China verschärft Vorgaben für Datenschutz-Audits

10. März 2025

Ab dem 01.05.2025 verschärft China seine Vorgaben für Datenschutz-Audits. Die von der Cyberspace Administration of China (CAC) erlassenen “Administrative Measures on Compliance Auditing of Personal Information Protection” konkretisieren die Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten. Sie betreffen unter anderem die Pflicht zur Durchführung von Audits und die Auswahl unabhängiger Prüfer. Ziel der Maßnahmen ist es, die Einhaltung der Datenschutzvorschriften in Unternehmen zu verbessern und Risiken für betroffene Personen zu minimieren.

Chinesisches Datenschutzrecht

Die neuen Vorgaben beruhen auf dem Personal Information Protection Law (PIPL) von 2021 sowie den administrativen Vorschriften zur Netzwerksicherheit. Allgemein weist das chinesische Datenschutzrecht viele Parallelen zur europäischen Datenschutzgrundverordnung (DSGVO) auf. Es regelt die Verarbeitung personenbezogener Daten, setzt strenge Anforderungen an internationale Datenübermittlungen und verpflichtet Unternehmen zur Einhaltung hoher Sicherheitsstandards. Hierbei überwacht die CAC die Umsetzung und kann bei Verstößen Sanktionen verhängen. In diesem Zusammenhang ist allerdings zu beachten, dass das Datenschutzrecht lediglich gegenüber Privatunternehmen gilt und staatliche Organisationen weitgehend ausgenommen sind.

Wer muss Datenschutz-Audits durchführen?

China hat mit den neuen Vorgaben (abrufbar hier) die Regeln für Datenschutz-Audits verschärft. Hiernach müssen Unternehmen, die personenbezogene Daten von über zehn Millionen Personen verarbeiten, mindestens alle zwei Jahre eine Datenschutz-Compliance-Prüfung durchzuführen.

Darüber hinaus erhalten die Aufsichtsbehörden das Recht, bei bestimmten Risikoszenarien externe Audits anzuordnen. Dies betrifft Verantwortliche deren Datenverarbeitung erhebliche Risiken für Einzelpersonen oder Risiken für eine große Anzahl an Personen schaffen. Eine solche Möglichkeit besteht zudem, wenn Unternehmen unzureichende Sicherheitsmaßnahmen aufweisen oder bereits in der Vergangenheit in Datenschutzverstöße verwickelt waren, die mehr als eine Million Personen oder sensible Informationen von mindestens 100.000 Individuen betreffen.

Neben den verpflichtenden Audits sieht die Regelung außerdem die Möglichkeit vor, freiwillige Datenschutzprüfungen durchzuführen, sei es intern oder durch externe Anbieter.

Welche Anforderungen gelten für den Compliance-Audit?

Neben der Durchführung der Compliance-Prüfung ist auch ein entsprechender Bericht bei der zuständigen Behörde einzureichen. Auf Anforderungen für Nachbesserungen durch die Aufsichtsbehörde müssen Verantwortliche innerhalb von 15 Werktagen antworten.

Daneben gibt es Leitlinien (“Guidelines on Personal Information Protection Compliance Auditing”), die Vorgaben machen, welche Kriterien in einem Audit zu untersuchen sind. Dazu zählen etwa die rechtlichen Grundlagen der Datenverarbeitung, die Einhaltung von Informationspflichten, Auftragsverarbeiter, Datenübermittlungen sowie die Maßnahmen zur Wahrung der Betroffenenrechte. Besondere Aufmerksamkeit wird auch der Verarbeitung von Daten Minderjähriger und sensiblen Daten, automatisierten Entscheidungen und der Übermittlung personenbezogener Daten ins Ausland gewidmet.

Sonderpflichten für große Unternehmen

Unternehmen, die mehr als eine Million Datensätze verarbeiten, sind außerdem verpflichtet, eine für den Datenschutz verantwortliche Person zu benennen („Designated Data Protection Personnel“). Zudem ist eine mehrfache Beauftragung auf drei aufeinanderfolgende Audits begrenzt.

Sonderpflichten für Online-Plattformen

Für Anbieter von zentralen Online-Plattformen mit einer großen Nutzerbasis und komplexen Geschäftsmodellen gelten darüber hinaus weitergehende Anforderungen: Sie müssen eine unabhängige Einrichtung etablieren, das sich hauptsächlich aus externen Mitgliedern zusammensetzt und die Einhaltung der Datenschutzvorgaben überwacht.

Anforderungen an externe Prüfer

Zuletzt definieren die neuen Vorgaben auch strikte Anforderungen an externe Dienstleister, die Compliance-Audits durchführen. Diese müssen über ausreichend Personal, Räumlichkeiten, technische Ausstattung und finanzielle Mittel verfügen, um eine ordnungsgemäße Prüfung durchzuführen. Gleichzeitig sind sie verpflichtet, die Vertraulichkeit der im Rahmen der Audits gesichteten Daten zu wahren. Die Beauftragung von Subunternehmer ist verboten. Zudem dürfen auch externe Prüfer maximal dreimal hintereinander beim selben Unternehmen ein Audit durchführen.

Fazit

China verschärft seine Vorgaben für Datenschutz-Audits, was international agierende Unternehmen vor erhöhte Anforderungen in Bezug auf die Umsetzung datenschutzrechtlicher Pflichten stellt. Insbesondere für Unternehmen mit umfangreicher Datenverarbeitung bedeutet dies eine verstärkte Überprüfung durch interne und externe Audits. Unternehmen mit Geschäftstätigkeit in China sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen, um Haftungsrisiken zu minimieren. Die Entwicklungen zeigen, dass China seine Datenschutzaufsicht weiter intensiviert und Unternehmen in die Pflicht zur konsequenten Umsetzung von Datenschutzrecht nimmt. Deshalb empfiehlt sich eine umfassende Betreuung durch Externen Datenschutzbeauftragte.

Kategorien: Datenschutz International · Datenschutzbeauftragte · Internationaler Datenschutz