Unternehmen, die in China tätig sind, sollten sich zeitnah mit den am 7. Juli 2022 veröffentlichten Maßnahmen zur Sicherheitsbewertung von grenzüberschreitender Datenübertragung (Maßnahmen) auseinandersetzen, da diese bereits am 1. September 2022 in Kraft treten.
Die Maßnahmen sehen unter anderem vor, dass Datenverarbeiter eine Sicherheitsbewertung vornehmen müssen, wenn sie 1.) wichtige Daten außerhalb Chinas zur Verfügung stellen und/oder 2.) Betreiber kritischer Informationsinfrastrukturen und Verarbeiter von personenbezogenen Daten von mehr als einer Million Menschen sind. 3. Seit dem 1. Januar des Vorjahres personenbezogene Daten von 100.000 Menschen oder sensible personenbezogene Daten von 10.000 Menschen ins Ausland transferiert haben.
Auch wenn die oben genannten Umstände nicht zutreffen, so ist es für Unternehmen trotzdem empfehlenswert für den Transfer geringerer Mengen an personenbezogenen Daten eine Sicherheitszertifizierung gemäß den Spezifikationen durchzuführen. Alternativ können auch Standardvertragsklauseln mit dem Empfänger im Ausland unterzeichnet werden. Zudem ist vor dem Export der personenbezogenen Daten eine Datenschutz-Folgenabschätzung (Personal Information Security Impact Assessment, PISIA) erforderlich.
Da die Maßnahmen eine Nachbesserungsfrist bis zum 28.02.2023 festlegen, empfehlen wir Unternehmen, die in China tätig sind, innerhalb dieser Frist zunächst ein Data Mapping durchzuführen, um bestehende Datentransferpraktiken aufzuzeigen und überprüfen zu können. Dabei können die zu verarbeitenden personenbezogenen Daten und nicht-personenbezogene Daten in Kategorien eingeteilt werden und deren Höhe, der Umfang und die Sensibilität sowie der Zweck, die Methode und der Zeitraum der Speicherung festgestellt werden. Auch die Einrichtung eines internen Bewertungssystems der verarbeiteten und zu transferierenden personenbezogenen Daten sowie wichtiger Daten ist in diesem Kontext sinnvoll. Unternehmen sollten zudem schon jetzt die Überarbeitung und Verbesserung interner vorhandener Rechtsdokumente in Bezug auf die Sicherheitszertifizierung oder Standardvertragsklauseln in Angriff nehmen.
China Intellectual Property Blog 