Datentransfer von China nach Deutschland, Europa und in den Rest der Welt

Gerade für international agierende Unternehmen, die Server, Websites und Webanwendungen in China betreiben sowie Partner oder Niederlassungen in China haben, spielt der Datentransfer von China ins Ausland eine enorm wichtige Rolle. Deshalb sorgten die gesetzlichen Entwicklungen im Jahre 2023 für große Bedenken und Sorgen, da sie für alle chinesischen Unternehmen große Compliance-Hürden darstellten. Der chinesische Staat hat diese Probleme schnell erkannt und mit den Lockerungen, die im März 2024 erlassen wurde, sind vielen Unternehmen wieder von den notwendigen Zertifizierungs- und Genehmigungsprozessen ausgeschlossen.

Während 2017 das Cybersicherheitsgesetz bereits den Grundstein für die weiteren Gesetze zum grenzüberschreitenden Datentransfer legte, wurden die Regeln erst Ende 2021 mit der Verabschiedung des Datensicherheitsgesetzes und dem Gesetz zum Schutz personenbezogener Daten ausgearbeitet. Doch deren Inkrafttreten hatte zunächst noch keine direkten Auswirkungen auf den internationalen Datentransfer, da die relevanten Prozesse für den Sicherheitsaudit, den Standardvertrag und die Datenschutzzertifizierung erst Anfang 2023 vollständig ausgearbeitet und definiert wurden.

In der Praxis hat sich schnell gezeigt, dass die Verpflichtung aller chinesischen Unternehmen einen dieser drei Prozesse zu durchlaufen, spürbare Folgen hatte. Zum einen entstanden sowohl für die Unternehmen als auch für die Behörden enorme Aufwände. Zum anderen wurden teilweise Kontaktformulare und ähnliche Funktionen auf Websites und in Webanwendungen in China komplett entfernt. Deshalb hat der chinesische Staat bereits Ende 2023 den Entwurf "Bestimmungen zur Regulierung und Förderung grenzüberschreitender Datenflüsse" (促进和规范数据跨境流动规定) mit vielen Lockerungen der geltenden Bestimmungen zur Diskussion veröffentlicht und diesen im März 2024 mit sofortiger Wirkung erlassen.

Um die Lockerungen sowie die daraus resultierenden, neuen Bestimmungen für den Transfer von Daten von China nach Deutschland, Europa und in den Rest der Welt besser zu verstehen, ist eine grundlegende Kenntnis über die relevanten Gesetze seit dem Cybersicherheitsgesetz hilfreich.

Cybersicherheitsgesetz (CSL)

Das Inkrafttreten des Cybersicherheitsgesetzes hatte zunächst keine gravierenden Auswirkungen auf den Betrieb von Websites in China sowie auf den grenzübergreifenden Datentransfer. Es bildet jedoch weiterhin das Grundgerüst für den Umgang mit Daten und die darauf aufbauenden Gesetze und Dekrete. Das Gesetz umfasst zum einen allgemeine Themen, etwa die Verantwortung für Daten, die Einführung von Präventivmaßnahmen für die Sicherheit dieser Daten, sowie der Definition von Notfallplänen. Zum anderen wurde erstmal bestimmt, dass die Erfassung von personenbezogenen Daten nur mit der expliziten Zustimmung der betroffenen Person erlaubt ist und diese über die genaue Verwendung der Daten aufgeklärt werden muss – diese Bestimmungen sind bis heute aktuell, beispielsweise für Kontaktformular, Registrierungen und Anmeldungen auf chinesischen Website. Ein weiterer wichtiger Aspekt des chinesischen Cybersicherheitsgesetzes ist die Kategorisierung bestimmter Firmen als Betreiber von kritischer Informationsinfrastruktur, für die strengere Vorschriften gelten sollen.

Auf diesem Grundgerüst baut sowohl das Datensicherheitsgesetz als auch das Gesetz zum Schutz personenbezogener Daten auf.

Datensicherheitsgesetz (DSL)

Während sich das Cybersecuritygesetz zumindest zu einem Teil mit personenbezogenen Daten beschäftigt hatten, war der Umgang mit allen weiteren Daten nicht genauer definiert. Diese rechtliche Lücke wurde mit dem Datensicherheitsgesetz geschlossen, welches entsprechende Bestimmungen und Prozesse beinhaltet.

Das Datensicherheitsgesetz liefert zunächst die Kategorisierung von Daten in Kerndaten, wichtige Daten und alle sonstigen Daten. Während Kerndaten sich vor allem auf die nationale Sicherheit beziehen und daher höchsten Sicherheitsvorkehrungen unterliegen, ist die genaue Definition der wichtigen Daten mehr als drei Jahre nach Veröffentlichung des Gesetzes noch immer eine offene Aufgabe bei den zuständigen Behörden, wobei derzeit im Laufe von 2024 mit der Veröffentlichung entsprechender Listen gerechnet wird. In der Folge ist momentan noch unklar, in welche Kategorie personenbezogene Daten fallen und wo die Grenze zwischen wichtigen und sonstigen Daten genau liegt. Es ist anzunehmen, dass sensible personenbezogene Daten als wichtige Daten und alle sonstigen personenbezogenen Daten als sonstige Daten eingestuft werden.

Auch ohne die konkrete Definition von wichtigen Daten zieht sich diese Trennung der Daten bereits durch viele verschiedene Prozessdefinitionen und Dekrete, die seitdem veröffentlicht wurde. Sobald die Listen an wichtigen Daten bereitstehen, wird sich die heutige Sachlage nochmals etwas verändern, auch wenn keine gravierenden Folgen zu erwarten sind.

Außerdem hat sich das Datensicherheitsgesetz erstmals mit dem Transfer von Daten ins Ausland beschäftigt und eine verpflichtende Sicherheitsprüfung vor dem Übersenden von jeglichen wichtigen Daten, von personenbezogenen Daten ab einem Grenzwert von einer Millionen betroffener Menschen, und für die Betreiber von kritischer Informationsinfrastruktur eingeführt. 

Gesetz zum Schutz personenbezogener Daten (GSPD / PIPL)

Das Gesetz zum Schutz personenbezogener Daten trat wenige Tage nach dem Datensicherheitsgesetz in Kraft und ergänzte dieses mit Regeln für den Umgang mit personenbezogenen Daten und deren Übermittlung ins Ausland. Zunächst wurde die bereits in der Cybersecurity Law vorgeschriebene Einwilligung durch den Nutzer sowie dessen Aufklärung über den Zweck der Erfassung und Verarbeitung seiner persönlichen Daten aufgegriffen. Darüber hinaus unterscheidet das Gesetz zwischen sensiblen personenbezogenen Daten und allen sonstigen personenbezogenen Daten, wobei für Webanwendungen in China meistens nicht-sensible personenbezogene Daten wie Vor- und Nachname, E-Mail-Adresse und Telefonnummer relevant sind.

Ein signifikanter Teil des Gesetzes beschäftigt sich mit dem Transfer von personenbezogenen Daten ins Ausland. Der wichtigste Aspekt dabei ist, dass dieser Transfer zunächst pauschal verboten wurde. Gleichzeitig definiert das Gesetz drei verschiedene Prozesse, welche ein Unternehmen durchlaufen kann, um wieder personenbezogene Daten von Nutzern, Mitarbeitern und sonstigen chinesischen Bürgern ins Ausland zu transferieren. Konkret handelt es sich dabei um den Sicherheitsaudit, den Standardvertrag und die Datenschutz-Zertifizierung. Es wurden außerdem erstmals Grenzwerte bei 10.000, 100.000 und 1.000.000 betroffenen Personen definiert und den drei Prozessen im Hinblick auf sensible und sonstige personenbezogene Daten sowie dem Gesamtvolumen der personenbezogenen Daten zugeordnet. Während sich die genauen Kriterien, ab denen einer der drei Prozesse durchlaufen werden muss, seit der Einführung des Gesetzes geändert haben, werden diese Abstufungen der Grenzwerte weiterhin von vielen darauf aufbauenden Dekreten verwendet.

Verständlicherweise sorgte die Einführung der GSPD gerade bei ausländischen Unternehmen, die Niederlassungen in China haben und eigene Websites und Webanwendungen auf Servern direkt in China betreiben, für große Sorgen. Denn der Transfer von Daten von den Servern und Niederlassungen an den Firmenhauptsitz ist und bleibt ein wichtiger Bestandteil des täglichen Arbeitsablaufs, vor allem zentraler Verarbeitung von Kundenanfragen, Bestellungen, Neuregistrierungen, Personaldaten etc. am Hauptsitz. Die verschiedenen Prozesse, um den Datentransfer wieder zu ermöglichen, wurden vom Gesetz allerdings nur grundlegend beschrieben und nicht im Detail konkretisiert, weshalb es zunächst keine Frist gab und dementsprechend kein umgehender Handlungsbedarf bestand.

Erst über ein Jahr nach dem Inkrafttreten des Gesetzes zum Schutz personenbezogener Daten wurden die drei Prozesse konkretisiert und eine Frist bis Ende November 2023 gesetzt. Ab Dezember 2023 war der Datentransfer ins Ausland nur noch erlaubt, nachdem das Unternehmen einen der drei Prozesse erfolgreich abgeschlossen hat. Dies sorgte nicht nur für massive bürokratische Aufwände für die chinesischen Unternehmen und die zuständigen Behörden, sondern hatte zudem enorm spürbare Auswirkungen auf die Bereitschaft von ausländischen Unternehmen nach China zu expandieren oder in China zu investieren. Einige ausländische Unternehmen haben kurzerhand Kontaktmöglichkeiten und ähnliche Funktionen auf ihrer Website in China abgeschaltet oder sogar die Niederlassungen in China geschlossen.

Aus diesen Gründen wurde bereits im September 2023, also noch vor Ablauf der gesetzten Frist, ein neuer Gesetzesentwurf veröffentlicht, welcher signifikante Abschwächungen der Bestimmungen vorsah und in vielen Fällen den Datentransfer ins Ausland schlichtweg wieder erlaubt. Der Entwurf wurde am 22. März 2024 verabschiedet und trat mit sofortiger Wirkung in Kraft.

Bestimmungen zur Regulierung und Förderung grenzüberschreitender Datenflüsse (CBDT Regulations)

Die Bestimmungen zur Regulierung und Förderung grenzüberschreitender Datenflüsse – bislang oft als CBDT Regulations (Cross-Border Data Transfer Regulations) abgekürzt – beinhalten signifikante Lockerungen der obigen Bestimmungen und bilden damit die neuste Rechtslage im Hinblick auf den Transfer von Daten über die Grenzen Chinas hinaus. 

Während das Gesetz zum Schutz personenbezogener Daten ursprünglich den Transfer von personenbezogenen Daten ins Ausland pauschal verboten hatte, beinhalten die neuen Bestimmungen entsprechende Grenzwerte, unterhalb derer die Einwilligung des Nutzers ausreichend ist. Kleinere und mittelständische Unternehmen sowie deren Websites und Webanwendungen in China sollen dadurch entlastet und von den bürokratisch aufwändigen Zertifizierungs- und Genehmigungsprozessen auszuschließen.

Insgesamt gibt es nun drei Level, in die der internationale Datentransfer eines Unternehmens fallen kann.

1. Einwilligung durch den Nutzer

Dass ein Nutzer vor dem Transfer seiner persönlichen Daten explizit zustimmen und über deren Verwendung aufgeklärt werden muss, wurde bereits im Cybersicherheitsgesetz definiert und im Gesetz zum Schutz personenbezogener Daten erneut aufgegriffen. Diese Verpflichtung bleibt für alle Unternehmen in China bestehen und bildet gleichzeitig das niedrigste Level, das ein Unternehmen für der Übermittlung von Daten ins Ausland erfüllen muss. 

Die Einwilligung durch den Nutzer ist fortan für den Transfer ausreichend, sofern das Unternehmen ausschließlich nicht-sensible personenbezogene Daten übermittelt und diese ein Volumen von 100.000 Personen innerhalb eines Kalenderjahres nicht überschreiten. Ausgenommen sind zudem grundsätzlich die personenbezogenen Daten von Mitarbeitern sowie Daten, die zum Abschluss oder der Erfüllung eines Vertragsverhältnisses notwendig sind.

2. Standardvertrag oder Datenschutz-Zertifizierung

Das nächsthöher Level betrifft Unternehmen, die in einem Kalenderjahr die personenbezogenen Daten von zwischen 100.000 und 1.000.000 Personen oder sensible personenbezogenen Daten von unter 10.000 Personen ins Ausland übertragen. In diesem Fall muss vorab entweder ein Standardvertrag abgeschlossen oder eine Datenschutz-Zertifizierung durchgeführt werden.

Der Nutzer muss natürlich weiterhin über den Transfer seiner Daten informiert werden und diesem explizit zustimmen.

3. Sicherheitsaudit

Der Sicherheitsaudit ist weiterhin die höchste Sicherheitsstufe und für Unternehmen verpflichtend, sofern diese in einem Kalenderjahr die personenbezogenen Daten von mehr als 1.000.000 Personen oder sensible personenbezogenen Daten von über 10.000 Personen ins Ausland transferieren. Unternehmen in dieser Kategorie sind entsprechend auf der gleichen Höhe angesiedelt wie Betreiber von kritischer Informationsinfrastruktur, für die der Sicherheitsaudit vor jeglichen Datentransfers ins Ausland immer verpflichtend ist.

Der Nutzer muss auch in diesem Fall weiterhin über den Transfer seiner Daten informiert werden und diesem explizit zustimmen.

Die Notwendigkeit eines Sicherheitsaudits vor der Übertragung von wichtigen Daten gemäß der Bestimmung aus dem Datensicherheitsgesetz ist derzeit ausgesetzt, während die Behörden an der Fertigstellung entsprechender Listen für die Kategorisierung von wichtigen Daten arbeiten.

Freihandelszonen

Für die Freihandelszonen in China räumen die neuen Bestimmungen zudem viele Möglichkeiten ein, um weitere Lockerungen für die ansässigen Unternehmen zu erlassen. Falls sich Ihr chinesisches Unternehmen in einer Freihandelszone befindet, sollten Sie sich unbedingt über die dort geltenden Grenzwerte, Ausnahmen und sonstigen Lockerungen informieren.

Die Freihandelszone in Tianjin hat beispielsweise die oben genannten Grenzwerte jeweils schon auf das Zehnfache erhöht, sodass etwa bis zu einem Volumen von 1.000.000 nicht-sensibler personenbezogener Daten die Einwilligung durch den Nutzer ausreichend ist.

Unsere Empfehlungen

Sie sollten zunächst – falls nicht schon 2023 geschehen – eine Analyse Ihres Datenflusses zwischen China und Deutschland, Europa und dem Rest der Welt durchführen oder alternativ nochmals einen Blick in die bereits stattgefundene Analyse werfen. Falls Ihr Unternehmen in einer Freihandelszone ansässig ist, sollten Sie sich zudem darüber informieren, ob weitere Lockerungen für Sie bestehen.

Mit diesen Informationen sollten Sie anschließend bewerten, in welches der drei Level Ihr Unternehmen fällt. Die allermeisten deutschen und europäischen Unternehmen werden sich auf dem niedrigsten Level befinden, sodass die Aufklärung und Einwilligung des Nutzers für den internationalen Datentransfer ausreichend ist. Falls Sie also kürzlich gewisse Funktionen Ihrer Website in China deaktiviert haben, wie etwa ein Kontaktformular, dann können Sie dieses wahrscheinlich ohne oder mit minimalen Anpassungen im Hinblick auf die Einwilligung durch den Nutzer wieder auf die Ihre Webanwendung integrieren.

Falls Sie 2023 bereits einen Standardvertrag oder eine Datenschutz-Zertifizierung begonnen hatten und dieser Prozess entweder nicht erfolgreich war oder noch zur Bearbeitung bei den Behördung in China liegt, können Sie diesen Antrag zurückziehen, sofern diese beiden Prozesse für Sie mit den neuen Bestimmungen nicht mehr notwendig sind. Gleichermaßen können Sie prüfen, ob Sie anstelle eines Sicherheitaudits nun den Standardvertrag oder die Datenschutz-Zertifizierung durchführen können.

Falls einer der drei Zertifizierungs- und Genehmigungsprozesse für Sie weiterhin verpflichtend ist und sie damit noch nicht begonnen haben, sollten Sie dies schnellstmöglich angehen. Denn ein Verstoß gegen die Regeln für den internationalen Datentransfer stellen weiterhin ein hohes Compliance-Risiko dar und sind mit persönlicher Haftung durch die leitenden Mitarbeiter verbunden.

Weitergehende Beratung gewünscht?

Mit mehreren Jahren Erfahrung im Hosting von den verschiedensten Webseiten, Webshops und Webapplikationen in China, darunter bspw. Buchungsplattformen oder Online-Expos, hilft Ihnen weber.cloud China gerne bei Ihren offenen Fragen. Unsere Experten beraten Sie zum Betrieb Ihrer Webanwendungen in China und allen damit verbundenen Themen, wie bspw. die Bestimmungen des internationalen Datentransfers und deren Auswirkungen für Ihr Unternehmen. Bei tiefergehenden rechtlichen Fragen können wir Ihnen jederzeit einen Kontakt zu unseren deutschsprachigen Partner-Rechtsanwälten in China vermitteln. Natürlich können wir Sie darüber hinaus bei allen Fragen hinsichtlich eines Hostings in China unterstützen und Ihnen die passende Lösung anbieten, um Ihre Webseite performant nach China auszuliefern.

Klingt spannend? Dann freuen wir uns über Ihre Kontaktaufnahme.

Die Inhalte dieses Artikels wurden mit größtmöglicher Sorgfalt und nach bestem Gewissen zusammengestellt. Die weber.digital GmbH übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung unserer Wissensdatenbank entstehen, wird ausgeschlossen, soweit diese nicht auf Vorsatz oder grober Fahrlässigkeit beruhen.

Unsere Wissensdatenbank enthält externe Verlinkungen auf anderen Webseiten, auf deren Inhalt wir keinen Einfluss haben. Aus diesem Grund kann die weber.digital GmbH für diese Inhalte auch keine Gewähr übernehmen. Für die Inhalte und Richtigkeit der bereitgestellten Informationen ist der jeweilige Anbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar. Bei Bekanntwerden einer solchen Rechtsverletzung wird der Link umgehend entfernt.