Was versteht man unter persönlichen Daten in China? Eine Gegenüberstellung zur DSGVO

Datensicherheit - ein Begriff, welchen man heutzutage immer wieder hört. Wie speichert man persönliche Daten, an wen darf ich meine Daten weitergeben, was muss ich bei der Weitergabe meiner persönlichen Daten an Dritte beachten? Oft gestellte Fragen, sei es in privat oder beruflich. Einen Überblick über die lokale Datensicherheit zu haben, kann schon eine Hürde sein, aber wie sieht es mit der Datenübermittlung in andere Länder aus? Außerhalb der EU? Nehmen wir China als Beispiel. Zuallererst, wie sehen die Verordnungen dort aus? Das neu eingeführte PIPL (Personal Information Protection Law) bringt viele neue Vorschriften mit sich und hat gewisse Ähnlichkeiten mit dem deutschen Datenschutzgesetz (DSGVO: Datenschutzgrundverordnung). Die folgenden Abschnitte konzentrieren sich auf den Datentransfer außerhalb der EU (zwischen Deutschland und China) und beleuchten den rechtlichen Rahmen dieses Prozesses für Unternehmen.

Deutschland

Länder außerhalb Europas gelten als nicht datenschutzkonform im Sinne der deutschen Datenschutzverordnung. Daher wird der internationale Datentransfer durch die DSGVO eingeschränkt. Die Übermittlung personenbezogener Daten ist erlaubt, wenn das Empfängerland über ein angemessenes Sicherheitsniveau verfügt. Aber was genau sind personenbezogene Daten nach deutschem Recht?

Wie sind personenbezogene (oder individuelle) Daten definiert?

Alle Informationen, die zu einer natürlichen Person zurückverfolgt werden können. Dazu gehören nicht nur äußere Merkmale oder Charaktereigenschaften, sondern auch digitale Daten aus z. B. Online-Diensten. Cybersecurity spielt hier auch eine wichtige Rolle. Namen, alle Arten von Ausweisen und Standort sind inkludiert, ebenso wie physische, psychologische, wirtschaftliche, kulturelle und soziale Merkmale einer Person.

Das Gesetz unterscheidet zwischen personenbezogenen und sensiblen personenbezogenen Daten. Letztere sind Informationen über u. a. ethnische Zugehörigkeit, politische Orientierung, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsinformationen oder die sexuelle Orientierung.

Wie können Daten ins Ausland übertragen werden?

Es gibt verschiedene Instrumente der DSGVO, um den Datentransfer raus aus der EU in Drittländer zu ermöglichen. In der Regel kann mit einem Beschluss der Europäischen Kommission festgestellt werden, ob das Drittland über das erforderliche angemessene Sicherheitsniveau verfügt. Ist dies der Fall, können Unternehmen Daten in ein Drittland übermitteln und die datenexportierende Partei muss keine zusätzlichen Anforderungen erfüllen.

Ist dies hingegen nicht der Fall, sind bestimmte Garantien erforderlich. Wenn Unternehmen oder Unternehmensgruppen eine gemeinsame wirtschaftliche Tätigkeit ausüben, können Unternehmen personenbezogene Daten auf der Grundlage so genannter verbindlicher interner Datenschutzvorschriften übermitteln.

Was ist mit der Weitergabe personenbezogener Daten an eine dritte Person, nicht an ein Drittland?

Wenn ich Daten von jemand anderem an einen Dritten übermitteln muss, dann nur mit aktiver Zustimmung der Person, zu der die Daten gehören. Dies ist das Grundprinzip der Weitergabe von personenbezogenen Daten an Dritte nach der DSGVO.

Ohne Einwilligung der betroffenen Person ist die Weitergabe unzulässig. In Ausnahmefällen können die Informationen verschlüsselt oder abgetrennt werden. So kann das illegale Abgreifen von Daten verhindert werden und es werden nicht zu viele Informationen über eine Person auf einmal veröffentlicht.

Daten sind zu löschen, wenn sie veraltet sind und nicht mehr für einen bestimmten Zweck anvertraut werden.

China

Werfen wir zum Vergleich einen Blick auf die rechtlichen Rahmenbedingungen der Datensicherheit in China. Auch dies ist derzeit ein sehr aktuelles Thema.

Im Jahr 2021 trat das "Personal Information Protection Law" (个人信息保护法) in Kraft. Es enthält unteranderem eine Reihe von Vorschriften über den Umgang mit sensiblen personenbezogenen Daten im Ausland, wie z. B.

• Voraussetzung für die grenzüberschreitende Übermittlung personenbezogener Daten
• Sicherheitsprüfung durch das „National Cyber Information Department“
• Zertifizierung vom Schutz personenbezogener Daten durch eine Behörde
• Abschluss eines Standardvertrags mit dem Empfänger im Ausland

Zwei Jahre später, am 24. Februar 2023 veröffentlichte die CAC ("Cyberspace Administration of China" oder 国家互联网信息办公室) die "Provisions on the Standard Contract for Exports of Personal Information" (个人信息出镜标准合同办法); welche ab dem 1. Juni 2023 in Kraft treten. Darin werden die Anforderungen an den Abschluss und die Hinterlegung von Standardverträgen für die Übermittlung personenbezogener Daten außerhalb Chinas präzisiert. Die Grundlage dieses Gesetzes ist das "Personal Information Protection Law" von 2021.

Was müssen Unternehmen also bei der grenzüberschreitenden Übermittlung personenbezogener Daten beachten? Wir haben unserem Anwalt ein paar Fragen gestellt:

Frage 1: Was bedeutet die grenzüberschreitende Verarbeitung personenbezogener Daten im chinesischen Recht?

Antwort: Das "Personal Information Protection Law" gibt vor: "Wenn eine Person (seit dem 1. Januar des Vorjahres) weniger als 100.000 Personen personenbezogene Daten oder weniger als 10.000 Personen sensible personenbezogene Daten zur Verfügung gestellt hat", benötigt die Person einen Standardvertrag, um personenbezogene Daten zu exportieren.

In der Praxis bedeutet dies im Wesentlichen Folgendes. Ein Unternehmen, das personenbezogene Daten an eine Muttergesellschaft im Ausland (oder z. B. ein internationales Personalunternehmen) weitergibt, ist verpflichtet, einen Vertrag mit dem Unternehmen im Ausland zu schließen. Vorausgesetzt, der Arbeitnehmer hat seine Zustimmung gemäß dem Standardvertrag gegeben, der dem oben genannten Rechtsakt beigefügt ist.

Frage 2: Wie werden "personenbezogene und sensible Daten" definiert?

Antwort: Alle Arten von personenbezogenen Daten, welche

• Bei Veröffentlichung leicht zu Verletzung der Menschenwürde einer natürlichen Person
• Oder die Sicherheit der Person oder ihres Eigentums führen kann.

Darüber fällt Folgendes unter personenbezogene Daten:

- biometrische Daten,

- religiöse Überzeugungen,

- spezifische Identität,

- medizinische und gesundheitliche Daten,

- Finanzkonten,

- Aufenthaltsort, usw.,

- sowie persönliche Informationen von Minderjährigen unter 14 Jahren.

Für Unternehmen weisen wir unsere Kunden stets darauf hin, besonders auf ihre Pässe und z. B. Finanzkonten zu achten (auch diese sind vertraulich).

Frage 3: Gibt es Vorschriften für die Übermittlung personenbezogener Daten über die chinesischen Grenzen hinaus? Wenn ja, wie lauten sie?

Antwort: Ja, die gibt es. Für die Ausreise personenbezogener Daten ist eine der folgenden Voraussetzungen erforderlich:

1) Bestehen einer Sicherheitsüberprüfung durch das CAC

2) Zertifizierung durch eine professionelle Behörde für den Schutz personenbezogener Daten

3) Abschluss eines Vertrags mit dem Empfänger im Ausland gemäß dem vom CAC festgelegten Standardvertrag

4) Andere Bedingungen, die von Gesetzen, Verwaltungsvorschriften oder dem CAC für den Export personenbezogener Daten festgelegt sind

Frage 4: Was sind eigentlich die Leitlinien eines Standardvertrags?

Antwort: Artikel 61 des "Gesetzes zum Schutz personenbezogener Daten" besagt Folgendes: Standardverträge werden in strikter Übereinstimmung mit den Anhängen geschlossen. Diese können von der CAC entsprechend der tatsächlichen Situation angepasst werden.

Daraus ergibt sich, dass die Bestimmungen des Standardvertrags nicht geändert werden dürfen, aber nicht widersprüchliche Bestimmungen dem Standardvertrag hinzugefügt werden können.

Die "Bestimmungen zum Standardvertrag für die Ausfuhr personenbezogener Daten" erhöhen zweifellos den Druck auf die Unternehmen beim Datenexport und sorgen für mehr Sicherheit.

ECOVIS Heidelberg und Shanghai Ruide rät Unternehmen, die rechtlichen Bestimmungen dieses Ansatzes im Hinblick auf eine kontinuierliche und stabile Entwicklung ihrer Geschäfte sehr ernst zu nehmen. Vermeiden Sie also Situationen, in denen Unternehmen gezwungen sind, Datenexporte aufgrund der Nichteinhaltung gesetzlicher Vorschriften abzubrechen oder sich sogar einer entsprechenden rechtlichen Haftung auszusetzen. Die gesetzlichen Bestimmungen sollten von Anfang an ernst genommen werden, um eine kontinuierliche und stabile Entwicklung Ihres Unternehmens zu gewährleisten.

Haben Sie noch Fragen oder Anliegen? Dann setzen Sie sich hier mit uns in Kontakt! Auch über rechtliche, steuerliche, buchhalterische und prüfungstechnische Themen stehen wir Ihnen jederzeit zur Verfügung.

Ecovis Heidelberg Richard Hoffmann hat auch Erfahrung in der Tätigkeit als Supervisor in China. Durch jahrelange Erfahrung und spezifische Kenntnisse des deutschen, internationalen und chinesischen Geschäftsumfelds hat Richard Hoffmann mehrere hundert Unternehmen erfolgreich dabei unterstützt, sich in China durch die Komplexität von Rechts-, Steuer- und Compliance-Fragen zu navigieren.