Seit dem Inkrafttreten des chinesischen Datenschutzgesetzes (Personal Information Protection Law, „PIPL“) am 1. November 2021 sind die chinesischen Standardvertragsklauseln („chinesische-SCC“) für den internationalen Datentransfer gemäß Art. 38 PIPL schon lange ausstehend. Dies bringt die Unternehmen in eine sehr heikle Lage. Nun wird sich dies bald ändern. Die Cyberspace Administration of China (CAC) hat am 30. Juni 2022 den lang erwarteten Entwurf der Standardvertragsklauseln für den grenzüberschreitenden Datentransfer zur öffentlichen Stellungnahme veröffentlicht.
Der Inhalt im Überblick
- Welche Übermittlungsinstrumente ergeben sich in China?
- Datenübermittlung ins Drittland nach PIPL: höhere Anforderungen als die DSGVO?
- Instrumente: Sicherheitsbewertung, Zertifizierung oder Standardvertragsklauseln
- Keine Angemessenheitsbeschlüsse, aber „Schwarze Liste“
- Wann ist eine Sicherheitsbewertung erforderlich?
- Von wem wird eine Datenlokalisierung gefordert?
- Wann könnten SCC als Übermittlungsinstrument sein
- Gibt es in den chinesischen SCC Module wie P2P und P2C?
- Datenschutz-Folgenabschätzung ist nach den SCC erforderlich
- Aktenmeldungsverfahren bei CAC
- Weiterübermittlung von Daten
- Zertifizierung: Parallele Lösung zum Standardvertrag?
- Endgültige Fassung ist abzuwarten…
Welche Übermittlungsinstrumente ergeben sich in China?
Datenübermittlung ins Drittland nach PIPL: höhere Anforderungen als die DSGVO?
Trotz der vielen Gemeinsamkeiten stellt das PIPL teilweise noch höhere Anforderungen an die Rechtmäßigkeit von Auslandsdatentransfers als die DSGVO. Werden personenbezogene Daten an Stellen außerhalb Chinas übermittelt, müssen die betroffenen Personen über die Übermittlung informiert werden. Darüber hinaus müssen noch die folgenden Bedingungen erfüllt werden:
- Einholung einer separaten Einwilligung der betroffenen Person (Art. 39 PIPL)
- Notwendigkeit aufgrund geschäftlicher oder anderer Erfordernisse (Art. 38 PIPL)
- Durchführung einer Datenschutz-Folgenabschätzung (Art. 55 PIPL)
- Ergreifen ggf. zusätzlicher Maßnahmen, um zu gewährleisten, im Drittland ein ebenbürtiges Datenschutzniveau wie in China zu erreichen
- Übermittlungsinstrumente nach Art. 38 PIPL
Instrumente: Sicherheitsbewertung, Zertifizierung oder Standardvertragsklauseln
Art. 38 PIPL sieht drei Übermittlungsinstrumente vor:
- Durchführung der Sicherheitsbewertung, die von der CAC organisiert wird
- Zertifizierung durch ein Fachorgan nach den Bestimmungen der CAC
- Abschluss der durch die CAC erstellten Standardvertragsklauseln mit dem Empfänger
- Sonstige Bestimmungen in chinesischen Gesetzen, Verordnungen oder gemäß Vorschriften der CAC
Auf die Frage, worauf sich Punkt 4 genau bezieht, gibt es noch kein Antwort von der CAC. Diese Öffnungsklausel ermöglicht es, dass sich in der Zukunft weitere Instrumente ergeben könnten.
Keine Angemessenheitsbeschlüsse, aber „Schwarze Liste“
In der PIPL sind keine vergleichbaren Übermittlungsmechanismen wie die Angemessenheitsbeschlüsse der EU-Kommission oder Ausnahmeregelungen gem. Art. 49 DSGVO vorgesehen. Nach Art. 42 PIPL kann die CAC aber Unternehmen auf eine „schwarze Liste“ setzen, was schlussendlich dazu führen kann, dass eine Bereitstellung von persönlichen Daten an diese eingeschränkt oder verboten ist. Bisher sind weder Unternehmen, Organisationen noch Einzelpersonen von der CAC auf die schwarze Liste gesetzt worden.
Wann ist eine Sicherheitsbewertung erforderlich?
Datenschutz wird in China mit Blick auf die nationale Sicherheit getätigt. Dies spiegelt sich auch in den Bedingungen für die grenzüberschreitende Datenübermittlung wider. Betroffen sind vor allem Betreiber wesentlicher Infrastrukturen, deren Daten die nationale Sicherheit beeinträchtigen könnte. Ebenfalls sind die Verarbeiter, deren Verarbeitungstätigkeiten den Schwellwert der CAC überschreiten, verpflichtet, die Daten innerhalb Chinas zu speichern.
Von wem wird eine Datenlokalisierung gefordert?
Wer unter die Pflicht der Datenlokalisierung fällt, MUSS allerdings die Daten ins Ausland übermitteln, somit muss die von der CAC organisierte Sicherheitsüberprüfung bestanden werden. Weder die SCC noch die Zertifizierung können anstelle einer Sicherheitsbewertung verwendet werden.
Wann könnten SCC als Übermittlungsinstrument sein
Gemäß den Bestimmungen des Entwurfs sind die SCC für China nur dann anwendbar, wenn alle der folgenden Bedingungen erfüllt sind:
KEIN Betreiber wesentlicher Informationsinfrastrukturen
- Der Übertragende ist kein Betreiber wesentlicher Informationsinfrastrukturen („CIIO“);
KEIN Verarbeiter großer Mengen von persönlichen Daten
- Verarbeitung persönlicher Informationen von weniger als 1 Mio. Individuen;
- Grenzüberschreitende Übertragung persönlicher Informationen von insgesamt weniger als 100.000 Individuen seit 1. Januar des vorangegangenen Jahres;
- Grenzüberschreitende Übertragung sensibler persönlicher Informationen von insgesamt weniger als 10.000 Individuen seit 1. Januar des vorangegangenen Jahres.
Im Vergleich zu den EU-SCC, welche für fast alle Unternehmen und Übertragungen zur Verfügung stehen, sind der Entwurf der chinesischen SCC nur für grenzüberschreitende Übermittlungen einschlägig, bei denen keine kritischen und keine große Menge an Daten versendet werden.
Gibt es in den chinesischen SCC Module wie P2P und P2C?
Im Vergleich zu den neuen EU-SCC, die in 4 Module unterteilt sind, sieht der Entwurf der chinesischen SCC solche unterschiedlichen Module nicht ausdrücklich vor. Es kann davon ausgegangen werden, dass nur die Konstellationen Controller-to-Controller und Controller-to-Processor vorgesehen sind.
Die chinesischen SCC sind zwischen den Parteien – dem Verarbeiter und dem Datenimporteuer außerhalb Chinas – abzuschließen (Art. 2 der SCC). Der Begriff des „Verarbeiter“ im PIPL ist mit dem des „Controller“ der DSGVO vergleichbar.
Art. 73 Abs. 1 PIPL besagt:
„Verarbeiter personenbezogener Daten“ bezeichnet eine Organisation oder Einzelperson, die bei den Verarbeitungen personenbezogener Daten über die Zwecke und Mittel der Verarbeitung selbst frei entscheidet.
Nach dem Wortlaut ist davon auszugehen, dass die SCC nicht den Fall berücksichtigen, dass Auftragsverarbeiter eine der Parteien der SCC sind. Allerdings ist diese Frage schon sehr kritisch. Nun ist die öffentliche Stellungnahme abzuwarten.
Datenschutz-Folgenabschätzung ist nach den SCC erforderlich
In den Artikeln 55 und 56 PIPL ist vorgesehen, dass die Übermittlung von Daten ins Ausland eine Datenschutz-Folgenabschätzung (Personal Information Protection Impact Assessment PIPIA) voraussetzt, welche den folgenden Inhalt enthalten muss:
- Notwendigkeit, Rechtmäßigkeit und Rechtfertigkeit der Zwecke, Mittel und anderer Aspekte der Verarbeitung persönlicher Daten;
- Auswirkungen auf die Rechte und Interessen der betroffenen Personen und die Sicherheitsrisiken;
- Rechtmäßigkeit und Wirksamkeit der ergriffenen Schutzmaßnahmen sowie deren Entsprechung dem Risikoniveau zufolge.
Im Szenario einer Datenübermittlung aufgrund von SCC ins Ausland, sind nach dem Entwurf die PIPIA folgende zusätzliche Punkte zu bewerten:
- Risiken von Datenschutzverletzungen, Datenbeschädigungen, Datenmanipulationen, Datenmissbrauch und anderen Risiken, denen Daten ausgesetzt sind, sowie eine Bewertung, ob die betroffenen Personen ihre Rechte als Betroffene erfolgreich wahrnehmen können;
- Auswirkungen der Rechtslage des Landes oder der Region, in welchem der Empfänger im Ausland ansässig ist, auf die Erfüllung der SCC-Entwürfe für China (sozusagen ein umgekehrtes „Schems II“).
PIPIA (eine Kombination von DPIA und TIA) ist immer erforderlich, unabhängig davon, welche Instrumente für die grenzüberschreitende Datenübermittlung verwendet wird.
Aktenmeldungsverfahren bei CAC
China wendet für den SCC-Entwurf eine Überwachungsmethode an, die eine Kombination aus autonomer Vertragsgestaltung und Aktenverwaltung vorsieht. Der Verarbeiter muss innerhalb von 10 Arbeitstagen nach Inkrafttreten des Standardvertrags diesen Standardvertrag und den PIPIA bei CAC auf Provinzebene einreichen.
Eine vorherige Genehmigung der CAC ist zwar nicht erforderlich, dennoch hat die CAC so einen Überblick, welche Unternehmen persönliche Informationen ins Ausland übertragen und kann daran weitere Überwachung und behördliche Interventionen anknüpfen.
Im Gegensatz dazu verlangt die EU bekanntlich keine Einreichung von SCC bei den DPAs.
Weiterübermittlung von Daten
Der Entwurf der chinesischen SCC beschränkt die Weiterübermittlung von Daten an Dritte außerhalb Chinas, es sei denn, alle folgenden Bedingungen sind erfüllt:
„(1) Es besteht eine tatsächliche geschäftliche Erforderlichkeit;
(2) Die betroffene Person wird informiert und es wird eine gesonderte Einwilligung eingeholt;
(3) Der Empfänger in Übersee schließt einen Vertrag mit dem Dritten ab, und der Dritte erfüllt den Standard eines gleichwertigen Schutzes und übernimmt die Mithaftung;
(4) Dem Verarbeiter (ursprünglichen Datenexporteur) wird eine Kopie des Vertrags mit dem Dritten vorgelegt.“
Keine „Docking Clause“ in den China-SCC
Die EU-SCC beinhalten eine „Docking Clause“, nach der ein Betritt durch weitere Unternehmen zu bereits abgeschlossenen SCC möglich ist. Dies dürfte beispielsweise im Konzernumfeld praktische Bedeutung haben, wenn Tochtergesellschaften den durch die Muttergesellschaft abgeschlossenen SCC beitreten sollen.
Der Entwurf der chinesischen SCC sieht einen solchen Mechanismus aber nicht vor. Wenn der Empfänger außerhalb Chinas personenbezogene Daten an einen Dritten weitergibt, muss deshalb eine neue SCC mit dem Dritten abgeschlossen werden.
Rechtsgrundlage für Weiterübermittlung ist erforderlich
In Fall der Weiterübermittlung, welche einen EU-Staat als Zwischenstation enthält, könnte es zu einer parallelen Anwendung von PIPL und DSGVO kommen.
Während die DSGVO keine separate Rechtsgrundlage dafür vorsieht, ist bei Weiterübermittlung nach PIPL eine separate Einwilligung – nach der herrschenden Meinung könnte eine andere Rechtsgrundlage die Alternative zur Einwilligung sein – erforderlich.
Zertifizierung: Parallele Lösung zum Standardvertrag?
Das National Information Security Standardization Technical Committee (TC260) hat am 24. Juni 2022 die Specification for the Security Certification of Cross-Border Processing of Personal Information veröffentlicht, welche am selben Tag in Kraft trat. Diese Zertifizierung könnte als alternativer Übermittlungsweg zu den SCC betrachtet werden.
Der Anwendungsbereich ist allerdings auf folgende Fälle beschränkt:
- Datenübertragungen zwischen verbundenen Unternehmen
- Datenverarbeitung außerhalb Chinas in Fällen von Artikel 3 Absatz 2 PIPL (extraterritoriale Anwendung).
Insbesondere im ersten Fall ist der Zertifizierungsmechanismus in gewisser Weise mit dem BCR-Instrument nach der DSGVO vergleichbar. Dies ist für die überwiegende Mehrheit der Unternehmen mit ausländischer Beteiligung von größter Bedeutung, da die Datenübermittlung zwischen der Muttergesellschaft und den Tochtergesellschaften oder anderen verbundenen Unternehmen den größten Teil des internationalen Datenverkehrs ausmacht.
Es scheint, dass der zweite Fall eine Lösung für die beiden Modelle (P2P und P2C), welche von den SCC nicht abgedeckt werden, anbietet.
Endgültige Fassung ist abzuwarten…
Der Entwurf der chinesischen SCC ähnelt den SCC der EU, spiegelt aber auch einige Besonderheiten der chinesischen Datenschutzaufsicht wider. Ein paar Frage sind noch unerklärt und der Entwurf ist zuerzeit noch intensiv diskutiert. Eine endgültige Fassung ist nun abzuwarten.