Serie zur Umsetzung der PIPL: (1) Grenzüberschreitende Datenübermittlung und Entwurf eines Standardvertrags
Schritt für Schritt werden die Anforderungen des chinesischen Gesetzes zum Schutz personenbezogener Daten (Personal Information Protection Law - PIPL) klarer, da die chinesische Cyberspace Administration of China (CAC”) kürzlich zusätzlich zu den Entwürfen der chinesischen SCCs lang erwartete Leitlinien herausgegeben hat. Da das Gesetz am 1. November 2021 in Kraft getreten ist, also nur drei Monate nach seiner Verabschiedung durch die Volksrepublik China (VRC), haben viele Organisationen aufgrund des Mangels an Leitlinien zum PIPL Fragen dazu, wie sie die neuen Vorschriften einhalten können. Dieser Artikel ist der erste einer Reihe, in der bestimmte Schlüsselaspekte des PIPL näher beleuchtet werden, beginnend mit der grenzüberschreitenden Datenübermittlung.
I. Grenzüberschreitende Übertragungen
Ein Konzept, das internationalen Unternehmen bereits vertraut ist, ist die Notwendigkeit eines rechtmäßigen Übermittlungsmechanismus für die Übermittlung personenbezogener Daten ins Ausland. Gemäß Art. 38 PIPL müssen Datenverarbeiter eine der folgenden Bedingungen erfüllen, um personenbezogene Daten von Personen, die sich in China befinden, außerhalb der VR China zu übermitteln:
- Sie müssen eine Sicherheitsüberprüfung gemäß Art. 40 PIPL bestehen;
- sich einer Zertifizierung durch die zuständige Behörde unterziehen;
- Abschluss eines Standardvertrags; oder
- andere Bedingungen erfüllen, die in Gesetzen oder Verwaltungsvorschriften oder von der staatlichen Abteilung für Cybersicherheit und Informatisierung vorgesehen sind.
Im Folgenden werden die Methoden 1-3 nacheinander betrachtet.
1. Sicherheitsprüfungen
Der Sicherheitsbewertung nach Art. 40 PIPL unterliegen Betreiber kritischer Informationsinfrastrukturen**(CIIOs**) und Datenverarbeiter, die personenbezogene Daten oberhalb eines bestimmten Schwellenwerts verarbeiten (siehe unten). Kritische Informationsinfrastrukturen sind wichtige Netzeinrichtungen und Informationssysteme in den Bereichen öffentliche Kommunikation und Information, Energie, Verkehr, Wasserwirtschaft, Finanzen, öffentliche Dienstleistungen, elektronische Behördendienste, Landesverteidigung, Wissenschaft und Technologie sowie Dienstleistungen, die eine Bedrohung für die nationale Sicherheit, die nationale Wirtschaft und die Lebensgrundlagen der Menschen darstellen könnten.
CIIOs und große Datenverarbeiter sind verpflichtet, personenbezogene Daten, die innerhalb der Grenzen der VR China erhoben und erstellt wurden, im Inland zu speichern und eine von der CAC festgelegte Sicherheitsbewertung zu bestehen, bevor sie solche personenbezogenen Daten ins Ausland übermitteln. Anfang dieses Monats veröffentlichte die CAC schließlich ihre Maßnahmen zur Sicherheitsbewertung von grenzüberschreitenden Datenübertragungen (die “Maßnahmen zur Sicherheitsbewertung”), die am 1. September 2022 in Kraft treten werden. Die Maßnahmen zur Sicherheitsbewertung werden Regeln für die Sicherheitsbewertung von grenzüberschreitenden Datenübertragungen in Bezug auf folgende Punkte einführen
- personenbezogene Daten, die von bestimmten Datenverarbeitern gemäß dem PIPL und dem Cybersicherheitsgesetz der Volksrepublik China (das “CSL”) verarbeitet werden; und
- “wichtige Daten” gemäß dem Datensicherheitsgesetz der Volksrepublik China (das “DSL”).
Gemäß den Maßnahmen zur Sicherheitsbewertung muss ein Datenverarbeiter eine obligatorische Sicherheitsbewertung durchführen, bevor er personenbezogene Daten in Länder außerhalb der VR China übermittelt, wenn:
- die Übermittlung von “wichtigen Daten” erfolgt. Damit sollen die Verpflichtungen der DSL und der CSL von den CIIOs auf alle Datenverarbeiter ausgedehnt werden;
- die Übermittlung von einer CIIO vorgenommen wird oder der Datenverarbeiter personenbezogene Daten von 1 Million oder mehr Personen verarbeitet;
- der Datenverarbeiter hat seit dem 1. Januar des vorangegangenen Jahres kumulativ die personenbezogenen Daten von mindestens 100.000 Personen oder sensible personenbezogene Daten von mindestens 10.000 Personen grenzüberschreitend übermittelt; oder
- andere vom CAC festgelegte Umstände vorliegen.
Wenn ein Datenverarbeiter eine Sicherheitsbewertung durchführen muss, muss er eine erste Selbstbewertung durchführen, die er als Teil seines Antrags bei der zentralen Aufsichtsbehörde der Provinz einreicht, zusammen mit der rechtlichen Dokumentation, die er mit dem Empfänger der personenbezogenen Daten in Übersee erstellt hat. Der CAC auf Provinzebene prüft den Antrag, bevor er ihn an den CAC weiterleitet. Dieses Verfahren kann bis zu 2 Monate dauern, und die Genehmigung durch den CAC ist 2 Jahre lang gültig. Um die Frist einzuhalten, müssen die Unternehmen 2 Monate vor Ablauf der Gültigkeit eine Neuzertifizierung für die Sicherheitsbewertung beantragen. Diejenigen Organisationen, die keine Sicherheitsbewertung durchführen müssen, können zwischen einer Zertifizierung oder der Umsetzung der chinesischen Version der SCC wählen.
2. Zertifizierung
Die Zertifizierung steht multinationalen Unternehmen mit einer Niederlassung in der VR China offen, auch assoziierten Unternehmen und Unternehmen, die dem extraterritorialen Anwendungsbereich von Art. 3 Abs. 2 PIPL unterliegen. Wenn ein Unternehmen dem extraterritorialen Geltungsbereich des PIPL unterliegt, ist der nach Art. 53 des PIPL bestellte gesetzliche Vertreter für die Beantragung der Zertifizierung rechtlich verantwortlich. Die Organisation, die als Zertifizierungsstelle fungiert, ist von den chinesischen Behörden noch nicht festgelegt worden. Die Organisation, die die Zertifizierung beantragt, muss die Überwachung durch die chinesischen Behörden akzeptieren und sich an die chinesischen Rechtsvorschriften halten. Jede Organisation muss einen Datenschutzbeauftragten ernennen (mehr über diese Verpflichtung erfahren Sie in unserem nächsten Artikel) und muss Garantien für die Rechte der betroffenen Personen einführen.
3. Standardvertrag
Am 30. Juni 2022 veröffentlichte der CAC den Entwurf eines Standardvertrags für die grenzüberschreitende Übermittlung personenbezogener Daten (der “Entwurf des Standardvertrags”). Der Entwurf steht nun bis zum 29. Juli 2022 für eine öffentliche Konsultation zur Verfügung; danach können Sie mit weiteren Aktualisierungen rechnen. Der Standardvertragsentwurf schlägt eine SCC-Vorlage vor, die Folgendes enthält:
- Grundlegende Informationen über den Exporteur und den Empfänger der Daten, wie z. B. deren Namen und Kontaktinformationen sowie Einzelheiten;
- die Zwecke, den Umfang, die Kategorien, die Empfindlichkeit, die Menge, die Methode, die Aufbewahrungsfrist und den Speicherort der zu übermittelnden personenbezogenen Daten;
- die Aufgaben und Pflichten des Exporteurs und des Empfängers der Daten sowie alle technischen und organisatorischen Maßnahmen zur Vermeidung von Sicherheitsrisiken;
- die Auswirkungen der Gesetze zum Schutz personenbezogener Daten in dem Land, in dem der Empfänger ansässig ist, im Vergleich zu den Gesetzen in der VR China; und
- Rechte der betroffenen Personen und Klauseln, die sich mit Rechtsmitteln bei Vertragsbruch, Vertragsauflösung, Haftung und Streitbeilegung befassen.
Der Entwurf des Standardvertrags unterstreicht auch die Notwendigkeit, dass ein für die Verarbeitung personenbezogener Daten Verantwortlicher eine Datenschutz-Folgenabschätzung (Personal Information Protection Impact Assessment, PIPIA) durchführt. Die PIPIA muss berücksichtigen:
- ob Zweck, Umfang und Methoden der Übermittlung und Weiterverarbeitung durch den Offshore-Empfänger rechtmäßig, legitim und notwendig sind oder nicht;
- die Menge, den Umfang, die Art und die Sensibilität der ins Ausland übermittelten personenbezogenen Daten sowie die Risiken, die sich aus dem Export personenbezogener Daten für die Rechte und Interessen der Betroffenen ergeben können;
- die Verantwortlichkeiten und Verpflichtungen des Empfängers im Ausland sowie die Frage, ob die Verwaltung und die technischen Maßnahmen und Fähigkeiten zur Erfüllung der Verantwortlichkeiten und Verpflichtungen die Sicherheit der ausgehenden personenbezogenen Daten gewährleisten können;
- das Risiko, dass personenbezogene Daten nach dem Verlassen des Landes durchsickern, beschädigt, verändert oder missbraucht werden, und ob die Kanäle für Einzelpersonen, die Rechte und Interessen an personenbezogenen Daten zu wahren, ungehindert sind usw;
- die Auswirkungen der Richtlinien und Vorschriften zum Schutz personenbezogener Daten auf die Erfüllung von Standardverträgen in dem Land oder der Region, in dem/der sich der Empfänger im Ausland befindet; und
- andere Angelegenheiten, die die Sicherheit personenbezogener Daten beim Verlassen des Landes beeinträchtigen könnten.
Der Entwurf des Standardvertrags sieht vor, dass spätestens 10 Tage nach der Unterzeichnung eines Standardvertrags sowohl der Vertrag als auch ein Bericht über den PIPIA an das lokale CAC gemeldet werden müssen. Tritt einer der folgenden Umstände ein, muss der entsprechende Standardvertrag aktualisiert, neu unterzeichnet und erneut bei den Behörden eingereicht werden:
- Änderungen des Zwecks, des Umfangs, der Art, der Sensibilität, der Menge und der Methode der Verarbeitung personenbezogener Daten;
- Änderungen ausländischer Datenschutzgesetze, die die Rechte oder Interessen der betroffenen Personen beeinträchtigen können;
- andere Umstände, die die Rechte oder Interessen der betroffenen Personen beeinträchtigen können;
Wenn die Behörden den Verdacht haben, dass die Übermittlung nicht mehr mit den Vorschriften für den internationalen Datentransfer gemäß PIPL übereinstimmt und der Standardvertrag nicht mehr den Anforderungen der Verordnung entspricht, können sie die Parteien, die die Übermittlung durchführen, benachrichtigen und sie anweisen, alle Übermittlungsaktivitäten unverzüglich einzustellen.
II. Gesonderte Zustimmung
Im Gegensatz zu anderen Rechtsordnungen verlangt Artikel 39 PIPL, dass der für die Verarbeitung personenbezogener Daten Verantwortliche für jede grenzüberschreitende Übermittlung personenbezogener Daten die gesonderte Einwilligung der betroffenen Person einholt. Die betroffene Person muss umfassend über die Übermittlung, ihren Zweck, die Empfänger, die Kontaktdaten des Empfängers und die Verarbeitungstätigkeiten informiert werden. In verschiedenen Artikeln des PIPL besteht noch Unklarheit darüber, ob Unternehmen, die sich einer Sicherheitsbewertung nach Artikel 40 unterziehen, ebenfalls eine Einwilligung einholen müssen. Da dies jedoch dem Wortlaut des PIPL widersprechen würde, sind wir der Meinung, dass bei der Übermittlung personenbezogener Daten ins Ausland in jedem Fall eine Einwilligung eingeholt werden muss. Wir hoffen, mit den folgenden Leitlinien, die von der CAC veröffentlicht werden sollen, mehr Klarheit in dieser Frage zu erhalten.
Wie bei allen Maßnahmenentwürfen warten wir auf das Ergebnis der öffentlichen Konsultation zum Standardvertragsentwurf und darauf, welche weiteren Leitlinien die VR China im Laufe der Zeit herausgibt. In der Zwischenzeit sollten Sie die nächste Folge dieser Serie von PIPL-Updates im Auge behalten, die sich mit den Rollen des Vertreters und des PIPO (Chinas Äquivalent zum DSB) befassen wird.