Dass China sein Datenschutzgesetz 2021 novelliert hat, ist keine Neuigkeit. Nun wurden auch neue chinesische Standardvertragsklauseln (SCC) veröffentlicht, die Datentransfers außerhalb Chinas regeln sollen und nach einem Übergangszeitraum ab Dezember 2023 zwingend anzuwenden sind. Wesentlicher Unterschied zu den EU-SCCs ist dabei, dass die chinesischen SCCs keine 4 sondern nur ein Modul beinhalten, welches für Datenexporteure und -importeure gleichermaßen Geltung entfaltet.
Grds. dürfen Daten nur dann auf Grundlage der SCCs außerhalb Chinas transferiert werden, wenn es sich bei dem Verwender nicht um einen KRITIS-Betreiber handelt und bestimmte Schwellenwerte nicht überschritten werden, wie zB eine Datenverarbeitung von nicht mehr als 1 Mio. Personen.
Um die SCCs anzuwenden, ist unter anderem
- eine Datenschutz-Folgenabschätzung, ähnlich der TIA nach europäischem Recht, durchzuführen,
- Informationen zur konkreten Datenverarbeitung in den SCCs zu ergänzen – ohne dabei die SCCs zu verändern,
- die DSFA und abgeschlossenen SCCs gegenüber der chinesischen Internet-Informationsbehörde vorzulegen.
Sind die SCCs anwendbar, wird auch den Datenempfängern in den SCCs die Einhaltung besonderer Pflichten auferlegt, die etwas an die Regelung des Art. 28 DSGVO bzgl. der Einbindung eines Auftragsverarbeiters erinnern lassen.
Unser Fazit: Zu einer Änderung der grds. negativen Einschätzung, China als sicheres Drittland für Datentransfers anzusehen, führen die chinesischen SCCs nicht. Vielmehr ist es Unternehmen, die personenbezogene chinesische Daten als Datenexporteur oder -importeur verarbeiten, nun dringend zu empfehlen, sich intensiv mit den aus den neuen SCCs ergebenden Pflichten bis Dezember 2023 zu beschäftigen.