Die chinesische Cyberspace Administration (CAC) hat am 14. Februar 2025 die Verwaltungsmaßnahmen für Compliance-Audits zum Schutz personenbezogener Daten veröffentlicht, die am 1. Mai 2025 in Kraft treten. Die neuen Vorgaben betreffen alle Unternehmen in China, die personenbezogene Daten verarbeiten, und definieren klare Anforderungen an die Häufigkeit von Selbstüberprüfungen sowie die Bedingungen für verpflichtende externe Audits.
Unternehmen, die personenbezogene Daten von mehr als 10 Millionen Menschen verarbeiten, sind verpflichtet, mindestens alle zwei Jahre ein Compliance-Audit durchzuführen. Für Unternehmen mit geringeren Datenmengen bleibt die Durchführung von Audits flexibel. Die Behörden können verpflichtende externe Audits anordnen, wenn wesentliche Risiken für personenbezogene Daten festgestellt werden, eine große Anzahl von Personen betroffen ist oder gravierende Datenschutzverletzungen auftreten. Unternehmen dürfen interne oder externe Auditoren für Selbstüberprüfungen einsetzen, doch verpflichtende Audits müssen durch externe Fachinstitutionen erfolgen.
Obwohl keine spezifischen Zertifizierungen für Audit-Firmen verlangt werden, müssen diese über ausreichend qualifiziertes Personal, Infrastruktur und finanzielle Mittel verfügen. Zudem darf eine Institution nicht mehr als dreimal in Folge denselben Kunden auditieren, um Interessenkonflikte zu vermeiden. Der Gesetzestext enthält zudem Leitlinien für den Prüfprozess, die sich auf die Datenerhebung, Nutzungspraktiken, Datenschutzrechte der Betroffenen sowie technische und organisatorische Schutzmaßnahmen konzentrieren. Unternehmen mit Geschäftstätigkeiten in China sollten ihre Datenschutz- und Auditprozesse überprüfen, um rechtzeitig konform mit den neuen Vorschriften zu sein und mögliche Sanktionen zu vermeiden.
China Intellectual Property Blog 