Mit dem Inkrafttreten des chinesischen Cyber Security Law (CSL), des Data Security Law (DSL) und des Personal Information Protection Law (PIPL) wurden das Sicherheitsmanagement und die Bewertung des grenzüberschreitenden Datentransfers zu einem zentralen Thema. Im Anschluß an diese drei Gesetze veröffentlichte die chinesische Cyberspace Administration (CAC) am 29. Oktober 2021 die Measures on Data Export Security Assessment (Draft for Comments), die ergänzende Regeln für die Einhaltung der Vorschriften beim Datenexport enthalten.
Nach dem CSL ist die Verpflichtung zur Sicherheitsbewertung von Datenexporten nur auf Betreiber kritischer Informationsinfrastrukturen (CIIO) beschränkt. Der Maßnahmenentwurf im Anschluß an die DSL dehnt die Verpflichtung zur Sicherheitsbewertung beim Datenexport von den CIIOs auf alle Datenverarbeiter aus und legt fest, dass Datenverarbeiter Sicherheitsbewertungen durchführen müssen, wenn sie wichtige Daten und personenbezogene Informationen, die in China generiert und gesammelt wurden, an das Ausland weitergeben.
Die Struktur der Sicherheitsbewertung ist eine Kombination aus Selbstbewertung und behördlicher Sicherheitsbewertung. Mit anderen Worten: alle Datenverarbeiter sollten eine Selbstbewertung des Datenexportrisikos durchführen, bevor sie Daten ins Ausland transferieren. Wenn bestimmte Bedingungen erfüllt sind, sollten die Datenverarbeiter die Sicherheitsbewertung für den Datenexport auch über die Cyberspace-Abteilung der Provinz an ihrem Standort an das CAC melden.
Zu den Bedingungen, die eine behördliche Sicherheitsbewertung für den Datenexport auslösen, gehört, dass a) der Datenverarbeiter zur Gruppe der spezifischen Identitäten gehört, die personenbezogene Daten von mehr als einer Million Personen verarbeiten, oder CIIOs, b) die zu exportierenden Daten wichtige Daten enthalten, c) die zu exportierenden Daten kumulativ die personenbezogenen Daten von 100.000 Personen oder die sensiblen personenbezogenen Daten von 10.000 Personen überschreiten und d) andere von der chinesischen Cyberspace-Verwaltung festgelegte Umstände vorliegen.
Für ein ausländisches Unternehmen ist es zwar weniger wahrscheinlich, dass es als spezifische Identität identifiziert wird. Aber wenn die zu exportierenden Daten wichtige Daten darstellen, die durch die Branchenregelungen spezifiziert sind und im Falle einer Beschädigung die nationale Sicherheit beeinträchtigen können oder eine bestimmte Menge personenbezogener Daten oder sensibler personenbezogener Daten erreichen, ist auch das ausländische Unternehmen verpflichtet, dem CAC eine Sicherheitsbewertung zu melden. Auch wenn keine Sicherheitsbewertung gemeldet werden muss sind ausländische Unternehmen verpflichtet, vor dem Datenexport eine Selbstbewertung durchzuführen.
Obwohl der Measures Draft noch nicht in Kraft getreten ist, gehen wir davon aus, dass die Regelungen und Maßnahmen im Bereich des grenzüberschreitenden Datentransfers in den nächsten Monaten zügig umgesetzt werden. In China niedergelassene ausländische Unternehmen sollten so früh wie möglich ein Data Mapping durchführen, um wichtige Daten und personenbezogene Informationen zu ermitteln, die in den Anwendungsbereich der Datenexportkontrollen fallen, und ein Compliance System für den grenzüberschreitenden Datentransfer einrichten sowie die erforderlichen Rechtsdokumente vorbereiten, z. B. Vorlagen für Selbstbewertungsberichte und Dokumente, die für die Meldung der behördlichen Sicherheitsbewertung erforderlich sind.
China Intellectual Property Blog 