Sicherheitsbewertung für grenzüberschreitende Datentransfers aus China

Wie in unserem zweiteiligen Artikel vom 3. bzw. 13. Juli 2021 erläutert, basieren das Cybersicherheitsgesetz vom 1. Juni 2017, das Datensicherheitsgesetz vom 1. September 2021 und das Gesetz zum Schutz personenbezogener Daten der VR China vom 1. November 2021, u.a. auf dem Grundsatz der Datenlokalisierung, d.h. bestimmte Daten müssen innerhalb der VR China gespeichert, und dürfen nur unter bestimmten Bedingungen ins Ausland übertragen werden. Die entsprechenden Bedingungen für den grenzüberschreitenden Datentransfer wurden nunmehr von der Cyberspace Administration of China („CAC“) im Rahmen einer Durchführungsvorschrift konkretisiert.

Am 7. Juli 2022 hat die CAC die Maßnahmen zur Sicherheitsbewertung der grenzüberschreitenden Datenübermittlung (,,Maßnahmen‘‘) veröffentlicht, die bereits am 1. September 2022 in Kraft getreten sind. Die Maßnahmen legen Schwellenwerte für die grenzüberschreitende Datenübermittlung fest und regeln das sog. Selbstbewertungsverfahren, sowie das von der CAC durchzuführende Sicherheitsbewertungsverfahren einschließlich der der CAC vorzulegenden Dokumente.

Nach den Maßnahmen sind Datenverarbeiter in den folgenden Fällen verpflichtet, eine Sicherheitsbewertung bei der CAC zu beantragen:

1. Übertragung „wichtiger Daten“ an Dritte außerhalb der VR China;
2. Übertragung „personenbezogener Daten“ durch „Betreiber kritischer Informationsinfrastrukturen“ an Dritte außerhalb der VR China;
3. Übertragung „personenbezogener Daten“ durch Datenverarbeiter, die personenbezogene Daten von mehr als einer Million Betroffenen verarbeiten, an Dritte außerhalb der VR China;
4. Übertragung „personenbezogener Daten“ von mehr als 100.000 Betroffenen oder Übertragung „sensibler personenbezogener Daten“ von insgesamt mehr als 10.000 Betroffenen seit dem 1. Januar des vorangegangenen Jahres; oder
5. In anderen durch die CAC festgelegten Fällen.

Hierbei ist zu beachten, dass nicht nur die eigentliche Datenübertragung durch den Datenverarbeiter in China ins Ausland, sondern auch der Zugriff des Datenempfängers im Ausland (z.B. der Muttergesellschaft des chinesischen Tochterunternehmens) auf die in China gespeicherten Daten sowie ähnliche Fallkonstellationen als ,,grenzüberschreitende Datenübermittlung‘‘ i.S.d. Maßnahmen bewertet werden können und die Pflicht zu einer Sicherheitsbewertung durch die CAC auslösen.

Bevor der Datenverarbeiter den Antrag zur Durchführung einer Sicherheitsbewertung bei der CAC stellen darf, muss dieser zunächst eine Selbstbewertung durchführen und einen Risikobewertungsbericht erstellen. Die Maßnahmen sehen einen Katalog von Anhaltspunkten vor, auf die sich die Antragsteller im Rahmen ihrer Selbstbewertung konzentrieren sollen.

Neben dem Antragsformular, dem Risikobewertungsbericht und anderen von der CAC geforderten Antragsunterlagen, muss der Antragsteller der CAC eine mit dem Datenempfänger im Ausland abgeschlossene Vereinbarung, bspw. in Form eines Datenverarbeitungsvertrages vorlegen, deren Mindestinhalt in den Maßnahmen bestimmt ist.

Das gesamte Verfahren der Sicherheitsbewertung vor der CAC dauert mindestens 57 Arbeitstage, wobei die Zeitdauer durch die CAC in komplexen Fällen verlängert werden kann.

Die Gültigkeit der bestandenen Sicherheitsbewertung beträgt zwei Jahre. Spätestens 60 Arbeitstage vor Ablauf der Gültigkeitsdauer muss der Datenverarbeiter eine erneute Sicherheitsbewertung beantragen. Sollte jedoch während der Gültigkeitsdauer einer der in den Maßnahmen beschrieben besonderen Umstände auftreten, sind Datenverarbeiter dazu verpflichtet, die Sicherheitsbewertung vor Ablauf der Zweijahresfrist erneut zu beantragen.

ACHTUNG: Die Maßnahmen sehen eine 6-monatige Übergangsfrist für grenzüberschreitende Datenübermittlungen vor, die VOR dem Inkrafttreten der Maßnahmen am 1. September 2022 erfolgt sind. Demzufolge müssen Unternehmen innerhalb von 6 Monaten eine Berichtigung vornehmen, soweit die VOR dem 1. September 2022 erfolgten grenzüberschreitenden Datenübermittlungen nicht den in den Maßnahmen vorgesehen Anforderungen entsprochen haben.

Obwohl die meisten der ausländisch-investierten Unternehmen in der VR China, insbesondere Produktionsunternehmen, wahrscheinlich weder die Schwellenwerte für die grenzüberschreitende Datenübermittlungen von personenbezogenen Daten erreichen noch als sog. „Betreiber kritischer Informationsinfrastrukturen“ eingestuft werden, können Unternehmen – und zwar unabhängig von der Datenmenge – aufgrund der grenzüberschreitenden Übermittlung von sog. „wichtigen Daten“ nach den neuen Maßnahmen verpflichtet sein, eine Sicherheitsbewertung bei der CAC zu beantragen. Aus diesem Grund empfehlen wir Unternehmen, die „wichtige Daten“ grenzüberschreitend übertragen, der vorstehenden Fristenregelung zur Nachmeldung einer Sicherheitsbewertung besondere Aufmerksamkeit zu widmen.

Sollten Sie zu diesem oder anderen datenschutzrechtlichen Themen in Bezug auf China Fragen haben, so zögern Sie nicht uns jederzeit zu kontaktieren!

Ihr Burkardt & Partner Team