Datentransfer zwischen China und der EU: Bei der Übermittlung personenbezogener Daten in Drittländer spielen Standardvertragsklauseln (SCC) eine wichtige Rolle. Die EU-Standardvertragsklauseln sind Rechtsinstrumente, die entwickelt wurden, um die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR im Einklang mit der Datenschutz-Grundverordnung (DSGVO) zu ermöglichen.
Auch andere Länder, wie z.B. China nutzen dieses Konzept: So hat in China die Cyberspace Administration of China (CAC) nach Inkrafttreten des Gesetzes der VR China zum Schutz personenbezogener Daten (GSPD) am 1.11.2021 einen Maßnahmenkatalog zur Übermittlung personenbezogener Daten veröffentlicht, der auch einen Mustervertrag der CAC (in Kraft getreten am 1.6.2023) enthält. Hierauf sollte geachtet werden, wenn Waren oder Dienstleistungen aus China importiert werden. Insbesondere auch mit Blick auf Daten von Arbeitnehmern.
Standardvertragsklauseln im Datenschutzrecht
Standardvertragsklauseln sind ein Mechanismus zur Gewährleistung eines angemessenen Datenschutzniveaus bei der Übermittlung personenbezogener Daten in Länder, die kein angemessenes Datenschutzniveau bieten. Dazu am Beispiel der europäischen Standardvertragsklauseln:
- Rechtsgrundlage: Standardvertragsklauseln sind eine der von der Europäischen Kommission genehmigten Methoden zur Gewährleistung eines angemessenen Datenschutzniveaus bei der Übermittlung personenbezogener Daten in Drittländer. Sie bieten eine Rechtsgrundlage für den internationalen Datentransfer gemäß Artikel 46 der Datenschutz-Grundverordnung.
- Vertragliche Verpflichtungen: Die SCC legen bestimmte Datenschutz- und Datensicherheitsverpflichtungen für Datenexporteure und Datenimporteure fest. Diese Verpflichtungen sollen sicherstellen, dass die übermittelten personenbezogenen Daten einen Schutz genießen, der mit dem in der EU gewährleisteten Schutz vergleichbar ist.
- Rechte der betroffenen Personen: Die Standardvertragsklauseln schützen die Rechte der betroffenen Personen, indem sie ihnen die Möglichkeit einräumen, sich sowohl an den Datenexporteur als auch an den Datenimporteur zu wenden, wenn ihre Datenschutzrechte verletzt wurden.
- Flexibilität und Anpassbarkeit: Die Standardvertragsklauseln können in bestehende Verträge integriert werden und bieten Unternehmen, die internationale Datentransfers durchführen, ein gewisses Maß an Flexibilität.
Standardvertragsklauseln sind ein wichtiger Bestandteil des Rechtsrahmens für den internationalen Datentransfer und bieten Unternehmen einen Mechanismus, um die Einhaltung der Datenschutz-Grundverordnung bei der Übermittlung personenbezogener Daten außerhalb des EWR zu gewährleisten. Sie sind insbesondere nach dem Schrems-II-Urteil des Europäischen Gerichtshofs, das den Privacy Shield zwischen der EU und den USA für ungültig erklärte und die Bedeutung von Mechanismen wie Standardvertragsklauseln für den internationalen Datentransfer unterstrich, von zentraler Bedeutung.
Die Übermittlung von Daten zwischen China und der EU wird gerne auf die Richtung „EU -> China“ reduziert. Doch auch und gerade andersherum spielt dies eine erhebliche Rolle, wobei man insbesondere bei Konzernen und transnational arbeitenden Unternehmen auch an Daten der Arbeitnehmer denken muss!
Übermittlung personenbezogener Daten aus China?
Wenn Sie personenbezogene Daten aus China in die EU übermitteln möchten, gibt es verschiedene Möglichkeiten oder Optionen, die Sie in Betracht ziehen können:
- Der hier vorgestellte CAC-Standardvertrag: Gemäß dem chinesischen Gesetz zum Schutz personenbezogener Daten (GSPD) können Datenverarbeiter mit einem Datenempfänger außerhalb Chinas einen CAC-Standardvertrag abschließen. Dieser Vertrag regelt die Bedingungen für die grenzüberschreitende Übermittlung personenbezogener Daten.
- Sicherheitsüberprüfung und Zertifizierung: Eine weitere Option nach dem GSPD ist die Durchführung einer Sicherheitsüberprüfung und Zertifizierung zum Schutz personenbezogener Daten, die von der Cyberspace Administration of China (CAC) organisiert wird. Dies ist jedoch zeit- und kostenaufwendig und hat eine begrenzte Gültigkeitsdauer.
- EU-Standardvertragsklauseln: Unternehmen in der EU können die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (EU-SCC) verwenden, um personenbezogene Daten aus China zu erhalten. Diese Klauseln bieten angemessene Garantien für den Datenschutz bei der Übermittlung von Daten in Drittländer.
- Andere Garantien gemäß der Datenschutz-Grundverordnung: Unternehmen in der EU können auch andere Garantien gemäß der Datenschutz-Grundverordnung (DSGVO) verwenden, z. B. Zertifizierungen, verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules) oder genehmigte Verhaltensregeln.
Sie müssen beachten, dass die Wahl der geeigneten Option von verschiedenen Faktoren abhängt, wie z. B. den spezifischen Anforderungen des Ziellandes, den Datenschutzbestimmungen und den individuellen Bedürfnissen des Unternehmens.
Personenbezogene Daten in China: An alle Szenarien denken!
Es ist dringend zu beachten, dass der grenzüberschreitende Austausch personenbezogener Daten zwischen China und der EU alle Unternehmen betrifft, die Tochtergesellschaften in China haben oder Geschäfte in oder mit China tätigen.
So ist bei Maßnahmen und Anforderungen für den Datentransfer an unterschiedliche Szenarien zu denken, wie z.B. der wechselseitige Einsatz von Arbeitnehmern, die ausgelagerte Verarbeitung von Arbeitnehmerdaten etwa in einer gemeinsamen Cloud, die Durchführung einer Datenanalyse oder eine Due Diligence des Datenempfängers. Bei Verstößen drohen in China Bußgelder und Haftungsrisiken.
CAC-Standardvertrag
Der chinesische Standardvertrag und die EU-Standardvertragsklauseln weisen einige Unterschiede auf. Der chinesische Standardvertrag (CAC) gilt in China und ermöglicht die grenzüberschreitende Übermittlung personenbezogener Daten auf der Grundlage eines Vertrags mit dem ausländischen Datenempfänger. Die EU-Standardvertragsklauseln (EU-SCC) gelten in der EU und bieten eine Rechtsgrundlage für den Datentransfer nach China.
Ein wichtiger Unterschied besteht darin, dass der CAC-Standardvertrag zwingend chinesischem Recht unterliegt, während die EU-SCC unter bestimmten Umständen ein anderes anwendbares Recht zulassen. Außerdem können die Parteien im CAC-Standardvertrag entweder ein Gericht in China oder ein Schiedsgericht zur Beilegung von Streitigkeiten wählen, während die EU-SCC nur die Wahl eines ordentlichen Gerichts zulassen.
Ein weiterer Unterschied besteht darin, dass der CAC Standardvertrag keine Andockklausel enthält, die es Dritten ermöglicht, dem Vertrag beizutreten. Im Gegensatz dazu können die Parteien des EU-SCC eine solche Klausel vereinbaren. Der chinesische Standardvertrag und die EU-Standardvertragsklauseln weisen einige Unterschiede auf, auf die besonders hingewiesen werden sollte:
- Anwendungsbereich: Der chinesische Standardvertrag gilt für die grenzüberschreitende Übermittlung personenbezogener Daten zwischen China und anderen Ländern. Die EU-Standardvertragsklauseln gelten für die Übermittlung personenbezogener Daten aus der EU in Drittländer.
- Struktur: Der chinesische Standardvertrag hat ein einheitliches Muster, das für alle Datenübermittlungen verwendet wird. Die EU-Standardvertragsklauseln bestehen aus verschiedenen Modulen, die je nach Art der Datenübermittlung ausgewählt werden können.
- Rechtsgrundlage: Die chinesischen Standardvertragsklauseln basieren auf chinesischem Recht. Die EU-Standardvertragsklauseln basieren auf dem Recht der EU-Mitgliedstaaten.
- Gerichtsstand: Im chinesischen Standardvertrag können die Parteien entweder ein Gericht in China oder ein Schiedsgericht wählen. Bei den EU-Standardvertragsklauseln können die Parteien unter bestimmten Umständen ein Gericht außerhalb der EU wählen.
- Andockklausel: Die EU-Standardvertragsklauseln enthalten eine Andockklausel, die es Dritten ermöglicht, dem Vertrag beizutreten. Diese Möglichkeit besteht im chinesischen Standardvertrag nicht.
- Haftung: Der chinesische Standardvertrag sieht eine umfassende Haftung zwischen den Parteien vor, während die EU-Standardvertragsklauseln einen Anspruch auf Schadenersatz für jeden Schaden vorsehen, den eine Partei der anderen Partei zufügt.
- Streitbeilegung: Der chinesische Standardvertrag lässt die Wahl zwischen einem Gericht in China oder einem Schiedsgericht, während die EU-Standardvertragsklauseln je nach Modul die Zuständigkeit eines Gerichts in einem EU-Mitgliedstaat oder im Land des Unterauftragnehmers vorsehen.
- Anpassungsmöglichkeiten: Die EU-Standardvertragsklauseln können individuell angepasst und in abgeänderter Form abgeschlossen werden, während der chinesische Standardvertrag strikt an das beigefügte Muster gebunden ist.
Grundsätzlich ist es möglich, den chinesischen Standardvertrag und die EU-Standardvertragsklauseln parallel zu verwenden. Dies kann jedoch zu erhöhten datenschutzrechtlichen Anforderungen und Herausforderungen bei behördlichen Kontrollen oder Streitigkeiten führen, da in diesem Fall beide Rechtsgrundlagen beachtet werden müssen.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024