Es gibt unbestreitbar nuancierte und heikle Fragen, wenn Datenübertragungen aus China in Drittländer erfolgen können. Die Kriterien für die Datenlokalisierung werden durch verschiedene Gesetze und Empfehlungen durchgesetzt, die an unterschiedliche Stellen und in unterschiedlichen Phasen des Gesetzgebungsverfahrens gerichtet sind. In diesem Artikel wird dargelegt, wie Unternehmen in einem sich wandelnden Rechtssystem ihre Verpflichtungen besser verstehen sollten.
Am 13. Juni 2019 veröffentlichte die Cyberspace Administration of China („CAC“) neue Richtlinien für Datenübertragungen aus China – die „Outbound Personal Information Security Evaluation Steps (Draft for Comments)“ -, die den Mechanismus vorschreiben, mit dem Netzbetreiber die Sicherheit von Übertragungen personenbezogener Daten bestimmen, was in ganz China Wellen des Datenschutzes und der Privatsphäre auslöste.
In der chinesischen Datensicherheit ist die Datenlokalisierung ein wichtiges Thema. Für viele Unternehmen sind die Anforderungen an die Datenlokalisierung verwirrend. Diese Anforderungen sind komplex, und viele verschiedene Bestimmungen befassen sich mit diesem Problem.
Das chinesische Festland wurde lange Zeit als ein Rechtsraum angesehen, in dem Unternehmen ihre Daten (einschließlich personenbezogener Daten) in China speichern müssen und die Übertragung aller Daten (einschließlich personenbezogener und nicht personenbezogener Daten) in Drittländer untersagt ist. Dies ist jedoch ein Missverständnis der chinesischen Gesetze und Vorschriften, und wir werden in diesem Beitrag die Kriterien für die Datenlokalisierung in China erläutern.
Der Rahmen der Bestimmungen zur Datenlokalisierung
Im Allgemeinen erlaubt China nicht die Übermittlung aller Daten außerhalb des Landesgebiets. Die Datenlokalisierung ist in zwei verschiedene Komponenten unterteilt – allgemeine Spezifikationen und Bestimmungen für die spezielle Datenlokalisierung.
Wer ist für die Datenlokalisierung verantwortlich?
Die Verantwortung für die Speicherung personenbezogener oder nicht-personenbezogener Daten in China, insbesondere für Unternehmen, wird immer ein relevantes Problem darstellen.
Die Kriterien für die Datenlokalisierung gelten in der Regel nur für KIIOs, mit Ausnahme der oben genannten sektorspezifischen Datenlokalisierungsvorschriften. Gemäß Artikel 31 der CSL sind mehrstufige Cybersicherheitssysteme für KIIO erforderlich, die eine sensible Informationsinfrastruktur betreiben, die die Sicherheit des Staates, die Volkswirtschaft, den Lebensunterhalt der Bürger und das öffentliche Interesse ernsthaft gefährdet, wenn sie verloren geht, ihre Funktionen verliert oder Opfer einer Datenverletzung wird, wobei der Schwerpunkt auf wesentlichen Branchen und Bereichen liegt.
Sollte die Verantwortung für die Datenlokalisierung für alle Netzbetreiber gelten?
Artikel 2 der alten Maßnahmen dehnt die Verantwortung für die Datenlokalisierung auf alle Nutzer des Netzes aus. Bei Ablauf der Frist für Stellungnahmen waren die alten Maßnahmen jedoch noch nicht in Kraft getreten, was bei den Netzbetreibern zu Verwirrung über diese rechtliche Verpflichtung zur Datenlokalisierung und Datenübermittlung führte.
Die CAC veröffentlichte am 13. Juni 2019 eine neue Maßnahme, die sich von den alten Standards unterscheidet. Sie verpflichtet die Netzbetreiber nicht ausdrücklich, personenbezogene Daten in China zu speichern. Dennoch erlaubt sie Netzbetreibern nur dann eine Sicherheitsbewertung durchzuführen, wenn sie personenbezogene Daten außerhalb Chinas übertragen müssen. Wenn die Übermittlung personenbezogener Daten die nationale Sicherheit oder das öffentliche Interesse beeinträchtigen oder den Schutz personenbezogener Daten während der Übermittlung solcher Daten erschweren könnte, sollten diese personenbezogenen Daten nicht ins Ausland übermittelt werden.
Nehmen wir jedoch an, dass eine Datenübermittlung die nationale Sicherheit oder das öffentliche Interesse beeinträchtigen oder schädigen könnte. In diesem Fall kann davon ausgegangen werden, dass die Daten von der zentralen Verbindungsstelle kontrolliert werden können, die bereits gemäß Artikel 37 der CSL verpflichtet ist, die Daten ausfindig zu machen. Die neuen Maßnahmen scheinen dann eher im Einklang mit der CSL zu stehen. Es ist jedoch zu bedenken, dass auch die weiteren Schritte noch nicht festgelegt sind.
Diese Vorschriften enthalten explizite Kriterien für spezielle Datenlokalisierungsregeln, die sich an die für die Datenlokalisierung zuständigen Stellen richten. Die folgenden Ausführungen beziehen sich daher ausschließlich auf die allgemeinen Spezifikationen.
Welche Art von Daten steht im Mittelpunkt der Datenlokalisierung?
Während die Frage, welche Arten von Daten der Datenlokalisierung unterliegen, bei den besonderen Bestimmungen zur Datenlokalisierung einfach zu beantworten ist, verhält es sich bei den allgemeinen Anforderungen ganz anders.
Gemäß Artikel 37 der CSL werden personenbezogene Informationen und wesentliche Daten, die von kritischen Informationsinfrastrukturen in China erzeugt werden, von CIIOs gespeichert. Das Ziel der Datenlokalisierung wären personenbezogene Informationen und notwendige Daten.
Das Konzept der „wesentlichen Daten“ ist jedoch in den notwendigen und wirksamen Gesetzen und Verordnungen nicht eindeutig festgelegt. Die Gesetze und Verordnungen enthalten keine Angaben zu wesentlichen Informationen, was die Unternehmen verwirrt.
Bestimmte Daten können als wesentliche Daten betrachtet werden. Dies bedeutet, dass der Netzbetreiber, der diese Daten kontrolliert, theoretisch als KIIO betrachtet werden könnte und den damit verbundenen Pflichten unterliegt.
Wichtige Daten“ werden in den Information Security Technology Guidelines for Data Cross-Border Transfer Security Assessment (Draft for Comments) („Leitlinienentwurf“) vom 25. August 2017 als Daten spezifiziert, die nicht unter das Staatsgeheimnis fallen, aber in engem Zusammenhang mit der nationalen Sicherheit, der Wirtschaft und dem öffentlichen Interesse stehen, was die Originaldaten und andere abgeleitete Daten einschließt. In Anhang A des Leitlinienentwurfs werden 27 Kategorien von Branchen und Bereichen aufgeführt, die die Anforderungen der CSL an kritische Informationsinfrastrukturen erfüllen sollen. Die Leitlinienentwürfe sind jedoch nicht erfolgreich und werden, auch wenn sie in Kraft treten, eher ein national empfohlener Standard als eine verbindliche Anforderung bleiben.
Gemäß Artikel 19 des Gesetzentwurfs über den Datenschutz soll jede Kommunalverwaltung und jeder Sektor ein Verzeichnis wichtiger Daten erstellen und wesentliche Daten mit einem hohen Sicherheitsniveau bereitstellen. Das Aufspüren wesentlicher Daten beinhaltet dies jedoch nicht.
Schlussfolgerung
China verlangt nicht von allen Netzanbietern, dass sie die Bestimmungen zur Datenlokalisierung einhalten, und schränkt die Übertragung aller Daten außerhalb Chinas nicht ein. CIIOs in China, einschließlich personenbezogener Daten und wichtiger Daten, die von ihren kritischen Netzwerken und Systemen erzeugt werden, sollten darauf achten, ihre Daten in China zu speichern.
Die meisten Organisationen, die keine CIIO sind, werden bei der Notwendigkeit, Daten ins Ausland zu verlagern, überlegen, wie sie am besten eine Sicherheitsprüfung durchführen; dies ist jedoch auch ein Problem für den Gesetzgeber und die CAC und kann Gegenstand neuer Datengesetze (z. B. des Entwurfs des Datensicherheitsgesetzes und des Entwurfs des Gesetzes zum Schutz personenbezogener Daten) und Verordnungen sein, deren Status sorgfältig geprüft werden sollte.