sollten Unternehmen als Betreiber kritischer Informationsinfrastrukturen (CIIO) klassifiziert werden, müssen sie weiterhin den vollständigen Umfang der Sicherheitsbewertungen durchführen. Ob ein Unternehmen als CIIO gilt, entscheiden letztendlich die Behörden im Einzelfall. Branchen wie Telekommunikation und Information, Energie, Verkehr, Wasserwirtschaft und Finanzen gehören im Allgemeinen dazu. Aber auch „jegliche andere wichtige Netzwerkbetreiber“, die im Falle eines Ausfalls / Schadens / Datenlecks die nationale Sicherheit beeinflussen, können darunter fallen.
Weitere Ausnahmetatbestände
Gemäß Ziffer 5.3 der Bestimmungen sind Übermittlungsinstrumente nicht erforderlich, wenn personenbezogene Daten ins Ausland übermittelt werden müssen, um das Leben, die Gesundheit oder das Eigentum natürlicher Personen in einem Notfall zu schützen.
Nicht-personenbezogene Daten, die im Rahmen von Aktivitäten wie internationalem Handel, grenzüberschreitendem Transport, akademischer Zusammenarbeit, grenzüberschreitender Produktion und Fertigung, Marketing und Werbung usw. erhoben oder erzeugt werden, dürfen ohne Übermittlungsinstrumente ins Ausland übermittelt werden, solange sie keine „wichtigen Daten“ darstellen (Ziffer 3 der Bestimmungen).
Außerdem ermächtigen die Vorschriften in Ziffer 6 Pilot-Freihandelszonen in China, eine eigene Liste (Negativliste) zu erstellen, in denen die Daten aufgeführt sind, die einer Sicherheitsbewertung, dem Abschluss der SCC oder einer Zertifizierung unterliegen. Wenn Daten nicht in der jeweiligen Negativliste aufgeführt sind, können sie frei ins Ausland übermittelt werden, ohne dass eine Anmeldung oder ein Antrag bei der CAC erforderlich ist.
Datentransfers erleichtert – Nationale Sicherheit weiterhin wichtig
Wenn keiner der obengenannten Ausnahmetatbestände betroffen sind, müssen Unternehmen weiterhin eine nationale Sicherheitsbewertung durchführen oder die SCC abschließen. Die Vorgehensweise bleibt unverändert. Wir haben in einem Artikel bereits beschrieben, was ist zu tun, um die China-SCC zu unterzeichnen.
Die neuen Ausnahmeregeln, welche die internationale Zusammenarbeit und Kommunikation im Bereich der digitalen Wirtschaft vorantreiben sollen, erleichtern nun erheblich die internationale Verwaltung multinationaler Konzerne. Man bemerkt aber auch, dass Datensicherheit und nationale Sicherheit im Fokus stehen.