Datentransfer China

Um personenbezogene Daten aus China zu übermitteln, müssen Unternehmen entweder einen Standardvertrag abschließen, eine Zertifizierung vornehmen oder eine Sicherheitsüberprüfung durch chinesische Behörden durchlaufen. Ab dem 22. März 2024 sind diese unter bestimmten Voraussetzungen nicht mehr notwendig.

Übermittlung von personenbezogenen Daten aus China ins Ausland
Strenge Regeln gelockert
Übermittlung von personenbezogenen Daten nach China

Übermittlung von personenbezogenen Daten aus China ins Ausland

Die Übertragung personenbezogener Daten aus China in die EU stellt eine Herausforderung für Unternehmen dar. Am 28. September 2023 veröffentlichte die Cyberspace Administration of China (CAC) den Entwurf der “Bestimmungen zur Standardisierung und Förderung grenzüberschreitenden Datenverkehrs“. Ziel ist es, die aktuell strengen Regelungen zu lockern. Diese sind durch das “Personal Information Protection Law” (PIPL) seit November 2021 sowie den “Maßnahmen zum Standardvertrag für die grenzüberschreitende Übermittlung personenbezogener Daten” seit Juni 2023 gültig.

Am 22. März 2024 veröffentlichte die CAC nun die lang erwartete finale Fassung der ”Bestimmungen zur Standardisierung und Förderung grenzüberschreitenden Datenverkehrs (auf Chinesisch)”. Diese sind ab sofort gültig.

Strenge Regeln gelockert

Wichtigste Ausnahmen von den bisherigen Beschränkungen sind:

Daten, die in Bereichen wie internationalem Handel, akademischer Zusammenarbeit, grenzüberschreitender Produktion und Marketing übermittelt werden, aber keine personenbezogenen oder wichtige Daten enthalten (Datenverarbeiter müssen “wichtige Daten” bei der CAC melden. Gibt es keine Vorschriften zur Definition von “wichtigen Daten”, ist eine Sicherheitsüberprüfung solcher Daten nicht erforderlich.)
personenbezogene Daten, die nicht in China erhoben oder gesammelt werden (zum Beispiel solche, die in der Muttergesellschaft in Deutschland gesammelt, an die Niederlassung in China bereitgestellt und wieder zurück an das Headquarter gesendet werden)
wenn es für die Erfüllung eines Vertrags erforderlich ist, die Daten der betroffenen Person zu erheben, zum Beispiel für grenzüberschreitende elektronische Einkäufe, Geldüberweisungen, Flugtickets und Hotelreservierungen sowie Visumanträge
personenbezogene Daten von Mitarbeitenden, die zwecks Personalverwaltung gemäß einem rechtmäßig abgeschlossenen Arbeitsvertrag erforderlich sind
personenbezogene Daten, die zum Schutz der Gesundheit und der Sicherheit des Eigentums einer natürlichen Person in einem Notfall erforderlich sind
grenzüberschreitender Transfer durch Datenverarbeiter, die personenbezogene Daten von weniger als 100.000 Personen innerhalb eines Jahres aus China ins Ausland übertragen
personenbezogene Daten, die nicht unter die von den Pilot-Freihandelszonen zu formulierende Negativliste fallen.

Datenverarbeiter müssen allerdings weiterhin bestimmte Vorschriften einhalten. Sie müssen zum Beispiel die betroffenen Personen informieren und deren Zustimmung einholen, wenn die Daten ins Ausland übermittelt werden.

Übermittlung von personenbezogenen Daten nach China

Für China existiert kein Angemessenheitsbeschluss der EU-Kommission. Unternehmen müssen im Regelfall bei der Übermittlung von personenbezogenen Daten nach China auf die Standardvertragsklauseln zurückgreifen.

Allerdings ist der staatliche Zugriff auf personenbezogene Daten in China kaum beschränkt, sodass es allenfalls gilt, durch Ergänzungsvereinbarungen mit dem Vertragspartner in China Risiken zu mindern – etwa auf organisatorischem Weg (so wenige Daten wie möglich) und technischem Weg (Verschlüsselung).