Der Geschäftsverkehr mit chinesischen Unternehmen erfordert häufig die Übertragung von personenbezogenen Daten, z. B. von Kunden, Ansprechpartnern und Mitarbeitern. Dies kann bei Versendung von Listen, durch gemeinsame Nutzung von Cloud-Speichern oder von Datenbanken relevant werden. Häufig erfolgen solche Prozesse ganz selbstverständlich, manchmal ohne, dass eine bewusste Entscheidung getroffen wird. 

Im Jahr 2020 hat der Europäische Gerichtshof mit der Schremps-II-Entscheidung konkrete und strenge Vorgaben für den Datenverkehr mit den USA formuliert, die nach Vorgaben des Europäische Datenschutzausschusses auch für den Datenverkehr mit China gelten. Verstöße werden bekanntlich mittlerweile mit spürbaren Geldbußen geahndet. Vor diesem Hintergrund erläutern wir, welche Vorgaben für den Datenverkehr mit China zu beachten sind. 

1. Hintergründe
Viele Unternehmen agieren inzwischen international und müssen daher auch internationale Vorgaben wie das Datenschutzrecht einhalten. Dies gilt umso mehr in Bezug auf Länder außerhalb Europas, beispielsweise beim Warenbezug aus China, bei Softwareprodukten aus den USA oder bei Rohstoffen aus Afrika. Häufig sind personenbezogene Daten im Spiel.

Die Datenverarbeitung in Drittländern, zu denen China zählt, hat im Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) gem. den Artt. 44 – 49 zu erfolgen.

Hierbei muss eine Zweischritt-Prüfung erfolgen:

a) Die Zulässigkeit der jeweiligen Datenverarbeitung bemisst sich zunächst nach den allgemeinen Regeln. Es muss also insbesondere ein Rechtfertigungsgrund für die Datenverarbeitung bestehen. Neben einer nicht immer unproblematischen Einwilligung kommt hierbei vornehmlich der weit zu verstehende Rechtfertigungsgrund der Vertragserfüllung zum Tragen.

b) Im Anschluss ist die zweite Stufe der Datenverarbeitung in Drittländern die deutlich höhere Hürde. So muss das verantwortliche Unternehmen ein gesichertes Datenschutzniveau im Drittland gewährleisten. Das standardmäßige Nichtvorliegen eines generellen Angemessenheitsbeschlusses der Europäischen Union wird für den Drittstaat üblicherweise durch behördlich vorgegebene Standarddatenschutzklauseln, also eine vertragliche Vereinbarung, ausgeglichen werden.

Aufgrund der Schrems-II-Entscheidung (2020) des Europäischen Gerichtshofs sind die Anforderungen an die Gewährleistung eines gesicherten Datenschutzniveaus beim Auslandstransfer in Drittländer allerdings deutlich strenger geworden.

Der EuGH hatte festgestellt, dass Datenübermittlungen in Drittstaaten nur dann zulässig sind, wenn zusätzlich zu den bindenden Standarddatenschutzklauseln der Europäischen Union gewährleistet wird, dass im Empfängerstaat ein gleichwertiges Schutzniveau für die personenbezogenen Daten besteht.

Für die USA, Indien, Russland und China hat der Europäische Datenschutzausschuss (EDSA) das Datenschutzniveau analysieren lassen („Legal study on Government access to data in third countries“). Festgestellt wurden hierbei weitreichende, uneingeschränkte Zugriffsrechte der Sicherheitsbehörden und Geheimdienste, sodass das Datenschutzniveau als nicht angemessen bewertet wurde.

Hiernach richten sich die europäischen Datenschutzbehörden bereits jetzt. Unternehmen werden aktuell gezielt angeschrieben. Daraufhin folgt eine Prüfung des Datentransfers in Drittstaaten auf Grundlage der vorstehenden Regeln, insbesondere des konzerninternen Austauschs von Kunden- und Beschäftigtendaten.

2. Chinesisches Datenschutzrecht
China selbst hat relativ junge Regelungen im Bereich des Datenschutzrechts. Am 01.11.2021 wurde zunächst das Personal Information Protection Law („PIPL“) zusammen mit dem Cybersecurity Law (“CSL”) und dem Data Security Law („DSL“) in Kraft gesetzt.

Das Gesetz verbietet – ähnlich wie die DSGVO – die Verarbeitung von personenbezogenen Daten über chinesische Inlandsbürger, soweit keine Rechtsgrundlage vorliegt. Gerechtfertigt werden kann eine Datenverarbeitung u. a. im Falle einer Einwilligung, der Vertragserfüllung oder gesetzlicher Erfordernisse. Hinzu kommen der Zweckbindungsgrundsatz sowie die Gebote der Transparenz, Datenminimierung und Datensicherheit.

Die Übertragung von kritischen Daten aus China heraus kann sogar eine Genehmigung der Cyberspace Administration of China erforderlich machen. Verstöße gegen Datenschutzrecht können u. a. mit Bußgeldern von umgerechnet bis zu 7,5 Mio. Dollar oder 5 % des vorausgegangenen Jahresumsatzes belegt werden.

Allerdings ist die Verarbeitung personenbezogener Daten aus Gründen der nationalen Sicherheit nahezu schrankenfrei zulässig, was die Einschätzung des EDSA erklärt. Ein anlassloser Zugriff auf europäische Daten soll – wie bzgl. der USA – verhindert werden.

3. Konsequenzen für den internationalen Datentransfer
Grundsätzlich ist ein internationaler Datentransfer auch nach China möglich. Neben einer Rechtfertigung für die Datenübertragung ist die Gewährleistung eines gesicherten Datenschutzniveaus erforderlich, was in der Regel durch Standarddatenschutzklauseln erfolgt. Zusätzlich zu einer solchen Vereinbarung ist jedoch Datensicherheit auch in der Praxis zu gewährleisten. Dem stehen insbesondere anlasslose behördliche Zugriffsrechte in China, den USA und anderen Drittstaaten entgegen. Die Zugriffe technisch zu verhindern kann allerdings zu einem empfindlichen Rechtsverstoß im Empfängerland führen, wenn dort eine Offenlegungspflicht besteht. 

Zur Lösung dieses Problems dürfte ein technisch sicherer Fernzugriff ohne stationäre Datenverarbeitung in China dienlich sein, z.B. über VPN. Auch andere Verschlüsselungsmethoden kommen in Betracht, wenn Unternehmen nicht auf Anonymisierung setzen wollen.

Mithin wird die rechtmäßige Datenübertragung in viele Drittländer mittelbar an politischen Fragen zu messen sein. Denn insbesondere bis behördliche Zugriffsrechte aus der nationalen Gesetzgebung gestrichen werden, wäre die Datenverarbeitung unzulässig und damit bußgeldbewehrt.