Article

Decoupling oder Freiheit des Datentransfers? Zugriff auf die Daten Ihrer chinesischen Tochtergesellschaft

Seit dem Inkrafttreten des Cybersicherheitsgesetz der PRC im Jahr 2017 baut China schrittweise ein strenges Regulierungssystem für den grenzüberschreitenden Transfer von Daten auf und aktualisiert ständig seine entsprechenden Gesetze und Verordnungen. Für viele deutsche Muttergesellschaften stellt sich oft die Frage, ob und wie sie auf die Daten ihrer chinesischen Tochtergesellschaften zugreifen können. Insbesondere da sich die Fälle häufen, dass chinesische Tochtergesellschaften deutschen Muttergesellschaften den Datenzugriff unter Berufung auf grenzüberschreitende Datentransferhemmnisse verweigern und damit die Eingliederung bzw. Integration der chinesischen Tochtergesellschaft durch die deutschen Muttergesellschaft erschweren bzw. nahe zu unmöglich machen. Mit diesem Q&A Schema wollen wir häufige Fragen aus der Praxis beantworten und Ihnen helfen, ein klares Bild davon zu bekommen, wo die Grenze liegt, und so die Transparenz im Management Ihrer chinesischen Tochtergesellschaften erhöhen.

Grundsätzlich gilt für die (empfangende) EU-Gesellschaft aber die DSGVO. Diese muss die Verarbeitung gemäß den lokalen Grundsätzen der DSGVO sicherstellen, darunter:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz (Art. 5 Abs. 1 lit. a DSGVO), Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO), Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
  • Wenn die empfangende Gesellschaft die Daten im Auftrag der übermittelnden Gesellschaft verarbeitet, muss ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abgeschlossen werden. Liegt eine gemeinsame Verantwortlichkeit vor, ist eine entsprechende Vereinbarung nach Art. 26 DSGVO notwendig.

 

Können die von einer chinesischen Tochtergesellschaft erhobenen und verarbeiteten Daten an die deutsche Muttergesellschaft übermittelt werden? Müssen alle Übermittlungen von den chinesischen zuständigen Behörden genehmigt werden?

Daten können grenzüberschreitend übermittelt werden. Produktionsbezogene Daten der chinesischen Tochtergesellschaften können ohne Genehmigung der chinesischen zuständigen Behörden übermittelt werden. Personenbezogene Daten von Mitarbeitern chinesischer Tochtergesellschaften können auch ohne Bewertung, Erklärung oder Genehmigung frei an die deutsche Muttergesellschaft übermittelt werden, wenn eine solche Übermittlung auf lokalen arbeitsrechtlichen Regelungen (z.B. Arbeitsvertrag) usw. beruht und für die deutsche Muttergesellschaft zur Durchführung ihrer Personalverwaltung erforderlich ist.

Im Einzelnen gibt es mehrere Möglichkeiten, den grenzüberschreitenden Datentransfer zu rechtfertigen, je nach Datenverarbeiter und den verschiedenen Arten der zu übermittelnden Daten, darunter:

Größere Ansicht: bitte hier klicken

 

Nota bene: Verarbeiter persönlicher Daten dürfen nicht durch quantitative Aufteilung persönliche Daten außerhalb Chinas übermitteln, die ursprünglich einer Sicherheitsbewertung unterzogen werden sollten, und hierzu einen Standardvertrag abschließen.

 

Handelt es sich um einen grenzüberschreitenden Datentransfer, wenn eine chinesische Tochtergesellschaft Daten per E-Mail an eine deutsche Muttergesellschaft sendet, Daten auf ein Netzwerk oder eine Datenbank hochlädt oder wenn eine deutsche Muttergesellschaft auf Daten einer chinesischen Tochtergesellschaft zugreift?

Ja. Als grenzüberschreitende Datenübermittlung gilt die Übermittlung von Daten, die von einem Datenverarbeiter im Rahmen seiner Tätigkeit in China erhoben wurden und an einen Ort außerhalb von Chinas, unabhängig von der Art der Übermittlung -sie umfasst auch die Speicherung von Daten, die von einem Datenverarbeiter in China erhoben und erzeugt wurden- aber von Einrichtungen, Organisationen oder Einzelpersonen außerhalb des chinesischen Gebiets über einen anderen Weg abgefragt, abgerufen, heruntergeladen oder exportiert werden. Streng genommen handelt es sich auch dann um eine grenzüberschreitende Übermittlung, wenn Mitarbeiter der deutschen Muttergesellschaft nach China fliegen, um vor Ort auf die Daten der chinesischen Tochtergesellschaft zuzugreifen.

 

Löst die grenzüberschreitende Übermittlung von Daten von einer chinesischen Tochtergesellschaft an eine deutsche Muttergesellschaft die rechtlichen Beschränkungen aus, die für die Übermittlung von Daten der wesentlichen Informationsinfrastruktur ins Ausland gelten?

Normalerweise nicht. Wesentliche Informationsinfrastrukturen beziehen sich auf wichtige Branchen und Bereiche wie öffentliche Kommunikations- und Informationsdienste, Energie, Verkehr, Wasserwirtschaft, Finanzen, öffentliche Dienste, elektronische Behördendienste, Landesverteidigung, Wissenschaft und Technologie sowie andere wichtige Netzwerkeinrichtungen und Informationssysteme, die bei Beschädigung ihre Funktion verlieren oder deren Daten durchsickern und die nationale Sicherheit, den Lebensunterhalt der Bevölkerung und das öffentliche Interesse ernsthaft gefährden könnten. Die zuständigen chinesischen Behörden sind dafür verantwortlich, die Identifizierung wesentlicher Informationsinfrastrukturen in ihren eigenen Branchen und Bereichen gemäß den Identifizierungsregeln zu organisieren, und sie werden die Betreiber unverzüglich über die Ergebnisse der Identifizierung informieren und die Abteilung für öffentliche Sicherheit des Staatsrats unterrichten. Wenn Ihre chinesische Tochtergesellschaft nicht über die oben genannte Identifizierung benachrichtigt wurde, handelt es sich bei Ihrer Tochtergesellschaft nicht um einen Betreiber wesentlicher Informationsinfrastrukturen, sondern um einen allgemeinen Datenverarbeiter.

 

Löst die grenzüberschreitende Übermittlung von Daten von einer chinesischen Tochtergesellschaft an eine deutsche Muttergesellschaft rechtliche Beschränkungen für die grenzüberschreitende Übermittlung von „wichtigen Daten“ aus?

Grundsätzlich nicht. Wichtige Daten beziehen sich auf Daten, die, wenn sie manipuliert, zerstört, durchsickern oder illegal beschafft oder verwendet werden, die nationale Sicherheit Chinas, den wirtschaftlichen Betrieb, die soziale Stabilität, die Volksgesundheit und die öffentliche Sicherheit usw. gefährden können. Wenn die chinesische Tochtergesellschaft nicht von den zuständigen Abteilungen oder Regionen informiert oder ihr es öffentlich bekannt gegeben wurde, dass es sich bei ihren Daten um wichtige Daten handelt, fallen die an die deutsche Muttergesellschaft übermittelten Produktions- und Betriebsdaten sowie die persönlichen Daten der Mitarbeiter nicht in diese Kategorie.

Für die Autoindustrie ist anzumerken, dass die folgenden Arten von Daten durch „Einige Bestimmungen zur Verwaltung der Sicherheit von Fahrzeugdaten (zur versuchsweisen Umsetzung)“ als wichtige Daten definiert wurden:

(i) Daten wie geografische Informationen, Personenaufkommen, Fahrzeugaufkommen und andere Daten in wichtigen und sensiblen Bereichen wie Militärverwaltungszonen, nationale Verteidigungsforschungs- und Industrieeinheiten sowie Partei- und Regierungsorgane auf oder oberhalb der Bezirksebene;
(ii) Daten, die die wirtschaftliche Leistungsfähigkeit widerspiegeln, wie z.B. Fahrzeugaufkommen und Logistik;
(iii) Daten über den Betrieb des Ladenetzes für Autos;
(iv) Video- und Bilddaten von außerhalb des Fahrzeugs, die Angaben zu Gesichtern, Nummernschildern usw. enthalten; und
(v) Persönliche Daten, die mehr als 100.000 Personen betreffen.

 

Ist es möglich, die technischen Entwicklungsdaten der chinesischen Tochtergesellschaft ohne Beschränkungen an die deutsche Muttergesellschaft zu übermitteln, wenn sie nicht zu den oben erwähnten wichtigen Daten gehören?

Nein. Bei technischen Daten muss die mögliche Klassifizierung durch Chinas „Katalog der verbotenen und eingeschränkten Technologien für den Export“ geklärt werden. Beispielsweise gehören hierzu Technologien für personalisierte Informationsdienste, die auf einerDatenanalyse beruhen. Exportbeschränkte Technologien bedürfen einer vorherigen Genehmigung durch das Handelsministerium der VR China bzw. deren behördlicher Ableger, bevor sie exportiert werden dürfen. Dazu gehören auch Technologien zum Erlernen personalisierter Benutzerpräferenzen, die auf dem kontinuierlichen Training und der Optimierung von Massendaten beruhen, die Echtzeit-Wahrnehmung personalisierter Benutzerpräferenzen und groß angelegte Echtzeit-Berechnungstechnologien zur Unterstützung von Empfehlungsalgorithmen.

 

Löst die grenzüberschreitende Übermittlung von Daten von einer chinesischen Tochtergesellschaft an eine deutsche Muttergesellschaft rechtliche Beschränkungen für die Übermittlung „sensibler persönlicher Daten“ außerhalb Chinas aus? Muss eine chinesische Tochtergesellschaft für die grenzüberschreitende Transferierung der persönlichen Daten eines Mitarbeiters an die deutsche Muttergesellschaft die individuelle Einwilligung eines jeden Mitarbeiters einholen?

Rechtliche Beschränkungen für die Übermittlung „sensibler persönlicher Daten“ außerhalb von Chinas können ausgelöst werden. Sensible persönliche Daten sind die persönlichen Informationen, die typischerweise im Falle einer Weitergabe oder einer illegalen Verwendung zur Verletzung der Würde der Persönlichkeit natürlicher Personen oder zur Gefährdung der Sicherheit einer Person oder des Vermögens führen, einschließlich der Informationen über etwa die biometrische Identifizierung, Religion oder Glaube, eine bestimmte Identität, medizinische Behandlung, Gesundheit, Finanzkonten, Aufenthaltsort und Ortswechsel sowie der persönlichen Daten der Minderjährigen, die jünger als 14 Lebensjahre sind. Es ist jedoch nicht erforderlich, die Einwilligung der Person einzuholen, wenn dies für den Abschluss und die Durchführung eines Arbeitsvertrags oder für die Durchführung der Humanressourcverwaltung nach den gesetzlichen Arbeitsvorschriften und Kollektivverträgen erforderlich ist.

Arbeitsregeln können Mitarbeiterhandbücher wie auch verschiedene Arten von Unternehmensrichtlinien sein, die demokratische Abstimmungsverfahren durchlaufen haben. Dabei ist zu beachten, dass solche Regeln von einer Arbeitnehmervollversammlung oder von allen Arbeitnehmern diskutiert und verabschiedet werden sollten. Vorschläge und Meinungen der Arbeitnehmervertreter wie auch der Betriebsräte sind hierbei zu hören, es reicht nicht aus, wenn die chinesische Tochtergesellschaft als Arbeitgeber einseitig die Regeln ausarbeitet und veröffentlichet. Ein Kollektivvertrag ist eine schriftliche Vereinbarung, die eine chinesische Tochtergesellschaft als Arbeitgeber mit ihren Beschäftigten im Rahmen von Kollektivverhandlungen eingeht und die in der Regel von einem Betriebsrat im Namen der Beschäftigten mit dem Arbeitgeber ausgehandelt wird.

Wir regen dringend an, das Mitarbeiterhandbuch oder die entsprechenden Unternehmensrichtlinien Ihrer chinesischen Tochtergesellschaft zu aktualisieren und eine Klausel über die grenzüberschreitende Übermittlung personenbezogener Daten von Mitarbeitern aufzunehmen, um eine rechtliche Grundlage für spätere Transferierungen zu schaffen. Da die oben genannten Befreiungen nur für Arbeitnehmer gelten, die Arbeitsverträge mit einer chinesischen Tochtergesellschaft unterzeichnet haben, sollten in die Muster der entsprechenden Verträge Einwilligungsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten aufgenommen werden. Wenn die chinesischen Tochtergesellschaften auch verschiedene Formen von Arbeitsverhältnissen haben, z. B. mit Praktikanten, Leiharbeitnehmern oderArbeitnehmern, die im Rahmen einer Arbeitnehmerentsendung tätig sind oder Dienstleistungspersonal usw. sollten diese Regelungen in den entsprechenden Serviceverträgen oder individuellen Dienstleistungsverträgen auch aufgenommen werden.

 

Gilt das oben Gesagte für chinesische Tochtergesellschaften in jedem Gebiet Chinas?

Bitte beachten Sie, dass jede Freihandelszone („FTZ“) Negativlisten für grenzüberschreitende Datenübermittlungen herausgeben darf. Wenn die registrierte Adresse Ihrer chinesischen Tochtergesellschaft in einer FTZ liegt, sollten Sie sich auch darüber informieren, ob die FTZ eine Negativliste herausgegeben hat. So haben beispielsweise die Peking FTZ, die Shanghai Lingang FTZ und die Tianjin FTZ jeweils eine entsprechende Daten-(Negativ-)Liste herausgegeben.

Die „China (Peking) Pilot-Freihandelszonen-Datenexport-Verwaltung-Liste (Negativliste) (Version 2024)“ regelt detailliertere und spezifischere Beschreibungen von 48 Datenkategorien in fünf Bereichen, nämlich der Autoindustrie, der pharmazeutischen Industrie, der Zivilluftfahrtindustrie, der Einzelhandels- und modernen Dienstleistungsindustrie und der KI-Schulungsdaten, sowie eine Klarstellung der Regulierungsmaßnahmen für diese spezifischen Daten bei der Transferierung ins Ausland.

Der Verwaltungsausschuss der Shanghai FTZ hat die „Maßnahmen zur klassifizierten und hierarchischen Verwaltung grenzüberschreitender Datenströme in der Pilot-Freihandelszone Lingang New Area of China (Shanghai) (Versuchsversion)“ herausgegeben, in denen grenzüberschreittende Daten in drei Stufen von hoch bis niedrig klassifiziert werden, nämlich in Kerndaten, wichtige Daten und allgemeine Daten, für Kerndaten ist die grenzüberschreitende Datentransferierung verboten, für wichtige Daten wird ein Katalog, der wichtige Daten entsprechend klassifiziert, und für allgemeine Daten wird eine allgemeine Datenliste erstellt. In der Folge hat das Verwaltungsausschuss der Freihandelszone allgemeine Datenlisten für verschiedene grenzüberschreitende Datenszenarien in den drei Bereichen, nämlich intelligente vernetzte Automobile, Biomedizin und Öffentliche Angebote von Fonds herausgegeben. Die in der allgemeinen Datenliste aufgeführten Daten können nach Beantragung der Registrierung und Einreichung beim Verwaltungsausschuss der Freihandelszone frei transferiert werden , sofern die entsprechenden verwaltungsrechtlichen Voraussetzungen erfüllt sind.

Die „China (Tianjin) Pilot-Freihandelszonen-Datenausreise-Verwaltung-Liste (Negativliste) (Version 2024)“ regelt spezifische und detaillierte Regelungen zu den Arten von Daten, die durch Sicherheitsbewertungen, Zertifizierungen zum Schutz persönlicher Daten oder Standardverträge übermittelt werden müssen.

Stand: Januar 2024

Fanden Sie diese Information hilfreich?