Wer unseren letzten Beitrag zum Datenschutz in China gelesen hat, wird feststellen: Die chinesischen Gesetze zum Umgang mit Daten sind zahlreich und komplex. Wie genau haben nun Schweizer Unternehmen, die den Markteintritt in China wagen, vorzugehen? Eine allgemein gültige Antwort auf diese Frage gibt es nicht. Je nach Geschäftsmodell und dem Umgang mit Daten fallen die gesetzlichen Bestimmungen und notwendigen bürokratischen Schritte für Unternehmen stärker oder schwächer aus. Im Folgenden einige typische Szenarien:
Beispiel 1: Ein Schweizer Unternehmen stattet chinesische Kunden mit Ausrüstung oder Maschinen aus, die gesammelten Daten werden in die Schweiz geschickt.
Grundsätzlich müssen hier die chinesischen Kunden die regulatorischen Anforderungen erfüllen. «Trotzdem prüfen die chinesischen Behörden beim Schweizer Unternehmen, ob es nicht doch Daten – z. B. analytische Daten oder Metadaten – aus den bei chinesischen Kunden installierten Maschinen in die Schweiz schickt», erklärt Markus Herrmann Chen, Managing Director des auf China spezialisierten Beratungsunternehmens China Macro Group (CMG).
«Wenn das der Fall ist, müssen Unternehmen alle Daten im Zuge der neuen Regulierung für grenzüberschreitenden Datenverkehr auf diese Compliance-Anforderungen überprüfen.» Der Umgang mit persönlichen Daten chinesischer Bürger untersteht der extraterritorialen Wirkung des PIPL. Aus diesem Grund müssen Schweizer Unternehmen in ihrem Hauptsitz Expertise zum Umgang mit chinesischen Daten aufbauen.
Beispiel 2: Ein Schweizer Unternehmen mit Sitz in China sammelt «wichtige» Daten und «personenbezogene» Daten (PI) und schickt diese an den Hauptsitz in die Schweiz.
Erst vor kurzem, am 1. September 2022, hat China die neue Regulierung für den grenzüberschreitenden Datenverkehr in Kraft gesetzt. Nachfolgend sind die jeweiligen verwaltungsrechtlichen Verfahren pro Datenübermittlungsszenario aufgelistet:
Beispiel 3: Ein Schweizer Unternehmen mit Sitz in China speichert chinesische Daten in einer Public Cloud in China oder im Ausland.
Handelt es sich um eine Cloud im Ausland, gelten die Regeln des grenzüberschreitenden Datenverkehrs. Es kommt dabei vor allem darauf an, ob und wie viele «wichtige» Daten und «personenbezogene» Daten ins Ausland geschickt werden. Befindet sich die Cloud im Inland, ist – neben allgemeiner Compliance mit dem PIPL – eine Sicherheitsprüfung beim CAC erforderlich, falls es sich beim Unternehmen um einen Betreiber einer kritischen Informationsinfrastruktur (CIIO) handelt.
Der Experte
Martin Egloff
Martin Egloff ist Business Area Manager in den Bereichen Medtech und Industrie. Er kennt die speziellen Entwicklungsprozesse im medizinischen Umfeld und verfügt über langjährige Erfahrung in interdisziplinären Entwicklungs- und Beratungsprojekten in den Bereichen Software, Hardware, Maschinenbau und Consulting.