Internationaler Rechtsanwalt

Chinesische Datenschutzbestimmungen (CDPR)

China Law Blog

Internationaler Rechtsanwalt

Viele internationale Unternehmen haben chinesische Websites und irgendeine Art von Netzwerksystem, sei es für den Verkauf ihrer eigenen Produkte oder nur für den internen Gebrauch. In vielen Fällen werden diese Websites und internen Systeme auf Servern außerhalb Chinas gehostet. Ich und die anderen Anwälte, die das China-Cyberrechtsteam meiner Kanzlei bilden, werden häufig gefragt, ob ein Unternehmen, das personenbezogene Daten in China sammelt, diese Daten in China speichern muss.

Die kurze Antwort lautet: Ja.

Das chinesische Cybersicherheitsgesetz trat letztes Jahr in Kraft und verpflichtet Betreiber kritischer Informationsinfrastrukturen (CIIOs), personenbezogene Informationen und wichtige Daten zu speichern, die auf dem Territorium der VR China gesammelt und erzeugt wurden. Ob ein Netzbetreiber ein CIIO ist, hängt in der Regel von seiner Branche ab und davon, wie sehr eine Datenverletzung das öffentliche Interesse beeinträchtigen würde. Netzbetreiber in Branchen wie öffentliche Kommunikations- und Informationsdienstleister, Energie, Finanzen und öffentliche Dienste werden eher als CIIOs betrachtet.

China ist auch dabei, Regeln für die grenzüberschreitende Übermittlung personenbezogener Informationen und wichtiger Daten aufzustellen, und zwar durch den Entwurf von Maßnahmen zur Sicherheitsbewertung der grenzüberschreitenden Übermittlung personenbezogener Informationen und wichtiger Daten (个人信息和重要数据出境安全评估办法, die Maßnahmen) und den Entwurf von Leitlinien für die Sicherheitsbewertung der grenzüberschreitenden Datenübermittlung (数据出境安全评估指南, die Leitlinien). Nach den vorliegenden Entwürfen gelten die Maßnahmen und die Leitlinien für jedes Unternehmen, das als Netzbetreiber im "Inlandsbetrieb" tätig ist.

Der Begriff "Netzbetreiber" wird so definiert, dass er jede natürliche oder juristische Person umfasst, die ein Netz besitzt und verwaltet, sowie Anbieter von Netzdienstleistungen. Wenn ein Unternehmen sein internes Netz für seine unternehmensinternen Vorgänge nutzt und seine Unternehmenswebsite verwendet, um seinen Kunden Informationen zur Verfügung zu stellen, und dieses System und die Website im Besitz der ausländischen Muttergesellschaft sind und von ihr verwaltet werden, ist die ausländische Muttergesellschaft ein Netzbetreiber.

Nach den Leitlinien bedeutet inländischer Betrieb die Bereitstellung von Produkten oder Dienstleistungen innerhalb Chinas. Ein ausländischer Netzbetreiber, der nicht in China registriert ist, aber Produkte oder Dienstleistungen für Kunden in China anbietet, ist im Inland tätig und unterliegt den chinesischen Anforderungen an die grenzüberschreitende Datenübermittlung.

In den Leitlinien wird auch dargelegt, wie festgestellt werden kann, ob ein ausländisches Unternehmen im Inland tätig ist. Zu den Faktoren, die zu einer solchen Feststellung führen, gehören die Verwendung der chinesischen Sprache, die Abwicklung von Zahlungen in RMB und die Lieferung oder der Vertrieb von Produkten oder Dienstleistungen an chinesische Bürger oder Unternehmen. Wenn eines oder mehrere dieser Kriterien erfüllt sind, wird davon ausgegangen, dass ein ausländisches Unternehmen im Inland tätig ist, so dass es vor der grenzüberschreitenden Übermittlung personenbezogener Informationen und wichtiger Daten eine Sicherheitsbewertung durchführen muss. Ein in China ansässiger Netzbetreiber, der nur Produkte oder Dienstleistungen für ausländische Unternehmen bereitstellt und bei dessen Tätigkeit keine personenbezogenen Daten chinesischer Bürger oder wichtige Daten betroffen sind, gilt jedoch nicht als inländisches Unternehmen und unterliegt daher nicht den chinesischen Vorschriften für den grenzüberschreitenden Datentransfer.

Anforderungen an den grenzüberschreitenden Datentransfer in China.

Nicht-CIIO-Netzbetreiber dürfen personenbezogene Daten an einen Server außerhalb Chinas übermitteln, sofern der Betroffene einer solchen Übermittlung zugestimmt hat und sofern die Einrichtung (in der Regel ein Unternehmen), die die Übermittlung veranlasst, eine Sicherheitsbewertung ihrer Datenübermittlungen vorgenommen hat. Diese Anforderungen sind in den Maßnahmen und Leitlinien dargelegt. Das Unternehmen sollte die Sicherheitsbewertung entweder selbst durchführen oder einen externen professionellen Dienstleister damit beauftragen. Der Bericht über eine solche Bewertung ist mindestens zwei Jahre lang aufzubewahren. Unter bestimmten Umständen wird die Bewertung von der zuständigen Aufsichtsbehörde überprüft.

Gemäß Artikel 7 des zweiten Entwurfs des Maßnahmenentwurfs führt die zuständige Regulierungsbehörde, wenn die Datenübermittlung einen der folgenden Punkte beinhaltet:

  1. Daten, die persönliche Informationen von mehr als 500.000 Personen enthalten oder kumulativ enthalten
  2. Daten im Zusammenhang mit Nuklearanlagen, chemischer Biologie, nationaler Verteidigung oder Militär, Bevölkerung und Gesundheitswesen
  3. Daten im Zusammenhang mit groß angelegten technischen Aktivitäten, der Meeresumwelt oder sensiblen geografischen Informationen
  4. Daten im Zusammenhang mit der Cybersicherheit wichtiger Informationsinfrastrukturen, z. B. Systemschwachstellen und Sicherheitsschutzmaßnahmen
  5. Andere Faktoren, die Chinas nationale Sicherheit und öffentliche Interessen beeinträchtigen können
  • Die erforderliche Zustimmung

Um personenbezogene Daten außerhalb Chinas zu übermitteln, muss ein Netzbetreiber zunächst die Zustimmung der betroffenen Person einholen. Diese Zustimmung muss entweder schriftlich oder durch eine andere Art von bestätigendem Handeln der betroffenen Person erfolgen. Die Zustimmung kann beispielsweise durch eine Online-Pop-up-Benachrichtigung erfolgen, in der die betroffene Person aufgefordert wird, auf "Ja" oder "Nein" zu klicken, oder durch das Versenden einer Textnachricht an die betroffene Person, in der sie aufgefordert wird, die grenzüberschreitende Übermittlung mit "Ja" oder "Nein" zu beantworten.

Die Zustimmung kann unter bestimmten Umständen stillschweigend vorausgesetzt werden, z. B. bei internationalen Anrufen, beim internationalen Versand von E-Mails, bei internationalen Sofortnachrichten und bei grenzüberschreitenden Transaktionen über das Internet.

  • Die erforderliche Bewertung der Datensicherheit

Die Maßnahmen sehen vor, dass Unternehmen, die personenbezogene Informationen und wichtige Daten außerhalb Chinas übermitteln, eine Sicherheitsbewertung des grenzüberschreitenden Datenübertragungssystems durchführen (oder einen Dritten damit beauftragen), das sie für die Übermittlung der personenbezogenen Informationen und wichtigen Daten verwenden werden. Die Aufsichtsbehörden sind für die Überwachung dieser Bewertungen verantwortlich und sollen "regelmäßig" eigene Inspektionen der grenzüberschreitenden Daten vornehmen. Gemäß den Leitlinien muss die Sicherheitsbewertung von der Stelle durchgeführt werden, die die Übermittlung veranlasst, wenn mehrere Stellen an einer ausgehenden Datenübermittlung beteiligt sind.

Für "kontinuierliche" grenzüberschreitende Übermittlungen ist nur eine Sicherheitsbewertung erforderlich. Wenn innerhalb eines Jahres zwei getrennte Datenübermittlungen stattfinden und der Zweck und der Empfänger beider Übermittlungen derselbe sind und der Umfang, die Art und die Menge der Informationen ähnlich sind, werden diese Übermittlungen als "fortlaufend" betrachtet. Nehmen wir als Beispiel eine chinesische Tochtergesellschaft eines ausländischen Einzelhändlers, die bei jeder ersten Bestellung die persönlichen Daten ihrer Kunden erfasst und diese dann an ihre ausländische Muttergesellschaft weiterleitet. Diese Art der Übermittlung kann sofort und viele Male am Tag erfolgen, wobei der Empfänger, der Umfang und die Art der Informationen gleich bleiben. Diese Übermittlungen würden wahrscheinlich als fortlaufend angesehen und erfordern daher nicht für jede einzelne Übermittlung eine gesonderte Sicherheitsbewertung.

In meinem nächsten Beitrag werde ich näher darauf eingehen, was ausländische Unternehmen, die in China tätig sind, tun müssen, um die chinesischen Gesetze zur Cybersicherheit und zum Datenschutz im Internet einzuhalten.

Teilen Sie

China Law Blog

China Law Blog konzentriert sich auf die praktischen Aspekte des chinesischen Rechts und darauf, wie es sich auf ausländische Unternehmen auswirkt, die in oder mit China Geschäfte machen. Ziel ist es, den Lesern zu vermitteln, was funktioniert und was nicht, und was Geschäftsleute tun können, um das Recht zu ihrem Vorteil zu nutzen. China Law Blog Das Ziel des Buches ist es, Unternehmen zu unterstützen, die bereits in China sind oder planen, nach China zu gehen, und nicht, neue Wege in der Rechtstheorie oder -politik zu beschreiten.

Harris Bricken Blog Mehr Beiträge lesen
Mehr lesen

China Business, Internet

Verwandte Beiträge

China Vertragserstellung

The Best Way to Send a Draft Contract to Your China Counterparty
Getting your product made in China

Should I use a Sourcing Agent for my Overseas Product Manufacturing?
International product sourcing

Thinking the Right Way About the New China Sourcing Environment

Webinar Replay: Moving Your Manufacturing from China to Mexico
Internationale Markenanwälte

Managing Intellectual Property Rights in the U.S. Customs Regulatory Environment
Internationale Markenanwälte

Markenrechtliche Widersprüche: China vs. USA
China Markenanwälte

WANN Sie eine chinesische Marke beantragen
Ausreise aus China

Von China nach Mexiko und die Herausforderungen und Chancen des Nearshoring: Ein Webinar am 23. März
US-China

KOSTENLOSES WEBINAR am 21. März: Konflikt, Zusammenarbeit und Wettbewerb in den Beziehungen zwischen den USA und China
Chinas Urlaubsgesetz für Arbeitnehmer

Das chinesische Arbeitnehmerurlaubsgesetz
Wie man China verlässt

Ein klares "Vielleicht" zur Flucht aus China
Fertigung in Mexiko: Ist das das Richtige für Sie?

Rein oder raus. Daumen hoch oder runter für Mexiko.
Anforderungen an die Verwendung von Marken in China

China-Marken: Benutzen oder verlieren Sie sie
Friendshoring. Verlagerung der Produktion von China nach Friendshoring

China Plus One wird real
Risiken in der chinesischen Lieferkette

Ihre China-Lieferkette ist eine Wette gegen das Haus