Anfang Juni hat China offiziell Vorschriften zu Standardverträgen für die grenzüberschreitende Übermittlung personenbezogener Daten in Kraft gesetzt. Diese verpflichten Datenverarbeiter (einschließlich Unternehmen, die Daten von weniger als einer Million Personen verarbeiten) dazu, vor der Übermittlung Verträge mit Empfängern im Ausland abzuschließen.
Die neuen Regeln sind Teil der Bemühungen Pekings, im Namen des Schutzes der nationalen Sicherheit die Kontrolle über inländische Daten zu verschärfen.
Derzeit besteht der wichtigste Rechtsrahmen des Landes für das Datenschutzmanagement aus drei Gesetzen: dem Cybersicherheitsgesetz, dem Datenschutzgesetz und dem Gesetz zum Schutz personenbezogener Daten.
Die Zentralregierung hat daher ein System zur Verwaltung des Exports personenbezogener Daten eingeführt. Zusätzlich zu den im Standardvertrag festgelegten Maßnahmen enthält dieses System Vorschriften, die Unternehmen dazu verpflichten, Sicherheitsbewertungen bei der nationalen Internetaufsichtsbehörde durchzuführen oder bei der zuständigen Behörde eine Zertifizierung zum Schutz personenbezogener Daten zu beantragen.
Xu Ke, Direktor des Forschungszentrums für digitale Wirtschaft und juristische Innovation an der University of International Business and Economics, sagte, die Regulierungsbehörden hätten Mühe, ein Gleichgewicht zwischen der Verbesserung der Datensicherheit und der Förderung datengetriebenen Wirtschaftswachstums zu finden.
Hohe Anzahl an Unternehmen, niedrige Zustimmungsquote
Im Rahmen der Sicherheitsbewertungen für grenzüberschreitende Datenübertragungen, die am 1. September in Kraft getreten sind, müssen sich Unternehmen, die personenbezogene Daten von mehr als einer Million Menschen verarbeiten, einer Sicherheitsbewertung unterziehen, wenn sie Daten ins Ausland übertragen wollen.
Unternehmen müssen den lokalen Netzwerkregulierungsbehörden und der Cyberspace Administration of China (CAC) Sicherheits-Selbstbewertungsberichte für zwei Überprüfungsrunden vorlegen.
Derzeit gilt die Übermittlung von Daten ins Ausland als rechtmäßig, wenn der Übermittler einen Vertrag mit dem Empfänger abschließt und nachweist, dass die zu übermittelnden Daten die Sicherheitsprüfung der zuständigen Behörde bestehen.
Obwohl die Maßnahmen bereits im September in Kraft traten, gestaltete sich ihre Umsetzung aufgrund der großen Zahl an Unternehmen und des Mangels an Personal zur Bewertung ihrer Sicherheitsberichte schwierig.
Bis Ende April hatte die Cyberspace-Verwaltung von Shanghai mehr als 400 Evaluierungsberichte erhalten, von denen nur 0,5 Prozent vom CAC genehmigt wurden.
Auch anderswo ist die Situation ähnlich. Landesweit haben die Behörden mehr als 1.000 Anträge auf Datenübermittlung ins Ausland erhalten, von denen jedoch weniger als zehn die beiden Prüfrunden bestanden haben, hieß es bei Caixin.
Auf nationaler Ebene wird der Großteil der Genehmigungs- und Überprüfungsarbeiten für Sicherheitsberichte vom technischen Zentrum für Cybersicherheit CNCERT/CC durchgeführt, das insgesamt etwa 100 Mitarbeiter beschäftigt.
„Vage“ Kriterien
Neben Personalengpässen verzögert auch die mangelnde Klarheit der Bewertungskriterien den Genehmigungsprozess. Regulierungsbehörden und Unternehmen sind sich nicht einig, warum die beantragte Datenübertragung notwendig ist.
Beispielsweise muss der Antragsteller darlegen, warum die Übermittlung von Daten an eine ausländische Partei zur Verarbeitung rechtmäßig, angemessen und notwendig ist. Weitere Hinweise werden jedoch nicht gegeben.
Herr Xu Ke warnte, dass die Anwendung eines „All-in-One“-Mechanismus zu übermäßigen Einschränkungen für bestimmte Branchen und Sektoren führen und den freien Datenfluss behindern könnte, da die Gefahr nationaler Sicherheitsbedenken unterschiedlich groß sei.
He Yuan, geschäftsführender Direktor des Data Law Research Center an der Shanghai Jiao Tong University, wies darauf hin, dass sich die Arbeitsbelastung für die lokalen Regulierungsbehörden erheblich erhöhen könnte, da ab Juni auch Unternehmen mit weniger als einer Million Beschäftigten Standardverträge unterzeichnen müssten.
Seit 2023 haben die Behörden des chinesischen Festlands ihre Öffentlichkeitsarbeit verstärkt und bieten Unternehmen beispielsweise Anleitungen, damit sie sich mit den Regeln für den Datentransfer vertraut machen können.
Allerdings zählen hohe Kosten für die Einhaltung der Vorschriften, Schwierigkeiten bei der Kommunikation mit Empfängern im Ausland und regulatorische Unsicherheit zu den Faktoren, die Peking für die Unternehmen nicht lösen konnte.
Teuer
Um Ärger zu vermeiden, ziehen Unternehmen bei der Einreichung von Sicherheitsbewertungsberichten häufig externe Agenturen zu Rate.
Allerdings können die von diesen Beratungsagenturen erhobenen Gebühren schnell Hunderte Millionen Yuan erreichen, was kleine Unternehmen benachteiligt. Auch die Qualität der Dienstleistungen dieser Agenturen kann variieren.
Selbst mit der Hilfe von Beratern haben viele Unternehmen immer noch Schwierigkeiten, eine Genehmigung zu erhalten. Viele Erstanträge erfüllten die behördlichen Anforderungen nicht vollständig, sagt Zhang Yao, Partner bei Sun & Young Partners, einer Anwaltskanzlei mit Sitz in Shanghai.
Zwar haben die Regulierungsbehörden die Anforderungen zu den Kernfragen geklärt, nämlich welche Daten ins Ausland übertragen werden müssen, über welche Systeme, an wen und ob Sicherheitsrisiken bestehen. Doch „die Klärung dieser Fragen ist für die Unternehmen mit hohen Kosten und großem Aufwand verbunden“.
Und selbst wenn es multinationalen Unternehmen gelingt, personenbezogene Daten ins Ausland zu übermitteln, müssen sie bei der späteren Verwendung weiterhin mit Compliance-Investitionen rechnen, sagt Chen Jihong, Partner der in Peking ansässigen Anwaltskanzlei Zhong Lun.
Darüber hinaus muss der Datenübermittler in einem Bericht Informationen über den ausländischen Empfänger vorlegen – etwas, wozu nur wenige Unternehmen bereit sind. So erklärte beispielsweise der Konzern Microsoft öffentlich, er werde bei Anfragen Chinas zur Bewertung der Datensicherheit „nicht kooperieren“.
(Laut Nikkei Asia)
[Anzeige_2]
Quelle
Kommentar (0)