DRITTSTAATEN
Allerdings gilt der Angemessenheitsbeschluss nur, sofern der US-Datenempfänger auch am Abkommen teilnimmt, also unter dem EU-US Data Privacy Framework beim US Department of Commerce zertifiziert ist. Hierfür müssen sich Datenempfänger im Rahmen einer Selbstzertifizie- rung registrieren. Anschließend ist eine jährliche Rezertifi- zierung erforderlich. Welche Dienstanbieter sich zertifiziert haben, kann auf einer eigens dafür eingerichteten Webseite eingesehen werden: dataprivacyframework.gov . Sollte kei- ne Zertifizierung vorliegen, kann es sich im Einzelfall loh- nen, den Dienstanbieter zu kontaktieren. Oftmals nehmen Datenempfänger die Selbstzertifizierung auch auf Wunsch ihrer Kunden vor. Darüber hinaus sollten deutsche Unter- nehmen aber bestehende Standardvertragsklauseln weiter beibehalten. Die Gültigkeitsdauer des Beschlusses ist zeitlich nicht be- grenzt. Eine regelmäßige Überprüfung durch die EU-Kom- mission, ob alle relevanten Elemente des US-Rechtsrah- mens in der Praxis wirksam sind, ist jedoch vorgesehen. Die erste Überprüfung soll innerhalb eines Jahres nach In- krafttreten stattfinden, weitere mindestens alle vier Jahre. Bei Entwicklungen, die sich negativ auf das Schutzniveau der Daten in den USA auswirken, kann der Beschluss an- gepasst oder zurückgezogen werden. Unsicher ist auch, ob das Abkommen vor Gericht stand- halten würde. Die beiden Vorgänger – Privacy Shield und Safe Harbor – hatte der EuGH nach Klagen des Datenschutzaktivisten Max Schrems für ungültig er- klärt. Schrems hatte kurz nach Inkrafttreten des neuen Beschlusses angekündigt erneut klagen zu wollen. Daher bleibt abzuwarten, ob der EU-US Data Privacy Framework eine langfristige, verlässliche Rechtsgrundlage für Unter- nehmen bieten wird. Fragen und Antworten zum EU-US Data Privacy Framework hat die EU-Kommission auf ihrer Website bereitgestellt:
Cyberspace Administration of China (CAC) den Entwurf der „Bestimmungen zur Standardisierung und Förderung grenzüberschreitenden Datenverkehrs“. Ziel ist es, die ak- tuell strengen Regelungen zu lockern. Diese sind durch das „Personal Information Protection Law“ (PIPL) seit Novem- ber 2021 sowie den „Maßnahmen zum Standardvertrag für die grenzüberschreitende Übermittlung personenbezo- gener Daten“ seit Juni 2023 gültig. Sollten die neuen Be- stimmungen in Kraft treten, würde er die Bedingungen für die in Artikel 38 des PIPL festgelegten CAC-Sicherheitsbe- wertungen, CAC-Standardvertragsklauseln sowie Sicher- heitszertifizierungen erheblich erleichtern. Als wichtigste Ausnahmen von den bisherigen Beschränkungen werden in dem Entwurf aufgeführt: • Daten, die in Bereichen wie internationalem Handel, akademischer Zusammenarbeit, grenzüberschreitender Herstellung und Marketing übermittelt werden, aber keine personenbezogenen oder wichtige Daten enthalten (was unter „wichtige Daten” zu verstehen ist, muss noch konkretisiert werden) • personenbezogene Daten, die nicht in China erhoben oder generiert werden (zum Beispiel solche, die in der Muttergesellschaft in Deutschland gesammelt, an die Niederlassung in China bereitgestellt und wieder zurück an das Headquarter gesendet werden) • wenn es für die Erfüllung eines Vertrags erforderlich ist, die Daten der betroffenen Person zu erheben, zum Bei- spiel für grenzüberschreitenden elektronischen Handel, Geldüberweisungen, Flugticket- und Hotelbuchungen sowie Visumanträge • personenbezogene Daten von Arbeitnehmern, die für die Personalverwaltung in Übereinstimmung mit rechtmäßi- gen Arbeitsrichtlinien oder Tarifverträgen erforderlich sind • personenbezogene Daten, die zum Schutz der Gesund- heit und der Sicherheit des Eigentums einer natürlichen Person in einem Notfall erforderlich sind • grenzüberschreitender Transfer durch Datenverarbeiter, die personenbezogene Daten von weniger als 10.000 Personen innerhalb eines Jahres aus China übertragen • personenbezogene Daten, die nicht unter die von den Pilot- Freihandelszonen zu formulierende Negativliste fallen. Am 15. Oktober 2023 endete die öffentliche Kommentie- rungsfrist für den Entwurf. Es ist derzeit unklar, wann der Entwurf finalisiert und die neuen Bestimmungen veröf- fentlicht werden. Unternehmen, die in und mit China Geschäfte tätigen, sollten die Entwicklungen weiter im Auge behalten. Recht- liche Analysen sollten vorzeitig durchgeführt werden, um frühzeitig mögliche Schwachstellen beim Datentransfer zu identifizieren. Bei Verstößen gegen das PIPL drohen Sanktionen und Bußgelder von bis zu 5 Prozent des Vor- jahresumsatzes. Es sollte auch geprüft werden, ob die vorgeschlagenen Ausnahmeregelungen auf das eigene Unternehmen anwendbar sind. Den Originaltext des Entwurfs finden Sie auf der Webseite des CAC (nur auf Chinesisch):
ec.europa.eu/commission/presscorner/detail/de/ qanda_23_3752
China: Schwieriges Terrain
Für China existiert kein Angemessenheitsbeschluss der EU-Kommission. Unternehmen müssen im Regelfall bei der Übermittlung von personenbezogenen Daten nach China auf die Standardvertragsklauseln zurückgreifen. Allerdings ist der staatliche Zugriff auf personenbezogene Daten in China kaum beschränkt, sodass es allenfalls gilt, durch Ergänzungsvereinbarungen mit dem Vertragspart- ner in China Risiken zu mindern – etwa auf organisato- rischem Weg (so wenige Daten wie möglich) und tech- nischem Weg (Verschlüsselung). Nachweise, dass diese Maßnahmen die Anforderungen der EU für einen ausrei- chenden Schutz der Daten erfüllen, sind jedoch schwer zu erbringen und mit sehr großem Aufwand verbunden. Die Übertragung personenbezogener Daten aus China in die EU stellt ebenfalls eine Herausforderung für Unter- nehmen dar. Am 28. September 2023 veröffentlichte die
cac.gov.cn/2023-09/28/c_1697558914242877.htm
5
IHK Global Business 03/2024
ihk.de/rhein-neckar
Made with FlippingBook Learn more on our blog