Neue Regelungen erleichtern Datenverkehr aus China
China hat am 22.03.2024 neue Regelungen erlassen, die den grenzüberschreitenden Datenverkehr erleichtern. Zuvor hatte das Land eine Reihe von Cybersicherheits- und Datenschutzgesetzen verabschiedet, die strenge Vorgaben für solche Datenflüsse festlegten. Mit den Neuerungen sind Datenexporteure unter gewissen Voraussetzungen von den strengen Vorgaben entbunden, wenn die internationale Datenübertragung erforderlich ist.
Die „Provisions to Facilitate and Regulate Cross-Border Data Flow”
Im März veröffentlichte die chinesische Cybersicherheitsbehörde (Cyberspace Administration of China (CAC)) in einer Pressemitteilung die finale Version der neuen Verordnung. Wie der Name schon andeutet, sollen die neuen Regelungen („Provisions to Facilitate and Regulate Cross-Border Data Flow“), den grenzüberschreitenden Datenverkehr aus China erleichtern.
Die ursprüngliche Rechtslage
Nach den alten Regeln gab es für Unternehmen in China drei Wege grenzüberschreitend Daten zu exportieren. Zum einen konnten beim Vorliegen gewisser Voraussetzungen, Verantwortliche eine Sicherheitsprüfung bei der CAC durchführen. Alternativ konnten sie die von der CAC herausgegebenen Standardvertragsklauseln („SCCs“) mit dem jeweiligen Datenimporteur im Zielland abschließen. Zuletzt gab es noch die Möglichkeit eine Datenschutzzertifizierung von einem qualifizierten Zertifizierungszentrum zu erlangen. Für jeden grenzüberschreitenden Datentransfer musste der Datenexporteur eins dieser Verfahren anwenden.
In der Praxis bedeutete dies, dass sämtliche chinesische Unternehmen mit Niederlassungen im Ausland, zu denen sie personenbezogene Daten übertragen, zumindest die chinesischen Standardklausel unterzeichnen mussten laut datenschutz notizen. Auch die darüber hinaus gehende Verpflichtung die SCCs bei der CAC zu registrieren, empfänden viele Unternehmen als beeinträchtigend.
Die Neuerungen: Ausnahmen von strengen Voraussetzungen
Die neue Verordnung bringt hierzu eine deutliche Erleichterung. Zukünftig bedarf es in bestimmten Ausnahmefällen keiner SCC, Sicherheitsprüfung oder Zertifizierung mehr, solange es sich nicht um sensible personenbezogene Informationen handelt.
Verträge mit Individuen: Zum einen gehören hierzu Vorgänge, bei denen personenbezogene Daten grenzüberschreitend übermitteln werden, um Verträge abzuschließen und durchzuführen, die mit einer Einzelperson geschlossen wurden. Exemplarisch fallen hierunter etwa Online-Shopping, Postverkehr, Zahlungen, Flug- und Hotelbuchungen und Visaanträge.
Personalmanagement: Für Arbeitgeber besteht eine Ausnahme, wenn sie personenbezogene Daten von Mitarbeitern übertragen, um grenzüberschreitende Personalverwaltung gemäß den arbeitsrechtlichen Bestimmungen oder Kollektivvereinbarungen durchzuführen.
Notsituationen: Erleichterungen gibt es auch in Fällen, in denen die Datenübertragung zum Schutz von Leben, Gesundheit und Privateigentum in Notsituationen erforderlich ist.
Geringe Übertragungsmenge: Zuletzt sollen auch Datenübertragungen von geringem Umfang unter die Ausnahme fallen. Dazu gehören Datenverarbeiter, die keine relevanten Informationsinfrastrukturbetreiber sind und innerhalb des jeweiligen Jahres personenbezogenen Daten insgesamt von nicht mehr 100.000 Personen grenzüberschreitend übertragen haben. Zu den Daten werden keine sensiblen personenbezogene Daten gezählt.
Fazit
Die neue Verordnung markiert einen wichtigen Schritt für die Vereinfachung von grenzüberschreitender Datenübertragung aus China. Durch die Befreiung von bestimmten Bewertungs- und Zertifizierungsanforderungen wird die Geschäftstätigkeit vieler Unternehmen erleichtert. Die Neuerungen befreien jedoch nicht von sämtlichen Verpflichtungen. Selbst Unternehmen, die unter die Ausnahmevorschriften fallen, müssen weiterhin die regulären Datenschutzbestimmungen beachtet, um den Schutz personenbezogener Daten zu gewährleisten. Dazu gehören etwa Transparenzpflichten, das Einwilligungserfordernis und Risikoanalysen.