Grenzüberschreitende Datenübermittlung jetzt auch leicht gemacht: Der CAC-Standardvertrag

11.08.2023
4 Minuten Lesezeit

Bisher fiel die Übermittlung von grenzüberschreitenden personenbezogenen Daten schwer: sei es die Durchführung einer CAC-Sicherheitsbewertung oder die Zertifizierung der personenbezogenen Daten. Beide Wege waren verbunden mit hohen Kosten, einem erheblichen Verwaltungsaufwand und langen Wartezeiten.

Seit dem 1. Juni 2023 wurde der Transfer allerdings um ein Vielfaches erleichtert. Der seitdem eingeführte CAC-Standardvertrag zusammen mit den entsprechenden Standardvertragsklauseln („China SCCs“) machen es möglich! Alles rund um den CAC-Standardvertrag finden Sie hier: was dabei zu beachten ist und wie das neue vereinfachte Verfahren funktioniert!

Überblick: Grenzüberschreitende Datenübermittlung und ihre Schwierigkeiten

Mit der Einführung des CAC-Standardvertrags geht China einen weiteren wichtigen Schritt, um die Übermittlung von persönlichen oder auch vertraulichen Daten in andere Länder auf einem sicheren und die Privatsphäre respektierenden Weg sicherzustellen. Organisationen, welche die Übermittlung großer Mengen an persönlichen Daten vornehmen, sind hierbei dazu verpflichtet, eine von drei Übermittlungsmechanismen anzuwenden. Alle drei Übermittlungsmechanismen sind im Artikel 38 des „PIPL“ (China’s „Personal Information Protection Law“) niedergelegt:

Zum ersten wäre da die Sicherheitsbewertung durch die CAC-Stelle („Cyberspace Administration of China“), welche in einem aufwendigen 2-stufigen Verfahren („Selbstbewertung + Sicherheitsbewertung durch die CAC“) erfolgt.
Dauer: Mind. 57 Arbeitstage

Verpflichtend ist diese Bewertung bei:

der Übermittlung der persönlichen Daten durch Datenverarbeiter, wenn die persönlichen Daten von mehr als 1 Million Personen verarbeitet werden.
der generellen Übermittlung der persönlichen Daten von mehr als 100.000 Personen oder der sensiblen persönlichen Daten von mehr als 10.000 Personen.
der Übermittlung sonstiger Daten, welchen eine besondere Bedeutung zukommt.

Zweitens, zwischen verbundenen Unternehmen ist ein „Personal Information Protection-Zertifikat“ von spezialisierten Einrichtungen in einem langwierigen Verfahren einholbar.
Dauer: Ca. 110 Arbeitstage

Und ab jetzt neu: der Abschluss eines CAC-Standardvertrags mit anschließender Einreichung bei der entsprechenden CAC-Stelle.

Dauer: Mind. 15 Arbeitstage

Im Gegensatz zu den „EU SCC“ (Europäische „Standard Contractual Clauses“) als Äquivalent zum CAC-Standardvertrag unterteilt sich der CAC-Standardvertrag nicht in vier unterschiedliche Module („Verantwortlicher-Verantwortlicher“, „Verantwortlicher-Auftragsverarbeiter“, „Auftragsverarbeiter-Verantwortlicher“, „Auftragsverarbeiter-Auftragsverarbeiter“), sondern hat eine „one-size-fits-all“-Herangehensweise, bedient sich also nur eines universellen „Moduls“ für alle Übermittlungen der persönlichen Daten ins Ausland. Dabei wird nicht auf die Verpflichtungen der Beteiligten („exporter“ und „overseas recipient“) abhängig von ihrer Rolle und Funktion abgestellt.

Die wichtigsten Infos zum CAC-Standardvertrag in der Übersicht

Anwendbar, falls keine Pflicht zur CAC-Sicherheitsbewertung besteht (s.o.)
Sprache: zwingend Chinesisch
Dauer des Verfahrens: mind. 15 Arbeitstage; bei erforderlichen Ergänzungen/Anpassungen der eingereichten Unterlagen durch den Datenverarbeiter und erneuter Prüfung: Verlängerung um mind. 25 Arbeitstage
Verfahrensablauf: (Was?) Pflicht zur Einreichung der Unterlagen einschließlich des unterzeichneten Standardvertrages und des Berichts über die Datenschutz-Folgenabschätzung, (Wann?) innerhalb von 10 Arbeitstagen nach dem Inkrafttreten des Standardvertrags, (Wo?) bei der zuständigen CAC-Behörde auf der Provinzebene, (Form?) in schriftlicher und elektronischer Form
CAC-Standardvertrag angelehnt an EU-SCC nicht abdingbar
Zusätzliche Vereinbarungen oder Bedingungen, welche dem Sinn und Zweck des CAC-Standardvertrags nicht widersprechen, sind zulässig
Beendigung des Vertrags erfolgt durch eine einvernehmliche Kündigung aus einem der vorgesehenen Gründe
Haftung zwischen den Vertragsparteien („exporter“ und „overseas recipient“) für alle Schäden, die bei einer Partei infolge einer Vertragsverletzung entstehen
Haftung gegenüber der betroffenen Person, von welcher die persönlichen Daten stammen: Gesamtschuldnerische Haftung des „exporters“ und des „overseas recipient“; Regressansprüche zwischen den Gesamtschuldnern

Parallele Anwendung des CAC-Standardvertrags („China SCC“) und der „EU SCC“

Der CAC-Standardvertrag und die „EU SCC“ weisen sowohl inhaltliche Unterschiede als auch teilweise gegensätzliche Bestimmungen auf. Beide Standardvertragsklauseln sind schließlich unabdingbar und unveränderlich. Hierfür ist stets im konkreten Einzelfall zu prüfen, ob gerade der CAC-Standardvertrag oder die „EU SCC“ Anwendung finden. Die beiden Vertragsparteien des CAC-Standardvertrags haben deshalb im Voraus an den Datentransfer beim jeweiligen Zielort anhand der dortigen Gesetzeslage und Praxis sicher zu stellen, dass der Ablauf der Übertragung nicht gehindert wird.

Unsere rechtliche und steuerliche Beratung

Wir empfehlen dringend, bei der oben beschriebenen Übertragung persönlicher Daten sehr aufmerksam zu sein. Insbesondere das Zusammenspiel aus dem „CAC-Standard-Vertrag“ und den „EU Standard Contract Clauses“ bedarf einer eingehenden vorhergehenden Prüfung. Gründliche Recherche ist key! Hilfe und Unterstützung nehmen wird empfohlen. Damit stellen Sie sicher, dass der gesamte Prozess reibungslos verläuft. Dadurch entgehen Sie einer Haftung oder der Verhängung hoher Bußgelder, falls die Anforderungen an den Datentransfer nicht beachtet werden. Diese Bußgelder werden nicht nur an die „Verantwortliche Person“ („person in charge“), sondern auch an „andere unmittelbar Verantwortliche“ („other personnel subject to direct liabilities“) verhängt.

Nach eingehender Datenanalyse ist das entsprechende Verfahren für den Datentransfer auszusuchen (Sicherheitsbewertung, Zertifikat oder CAC-Standard-Vertrag). Die von dem Transfer Betroffenen sollten informiert und ggf. sollte eine Einwilligung des Betroffenen eingeholt werden. Nehmen Sie als Datenverarbeiter eine Due Diligence Prüfung des Datenempfängers vor und führen Sie vor Abschluss des Standardvertrags eine Datenschutz-Risiko- und Folgenabschätzung durch mit anschließendem Bericht.

Vor und während des Datenexports sollten der Datenempfänger und der Datenverarbeiter in engem Austausch stehen. Es sollte abgestimmt werden, welche technischen und organisatorischen Maßnahmen (TOMs) eingebaut werden, ob die Datenverarbeitung und Übertragung mit den Vorgaben des CAC-Standard-Vertrags und anderen individuellen Bedingungen übereinstimmen und es sollte ein reger Informationsaustausch mit der CAC-Behörde stattfinden.

Unsere Kanzleien Ecovis Ruide in Shanghai sowie Ecovis Heidelberg sind auf die Unterstützung deutscher und chinesischer Unternehmen spezialisiert, sei es in steuerlicher oder rechtlicher Hinsicht. Schreiben Sie uns an!

Foto(s): © Gorodenkoff – shutterstock.com

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Richard Hoffmann

Weitere Rechtstipps von Rechtsanwalt Richard Hoffmann

Was die chinesische WFOE von der deutschen GmbH unterscheidet

Für Unternehmen, die den Eintritt in den chinesischen Markt vornehmen möchten, ist die WFOE (auch: WOFE) die beliebteste Gesellschaftsform. WFOE steht für Wholly Foreign-Owned Enterprise. Es ... Weiterlesen
Verstärkte Haftungsrisiken für Board of Directors in China: Ein umfassender Leitfaden mit zahlreichen Beispielen

Die jüngsten Änderungen im chinesischen Unternehmensgesetz markieren eine signifikante Wende in der Unternehmensführung und legen neue, strengere Standards für Board of Directors (im Folgend als ... Weiterlesen
Die Blue Card EU: Chancen und Herausforderungen für hochqualifizierte Fachkräfte in Deutschland

Europa zieht weiterhin hochqualifizierte Fachkräfte aus aller Welt an, und die Blue Card EU stellt dabei einen bedeutenden Schritt in Richtung eines vereinfachten und einheitlichen ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Richard Hoffmann

Weitere

Beiträge zum Thema

Bankrecht: grenzüberschreitende Zahlungsmeldungen

27.02.2024

Nach der Außenwirtschaftsverordnung (AWV) sind aus dem Ausland eingehende oder ins Ausland ausgehende Zahlungen an ... Weiterlesen
Neue Regelungen für grenzüberschreitende Umwandlungen

25.04.2023

Ab dem 01. März 2023 gelten in Deutschland neue Regelungen für grenzüberschreitende Umwandlungen, also die ... Weiterlesen
Grenzüberschreitende Forderungsbetreibung in der EU

22.04.2024

Schnell - einheitlich - kostengünstig: Das EU-Mahnverfahren Um die Beitreibung von Geldforderungen mit ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Heidelberg