Neue Standardvertragsklauseln (SCC - VR China)
- Autor: Ioanna Zacharopoulou, DP-Dock GmbH
- Letzte Aktualisierung: Mai 2023
- Kategorie: Allgemeine Verpflichtungen
Am 24. Februar 2023 wurde von der Cyberspace Administration of China (CAC) die endgültige Fassung des Standardvertrags für den Export personenbezogener Daten zusammen mit den Maßnahmen zum Standardvertrag veröffentlicht, die grob als chinesische Standardvertragsklauseln (Chinese SCCs) bezeichnet werden können.
Die chinesischen SCCs treten am 1. Juni 2023 in Kraft und betreffen Datenübermittlungen von und nach Festlandchina. Mit den neuen chinesischen SCCs will die chinesische Regierung einen stärkeren Schutz des Datentransfers erreichen. Unternehmen müssen die chinesischen SCCs für Datenübermittlungen außerhalb des chinesischen Festlands unterzeichnen, wenn folgende Bedingungen erfüllt sind:
- Der Datenexporteur ist kein Betreiber einer kritischen Informationsinfrastruktur. Dazu gehören im weitesten Sinne Unternehmen aus den Bereichen Finanzen, Energie, Telekommunikation, Versorgungsunternehmen, Gesundheitswesen, Verkehr, E-Government und anderen Sektoren, die für die nationale Sicherheit und das öffentliche Interesse Chinas von Bedeutung sind.
- Der Datenexporteur hat personenbezogene Daten von nicht mehr als 1 Million Personen verarbeitet.
- Der Datenexporteur hat seit dem 1. Januar des vorangegangenen Jahres keine aggregierten Übermittlungen personenbezogener Daten von mehr als 100.000 Personen vorgenommen.
- Der Datenexporteur hat seit dem 1. Januar des vorangegangenen Jahres keine aggregierten Übermittlungen sensibler personenbezogener Daten von mehr als 10.000 Personen vorgenommen.
Für internationale Konzerne, die personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) und China in Drittländer übermitteln, reichen konzerninterne Vereinbarungen nicht aus. Sie müssen sowohl die EU-Standardvertragsklauseln (EU-SCCs) als auch die chinesischen SCCs unterzeichnen. Die Umsetzung der chinesischen SCCs erfordert auch die Durchführung einer Datentransferfolgenabschätzung (PIPIA) und kann für internationale Unternehmen eine Aktualisierung der konzerninternen Datenübermittlungsvereinbarungen bedeuten.
Da Unternehmen noch sechs Monate Zeit haben (bis zum 30. November 2023), um die Anforderungen der SCCs für die Datenübermittlung außerhalb des chinesischen Festlands zu erfüllen, empfiehlt DP-Dock seinen Kunden, unverzüglich Maßnahmen zur Umsetzung dieser regulatorischen Änderungen zu ergreifen.
Quelle: Link
