Alle News

  • Start
  • Alle News
  • Vereinfachtes Verfahren! CAC-Standardvertrag + China SCCs - Was dabei zu beachten ist

Vereinfachtes Verfahren! CAC-Standardvertrag + China SCCs - Was dabei zu beachten ist


Chris Liverani Dbi My696rk Unsplash (1)


Fachartikel 
Autor: Richard Hoffmann
RA; Co-Fachsprecher des CNBW-Arbeitskreises Legal & Tax
Ecovis Rechtsanwaltskanzlei (CNBW-Mitglied)
Fokus auf Steuer-, Recht-, und Investitionsfragen für Deutschland und China



                                                            English version: here


Der CAC-Standardvertrag:
Grenzüberschreitende Datenübermittlung jetzt auch leicht gemacht 

Bisher fiel die Übermittlung von grenzüberschreitenden personenbezogenen Daten schwer: sei es die Durchführung einer CAC-Sicherheitsbewertung oder die Zertifizierung der personenbezogenen Daten. Beide Wege waren verbunden mit hohen Kosten, einem erheblichen Verwaltungsaufwand und langen Wartezeiten.

Seit dem 1. Juni 2023 wurde der Transfer um ein Vielfaches erleichtert. Der seitdem eingeführte CAC-Standardvertrag zusammen mit den entsprechenden Standardvertragsklauseln ("China SCCs") machen es möglich!
Lesen Sie hier, was dabei zu beachten ist und wie das neue vereinfachte Verfahren funktioniert.

Überblick: Grenzüberschreitende Datenübermittlung und ihre Schwierigkeiten
Mit der Einführung des CAC-Standardvertrags geht China einen weiteren wichtigen Schritt, um die Übermittlung von persönlichen oder auch vertraulichen Daten in andere Länder auf einem sicheren und die Privatsphäre respektierenden Weg sicherzustellen. Organisationen, welche die Übermittlung großer Mengen an persönlichen Daten vornehmen, sind hierbei dazu verpflichtet, eine von drei Übermittlungsmechanismen anzuwenden. Alle drei Übermittlungsmechanismen sind im Artikel 38 des "PIPL" (China’s "Personal Information Protection Law") niedergelegt:

1.  Zum einen wäre da die Sicherheitsbewertung durch die CAC-Stelle ("Cyberspace Administration of China"), welche in einem aufwendigen zweistufigen Verfahren ("Selbstbewertung + Sicherheitsbewertung durch die CAC") erfolgt.
Dauer: 57 Arbeitstage

Verpflichtend ist diese Bewertung bei:

a)  der Übermittlung der persönlichen Daten durch Datenverarbeiter, wenn die persönlichen Daten von mehr als 1 Mio. Personen verarbeitet werden.

b)  der generellen Übermittlung der persönlichen Daten von mehr als 100.000 Personen oder der sensiblen persönlichen Daten von mehr als 10.000 Personen.

c)  der Übermittlung sonstiger Daten, welchen eine besondere Bedeutung zukommt.


2)  Zwischen verbundenen Unternehmen ist ein "Personal Information Protection-Zertifikat" von spezialisierten Einrichtungen in einem langwierigen Verfahren einholbar.
Dauer: 110 Arbeitstage


3)  Jetzt neu: der Abschluss eines CAC-Standardvertrags mit anschließender Einreichung bei der entsprechenden CAC-Stelle.
Dauer: Mind. 15 Arbeitstage

Im Gegensatz zu den "EU SCC" (Europäische "Standard Contractual Clauses") als Äquivalent zum CAC-Standardvertrag unterteilt sich der CAC-Standardvertrag nicht in vier unterschiedliche Module ("Verantwortlicher-Verantwortlicher", "Verantwortlicher-Auftragsverarbeiter", "Auftragsverarbeiter-Verantwortlicher", "Auftragsverarbeiter-Auftragsverarbeiter"), sondern hat eine "one-size-fits-all"-Herangehensweise, bedient sich also nur eines universellen "Moduls" für alle Übermittlungen der persönlichen Daten ins Ausland. Dabei wird nicht auf die Verpflichtungen der Beteiligten ("exporter" und "overseas recipient") abhängig von ihrer Rolle und Funktion abgestellt.


Die wichtigsten Infos zum CAC-Standardvertrag in der Übersicht
Anwendbar, falls keine Pflicht zur CAC-Sicherheitsbewertung besteht (s.o.
Sprache: zwingend Chinesisch
Dauer des Verfahrens: mind. 15 Arbeitstage; bei erforderlichen Ergänzungen/Anpassungen der eingereichten Unterlagen durch den Datenverarbeiter und erneuter Prüfung: Verlängerung um mind. 25 Arbeitstage
Verfahrensablauf: (Was?) Pflicht zur Einreichung der Unterlagen einschließlich des unterzeichneten Standardvertrages und des Berichts über die Datenschutz-Folgenabschätzung, (Wann?) innerhalb von 10 Arbeitstagen nach dem Inkrafttreten des Standardvertrags, (Wo?) bei der zuständigen CAC-Behörde auf der Provinzebene, (Form?) in schriftlicher und elektronischer Form
CAC-Standardvertrag angelehnt an EU-SCC nicht abdingbar
.  Zusätzliche Vereinbarungen oder Bedingungen, welche dem Sinn und Zweck des CAC-Standardvertrags nicht widersprechen, sind zulässig
Beendigung des Vertrags erfolgt durch eine einvernehmliche Kündigung aus einem der vorgesehenen Gründe
Haftung zwischen den Vertragsparteien („exporter“ und „overseas recipient“) für alle Schäden, die bei einer Partei infolge einer Vertragsverletzung entstehen
Haftung gegenüber der betroffenen Person, von welcher die persönlichen Daten stammen: Gesamtschuldnerische Haftung des "exporters" und des "overseas recipient"; Regressansprüche zwischen den Gesamtschuldnern


Parallele Anwendung des CAC-Standardvertrags ("China SCC") und der "EU SCC"
Der CAC-Standardvertrag und die 2EU SCC2 weisen sowohl inhaltliche Unterschiede als auch teilweise gegensätzliche Bestimmungen auf. Beide Standardvertragsklauseln sind schließlich unabdingbar und unveränderlich. Hierfür ist stets im konkreten Einzelfall zu prüfen, ob gerade der CAC-Standardvertrag oder die 2EU SCC2 Anwendung finden. Die beiden Vertragsparteien des CAC-Standardvertrags haben deshalb im Voraus an den Datentransfer beim jeweiligen Zielort anhand der dortigen Gesetzeslage und Praxis sicher zu stellen, dass der Ablauf der Übertragung nicht gehindert wird.


Rechtliche und steuerliche Beratung
Wir empfehlen dringend, bei der oben beschriebenen Übertragung persönlicher Daten sehr aufmerksam zu sein. Insbesondere das Zusammenspiel aus dem "CAC-Standard-Vertrag" und den "EU Standard Contract Clauses" bedarf einer eingehenden vorhergehenden Prüfung. Gründliche Recherche ist key! Hilfe und Unterstützung nehmen wird empfohlen. Damit stellen Sie sicher, dass der gesamte Prozess reibungslos verläuft. Dadurch entgehen Sie einer Haftung oder der Verhängung hoher Bußgelder, falls die Anforderungen an den Datentransfer nicht beachtet werden. Diese Bußgelder werden nicht nur an die "Verantwortliche Person" ("person in charge"), sondern auch an "andere unmittelbar Verantwortliche" ("other personnel subject to direct liabilities") verhängt.

Nach eingehender Datenanalyse ist das entsprechende Verfahren für den Datentransfer auszusuchen (Sicherheitsbewertung, Zertifikat oder CAC-Standard-Vertrag). Die von dem Transfer Betroffenen sollten informiert und ggf. sollte eine Einwilligung des Betroffenen eingeholt werden. Nehmen Sie als Datenverarbeiter eine Due Diligence Prüfung des Datenempfängers vor und führen Sie vor Abschluss des Standardvertrags eine Datenschutz-Risiko- und Folgenabschätzung durch mit anschließendem Bericht.

Vor und während des Datenexports sollten der Datenempfänger und der Datenverarbeiter in engem Austausch stehen. Es sollte abgestimmt werden, welche technischen und organisatorischen Maßnahmen (TOMs) eingebaut werden, ob die Datenverarbeitung und Übertragung mit den Vorgaben des CAC-Standard-Vertrags und anderen individuellen Bedingungen übereinstimmen und es sollte ein reger Informationsaustausch mit der CAC-Behörde stattfinden.


Richard Hoffmann Beschn

Weitere Infos:
Richard Hoffmann
Ecovis, Heidelberg:
https://www.ecovis.com/heidelberg/
Ecovis Ruide, Shanghai: https://www.ecovis.com/shanghai/