Die Auswirkungen der DSGVO in China: Vergleich mit lokalen Regeln und Überlegungen zur Umsetzung

Mit dem Inkrafttreten der Allgemeinen Datenschutzverordnung (DSGVO) rennen Unternehmen weltweit um die Umsetzung von Compliance-Maßnahmen. Parallel zur Entwicklung der DSGVo hat sich im vergangenen Jahr Chinas neuer Datenschutzrahmen herausgebildet, der sich in der Endphase der Umsetzung der restlichen Details befindet. Bei ähnlichen und sich häufig überschneidenden Verpflichtungen stellt die vollständige Einhaltung der DSGVO und des chinesischen Datenschutzrahmens eine bedeutende neue Herausforderung für Unternehmen dar, die in China tätig sind.

Gilt die DSGVO für Unternehmen in China?

Die DSGVO gilt für die Verarbeitung personenbezogener Daten von Personen, die sich in der Europäischen Union aufhalten, auch für einen Controller oder Prozessor in China, wo die Verarbeitung der Daten im Zusammenhang steht:

  • Das Angebot von Waren oder Dienstleistungen für die betroffenen Personen in der Europäischen Union, unabhängig davon, ob eine Zahlung erforderlich ist.
  • Die Überwachung des Verhaltens der Menschen in der Europäischen Union.

Selbst wenn ein chinesisches Unternehmen keine formalen Niederlassungen in der Europäischen Union hat, gilt die DSGVO dennoch, wenn es eine dieser beiden Arten von Tätigkeiten ausübt.

Was sind die Anforderungen an Unternehmen in China, die der DSGVO unterliegen?

Die DSGVO konzentriert sich im Wesentlichen auf zwei Kategorien von Einheiten: „Controller“ und „Prozessoren“. Diese beiden Typen ähneln den Konzepten in den chinesischen Regeln. „Kontrolleure“ sind Einrichtungen, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen. „Bearbeiter“ sind Stellen, die die Verarbeitung personenbezogener Daten im Auftrag der für die Verarbeitung Verantwortlichen vornehmen.

Schlüsselanforderungen an die DSGVo

  • Durchführung geeigneter technischer und organisatorischer Maßnahmen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung in Übereinstimmung mit den DSGVO-Anforderungen erfolgt.
  • Implementieren Sie den Datenschutz durch Design und Standard, einschließlich
  • Maßnahmen zur Umsetzung von Datenschutzgrundsätzen, wie z.B. Datenminimierung, und Sicherstellung, dass nur die für den jeweiligen Zweck der Verarbeitung erforderlichen personenbezogenen Daten verarbeitet werden, insbesondere die Menge der erhobenen Daten, der Umfang der Verarbeitung und die Dauer der Speicherung oder Zugänglichkeit.
  • Detaillierte Aufzeichnungen über die Verarbeitungstätigkeiten unter der Verantwortung des Controllers zu führen
  • Gewährleistung eines dem Risiko der Daten angemessenen Sicherheitsniveaus
  • Benachrichtigen Sie die Aufsichtsbehörde, wenn ein Verstoß gegen personenbezogene Daten vorliegt, der geeignet ist, die Rechte und Freiheiten natürlicher Personen zu gefährden.
  • Sofern keine Ausnahme gilt, benachrichtigen Sie die betroffenen Personen, wenn ein Verstoß gegen personenbezogene Daten vorliegt, der zu einem hohen Risiko für die Rechte und Freiheiten dieser natürlichen Personen führen kann.
  • Dokumentieren Sie alle Verstöße gegen personenbezogene Daten, um die Tatsachen im Zusammenhang mit dem Verstoß, die Auswirkungen und die ergriffenen Abhilfemaßnahmen zu klären.
  • Die Vereinbarung mit dem Auftragsverarbeiter in einem Vertrag oder einem anderen Rechtsakt zu formalisieren, in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und Kategorien der betroffenen Personen, die Pflichten und Rechte der für die Verarbeitung Verantwortlichen sowie die wichtigsten Einzelheiten über die Verarbeitung und die damit verbundenen rechtlichen Verpflichtungen festgelegt sind.
  • Durchführung einer Datenschutzfolgenabschätzung, wenn die Verarbeitung zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen kann.
  • Einen Datenschutzbeauftragten zu ernennen, wenn die Verarbeitung von einer Behörde (mit Ausnahme eines Gerichts, das in gerichtlicher Eigenschaft handelt) durchgeführt wird, die Haupttätigkeit des für die Verarbeitung Verantwortlichen oder Verarbeiters darin besteht, dass sie eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordert, oder die Haupttätigkeit darin besteht, in großem Umfang besondere Kategorien von Daten oder personenbezogenen Daten zu verarbeiten, die sich auf bestimmte strafrechtliche Verurteilungen oder Straftaten beziehen.
  • Ernennung von Verarbeitern nur durch verbindliche schriftliche Vereinbarungen, die ausreichende Garantien dafür bieten, dass die Verarbeitung den Anforderungen die DSGVO entspricht und die Rechte der betroffenen Person gewährleistet sind.
  • Einhaltung der geltenden Beschränkungen und Anforderungen für die grenzüberschreitende Datenübermittlung

Welche zusätzlichen Schritte sind für Unternehmen, die bereits die chinesischen Regeln einhalten, notwendig?

Als wichtige Ergänzung zu Chinas allgemeinen Rahmenbedingungen traten im Mai 2018 die Personal Information Security Specifications (Specifications) in Kraft. Zusätzlich zu dem ähnlichen Zeitplan wie das BIPR haben die Spezifikationen einige Überschneidungen mit den EU-Vorschriften. Obwohl die Spezifikationen eine freiwillige Richtlinie sind, bauen sie auf einer bestehenden Grundlage für den Schutz personenbezogener Daten auf, die in den wichtigsten Gesetzen und Vorschriften, insbesondere im Rahmen des Network Security Law (NSL), enthalten ist. Für Unternehmen in China, die prüfen, welche zusätzlichen Schritte für das BIPR erforderlich sind, ist es ein entscheidender erster Schritt, die wichtigsten Unterschiede zwischen den EU- und den chinesischen Vorschriften klar zu verstehen, und danach können zusätzliche Maßnahmen zur Behebung dieser Lücken getroffen werden.