Maßnahmen zur Sicherheitsbewertung der grenzüberschreitenden Übermittlung personenbezogener Daten in China (Entwurf von 2019)

Zusammenfassung: Das Cybersicherheitsgesetz der Volksrepublik China wurde am 7. November 2016 erlassen und am 1. Juni 2017 offiziell in Kraft gesetzt. Die Cyberspace Administration of China (CAC) hat unterstützende Maßnahmen zur Umsetzung der Bestimmungen des Cybersicherheitsgesetzes veröffentlicht. Diese Maßnahmenentwürfe enthalten Leitlinien für die grenzüberschreitende Übermittlung von Daten, Bewertungen der Datensicherheit und den Schutz von Daten im nationalen und öffentlichen Interesse.

Im Jahr 2017 veröffentlichte das CAC Maßnahmen zur Sicherheitsbewertung der grenzüberschreitenden Übermittlung personenbezogener Daten und wichtiger Daten. Der Entwurf erhielt immense Rückmeldungen und führte im Juni 2019 zu einem zweiten Entwurf mit dem Titel "Maßnahmen zur Sicherheitsbewertung der grenzüberschreitenden Übermittlung personenbezogener Daten". Der neue Entwurf wird eine Vielzahl von in- und ausländischen Unternehmen in China mit grenzüberschreitendem Transferbedarf betreffen.

Trennung von "persönlichen Informationen" und "wichtigen Daten"

Am 13. Juni 2019 veröffentlichte die Cyberspace Administration of China (CAC) Maßnahmen zur Sicherheitsbewertung der grenzüberschreitenden Übertragung personenbezogener Daten. Die im Entwurf enthaltenen Bestimmungen und Richtlinien gelten für Netzbetreiber, die personenbezogene Daten an Empfänger außerhalb Chinas exportieren. Es ist zu beachten, dass der Maßnahmenentwurf 2017 sowohl für „wichtige Daten“ als auch für „personenbezogene Daten“ gilt. Der Gesetzesentwurf von 2019 lässt jedoch den Begriff „wichtige Daten“ weg und konzentriert sich ausschließlich auf den Export von „persönlichen Informationen“. Die Streichung des Begriffs impliziert, dass das CAC wichtige Daten und persönliche Informationen jetzt als separate Kategorien behandelt, die unterschiedlichen Anforderungen unterliegen Anforderungen. [1] Daher betrifft der Inhalt des neuen Verordnungsentwurfs nur die grenzüberschreitende Übermittlung von „personenbezogenen Daten“, die im Hoheitsgebiet Chinas gesammelt wurden. [2]

Datenlokalisierungsanforderung

Das chinesische Gesetz zur Cybersicherheit fordert die Lokalisierung von Daten für „Betreiber kritischer Informationsinfrastrukturen“ (CIIOs), die Daten in China sammeln und generieren. Mit anderen Worten, die Bestimmung verlangt, dass persönliche Informationen und wichtige Daten, die von CIIO im Hoheitsgebiet Chinas gesammelt werden, auf chinesischen Servern gespeichert werden. Mit dem Maßnahmenentwurf 2017 wurde versucht, diese Datenlokalisierungsregel zu präzisieren. Mit dem Entwurf wurde jedoch die Anforderung der Datenlokalisierung auf alle „Netzbetreiber“ ausgeweitet, was zu Kontroversen und Verwirrung in der internationalen Gemeinschaft führte. Da der Begriff „Netzbetreiber“ vager definiert ist als der von CIIO, haben die Maßnahmen von 2017 den Spielraum für die Anforderung der Datenlokalisierung erweitert.

Um die Sache noch komplizierter zu machen, veröffentlichte das CAC den Maßnahmenentwurf für 2019, ohne die Anforderungen an die Datenlokalisierung zu erwähnen. Obwohl der neue Entwurf keine Bestimmung zur Datenlokalisierung enthält, bedeutet dies nicht, dass Netzbetreiber von der Datenlokalisierung ausgenommen sind. Wir weisen darauf hin, dass sich Chinas Cybersicherheitsgesetz mit dem neuen Maßnahmenentwurf überschneidet und die CIIO weiterhin verpflichtet sind, die Regeln zur Datenlokalisierung einzuhalten. Da sich das Cybersicherheitsgesetz jedoch auf „CIIOs“ und die Maßnahmen nur auf „Netzbetreiber“ beziehen, besteht Interpretationsspielraum, welche Einheiten von den Datenlokalisierungsanforderungen betroffen sein werden.

Richtlinien zur Bewertung der Datensicherheit

A. Allgemeiner Überblick über Sicherheitsbewertungen

Die Netzbetreiber [3] müssen vor der ausgehenden Übermittlung personenbezogener Daten Datensicherheitsprüfungen durchführen. [4] Während der vorherige Entwurf das CAC als primären Koordinator für Sicherheitsbewertungen auflistete, weist der neue Entwurf Cyberspace-Abteilungen auf Provinzebene zu, Dateninspektionen durchzuführen. [5] Darüber hinaus benötigt jeder einzelne Datenempfänger eine eigene Sicherheitsbewertung. Für den mehrfachen Export personenbezogener Daten an denselben Empfänger sind jedoch keine mehrfachen Bewertungen erforderlich. Darüber hinaus müssen die Netzbetreiber alle zwei Jahre eine neue Sicherheitsbewertung durchführen oder den Fall, dass „sich der Zweck, die Art oder die Aufbewahrungsfrist im Ausland im Zusammenhang mit der ausgehenden Übermittlung personenbezogener Daten ändert.“ [6]

B. Einreichung zur Sicherheitsbewertung

Netzbetreiber müssen bei einer Cyberspace-Verwaltung auf Provinzebene eine Sicherheitsbewertung der zu exportierenden personenbezogenen Daten einreichen. Netzbetreiber müssen bei der Anforderung der Bewertung spezifische Unterlagen einreichen. Zu den Dokumenten gehören ein Erklärungsformular, der Vertrag zwischen dem Netzbetreiber und dem / den Empfänger(n), sowie ein Analysebericht zum Sicherheitsrisiko der Daten. Die Cybersicherheitsabteilung auf Provinzebene führt dann innerhalb von 15 Arbeitstagen eine Sicherheitsbewertung durch. Die Frist für die Durchführung der Sicherheitsbewertung wurde gegenüber dem Zeitrahmen des vorherigen Entwurfs von 60 Arbeitstagen verkürzt. [7] Einige Experten bezweifeln jedoch, dass die CAC-Verwaltungen der Provinzen in der Lage sein werden, umfangreiche Sicherheitsbewertungen innerhalb dieser festgelegten Frist durchzuführen. [8] Wir teilen diese Zweifel.

C. Ergebnisse und Nachverfolgung

Sobald die Cybersicherheitsabteilung auf Provinzebene eine Sicherheitsbewertung der personenbezogenen Daten durchführt, muss die Abteilung den Netzbetreiber über die Ergebnisse informieren. Artikel 7 besagt, dass Netzbetreiber beim CAC Beschwerde einlegen können, wenn der Netzbetreiber den Ergebnissen der Cybersicherheitsabteilung auf Provinzebene widerspricht. Am Ende eines jeden Jahres sind die Netzbetreiber verpflichtet, alle in diesem Jahr übertragenen personenbezogenen Daten zusammen mit allen anderen angeforderten Informationen an ihre Cybersicherheitsabteilung auf Provinzebene zu übermitteln. Darüber hinaus führen die Cybersicherheitsabteilungen der Provinzen regelmäßige Inspektionen der ausgehenden Übertragung personenbezogener Daten durch die Netzbetreiber durch, um die Vertragserfüllung, Verstöße gegen Regeln oder Vorschriften und den Schutz der Rechte der betroffenen Personen zu überprüfen.

D. Details zur Sicherheitsbewertung

Der Maßnahmenentwurf 2019 enthält die folgenden Informationen im Einzelnen:

  • Artikel 6: Bei der Durchführung einer Sicherheitsbewertung befassen sich die Cyberspace-Abteilungen mit spezifischen Fragen. Dieser Artikel listet den Informationstyp auf, der für die Bewertung kritisch ist.
  • Artikel 8: Die Netzbetreiber sind verpflichtet, Aufzeichnungen über personenbezogene Daten fünf Jahre lang aufzubewahren. Dieser Artikel listet Einzelheiten dazu auf, was diese Datensätze enthalten sollten.
  • Artikel 9: Die Cyberspace-Abteilungen haben das Recht, die Ausfuhr personenbezogener Daten zu verbieten oder auszusetzen. Dieser Artikel listet die Fälle auf, in denen ein Verbot / eine Aussetzung gerechtfertigt ist.
  • Artikel 17: Die Netzbetreiber müssen einen Analysebericht vorlegen, der die Sicherheitsrisiken der ausgehenden Übertragung personenbezogener Daten beschreibt. Dieser Artikel listet auf, welche Art von Informationen die Berichte enthalten sollten.

Verträge zwischen Netzbetreibern und Datenempfängern:

Der Maßnahmenentwurf 2019 sieht vertragliche Anforderungen zwischen dem Netzbetreiber und dem Datenempfänger vor. In den folgenden Artikeln wird aufgezählt, was in den rechtlichen Vereinbarungen ausdrücklich festgelegt werden sollte:

  • Artikel 13 listet allgemeine Inhalte auf, die in den Vertrag zwischen dem Netzbetreiber und dem Datenempfänger aufgenommen werden sollten.
  • Artikel 14 und 15 legen die Pflichten der Netzbetreiber und Datenempfänger fest, die in den gesetzlichen Verträgen angegeben werden müssen.
  • Artikel 16 beschreibt die Regeln, nach denen Datenempfänger personenbezogene Daten an Dritte weitergeben. Diese Anforderungen müssen auch im Vertrag festgelegt werden.

2019 Maßnahmenentwürfe und Übersee-Organisationen

Die neuen Maßnahmenentwürfe sehen vor, dass in Übersee ansässige Organisationen, die personenbezogene Daten chinesischer Nutzer im Internet sammeln, denselben Regeln und Vorschriften unterliegen wie Netzbetreiber in China. Um diese Verpflichtungen zu erfüllen, müssen sich ausländische Unternehmen an einen inländischen gesetzlichen Vertreter oder eine Organisation wenden. Da „Netzbetreiber“ ein weit gefasster Begriff ist, wird er weitreichende Auswirkungen auf eine Vielzahl von Unternehmen und Branchen haben, die personenbezogene Daten von inländischen Nutzern in China erheben. Sobald der Maßnahmenentwurf umgesetzt ist, müssen ausländische Unternehmen, die in China personenbezogene Daten erheben, möglicherweise ihre Verträge mit den Datenempfängern überprüfen, um die Einhaltung sicherzustellen. Insgesamt sollten ausländische Unternehmen, die Daten grenzüberschreitend übertragen, mit den neuen Maßnahmenentwürfen vertraut gemacht werden, um sich in der Cybersicherheitslandschaft Chinas zurechtzufinden.

Die Auswirkungen der Maßnahmenentwürfe von 2019 auf ausländische Unternehmen

Im Vergleich zu Chinas Cybersicherheitsgesetz erweitern die Maßnahmenentwürfe von 2019 den Anwendungsbereich derer, die einer Datenüberprüfung und Vorschriften unterliegen. Der Maßnahmenentwurf betrifft alle „Netzbetreiber“, die allgemein als „Netzeigentümer, -manager und -dienstleister“ definiert sind. Folglich wird der Entwurf multinationale Unternehmen in einer Vielzahl von Branchen und Sektoren betreffen, in denen Informationsnetze betrieben und genutzt werden China. Ausländische Unternehmen, die im Hoheitsgebiet Chinas personenbezogene Daten erheben, sollten sich auf die Einhaltung der Maßnahmen von 2019 vorbereiten. Neben der Bewertung der neuen Verpflichtungen sollten sich ausländische Unternehmen auch der Herausforderungen bewusst sein, die auftreten können, z. B. Verwaltungslasten, ineffiziente Geschäftsabläufe und neue Kosten.

Im Allgemeinen wird der neue Maßnahmenentwurf die Effizienz der Auslandsgeschäfte in China beeinträchtigen. Dies ist im Wesentlichen auf die obligatorische Sicherheitsbewertung der personenbezogenen Daten zurückzuführen. Im vorherigen Maßnahmenentwurf wurde beispielsweise von Unternehmen erwartet, dass sie personenbezogene Daten selbst bewerten. Dies bedeutete, dass Unternehmen nur bei Erreichen eines bestimmten Schwellenwerts behördlichen Bewertungen unterzogen würden, z. B. beim Export einer großen Menge personenbezogener Daten oder hochsensibler Daten.

Der Entwurf von 2019 verpflichtet die Regierungsverwaltungen jedoch zur Durchführung von Sicherheitsbewertungen aller ausgehenden Übermittlungen personenbezogener Daten, unabhängig von der Menge oder der Sensibilität der Informationen. Die Konsequenz dieser Bestimmung ist, dass selbst grundlegende Kunden- oder Personalinformationen, die ein Unternehmen in China sammelt, vor der ausgehenden Übertragung der Daten eine Sicherheitsüberprüfung erfordern. Daher schaffen die Maßnahmen mehr Hindernisse für ausländische Unternehmen, die häufig Daten im Ausland austauschen. Eine weitere Möglichkeit, wie der neue Maßnahmenentwurf die Geschäftstätigkeit im Ausland verlangsamen kann, ist die mehrdeutige Rechtssprache, die Unternehmen für die Kontrolle der lokalen Cybersicherheitsverwaltungen anfällig macht. In Artikel 5 heißt es beispielsweise, dass Sicherheitsbewertungen innerhalb von 15 Tagen stattfinden sollten, dieser Zeitraum jedoch für „komplexe Situationen“ verlängert werden kann.

Da unklar ist, was das CAC für eine komplexe Situation hält, können Datensicherheitsbewertungen länger dauern als zuvor erforderlich. Die lokalen Cybersicherheitsverwaltungen gestatten den Export. Das CAC verwendet eine ähnliche undurchsichtige Sprache in Artikel 3 des Maßnahmenentwurfs, in dem alle zwei Jahre neue Sicherheitsbewertungen durchgeführt werden "sofern sich nicht „der Zweck des Exports personenbezogener Daten oder die Aufbewahrungsdauer in Übersee ändert“. Es ist auch ngegeben, was eine Änderung des Zwecks darstellt. Ausländische Firmenkönnen somit  in einem bestimmten Zeitraum mehr Sicherheitsbewertungen durchlaufen als im Entwurf angegeben. Daher geben die Verordnungsentwürfe von 2019 vor Ort Cybersicherheitsverwaltungen  die Befugnis und das Ermessen, Sicherheitsbewertungen für ausländische Unternehmen zu erschweren.

Sobald die neuen Maßnahmenentwürfe umgesetzt sind, werden ausländische Unternehmen höchstwahrscheinlich zusätzlichen Verwaltungsaufwand haben. Zum Beispiel müssen Netzbetreiber den lokalen Cybersicherheitsverwaltungen verschiedene Materialien zur Verfügung stellen, um eine Sicherheitsbewertung des Exports personenbezogener Daten zu deklarieren. Zu diesen Dokumenten gehört ein Analysebericht, der mühsam zu erstellen ist und detaillierte Informationen zum Netzbetreiber und zu den einzelnen Datenempfängern enthalten muss. Darüber hinaus ist die Aufzeichnung und Meldung personenbezogener Daten eine zusätzliche Verwaltungsaufgabe. Die Aufzeichnungen müssen spezifische Informationen gemäß Artikel 8 enthalten. Die jährlichen Berichte über die Bedingungen der Ausfuhr personenbezogener Daten sind der örtlichen Behörde für Cybersicherheit am Ende eines jeden Jahres vorzulegen. Darüber hinaus müssen die gesetzlichen Verträge zwischen Netzbetreibern und Datenempfängern aktualisiert werden, um die Maßnahmen einzuhalten.

Multinationale Unternehmen müssen sich auf diese zeitaufwändigen Verwaltungsaufgaben einstellen, die für die Datenübertragung nach Übersee obligatorisch sind. Schließlich sollten sich ausländische Unternehmen bewusst sein, dass die neuen Maßnahmenentwürfe die Kosten für die Geschäftstätigkeit in China erheblich erhöhen können.

Viele ausländische Firmen sind nicht in China präsent, sondern sammeln online personenbezogene Daten von chinesischen Nutzern. In Artikel 20 des Maßnahmenentwurfs müssten Unternehmen wie diese die Verpflichtungen der Maßnahmen durch "inländische gesetzliche Vertreter oder Organisationen" erfüllen. Daher ist die Erlangung eines gesetzlichen Vertreters in China für einige Unternehmen mit zusätzlichen Kosten verbunden. Andere Ausgaben können für zusätzliche administrative Unterstützung und Verwaltung aufgewendet werden, um sicherzustellen, dass das Unternehmen die Dokumente gemäß den Vorschriften erstellt und einreicht. Ausländische Unternehmen, die personenbezogene Daten inländischer Nutzer in China erheben, sollten sich daher auf die Zeit und die Ressourcen vorbereiten, die erforderlich sind, um den Maßnahmenentwurf von 2019 einzuhalten.

Inländische Unternehmen

Es ist wichtig zu beachten, dass der Maßnahmenentwurf für 2019 nicht nur für ausländische Unternehmen gilt, die in China tätig sind. Ausländische Firmen in China sehen sich keinen strengeren Vorschriften gegenüber als inländische Firmen. Die Maßnahmen gelten für alle inländischen Netzbetreiber, die personenbezogene Daten von chinesischen Nutzern erheben. Übersee-Organisationen unterliegen den gleichen Standards wie inländische Unternehmen, daher sind inländische und ausländische Unternehmen für die Erfüllung der gleichen Verpflichtungen bei der Übermittlung personenbezogener Daten nach Übersee verantwortlich. 

 

Sollten sie mehr Informationen benötigen, bitte kontaktieren Sie uns. 

 

[1] “China Issues Draft Regulation on Cross-Border Transfer of Personal Information.” Privacy & Information Security Law Blog. Hunton Andrews Kurth LLP, June 19, 2019. https://www.huntonprivacyblog.com/2019/06/19/china-issues-draft-regulati....

[2] “Personal information” is defined in the draft Measures as “various information recorded by electronic or other means that, alone or in combination with other information, can identify a natural person's personal identity, including but not limited to the name of the natural person, date of birth, ID number, personal biometric information, address, phone number, etc.”)

[3] Network operators are defined in the June 2019 draft as “network owners, managers, and network service providers.”

[4] L, Cindy, Mingli Shi, and Kevin Neville. “Translation: New Draft Rules on Cross-Border Transfer of Personal Information Out of China.” New America, June 13, 2019. https://www.newamerica.org/cybersecurity-initiative/digichina/blog/trans.... (Article 2)

[5] Luo, Yan, Zhijing Yu, and Nicholas Shepherd. “China Seeks Public Comments on draft Measures Related to the Cross-Border Transfer of Personal Information.” Inside Privacy, June 18, 2019. https://www.insideprivacy.com/international/china/china-seeks-public-com....

[6] “China Issues Draft Regulation on Cross-Border Transfer of Personal Information.” Privacy & Information Security Law Blog. Hunton Andrews Kurth LLP, June 19, 2019. https://www.huntonprivacyblog.com/2019/06/19/china-issues-draft-regulati....

[7] “从‘雾里观花‘到‘柳暗花明’-评《个人信息出境安全评估办法(征求意见稿)》.” Sohu. Legal Executive Board, June 25, 2019. https://www.sohu.com/a/322835797_100055948.

[8] “China Proposes More Stringent Rules on Security Assessment of Export of Personal Information: Insight: Baker McKenzie.” Baker McKenzie, July 3, 2019. https://www.bakermckenzie.com/en/insight/publications/2019/07/china-prop....

[9] “从‘雾里观花‘到‘柳暗花明’-评《个人信息出境安全评估办法(征求意见稿)》.” Sohu. Legal Executive Board, June 25, 2019. https://www.sohu.com/a/322835797_100055948.

[10] L, Cindy, Mingli Shi, and Kevin Neville. “Translation: New Draft Rules on Cross-Border Transfer of Personal Information Out of China.” New America, June 13, 2019. https://www.newamerica.org/cybersecurity-initiative/digichina/blog/trans.... (Article 10)

[11] “从‘雾里观花‘到‘柳暗花明’-评《个人信息出境安全评估办法(征求意见稿)》.” Sohu. Legal Executive Board, June 25, 2019. https://www.sohu.com/a/322835797_100055948.

[12] L, Cindy, Mingli Shi, and Kevin Neville. “Translation: New Draft Rules on Cross-Border Transfer of Personal Information Out of China.” New America, June 13, 2019. https://www.newamerica.org/cybersecurity-initiative/digichina/blog/trans.... (Article 20)

[13] Li, Barbara, and Bohua Yao. “New Chinese Measures for Personal Data Cross-Border Transfer Security Assessments.” Data Protection Report, July 1, 2019. https://www.dataprotectionreport.com/2019/07/new-chinese-measures-for-pe....

[14] L, Cindy, Mingli Shi, and Kevin Neville. “Translation: New Draft Rules on Cross-Border Transfer of Personal Information Out of China.” New America, June 13, 2019. https://www.newamerica.org/cybersecurity-initiative/digichina/blog/trans.... (Article 21)

[15] “Into the Eye of the Storm: Update on China's Long-awaited Data Export Review Measures.” Hogan Lovells, July 2019.

[16] L, Cindy, Mingli Shi, and Kevin Neville. “Translation: New Draft Rules on Cross-Border Transfer of Personal Information Out of China.” New America, June 13, 2019. https://www.newamerica.org/cybersecurity-initiative/digichina/blog/trans.... (Article 3)

[17] L, Cindy, Mingli Shi, and Kevin Neville. “Translation: New Draft Rules on Cross-Border Transfer of Personal Information Out of China.” New America, June 13, 2019. https://www.newamerica.org/cybersecurity-initiative/digichina/blog/trans.... (Article 20)