Zum Inhalt springen Zur Navigation springen
China: Neue SCC für internationale Datentransfers

China: Neue SCC für internationale Datentransfers

Die Volksrepublik China war im Jahr 2022 zum siebten Mal in Folge Deutschlands wichtigster Handelspartner. Daher gründen immer mehr europäische Unternehmen Konzerngesellschaften in China, was wiederum unumgänglich zu Datentransfers aus China an die europäische Hauptverwaltung führt. Solche internationalen Datenübermittlungen können aufgrund der neuen chinesischen Standardvertragsklauseln (SCC) erfolgen. Wir zeigen, wann dies der Fall ist und welche Pflichten ausländische Datenempfänger dabei treffen.

Inkrafttreten und Umsetzungsfrist

Bereits am 1. November 2021 trat Chinas neues Datenschutzgesetz in Kraft (das wir hier kritisch besprochen hatten), welches der Wirtschaft bei der Verarbeitung personenbezogener Daten ähnliche Vorgaben wie die DSGVO auferlegt. Dieses macht in Art. 38 PIPL auch Vorschriften hinsichtlich der Rechtmäßigkeit von Datenübermittlung in das nicht chinesische Ausland. Dabei ist eines von dreien Übermittlungsinstrumenten der Abschluss der von der Cyberspace Administration of China (CAC) erstellten Standardvertragsklauseln mit dem Empfänger.

Am 24. Februar hat die CAC die endgültige Fassung der Maßnahmen für die Standardvertragsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten (SCC-Maßnahmen) veröffentlicht, in der die chinesischen Standardvertragsklauseln angehängt wurden. Die SCC-Maßnahmen werden am 1. Juni in Kraft treten. Unternehmen haben jedoch bis zum 30. November 2023 Zeit, Maßnahmen zur Einhaltung zu ergreifen.

Wann können Daten aufgrund der SCC an Dritte außerhalb Chinas übermittelt werden?

Nicht alle Datenübermittlungen aus China ins Ausland können aufgrund der SCC erfolgen. Gemäß Art. 4 der SCC-Maßnahmen kann ein Verarbeiter die SCC nur dann verwenden, wenn alle vier der folgenden Bedingungen erfüllt sind:

  1. Es handelt sich nicht um einen Betreiber kritischer Informationsinfrastrukturen (CIIO – Ob ein Unternehmen ein Betreiber kritischer Informationsinfrastrukturen ist, entscheiden letztendlich die Behörden im Einzelfall. Im Allgemeinen können CIIOs unter anderem zu Branchen wie Telekommunikation und Information, Energie, Verkehr, Wasserwirtschaft und Finanzen gehören, aber auch „jegliche andere wichtige Netzwerkbetreiber“, die im Falle eines Ausfalls, eines Schadens oder Datenlecks die nationale Sicherheit beeinflussen, können darunter fallen).
  2. Es werden persönliche Informationen von weniger als 1 Millionen Individuen verarbeitet.
  3. Seit dem 1. Januar des vorangegangenen Jahres wurden grenzüberschreitende Übertragungen von „allgemeinen persönlicher Informationen“ von insgesamt weniger als 100.000 Individuen vorgenommen.
  4. Seit dem 1. Januar des vorangegangenen Jahres wurden grenzüberschreitende Übertragung „sensibler persönlicher Informationen“ von insgesamt weniger als 10.000 Individuen vorgenommen.

Es ist erwähnenswert, dass die oben genannten Schwellenwerte in den chinesischen SCC mit den Schwellenwerten für grenzüberschreitende Datenübertragungen übereinstimmen, die einer von der CAC durchgeführten Sicherheitsbewertung erfordern. Gemäß den Measures on Security Assessment for Outward Data Transfer (von der CAC im August 2022 herausgegeben und ab dem 1. September 2022 in Kraft) muss jeder internationale Datentransfer aus China die von der CAC geleitete Sicherheitsbewertung durchlaufen, wenn er eine der oben genannten vier Bedingungen nicht erfüllt ist.

Die SCC-Maßnahmen verbieten es ausdrücklich, die Datenübertragungen in Bündel aufzuteilen, um den Sicherheitsbewertungsmechanismus der CAC zu umgehen. Daher müssen die Unternehmen die jährliche Gesamtmenge der zu übertragenden Daten schätzen.

Welche Modelle enthalten die chinesischen SCC?

Im Gegensatz zu den EU-Standardvertragsklauseln, die vier verschiede Module abdecken, bestehen die chinesischen SCC nur aus einem universellen Modul. Dieses gilt für Datenexporteure (Verarbeiter) Chinas und die Datenimporteure im Ausland, unabhängig von ihrer Rolle und Funktion. Es ist zu beachten, dass es auch für solche Datenexporteure gilt, die zwar nicht in China ansässig sind, jedoch nach Art. 3 Abs. 2 PIPL für die betreffende Verarbeitung der PIPL unterliegen. Nach Art. 3 Abs. 2 PIPL gilt: Auf Verarbeitungen persönlicher Daten natürlicher Personen außerhalb des Gebiets der Volksrepublik China findet dieses Gesetz ebenfalls Anwendung, wenn einer der folgenden Umstände vorliegt:

  1. Die Verarbeitung erfolgt zu dem Zweck, natürlichen Personen innerhalb des chinesischen Gebiets Waren oder Dienstleistungen anzubieten;
  2. die Verarbeitung erfolgt, um das Verhalten natürlicher Personen innerhalb des chinesischen Gebiets zu analysieren oder bewerten;
  3. andere durch Gesetz und Verwaltungsrechtsnorm bestimmte Umstände.

Unterzeichnung von SCC: Was ist zu tun?

Folgende Schritte sind bis zur Unterzeichnung der SCC zu durchlaufen:

1. Durchführung einer Datenschutz-Folgenabschätzung (DSFA)

Vor Abschluss der SCC muss der Datenexporteur eine Folgenabschätzung durchführen und einen Bericht darüber erstellen, der mehrere Faktoren abbildet, darunter:

  • Rechtmäßigkeit, Notwendigkeit und Angemessenheit der geplanten grenzüberschreitenden Datenübermittlung;
  • Umfang, Kategorie, Volumen und Sensibilität der übermittelten Daten;
  • Die Verpflichtungen und ergriffene technische und organisatorische Maßnahmen, welche der ausländische Empfänger zu treffen hat;
  • Das potenzielle Risiko einer Verletzung des Schutzes personenbezogener Daten oder eines Datenlecks oder einer Datenbeschädigung nach der Übermittlung sowie die Rechtsbehelfsmöglichkeiten für die betroffenen Personen;
  • Die Datenschutzgesetze und -politiken der ausländischen Zielländer und
  • Alle anderen Faktoren, die sich auf die grenzüberschreitende Datenübermittlung auswirken können.

2. Klauseln vollständig ausfüllen

Genauso wie bei den EU-SCC müssen die Parteien im Anhang einige Informationen über die Datenverarbeitung (Zwecke, Art, Umfang der Verarbeitung usw.) ausfüllen. Dabei sind auch Angaben über Exporteur und Importeur sowie Beschreibung über TOMs erforderlich.

Die Parteien dürfen keine Änderungen an den SCC vornehmen, sie können jedoch bei Bedarf zusätzliche Bedingungen hinzufügen, wenn diese nicht mit den Standardbedingungen der Vereinbarung in Konflikt treten.

3. Aktenmeldungsverfahren bei CAC

Innerhalb von zehn Arbeitstagen nach Inkrafttreten der SCC müssen die abgeschlossenen SCC und der Bericht über die DSFA bei der CAC auf Provinzebene eingereicht werden.

4. Re-do

In einigen Fällen kann es vorkommen, dass die Parteien die DSFA erneut durchführen, die SCC aktualisieren oder erneut abschließen und bei der Provinzgeschäftsstelle der CAC erneut einreichen müssen. Mögliche Gründe sind:

  • Verlängerung der Datenaufbewahrungsfrist, Änderungen des Zwecks, des Umfangs, der Kategorie, des Volumens, des Speicherorts und der Sensibilität der außerhalb Chinas zu verarbeitenden personenbezogenen Daten.
  • Änderungen der Datenschutzgesetze und -politiken in den ausländischen Zielländern, die sich auf die Rechte und Vorteile der betroffenen Personen auswirken.
  • Andere Situationen, die sich auf die betroffenen Personen auswirken können.

Bußgeld und Strafen

Wenn die Aufsichtsbehörde der Provinz der Ansicht ist, dass der grenzüberschreitende Datentransfer ein erhebliches Risiko darstellt oder es zu größeren Datenschutzvorfällen kommt, können Gespräche und Treffen mit dem Datenexporteur verlangt und Korrekturen angefordert werden. Es wurde auch ein Mechanismus zur Meldung von Missständen eingerichtet, über den Einzelpersonen oder Organisationen den CAC-Behörden der Provinzen nichtkonforme grenzüberschreitende Datentransfers melden können.

Die SCC-Verordnungen sehen außerdem vor, dass bei Verstößen gegen das chinesische Gesetz zum Schutz personenbezogener Daten verwaltungs-, zivil- und sogar strafrechtliche Konsequenzen drohen, wobei die Höchststrafen nach dem PIPL 50 Millionen RMB, etwa 7,8 Millionen USD, oder 5 % des Vorjahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Das PIPL sieht auch die persönliche Haftung des Verantwortlichen vor. Gegen die unmittelbar Zuständige und andere Personen, die unmittelbar verantwortlich sind, kann gemäß Art. 66 des PIPL eine Geldstrafe von bis zu einer Millionen Yuan verhängt werden. Es kann auch beschlossen werden, ihnen innerhalb einer bestimmten Frist das Wahrnehmen der Funktion als Vorstandsmitglied, Aufsichtsratsmitglied, als leitender Manager und als für den Schutz persönlicher Daten Verantwortliche in einem betroffenen Unternehmen zu verbieten.

Kernklauseln über Pflichten des Datenempfängers

Die chinesischen SCC umfassen 9 Klauseln sowie Anhang I (Erläuterung zu Drittlandübermittlung) und Anhang II (Andere von beiden Parteien vereinbarte Bedingungen). Für deutsche Unternehmen sind insbesondere die Pflichten des Datenimporteurs von Interesse:

  • Der Importeur darf personenbezogene Daten nur gemäß den Bedingungen verarbeiten, die im Anhang I („Explanation of Personal Information Cross-Border Transfer“) aufgeführt sind.
  • Wenn der Datenempfänger von einem Verarbeiter mit der Datenverarbeitung beauftragt wird, muss er die persönlichen Daten gemäß der Vereinbarung verarbeiten und darf die persönlichen Daten nicht über den vereinbarten Umfang hinaus verarbeiten, z.B. hinsichtlich der Verarbeitungszwecke oder Verarbeitungsmittel.
  • Der Importeur muss auf Anfrage der betroffenen Person eine Kopie dieser Klauseln zur Verfügung stellen. Sofern es zum Schutz von Geschäftsgeheimnissen oder vertraulichen Geschäftsinformationen notwendig ist, darf der Datenimporteur den Wortlaut der Vereinbarung in angemessener Weise unkenntlich machen, ohne die Verständlichkeit für die betroffene Person zu beeinträchtigen.
  • Die Verarbeitung soll in einer Art und Weise durchgeführt werden, die die Rechte und Interessen der betroffenen Person minimal beeinflussen.
  • Personenbezogene Daten sind so lange aufzubewahren, wie es zur Erreichung des Zwecks der Verarbeitung erforderlich ist, und personenbezogene Daten (einschließlich aller Sicherungskopien) sind nach Ablauf der Aufbewahrungsfrist zu löschen.
  • Der Importeur muss die Sicherheit der Datenverarbeitung durch technische und organisatorische Maßnahmen gewährleisten und regelmäßige Kontrollen durchführen. Er muss sicherstellen, dass das Personal, das zur Verarbeitung personenbezogener Daten befugt ist, seinen Verpflichtungen zur Vertraulichkeit nachkommt und ein Mindestmaß an Zugriffskontrollbefugnissen einrichtet.
  • Wenn eine Weitergabe, Verfälschung, unbefugte Bereitstellung / unbefugter Zugriff oder ein Verlust persönlicher Daten auftritt oder droht, muss der Importeur sofort Maßnahmen zur Abhilfe ergreifen, den Verarbeiter sofort benachrichtigen und gemäß den einschlägigen Gesetzen und Vorschriften die Aufsichtsbehörden informieren. Er muss auch alle Informationen im Zusammenhang mit der Datenschutzverletzung dokumentieren und aufbewahren.
  • Der ausländische Datenempfänger darf nur dann eine weitere Übermittlung vornehmen, wenn bestimmte Bedingungen erfüllt sind:
    1. Es besteht ein tatsächlicher geschäftlicher Bedarf;
    2. Die betroffene Person wird informiert und es wird eine gesonderte Einwilligung eingeholt, falls personenbezogene Daten auf Grundlage einer Einwilligung der Betroffenen verarbeitet werden;
    3. Der Empfänger in Übersee schließt einen Vertrag mit dem Dritten ab, und der Dritte erfüllt den Standard eines gleichwertigen Schutzes und würde die Mithaftung übernehmen; und
    4. dem Verantwortlichen wird eine Kopie der Vereinbarung mit dem Dritten vorgelegt.

Chinesische SCC ähneln den EU-Standardvertragsklauseln

Im Allgemeinen weisen die chinesischen SCC Ähnlichkeiten mit den EU-Standardvertragsklauseln auf. Im Gegensatz zu den EU-SCC, die zwischen Übertragungen von Controller zu Prozessor und von Controller zu Controller unterscheiden, verwenden die chinesischen SCC ein einziges Modul und enthalten viele Bestimmungen, die dem Controller-zu-Prozessor-Modul der EU-SCC ähneln.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Ich weiß nicht, wo hier der Bus mit den Leuten steht, die ein Datenexport aus China interessiert. Danke trotzdem. Mir zeigt es, dass sich die Lektüre des Blogs nicht mehr lohnt. Schade.

    • Für mich ist dieser Artikel informativ und wichtig. Da China Deutschlands wichtigster Handelspartner ist, bin ich bestimmt nicht der einzige DSB, den das interessiert. So ein Spezialwissen findet leider kaum/nicht auf anderen Blogs, weshalb ich das Angebot sehr zu schätzen weiß.

    • Hier, ich bin auch in dem Bus, zumal man solche Themen kaum irgendwo findet, ohne Mandarin zu können, und es nur ein einzelner Artikel ist. Ich finde, der Blog hat eine gute thematische Balance.

      Das Thema hier ist nicht nur durch den Vergleich von Regelungen persönlich lehrreich, sondern auch definitiv praxisrelevant für in China agierende Unternehmen wie auch u.U. für deutsche Unternehmen im Rahmen der Zusammenarbeit mit Freelancern in China oder chinesischen Dienstleistern/Unternehmen und deren Subauftragsnehmern.

  • Vielen Dank für diesen Artikel, er deckt sich weitgehend mit Einschätzungen, die wir auch schon erhalten haben.

    Allerdings wird eine Pflicht des ausländischen Empfängers im Artikel nicht erwähnt, nämlich dass chinesischen Aufsichtsbehörden weitgehende Rechte zugestanden werden müssen.

    Gemäß Artikel 3 Abs. 13 der SCC erklärt sich der ausländische Empfänger „damit einverstanden, sich während eines Vollstreckungsverfahrens im Zusammenhang mit der Überwachung der Durchführung dieses Vertrags der Aufsicht durch die Regulierungsbehörde zu unterwerfen, einschließlich, aber nicht beschränkt auf die Beantwortung von Anfragen und Inspektionen durch die Regulierungsbehörde, die Befolgung der von der Regulierungsbehörde ergriffenen Maßnahmen oder getroffenen Entscheidungen und die Vorlage einer schriftlichen Bestätigung, dass die erforderlichen Maßnahmen ergriffen wurden usw.“

    Dadurch unterwirft man sich als Datenempfänger quasi der Aufsicht und den Weisungen der chinesischen Behörden. Das geht weit über die Regelungen der EU SCC für Auftragsverarbeiter hinaus.

    • Vielen Dank für Ihren Hinweis. Es stimmt, gemäß Artikel 3 Absatz 13 der chinesischen SCC ist es eine Verpflichtungen der ausländischen Empfänger, sich während eines Verfahrens im Zusammenhang mit der Aufsicht über die Durchführung dieses Vertrags der Aufsicht durch die Regulierungsbehörde zu unterwerfen.

      Aufgrund des Umfangs des Blogs könnten wir leider nicht alle der Verpflichtungen des Empfängers auflisten. Diejenigen Verpflichtungen, die gewisse Gemeinsamkeiten mit den EU-SCC aufweisen, wurden nicht im Einzelnen aufgeführt.

      Weder die DSGVO noch das PIPL geben eine klare Antwort darauf, ob die (ausländische) Datenimportpartei gesetzlich von den Aufsichtsbehörden des Exporteurs in Bezug auf die grenzüberschreitende Datenübermittlung beaufsichtigt wird. Aus diesem Grund haben sowohl die EU-SCC als auch die China-SCC durch vertragliche Vereinbarungen festgelegt, dass die Datenimportpartei der Aufsichtsregelung des Exporteurs zustimmt, um sicherzustellen, dass die Klauseln eingehalten werden.

      Dies spiegelt sich die Klausel 13 lit. b) der EU-SCC (Modul 1, 2 und 3) wider, wonach „Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden“.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.