INFORMATIONEN

China: Anforderungen an die Datenlokalisierung

Es gibt unbestreitbar nuancierte und heikle Fragen, wenn Datenübertragungen aus China in Drittländer erfolgen können. Die Kriterien für die Datenlokalisierung werden durch verschiedene Gesetze und Empfehlungen durchgesetzt, die an unterschiedliche Stellen und in unterschiedlichen Phasen des Gesetzgebungsverfahrens gerichtet sind. In diesem Artikel wird dargelegt, wie Unternehmen in einem sich wandelnden Rechtssystem ihre Verpflichtungen besser verstehen sollten.

Am 13. Juni 2019 veröffentlichte die Cyberspace Administration of China („CAC“) neue Richtlinien für Datenübertragungen aus China – die „Outbound Personal Information Security Evaluation Steps (Draft for Comments)“ -, die den Mechanismus vorschreiben, mit dem Netzbetreiber die Sicherheit von Übertragungen personenbezogener Daten bestimmen, was in ganz China Wellen des Datenschutzes und der Privatsphäre auslöste.

In der chinesischen Datensicherheit ist die Datenlokalisierung ein wichtiges Thema. Für viele Unternehmen sind die Anforderungen an die Datenlokalisierung verwirrend. Diese Anforderungen sind komplex, und viele verschiedene Bestimmungen befassen sich mit diesem Problem.

Das chinesische Festland wurde lange Zeit als ein Rechtsraum angesehen, in dem Unternehmen ihre Daten (einschließlich personenbezogener Daten) in China speichern müssen und die Übertragung aller Daten (einschließlich personenbezogener und nicht personenbezogener Daten) in Drittländer untersagt ist. Dies ist jedoch ein Missverständnis der chinesischen Gesetze und Vorschriften, und wir werden in diesem Beitrag die Kriterien für die Datenlokalisierung in China erläutern.

Der Rahmen der Bestimmungen zur Datenlokalisierung

Im Allgemeinen erlaubt China nicht die Übermittlung aller Daten außerhalb des Landesgebiets. Die Datenlokalisierung ist in zwei verschiedene Komponenten unterteilt – allgemeine Spezifikationen und Bestimmungen für die spezielle Datenlokalisierung.

Wer ist für die Datenlokalisierung verantwortlich?

Die Verantwortung für die Speicherung personenbezogener oder nicht-personenbezogener Daten in China, insbesondere für Unternehmen, wird immer ein relevantes Problem darstellen.

Die Kriterien für die Datenlokalisierung gelten in der Regel nur für KIIOs, mit Ausnahme der oben genannten sektorspezifischen Datenlokalisierungsvorschriften. Gemäß Artikel 31 der CSL sind mehrstufige Cybersicherheitssysteme für KIIO erforderlich, die eine sensible Informationsinfrastruktur betreiben, die die Sicherheit des Staates, die Volkswirtschaft, den Lebensunterhalt der Bürger und das öffentliche Interesse ernsthaft gefährdet, wenn sie verloren geht, ihre Funktionen verliert oder Opfer einer Datenverletzung wird, wobei der Schwerpunkt auf wesentlichen Branchen und Bereichen liegt.

Sollte die Verantwortung für die Datenlokalisierung für alle Netzbetreiber gelten?

Artikel 2 der alten Maßnahmen dehnt die Verantwortung für die Datenlokalisierung auf alle Nutzer des Netzes aus. Bei Ablauf der Frist für Stellungnahmen waren die alten Maßnahmen jedoch noch nicht in Kraft getreten, was bei den Netzbetreibern zu Verwirrung über diese rechtliche Verpflichtung zur Datenlokalisierung und Datenübermittlung führte.

Die CAC veröffentlichte am 13. Juni 2019 eine neue Maßnahme, die sich von den alten Standards unterscheidet. Sie verpflichtet die Netzbetreiber nicht ausdrücklich, personenbezogene Daten in China zu speichern. Dennoch erlaubt sie Netzbetreibern nur dann eine Sicherheitsbewertung durchzuführen, wenn sie personenbezogene Daten außerhalb Chinas übertragen müssen. Wenn die Übermittlung personenbezogener Daten die nationale Sicherheit oder das öffentliche Interesse beeinträchtigen oder den Schutz personenbezogener Daten während der Übermittlung solcher Daten erschweren könnte, sollten diese personenbezogenen Daten nicht ins Ausland übermittelt werden.

Nehmen wir jedoch an, dass eine Datenübermittlung die nationale Sicherheit oder das öffentliche Interesse beeinträchtigen oder schädigen könnte. In diesem Fall kann davon ausgegangen werden, dass die Daten von der zentralen Verbindungsstelle kontrolliert werden können, die bereits gemäß Artikel 37 der CSL verpflichtet ist, die Daten ausfindig zu machen. Die neuen Maßnahmen scheinen dann eher im Einklang mit der CSL zu stehen. Es ist jedoch zu bedenken, dass auch die weiteren Schritte noch nicht festgelegt sind.

Diese Vorschriften enthalten explizite Kriterien für spezielle Datenlokalisierungsregeln, die sich an die für die Datenlokalisierung zuständigen Stellen richten. Die folgenden Ausführungen beziehen sich daher ausschließlich auf die allgemeinen Spezifikationen.

Welche Art von Daten steht im Mittelpunkt der Datenlokalisierung?

Während die Frage, welche Arten von Daten der Datenlokalisierung unterliegen, bei den besonderen Bestimmungen zur Datenlokalisierung einfach zu beantworten ist, verhält es sich bei den allgemeinen Anforderungen ganz anders.

Gemäß Artikel 37 der CSL werden personenbezogene Informationen und wesentliche Daten, die von kritischen Informationsinfrastrukturen in China erzeugt werden, von CIIOs gespeichert. Das Ziel der Datenlokalisierung wären personenbezogene Informationen und notwendige Daten.

Das Konzept der „wesentlichen Daten“ ist jedoch in den notwendigen und wirksamen Gesetzen und Verordnungen nicht eindeutig festgelegt. Die Gesetze und Verordnungen enthalten keine Angaben zu wesentlichen Informationen, was die Unternehmen verwirrt.

Bestimmte Daten können als wesentliche Daten betrachtet werden. Dies bedeutet, dass der Netzbetreiber, der diese Daten kontrolliert, theoretisch als KIIO betrachtet werden könnte und den damit verbundenen Pflichten unterliegt.

Wichtige Daten“ werden in den Information Security Technology Guidelines for Data Cross-Border Transfer Security Assessment (Draft for Comments) („Leitlinienentwurf“) vom 25. August 2017 als Daten spezifiziert, die nicht unter das Staatsgeheimnis fallen, aber in engem Zusammenhang mit der nationalen Sicherheit, der Wirtschaft und dem öffentlichen Interesse stehen, was die Originaldaten und andere abgeleitete Daten einschließt. In Anhang A des Leitlinienentwurfs werden 27 Kategorien von Branchen und Bereichen aufgeführt, die die Anforderungen der CSL an kritische Informationsinfrastrukturen erfüllen sollen. Die Leitlinienentwürfe sind jedoch nicht erfolgreich und werden, auch wenn sie in Kraft treten, eher ein national empfohlener Standard als eine verbindliche Anforderung bleiben.

Gemäß Artikel 19 des Gesetzentwurfs über den Datenschutz soll jede Kommunalverwaltung und jeder Sektor ein Verzeichnis wichtiger Daten erstellen und wesentliche Daten mit einem hohen Sicherheitsniveau bereitstellen. Das Aufspüren wesentlicher Daten beinhaltet dies jedoch nicht.

Schlussfolgerung

China verlangt nicht von allen Netzanbietern, dass sie die Bestimmungen zur Datenlokalisierung einhalten, und schränkt die Übertragung aller Daten außerhalb Chinas nicht ein. CIIOs in China, einschließlich personenbezogener Daten und wichtiger Daten, die von ihren kritischen Netzwerken und Systemen erzeugt werden, sollten darauf achten, ihre Daten in China zu speichern.

Die meisten Organisationen, die keine CIIO sind, werden bei der Notwendigkeit, Daten ins Ausland zu verlagern, überlegen, wie sie am besten eine Sicherheitsprüfung durchführen; dies ist jedoch auch ein Problem für den Gesetzgeber und die CAC und kann Gegenstand neuer Datengesetze (z. B. des Entwurfs des Datensicherheitsgesetzes und des Entwurfs des Gesetzes zum Schutz personenbezogener Daten) und Verordnungen sein, deren Status sorgfältig geprüft werden sollte.

EUGH: Gültigkeit von Standardvertragsklauseln für die Datenübermittlung

16/10/2022 Keine Kommentare

Wie die Richtlinie über die Verarbeitung personenbezogener Daten, die sie ersetzt hat, sieht auch die Datenschutz-Grundverordnung (DSGVO) vor, dass personenbezogene Daten in ein Drittland übermittelt

mehr »

Was ist die Aufgabe eines Datenschutzbeauftragten – alles, was Sie wissen müssen

15/04/2022 Keine Kommentare

Der Datenschutzbeauftragte (DSB) spielt eine zentrale Rolle bei der Einhaltung der Datenschutzgrundverordnung (DSGVO) und berät und unterstützt die Organisationen, die ihn bestellen, bei der Einhaltung

mehr »

DSGVO vs. DPD – Ein allgemeiner Vergleich

22/02/2022 Keine Kommentare

Die DSGVO, die allgemeine Datenschutzverordnung (679/2016), wurde am 27. Mai 2016 umgesetzt. Nach einer Übergangszeit von 2 Jahren trat die Richtlinie 95/46/EG über die Sicherheit

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

China: Anforderungen an die Datenlokalisierung

Der Rahmen der Bestimmungen zur Datenlokalisierung

Wer ist für die Datenlokalisierung verantwortlich?

Sollte die Verantwortung für die Datenlokalisierung für alle Netzbetreiber gelten?

Welche Art von Daten steht im Mittelpunkt der Datenlokalisierung?

Schlussfolgerung

EUGH: Gültigkeit von Standardvertragsklauseln für die Datenübermittlung

Was ist die Aufgabe eines Datenschutzbeauftragten – alles, was Sie wissen müssen

DSGVO vs. DPD – Ein allgemeiner Vergleich

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen