Live Chat Software by Kayako |
Chinas DSGVO: Schutz von personenbezogenen Daten in China (GSPD)Gepostet von Marc Füßlein, zuletzt bearbeitet von Marc Füßlein an 24 April 2024 17:00
|
|
Als Antwort auf die DSGVO trat in China im November 2021 das Gesetz zum Schutz personenbezogener Daten (中华人民共和国个人信息保护法), abgekürzt GSPD, in Kraft. Im Deutschen wird das Gesetz oft auch als PIPL (Personal Information Protection Law) abgekürzt. Das Gesetz baut auf dem Cybersicherheitsgesetz der Volksrepublik China und dem Datensicherheitsgesetz auf, und spezifiziert die gesetzlichen Rahmenbedingungen für das Sammeln und den Umgang mit personenbezogenen Daten. Wie sind personenbezogene Daten durch das GSPD definiert?Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person dienen und in elektronischer oder sonstiger Form gespeichert werden. Es ist dabei nicht notwendig, dass die Informationen zum Identifizieren einer konkreten Person ausreichend sind. Der Gesetzestext bleibt bei der Definition dennoch vage und nennt, im Vergleich zur DSGVO, keine konkreten Beispiele wie E-Mail-Adresse und Führerschein. Unwiderruflich anonymisierte Daten sind von den gesetzlichen Vorgaben ausgenommen. Darüber hinaus definiert das Gesetz sensible personenbezogene Daten als diejenigen Daten, die in den falschen Händen das persönliche Wohl und Eigentum stark gefährden können. Als Beispiele werden biometrische Daten, Religion, Behinderungen, Gesundheit, Finanzdaten und der Wohnort aufgeführt. Außerdem fallen alle personenbezogenen Daten von Minderjährigen unter 14 Jahren in diese Kategorie. Wer ist vom Gesetz zum Schutz personenbezogener Daten betroffen?Der Fokus des GSPD liegt im Schutz der Privatsphäre und der personenbezogenen Daten von chinesischen Bürgern. Das Gesetz ist entsprechend für alle Firmen in China relevant, die mit personenbezogenen Daten arbeiten. Unter bestimmten Voraussetzungen geht der Anwendungsbereich des Gesetzes über die Landesgrenzen Chinas hinaus. Sofern ein Unternehmen personenbezogene Daten von chinesischen Bürgern verarbeitet, das Verhalten von chinesischen Bürgern auswertet oder Produkte und Dienstleistungen in China anbietet, müssen die Vorgaben des Gesetzes ebenfalls eingehalten werden; selbst wenn die Firma keinen Sitz in China hat. In diesem Fall ist das Unternehmen insbesondere dazu verpflichtet, einen Datenschutzbeauftragten in China zu benennen und dessen Kontaktinformationen an die zuständigen Behörden in China zu kommunizieren. Wichtige Abweichungen zur DSGVOIn vielen Aspekten orientiert sich das Gesetz an den Rahmenbedingungen der DSGVO. Dennoch gibt es gewisse Unterschiede, denen sich betroffene Firmen bewusst sein sollten. EinwilligungenIdentisch zur DSGVO ist für das Sammeln und Verarbeiten von personenbezogenen Daten eine Einwilligung der betroffenen Person notwendig. Diese Einwilligung muss explizit und freiwillig erfolgen und der Nutzer muss darüber aufgeklärt sein, wofür seine Daten verwendet werden. Ebenfalls muss der Nutzer seine Einwilligung jederzeit widerrufen können. Das GSPD definiert allerdings folgende Ausnahmen, in denen personenbezogene Daten ohne vorherige Einwilligung genutzt werden dürfen:
Es gibt allerdings keine Ausnahme für die Verarbeitung von personenbezogenen Daten im Rahmen von berechtigtem Interesse. Ebenfalls sind die Kriterien für das erneute Einholen einer Einwilligung deutlich strenger: Ändert sich der Verwendungszweck, die Auswertungsmethode oder die Kategorisierung der personenbezogenen Daten, so muss eine erneute Einwilligung eingeholt und die Person über die Änderungen aufgeklärt werden. Weitergabe an DritteDie Regelungen für die Weitergabe von personenbezogenen Daten an Dritte sind ein wichtiger und sehr ausführlicher Teil des GSPD und wurden seit deren Inkrafttreten weiter konkretisiert. Entscheidend ist ebenfalls, ob die Daten beim Export an einen Dritten die chinesischen Landesgrenzen verlassen. Grundsätzlich muss der Nutzer seine explizite Einwilligung geben, bevor seine personenbezogenen Daten an einen Dritten überführt werden. Dabei muss offengelegt werden, wer der Dritte ist und wofür die Daten genau genutzt werden. Gleichzeitig muss der Website-Betreiber sicherstellen, dass die Daten vom Dritten nur in genau dem Umfang verwendet werden, dem der Nutzer zugestimmt hat. Werden die Daten an einen Dritten außerhalb Chinas übersendet, sind weitere Regeln zu beachten. Es muss sichergestellt werden, dass der Empfänger der Daten entsprechende Datenschutzvorkehrungen trifft, die mindestens alle gesetzlichen Vorgaben des GSPD erfüllt. Hierzu nennt das Gesetz drei mögliche Vorgehensweisen. 1. SicherheitsauditDer Ablauf eines Sicherheitsaudits durch die "Cyberspace Administration of China" (CAC) wurde von dieser im Juli 2022 im Rahmen der "Maßnahmen zur Sicherheitsbewertung für ausgehende Datenübertragungen" (数据出境安全评估办法) definiert. Diese geben zunächst vor, dass ein solcher Sicherheitsaudit verpflichtend ist, sofern der Betreiber
Trifft eine dieser Bedingungen auf den Betreiber zu, ist der Sicherheitsaudit die einzige Möglichkeit, um eine Genehmigung für die Übermittelung von personenbezogenen Daten an einen Dritten außerhalb Chinas zu erhalten. Der erste Schritt des Sicherheitaudit ist eine ausführliche Selbstprüfung durch den Betreiber sowie die Erstellung eines zugehörigen Berichts, der dann beim CAC eingereicht wird. Diese Prüfung muss die folgenden Aspekte berücksichtigen:
Nach Abschluss der Selbstprüfung sind der zugehörige Bericht sowie die relevanten Vertragsdokumente zwischen dem Betreiber und dem Dritten zunächst bei der Provinzbehörde des CAC einzureichen. Dort werden die Unterlagen innerhalb von wenigen Tagen kontrolliert und, sofern diese in Ordnung sind, an die nationale Ebene des CACs weitergegeben. Nach einer erneuten Prüfung der Unterlagen leitet das CAC innerhalb von wenigen Wochen einen Sicherheitsaudit ein. Sofern die Ergebnisse dieses Sicherheitsaudits ebenfalls positiv ausfallen, erhält der Betreiber eine Genehmigung für den Export von personenbezogenen Daten an den Dritten. Diese Genehmigung ist für zwei Jahre gültig. Für eine Verlängerung müssen die Schritte des Sicherheitaudits erneut durchlaufen werden. Ebenso muss der Sicherheitsaudit schon vorab wiederholt werden, falls es signifikante Änderungen im Zusammenhang mit dem Export der Daten an den Dritten gibt. 2. StandardvertragAuf den ersten Blick klingt der Abschluss eines Vertrags zwischen dem Website-Betreiber und dem Dritten, der die personenbezogenen Daten erhalten soll, relativ unkompliziert - vor allem, da es sich um ein Standarddokument handelt, das direkt von der chinesischen Cyberspace-Behörde zur Verfügung gestellt wird. Diese hat die Vorgehensweise hierzu im Februar 2023 in den "Maßnahmen zu Standardverträgen für den Export personenbezogener Daten" (个人信息出境标准合同办法) näher beschrieben. Bei genauerer Betrachtung trügt der erste Eindruck und es steckt deutlich mehr an Komplexität hinter dieser Option. Zunächst gibt es mehrere Voraussetzungen, die der Website-Betreiber erfüllen muss, um überhaupt einen solchen Standardvertrag abschließen zu können. Diese sind in vielen Punkten das Gegenstück zu den Bedingungen, unter denen ein Sicherheitsaudit durchgeführt werden muss. Für den Standardvertrag muss der Website-Betreiber
Das zugehörige Vertragsdokument ist den vom CAC veröffentlichten Maßnahmen zu Standardverträgen für den Export personenbezogener Daten beigelegt und kann entsprechend online bezogen werden. Der Vertrag definiert erwartungsgemäß die Rechte und Pflichten der beiden Parteien im Hinblick auf den Schutz und die Verarbeitung der personenbezogenen Daten. Ebenso werden die Rechte der chinesischen Bürger, deren Daten verarbeitet werden, beschrieben und Kontaktmöglichkeiten, die bereitgestellt werden müssen, konkretisiert. Besonders hervorzugeben sind jedoch einige der Pflichten, die der Dritte erfüllen muss. So dürfen die personenbezogenen Daten nur für die Dauer der Verarbeitung gespeichert und müssen anschließend gelöscht werden. Gleichzeitig stimmt der Dritte zu, dass er hinsichtlich der Pflichten des Vertrags von den chinesischen Behörden, insbesondere dem CAC, beaufsichtigt wird, und auf Anfrage entsprechende Informationen an die Behörden in China offenlegen muss sowie mögliche Rechtsstreite im Zusammenhang mit dem Vertrag in China ausgefechtet werden. Der Standardvertrag ist jedoch nicht das einzige Dokument, was für diesen Prozess benötigt wird. Es muss darüber hinaus eine Datenschutzfolgenabschätzung durchgeführt werden und dazu ein umfangreicher Bericht bei den Behörden in China zusammen mit dem Vertragsdokument eingereicht werden. Im Rahmen dieser Folgenabschätzung müssen konkrete Firmenprozesse, bei denen personenbezogene Daten an einen Dritten übermittelt werden, nach vorgegebenen Kriterien unter die Lupe genommen werden. Dazu zählen beispielsweise die gesetzliche Grundlage für die Verarbeitung der Daten und das Einholen der notwendigen Zustimmung des Nutzers. Nicht zu unterschätzen ist ebenso, dass der Bericht gleichzeitig eine Einschätzung der Datenschutzregeln im Land des Dritten auf die Erfüllung des Standardvertrags erwartet. Die Datenschutz-Folgenabschätzung bedarf also rechtlicher Analysen beider Parteien, weshalb die Unterstützung durch Datenschutz-Experten oder eine Rechtsberatung auf beiden Seiten zu empfehlen ist. 3. Datenschutz-ZertifizierungDie Datenschutz-Zertifizierung ist die dritte Option, die in der GSPD für den legalen Transfer von personenbezogenen Daten genannt wird. Die genaue Definition dieser Zertifizierung wurde im Dezember 2022 durch die chinesischen Behörden im Rahmen der Durchführungsbestimmungen für die Zertifizierung zum Schutz personenbezogener Daten (个人信息保护认证实施规则) spezifiziert. Diese Durchführungsbestimmungen sind gleichzeitig eng an die Sicherheitszertifizierungsspezifikationen für die grenzüberschreitende Verarbeitung personenbezogener Daten (个人信息跨境处理活动安全认证规范) und die Spezifikationen für die Sicherheit personenbezogener Daten in der Informationssicherheitstechnologie (信息安全技术 个人信息安全规范) gebunden. Die Grundvoraussetzungen der Datenschutz-Zertifizierung sind identisch zum Standardvertrag. D.h. die betroffenen Parteien müssen
In der ersten Version der Bestimmungen zur Datenschutz-Zertifizierung war deren Anwendung darüber hinaus implizit nur für verbundene Unternehmen, also z.B. zwischen Hauptsitz in Deutschland und Tochtergesellschaft in China, angedacht. Inzwischen wurden die Bestimmungen weiter aktualisiert und mit der zweiten Version kann die Datenschutz-Zertifizierung für jeglichen Transfer von personenbezogenen Daten über die chinesischen Landesgrenzen angewendet werden. Insbesondere findet die Datenschutz-Zertifizierung ihre Anwendung bei ausländischen Unternehmen, die keinen Firmensitz in China haben, aber Daten von chinesischen Bürgern auswerten oder entsprechende Leistungen in China anbietet. In diesem Fall kann das Unternehmen einen Datenschutzbeauftragten in China benennen, über den der Zertifizierungsprozess durchgeführt werden kann. Wir konzentrieren uns nachfolgend allerdings auf die Datenschutz-Zertifizierung zwischen einem Unternehmen in China und einer Dritten außerhalb Chinas. Beim Austausch personenbezogener Daten zwischen einem chinesischen Unternehmen und einer ausländischen Partei kann die Datenschutz-Zertifizierung über das Unternehmen in China abgewickelt werden, welches die Verantwortung für beide Parteien übernimmt. Zweigstellen in China oder Repräsentanzen ausländischer (regionaler) Unternehmen sind jedoch explizit ausgeschlossen. Das chinesische Unternehmen muss sich insbesondere im "Normalbetrieb" befinden und "einen guten Ruf und eine gute Bonität" vorweisen, wobei konkrete Kriterien hierfür nicht näher spezifiziert sind. Vorbereitend für den Zertifizierungsprozess sind drei Punkte zu beachten:
Sobald diese Vorbereitungen getroffen wurden, kann der Zertifizierungsprozess bei freigegebenen Behörden in China angestoßen werden. Stand Juli 2023 ist die einzige Behörde, die für die Datenschutz-Zertifizierung bislang freigegeben wurde, das China Cybersecurity Review Technology and Certification Center (CCRC), welches für den Prozess ein entsprechendes Online-Portal zur Verfügung stellt. Ob es in der Zukunft weitere Behörden geben wird, die für die Datenschutz-Zertifizierung zugelassen werden, ist derzeit unklar. Der Antrag für die Datenschutz-Zertifizierung muss unter anderem die nachfolgenden Unterlagen und Informationen umfassen:
Nach Antragsstellung führt die zuständige Behörde zunächst eine technische Analyse und Verifizierung durch, bevor eine Vor-Ort-Prüfung beim Unternehmen in China stattfindet. Sofern diese Prüfung erfolgreich verläuft, werden die Ergebnisse von den Behörden weiter bearbeitet und im besten Fall die Zertifizierung ausgestellt, wobei danach weiterhin eine fortlaufende Überwachung durch die Behörde stattfindet. Die Datenschutz-Zertifizierung ist dann für 3 Jahre gültig und muss binnen der letzten 6 Monate erneuert werden. Aufgrund des Umfangs des Prüfungs- und Freigabeprozesses können zwischen Antragsstellung und Ausstellung der Zertifizierung mehrere Monate vergehen. Nach Ausstellung der Datenschutz-Zertifizierung erhalten die Parteien zudem ein entsprechendes Siegel, über das die Zertifizierung nachgewiesen wird. Dieses Siegel beinhaltet drei Angaben:
Welche Vorgehensweise bietet sich in der Praxis an?Da die Datenschutzbestimmungen in China noch sehr jung sind und jegliche Rechtsprechung dazu fehlt, ist eine Einschätzung der drei oben genannten Prozesse noch sehr schwierig. Sofern Ihr Unternehmen eines der Kriterien erfüllt, unter denen ein Sicherheitsaudit verpflichtend ist, haben Sie natürlich keine Wahl und müssen diesen Prozess durchlaufen. Der Standardvertrag ist in vielen Punkten ähnlich zu den Standardvertragsklauseln der DSGVO, jedoch mit dem entscheidenden Unterschied, dass dieser Vertrag bei den Behörden in China eingereicht werden muss, während das Vorzeigen der Standardvertragsklauseln gegenüber den zuständigen Behörden im Rahmen der DSGVO erst dann notwendig wird, wenn eine entsprechende Situation auftritt, in der diese Abmachungen unter die Lupe genommen werden müssen. Die Datenschutz-Zertifizierung hat ebenfalls Ähnlichkeit zu den Zertifizierungsmechanismen sowie den verbindlichen internen Datenschutzvorschriften der DSGVO. Allerdings finden diese Vorgehensweisen im Rahmen der DSGVO nahezu keine Anwendung in der Praxis. Da die Datenschutz-Zertifizierung im Vergleich zum Standardvertrag deutlich komplexer ist, könnte sich der Standardvertrag ähnlich wie die Standardvertragsklauseln als präferierte Vorgehensweise herausstellen. Für den Datentransfer zwischen einem chinesischen und europäischen Unternehmen ist derzeit eine denkbare Option, dass sowohl der Standardvertrag als auch die Standardvertragsklauseln abgeschlossen werden, um eben beide Seiten (DSGVO und GSPD) abzudecken. Inwieweit sich dies in der Praxis bewährt, wird sich erst in der Zukunft zeigen. Geplante Abschwächungen für den Transfer von personenbezogenen DatenMit der Definition des Standardvertrages im Februar 2023 wurde der letzte Pfeiler der GSPD geschaffen und die Datenschutzbestimmungen traten vollumfänglich zum 01. Juni 2023 in Kraft, wobei eine Frist von 6 Monaten eingeräumt wurde, um einen der drei Prozesse zu durchlaufen. Doch schon Ende September 2023, also noch bevor diese Frist abgelaufen war, hat die "Cyberspace Administration of China" (CAC) einen neuen Entwurf veröffentlicht, welcher darauf abzielt, die Regeln wieder abzuschwächen und Ausnahmen zu schaffen. Die Bestimmungen zur Regulierung und Förderung grenzüberschreitender Datenflüsse (规范和促进数据跨境流动规定) sind derzeit noch im Entwurfsstadium. Sollten Sie in der aktuellen Form in Kraft treten, würden die darin definierten Ausnahmen eine große Erleichterung für viele internationale Unternehmen mit Firmenstandorten in China bieten. Denn Unternehmen, die personenbezogene Daten von weniger als 10.000 chinesischen Bürgern pro Jahr ins Ausland übermitteln, wären von den drei oben beschriebenen Datenschutzvorkehrungen ausgenommen. Der Nutzer müsste lediglich noch darüber informiert werden, dass seine Daten ins Ausland übermittelt werden, und die explizite Einwilligung dafür eingeholt werden. Der Entwurf sieht für die verschiedenen Freihandelszonen in China zudem vor, dass diese weitere Ausnahmen schaffen können, wobei nicht näher definiert ist, ob es sich dabei zwingend um Auflockerungen handeln muss oder ob die Freihandelszonen die Regeln wieder verschärfen könnten. Es ist allerdings anzunehmen, dass die Regeln in Freihandelszonen sogar noch weiter entschärft werden. In der jetzigen Form stellen die Datenschutzbestimmungen in China eine große Hürde für internationale Unternehmen dar. Dass China bereits über Lockerungen nachdenkt, ist daher eine positive Entwicklung und sollte die Einhaltung der Datenschutzgesetze für viele internationale Unternehmen erleichtern. StrafenVerstößt ein Unternehmen gegen die Vorgaben des Gesetzes zum Schutz personenbezogener Daten, sind Strafen bis zu 50 Millionen RMB (etwa 7 Millionen Euro) oder bis zu 5 % des Jahresumsatzes des Unternehmens sowie dem Entzug aller illegal erzielten Umsätze möglich. In schweren Fällen kann ebenfalls der Entzug der chinesischen Firmenlizenz oder ein Eintrag in das Sozialkredit-System Chinas - sowohl für die chinesische Firma als auch für die verantwortlichen Personen innerhalb der Firma - drohen. Die verantwortlichen Personen können ebenfalls zu einer Gefängnisstrafe zwischen drei und sieben Jahren verurteilt werden. Wichtig anzumerken ist also, dass nicht nur Strafen für die Firma selbst, sondern auch für die verantwortlichen Personen, ausgesprochen werden können. Wird einem Unternehmen vorgeworfen, gegen das chinesische Datenschutzgesetz zu verstoßen, gilt eine Beweislastumkehr. Das heißt, das chinesische Unternehmen muss beweisen, dass nicht gegen die Datenschutzregularien verstoßen wurde. Weitergehende Beratung gewünscht?Mit mehreren Jahren Erfahrung im Hosting von den verschiedensten Webseiten, Webshops und Webapplikationen in China, darunter bspw. Buchungsplattformen oder Online-Expos, hilft Ihnen weber.cloud China gerne bei Ihren offenen Fragen. Unsere Experten beraten Sie zum Betrieb Ihrer Webanwendungen in China und allen damit verbundenen Themen, wie bspw. die Bestimmungen des Gesetzes zum Schutz personenbezogener Daten und deren Auswirkungen für Ihr Unternehmen. Bei tiefergehenden rechtlichen Fragen können wir Ihnen jederzeit einen Kontakt zu unseren deutschsprachigen Partner-Rechtsanwälten in China vermitteln. Natürlich können wir Sie darüber hinaus bei allen Fragen hinsichtlich eines Hostings in China unterstützen und Ihnen die passende Lösung anbieten, um Ihre Webseite performant nach China auszuliefern. Klingt spannend? Dann freuen wir uns über Ihre Kontaktaufnahme. Die Inhalte dieses Artikels wurden mit größtmöglicher Sorgfalt und nach bestem Gewissen zusammengestellt. Die weber.digital GmbH übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung unserer Wissensdatenbank entstehen, wird ausgeschlossen, soweit diese nicht auf Vorsatz oder grober Fahrlässigkeit beruhen. Unsere Wissensdatenbank enthält externe Verlinkungen auf anderen Webseiten, auf deren Inhalt wir keinen Einfluss haben. Aus diesem Grund kann die weber.digital GmbH für diese Inhalte auch keine Gewähr übernehmen. Für die Inhalte und Richtigkeit der bereitgestellten Informationen ist der jeweilige Anbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar. Bei Bekanntwerden einer solchen Rechtsverletzung wird der Link umgehend entfernt. | |
|