Anfang Juni hat China offiziell Vorschriften zu Standardverträgen für die grenzüberschreitende Übermittlung personenbezogener Daten in Kraft gesetzt. Diese verpflichten Datenverarbeiter (einschließlich Unternehmen, die Daten von weniger als einer Million Personen verarbeiten) dazu, vor der Übermittlung Verträge mit Empfängern im Ausland abzuschließen.
Die neuen Regeln sind Teil der Bemühungen Pekings, im Namen des Schutzes der nationalen Sicherheit die Kontrolle über inländische Daten zu verschärfen.
Derzeit besteht der wichtigste Rechtsrahmen des Landes für das Datenschutzmanagement aus drei Gesetzen: dem Cybersicherheitsgesetz, dem Datenschutzgesetz und dem Gesetz zum Schutz personenbezogener Daten.
Dementsprechend hat die Zentralregierung ein System zur Verwaltung des Exports personenbezogener Daten eingeführt. Zusätzlich zu den Maßnahmen im Standardvertrag enthält das System Bestimmungen, die Unternehmen dazu verpflichten, bei der nationalen Internetaufsichtsbehörde eine Registrierung für Sicherheitsbewertungen durchzuführen oder bei der zuständigen Behörde eine Zertifizierung zum Schutz personenbezogener Daten zu beantragen.
Xu Ke, Direktor des Forschungszentrums für digitale Wirtschaft und juristische Innovation an der University of International Business and Economics, sagte, die Regulierungsbehörden hätten Mühe, ein Gleichgewicht zwischen der Verbesserung der Datensicherheit und der Förderung datengetriebenen Wirtschaftswachstums zu finden.
Hohe Anzahl an Unternehmen, niedrige Zustimmungsquote
Im Rahmen der Sicherheitsbewertungen für grenzüberschreitende Datenübertragungen, die am 1. September in Kraft getreten sind, müssen sich Unternehmen, die personenbezogene Daten von mehr als einer Million Menschen verarbeiten, einer Sicherheitsbewertung unterziehen, wenn sie Daten ins Ausland übertragen wollen.
Unternehmen müssen den lokalen Netzwerkregulierungsbehörden und der Cyberspace Administration of China (CAC) Sicherheits-Selbstbewertungsberichte für zwei Überprüfungsrunden vorlegen.
Derzeit gelten Datenübertragungen ins Ausland als rechtmäßig, wenn der Übertragende einen Vertrag mit dem Empfänger abschließt und nachweist, dass die zu übertragenden Daten die Sicherheitsprüfung der zuständigen Behörde bestehen.
Obwohl die Maßnahmen bereits im September in Kraft traten, gestaltete sich ihre Umsetzung aufgrund der großen Zahl an Unternehmen und fehlender personeller Ressourcen zur Bewertung ihrer Sicherheitsberichte schwierig.
Bis Ende April hatte die Cyberspace-Verwaltung von Shanghai mehr als 400 Evaluierungsberichte erhalten, von denen nur 0,5 Prozent vom CAC genehmigt wurden.
Anderswo ist die Situation ähnlich. Landesweit gingen bei den Behörden über 1.000 Anträge auf Datenübertragung ins Ausland ein, von denen jedoch weniger als zehn die zweite Prüfungsrunde überstanden, wie Quellen bei Caixin verrieten.
Auf nationaler Ebene wird der Großteil der Genehmigungs- und Überprüfungsarbeiten für Sicherheitsberichte vom technischen Zentrum für Cybersicherheit CNCERT/CC durchgeführt, das insgesamt etwa 100 Mitarbeiter beschäftigt.
„Vage“ Kriterien
Neben Personalengpässen verzögert auch die mangelnde Klarheit der Bewertungskriterien den Genehmigungsprozess. Regulierungsbehörden und Unternehmen sind sich nicht einig, warum die beantragte Datenübertragung notwendig ist.
Beispielsweise muss der Antragsteller darlegen, warum die Übermittlung von Daten an eine ausländische Partei zur Verarbeitung rechtmäßig, angemessen und notwendig ist. Weitere Hinweise werden jedoch nicht gegeben.
Herr Xu Ke warnte, dass die Anwendung eines „All-in-One“-Mechanismus zu übermäßigen Einschränkungen für bestimmte Branchen und Sektoren führen und den freien Datenfluss behindern könnte, da die Gefahr nationaler Sicherheitsbedenken unterschiedlich groß sei.
He Yuan, geschäftsführender Direktor des Data Law Research Center an der Shanghai Jiao Tong University, wies darauf hin, dass sich die Arbeitsbelastung für die lokalen Regulierungsbehörden erheblich erhöhen könnte, da ab Juni auch Unternehmen mit weniger als einer Million Beschäftigten Standardverträge unterzeichnen müssten.
Seit 2023 haben die Behörden des chinesischen Festlands ihre Öffentlichkeitsarbeit verstärkt und bieten Unternehmen beispielsweise Anleitungen, damit sie sich mit den Regeln für den Datentransfer vertraut machen können.
Allerdings zählen hohe Kosten für die Einhaltung der Vorschriften, Schwierigkeiten bei der Kommunikation mit Empfängern im Ausland und regulatorische Unsicherheit zu den Faktoren, die Peking für die Unternehmen nicht lösen konnte.
Teuer
Um Ärger zu vermeiden, ziehen Unternehmen bei der Einreichung von Sicherheitsbewertungsberichten häufig externe Agenturen zu Rate.
Allerdings können die Servicegebühren dieser Beratungsagenturen leicht Hunderte Millionen Yuan betragen, was kleine Unternehmen benachteiligt. Auch die Servicequalität dieser Agenturen kann variieren.
Selbst mit der Hilfe von Beratern haben viele Unternehmen immer noch Schwierigkeiten, Genehmigungen zu erhalten. Viele Erstanträge erfüllen die regulatorischen Anforderungen nicht vollständig, sagt Zhang Yao, Partner bei Sun & Young Partners, einer Anwaltskanzlei mit Sitz in Shanghai.
Zwar haben die Regulierungsbehörden die Anforderungen zu den Kernfragen geklärt, nämlich welche Daten über welche Systeme und an wen ins Ausland übertragen werden müssen und ob Sicherheitsrisiken bestehen. Doch „die Klärung dieser Fragen ist für die Unternehmen mit hohen Kosten und großem Aufwand verbunden“.
Und selbst wenn es multinationalen Unternehmen gelingt, personenbezogene Daten ins Ausland zu übermitteln, müssen sie bei der anschließenden Verwendung weiterhin mit Compliance-Investitionen rechnen, sagt Chen Jihong, Partner der in Peking ansässigen Anwaltskanzlei Zhong Lun.
Ganz zu schweigen davon, dass der Datenübermittler im Bericht Informationen über den Empfänger im Ausland übermitteln muss – etwas, das nur sehr wenige Unternehmen preisgeben möchten. So erklärte etwa der Konzernriese Microsoft öffentlich, er werde bei den Anfragen Chinas nach Datensicherheitsbewertungen „nicht kooperieren“.
(Laut Nikkei Asia)
[Anzeige_2]
Quelle
Kommentar (0)