Grenzüberschreitender Datentransfer in China

Allerdings haben Unternehmen schnell festgestellt, dass teils erhebliche Unterschiede zwischen den Anfor­de­rungen aus dem EU-Recht und dem chinesischen Recht bestehen. Das zeigt sich unter anderem im Bereich des grenzüberschreitenden Datentransfers. Die nach der DSGVO verfügbaren Erlaubnistatbestände zum Export persönlicher Daten (insbesondere Angemessenheitsbeschluss, verbindliche interne Datenschutzklauseln oder Standarddatenschutzklauseln in Verträgen) gelten nicht für internationale Datenübertragungen aus China. Viel­mehr sieht das PIPL einen eigenen, wesentlich kürzeren Katalog zulässiger Rechtfertigungsgründe vor. Dieser umfasst eine behördliche Sicherheitsüberprüfung, eine staatlich anerkannte Zertifizierung, Standard­ver­trags­klau­seln sowie sonstige Gründe nach chinesischen Gesetzen und Verordnungen. Darüber hinaus muss der Blick beim Datenexport aus China gegenwärtig – anders als nach EU-Datenschutzrecht – von persönlichen Informationen auf Daten jeglicher Art ausgeweitet werden, gleich ob diese einen Personenbezug aufweisen oder nicht. Mit Inkrafttreten des EU Data Governance Act am 24. September 2023 kommen neue Heraus­for­derungen auf Unternehmen zu, vor allem auch im Hinblick auf den internationalen Transfer nicht personen­be­zo­gener Daten.

Datenrechtliche Bestandsaufnahmen und Risikoanalysen können in den meisten Fällen dabei helfen, grenz­überschreitende Datenflüsse zu ermitteln, bestehende Schwachstellen frühzeitig zu identifizieren und geeig­nete Maßnahmen zur zügigen Behebung zu ergreifen. Leider hatte der chinesische Gesetzgeber Unternehmen bislang weitgehend im Unklaren gelassen, was genau getan werden muss, um rechtskonform Daten zwischen China und dem Ausland zu übertragen.