Zur Konkretisierung unter anderem des neuen Gesetzes zum Schutz persönlicher Daten (PIPL) hat China Maßnahmen in Bezug auf den grenzüberschreitenden Transfer von Daten erlassen.
Bei einer notwendigen grenzüberschreitenden Übertragung persönlicher Daten muss insbesondere eine der vier Bedingungen, die in Art. 38 Abs. 1 Ziff. 1 bis 4 des chinesischen PIPL aufgezählt sind, erfüllt sein. Bei Ziff. 4 handelt es sich um eine Auffangklausel für zukünftige Konstellationen.
Hinsichtlich der Voraussetzung des Bestehens einer Sicherheitsbewertung durch die CAC (Ziff. 1) hat die Cyberspace Administration of China (CAC) am 7. Juli 2022 „Maßnahmen zur Sicherheitsbewertung beim grenzüberschreitenden Transfer von Daten“ veröffentlicht. Bereits seit Ende Oktober 2021 lagen diese Umsetzungsbestimmungen im Entwurf vor.
Neben der Übertragung persönlicher Informationen betreffen die Maßnahmen auch den Transfer „wichtiger Daten“. Letztere werden in Art. 19 der finalen Maßnahmen zudem definiert, wobei der Begriff weit gefasst ist. Die wesentlichen Umstände und Schwellenwerte, die eine Anmeldung bei der CAC erforderlich machen, führt Art. 4 der neuen Maßnahmen auf.
Die Maßnahmen treten am 1. September 2022 in Kraft; es gibt eine Übergangsfrist von sechs Monaten für etwaige Berichtigungen.
Des Weiteren hat das Normungskomitee TC260 in Bezug auf die Zertifizierung (Ziff. 2) einen Praxisleitfaden herausgegeben (Chinesisch).
Den Abschluss eines Standardvertrages (Ziff. 3) betreffend hat die CAC zudem am 30. Juni 2022 einen Entwurf von Bestimmungen und Standardvertragsklauseln zur Kommentierung veröffentlicht (Chinesisch).