Neue Entwicklungen im chinesischen Datenschutzrecht

13.05.2020

(Autoren: Silke Neugebohrn und Florian Kessler)

 

I. Überblick

 

Das chinesische Spiegelbild der europäischen DSGVO, die Personal Information Security Specification (im Folgenden „PI Specification 2020“), wurde im März 2020 in Teilen neu geregelt. Die Neufassung der PI Specification wurde am 6. März 2020 als empfohlener Standard erlassen und tritt am 1. Oktober 2020 in Kraft. 

 

Neue Regelungen zum Schutz von personenbezogenen Daten sind auch in den Administrative Measures on Data Security (im Folgenden „AM Data Security“) vom Mai 2019 zu finden. Die AM Data Security wurden als Entwurf einer rechtsverbindlichen Verordnung veröffentlicht. Inhaltlich hat der Entwurf in Bezug auf den Schutz von personenbezogenen Daten eine Schnittmenge mit der PI Specification 2020. Hier kommt es also zu einer inhaltlichen Doppelung, deren gesetzgeberischer Hintergrund noch unklar ist.

 

Auch bei dem in der Vergangenheit heiß diskutierten Thema des grenzüberschreitenden Datentransfers gibt es mit neuen Entwürfen wieder Bewegung. Offenbar scheint sich der Gesetzgeber vom Konzept der intern im Unternehmen durchzuführenden Sicherheitsüberprüfung zu verabschieden. Stattdessen wird eine allgemeine Genehmigungspflicht eingeführt. Der grenzüberschreitende Verkehr von wichtigen und personenbezogenen Daten soll entgegen der alten Systematik offenbar nun in unterschiedlichen Vorschriften geregelt werden. Die AM Data Security sollen zukünftig den grenzüberschreitenden Verkehr von sog. wichtigen Daten regeln. Der grenzüberschreitende Verkehr von personenbezogenen Daten soll in den Measures for Security Assessment for Cross-border Transfer of Personal Information (im Folgenden: „PI Cross-border“) vom Juni 2019 geregelt werden. Die PI Cross-border befinden sich ebenfalls im Entwurfsstadium. 

 

Das heftig umstrittene Thema der lokalen Datenspeicherung ist in den neuen Vorschriften nun gar nicht mehr geregelt. Ob der Gesetzgeber die Verpflichtung zur lokalen Speicherung damit wegen des heftigen Widerstands aus der Industrie aufgegeben hat, lässt sich zum derzeitigen Zeitpunkt noch nicht sagen.  

 

Die Neufassung der PI Specification ist im Windschatten der Coronakrise bislang weitestgehend unbemerkt geblieben. Im Folgenden wird daher die PI Specification und ihr Zusammenspiel mit den Entwürfen der AM Data Security und PI Cross-border zusammengefasst. Die bisherige klare Systematik wird dabei durch die neuen Entwürfe in der Gesamtschau gesprengt. Hier die Neuregelungen noch einmal im Überblick:

 

Neuregelung

Personal Information Security Specification

März 2020

Entwurf Administrative Measures on Data Security

Mai 2019

Entwurf Measures for Security Assessment for Cross-border Transfer of Personal Information

Juni 2019

Allgemeiner Schutzgegenstand

Personenbezogene  Daten

Personenbezogene Daten

 

Personenbezogene Daten

Wichtige Daten

 

Grenz-überschreitender

Transfer

Keine Regelung

 

Wichtige Daten

Personenbezogene Daten

Lokale Speicherpflicht

Keine Regelung

Keine Regelung

Keine Regelung

 

 

II. PI Specification

 

1. Hintergrund

 

Die Neufassung der PI Specification 2020, die von der State Administration for Market Regulation (SAMR) und der Standardization Administration of China (SAC) auf Vorschlag des National Information Security Standardization Technical Committee (TC260) erlassen wurde, löst die bisherige Fassung ab, die seit dem 1. Mai 2018 in Kraft ist. Die PI Specification enthält detaillierte Richtlinien darüber, wie personenbezogene Daten erhoben, verarbeitet und weitergegeben werden sollten. Während das Cybersecurity-Gesetz („CSG“) die maßgebliche gesetzliche Grundlage ist, ist die PI Specification bis dato das effektive Herzstück des sich entwickelnden Systems rund um den Schutz von personenbezogenen Daten. 

 

Die PI Specification 2020 ist ein empfohlener Standard, der allgemein festlegt, was beim Schutz von personenbezogenen Daten als rechtmäßiges Handeln zu verstehen wäre. Er ist damit rechtlich nicht verbindlich. In der Praxis gilt als Faustregel aber: Während bei Einhaltung des Standards die Vermutung für die Einhaltung des CSG durch das Unternehmen spricht, liegt bei Nicht-Einhalten des Standards die Beweislast dafür, dass die Verpflichtungen des CSG eingehalten sind, beim Unternehmen.

 

Die Neufassung ist aus inhaltlicher Sicht keine umfassende Neuregelung der bisherigen Systematik. Sie enthält vielmehr einige Klarstellungen und Präzisierungen, die im Wesentlichen eine Reaktion auf den aktuellen Stand der Technik und neue Geschäftspraktiken darstellen.

 

2. Änderungen

 

Die wichtigsten Änderungen werden im Folgenden kurz dargestellt.

 

a) Form der Einwilligung

 

Es wurde klargestellt, unter den Begriff der Einwilligung ausdrückliche und implizite Einwilligungen fallen. Eine implizite Einwilligung kann z.B. vorliegen, wenn der Nutzer einer Website diese trotz des Hinweises auf die Speicherung seiner Daten nicht verlässt. Im Ergebnis reicht also eine implizite Einwilligung, sofern nicht eine ausdrückliche Einwilligung gefordert ist.

 

b) Biometrische Daten

 

Biometrische Daten zählen zu den sog. sensitiven personenbezogenen Daten und dürfen generell nicht weitergegeben werden. Ist dies aufgrund geschäftlicher Bedürfnisse erforderlich, muss die betroffene Person separat darüber informiert werden, welche biometrischen Daten an wen zu welchem Zweck weitergegeben werden und in die Weitergabe ausdrücklich einwilligen. 

 

c) Weitergabe an Dritte 

 

Werden Dienstleistungen in Zusammenarbeit mit oder über Drittanbieter angeboten (z.B. ein Plugin Tool oder eine andere Art der Kooperation), müssen die Dienstleister die Fähigkeit dieser Drittanbieter bzgl. der Datensicherheit prüfen. Sie müssen von den Drittanbietern z.B. über entsprechende vertragliche Regelungen verlangen, dass diese die erforderlichen Einwilligungen der Nutzer einholen und über Kanäle für Fragen und Beschwerden verfügen und dies auch überprüfen.  

 

d) Bündelung von Dienstleistungen und personalisierte Anzeige

 

Nutzer von Online Dienstleistungen, z.B. Navigation, Fahrdienstleistungen etc., dürfen nicht durch die Bündelung solcher Dienstleistungen gezwungen werden, einer weitergehenden Datenerhebung zuzustimmen, als für die ursprünglich angefragte Dienstleistung erforderlich. Nur wenn zusätzliche Dienstleistungen aktiv, z.B. durch Anklicken, angefragt werden, dürfen die entsprechenden zusätzlichen Daten erhoben werden. Beispiel: Möchte ein Nutzer über eine Website eine Navigationsdienstleistung in Anspruch nehmen, ist es nur zulässig, die personenbezogenen Daten im Zusammenhang mit dieser Dienstleistung zu erheben. Nicht zulässig wäre, die personenbezogenen Daten auch für andere Dienstleistungen, die auf der Website angeboten werden wie z.B. Fahrdienstleistungen gleichzeitig mit zu erheben. Dies erfordert vielmehr eine zusätzliche Einwilligung des Nutzers, wenn er diese Dienstleistung anfragt. 

 

Eine personalisierte Anzeige von Inhalten wie Newsfeeds oder Suchergebnissen muss deutlich als solche gekennzeichnet werden. Der Nutzer muss ferner in der Lage sein, den Grad der Personalisierung und die Nutzung seiner personenbezogenen Daten für diese Zwecke nachzuvollziehen und auszuwählen. 

 

e) Ernennung Datenschutzbeauftragter

 

In der PI Specification 2020 wurden die Anforderungen an die Qualifikation des Datenschutzbeauftragten erhöht. Jedes Unternehmen muss nach der PI Specification 2020 einen Datenschutzbeauftragten ernennen. Dieser soll nunmehr bereits Erfahrung und Kenntnisse im Umgang mit personenbezogen Daten besitzen. Dieses Erfordernis gab es in der Fassung der PI Specification 2018 nicht. Ob bereits von Unternehmen ernannte Personen eine Nachschulung benötigten ist unklar. Bereits ernannte Personen dürften jedoch kraft ihrer bisherigen Amtszeit als Datenschutzbeauftragter die erforderliche Qualifikation relativ leicht nachweisen können.  

 

Die Neuregelung differenziert zudem näher, in welchen Fällen Unternehmen für den Schutz personenbezogener Daten eine Person auf Vollzeitbasis beschäftigen sowie eine eigene Abteilung einrichten müssen. Die Fälle sind:

 

  • Das Hauptgeschäft betrifft die Verarbeitung personenbezogener Daten, und die Zahl der Mitarbeiter ist größer als 200.;

 

  • Es werden personenbezogenen Daten von mehr als 1 Million Menschen verarbeitet, oder es ist zu erwarten, dass personenbezogene Daten von mehr als 1 Million Menschen innerhalb von 12 Monaten verarbeitet werden. In der PI Specification 2018 waren es noch Daten von mehr als 500.000 Menschen. Insoweit wurden die Schwellenwerte zugunsten der Unternehmen heraufgesetzt;

 

  • Neu hinzugekommen ist die Fallgestaltung das sensitive personenbezogene Daten für mehr als 100.000 Personen verarbeitet werden.

 

f) Definition sensitiver personenbezogener Daten

 

Bemerkenswert ist, dass der Umfang der "sensitiven personenbezogenen Daten" aktualisiert wurde. Insbesondere wurden in der PI Specification 2020 "Netzwerkidentifikationsinformationen" wie E-Mail-Adresse, Kennwörter usw. aus der Definition entfernt. Die persönliche Handynummer wurde ebenfalls entfernt. Neue Informationen sind: Kontaktlisten, Freundeslisten und Gruppenlisten.

 

II. Entwurf zu den Administrative Measures on Data Security

 

1. Hintergrund

 

Am 28. Mai 2019 wurde von der Cyberspace Administration of China (CAC) ein Entwurf der AM Data Security als Verordnung erlassen. Tritt die AM Data Security schließlich in ihrer Endfassung in Kraft, würde der Schutz von personenbezogenen Daten mit Blick auf die Rechtsverbindlichkeit zumindest teilweise von der Ebene eines empfohlenen Standards auf die Ebene einer rechtsverbindlichen Verordnung gehoben. Insofern würde sich die Rechtslage noch weiter an die DSGVO annähern. 

2. Inhalt

 

Inhaltlich stellen die AM Data Security eine Zwitterregelung dar, da sie den Schutz von personenbezogen und wichtigen Daten regeln. In der nachfolgenden Grafik werden die unterschiedlichen Datenkategorein noch einmal im Überblick dargestellt:

 

Datenkategorien

Personenbezogene Daten:

Wichtige Daten:

„Normale“ personenbezogene Daten 

Zum Beispiel:

Netzwerkidentifikationsinformationen wie E-Mail-Adresse, Kennwörter

„Sensitive“ personenbezogene Daten

Zum Beispiel:

Kontaktlisten, Religionszugehörigkeit, sexuelle Orientierung

Eine Weitergabe der Daten kann zu direkten Folgen in Bezug auf die nationale Sicherheit, die wirtschaftliche Sicherheit, die soziale Stabilität oder die öffentliche Gesundheit und Sicherheit führen, hierzu gehören z.B. unveröffentlichte Regierungsinformationen, Informationen betreffend große Teile der Bevölkerung, die genetische Gesundheit, Geographie und Mineralressourcen.

Zu wichtigen Daten gehören nach der AM Data Security grundsätzlich nicht Informationen bzgl. der Produktion und Operation sowie dem internen Management von Unternehmen oder persönliche Daten etc.

 

 

Im Folgenden werden die wichtigsten Reglungsinhalte der AM Data Security im Überblick dargestellt:

 

a) Ernennung einer für die Erhebung wichtiger und sensitiver personenbezogener Daten zuständigen Person

 

Für die Erhebung wichtiger und sensitiver personenbezogener Daten sollen Unternehmen eine für Datensicherheit zuständige Person ernennen, die Erfahrungen und Kenntnisse im Umgang mit solchen Daten besitzen soll. Ob damit in Unternehmen eine neben dem IT-Beauftragten nach dem CSG und dem Datenschutzbeauftragen nach der PI Specification für die Kategorien der wichtigen und sensitiven personenbezogenen Daten zukünftige eine dritte Position im Unternehmen geschaffen werden muss, bleibt offen. Unterschiedliche Formulierungen (Spezifikation: 个人信息保护负责人, Measures: 数据安全责任人) legen dies jedenfalls nahe. Ggf. ist die Position aber auch identisch mit der Position des Datenschutzbeauftragten der PI Specification 2020. Die bisherige Rechtslage wird anhand der folgenden Grafik noch einmal dargestellt:

    "Rechtslage Grafik"

 

b) Registrierung bei Erhebung wichtiger und sensitiver personenbezogener Daten

 

Nach den AM Data Security müssen Netzwerkbetreiber zukünftig bei der Erhebung wichtiger und sensitiver personenbezogener Daten für geschäftliche Zwecke ein Registrierungsverfahren bei der lokalen Behörde für Cybersicherheit durchführen. Die Registrierung umfasst die Regeln für die Erhebung und Nutzung solcher Daten sowie Zweck, Umfang, Methoden, Anwendungsbereich, Art und Aufbewahrungsfristen. Der Inhalt der Daten muss jedoch nicht registriert werden. „Wichtige Daten“ werden dabei als Daten definiert, deren Weitergabe zu direkten Folgen in Bezug auf die nationale Sicherheit, die wirtschaftliche Sicherheit, die soziale Stabilität oder die öffentliche Gesundheit und Sicherheit führen kann. Bisher bestand die Verpflichtung einer solchen behördlichen Anmeldung nicht. Die Registrierung stellt also eine erheblich gesteigerte Anforderung für Netzwerkbetreiber dar. 

 

c) Einführung behördlicher Sicherheitsprüfung beim Transfer wichtiger Daten

 

Ein weiterer Aspekt der AM Data Security betrifft den grenzüberschreitenden Transfer von wichtigen Daten.  Der Transfer von wichtigen Daten war in dem Entwurf der Measures on the Security Assessment of Cross-border Transfer of Personal Information and Important Data vom April 2017 noch zusammen mit dem grenzüberschreitenden Transfer von personenbezogenen Daten geregelt. Warum die Regelung der beiden Materien jetzt getrennt wurde, bleibt bislang unklar.

 

Netzwerkbetreiber müssen potenzielle Sicherheitsrisiken vor Freigabe, Verkauf oder Weitergabe wichtiger Daten oder der Übermittlung dieser Daten ins Ausland bewerten und die Sicherheitsbewertung von der zuständigen Regulierungsbehörde genehmigen lassen. Ist unklar, welche Behörde genau zuständig ist, ist die Genehmigung von der Cyberspace-Verwaltung auf Provinzebene einzuholen. Die Verpflichtung zur Genehmigung gilt unabhängig von der Datenmenge und der Industrie des Netzwerkbetreibers. Weitere Details zum Ablauf des Verfahrens regeln die AM Data Security nicht. Die Einführung der allgemeinen Registrierungspflicht bedeutet eine Abkehr von früheren Entwürfen, die noch eine intern im Unternehmen durchzuführenden Sicherheitsüberprüfung vorgesehen hatten. Danach mussten Unternehmen zwar eine Sicherheitsprüfung durchführen. Die Unterlagen zu den Ergebnissen der Prüfung mussten jedoch grundsätzlich nur im Unternehmen verwahrt und auf ausdrückliche Anforderung den Behörden vorgelegt werden. Lediglich ab einer bestimmten Datenmenge oder im Falle von bestimmten Daten war eine obligatorische behördliche Überprüfung erforderlich.

 

Nach dem CSG müssen nur die Betreiber kritischer Informationsinfrastruktur in wichtigen Industriesektoren Chinas ein Sicherheitsbewertungsverfahren durchlaufen und den zuständigen Behörden der VR China melden, wenn sie beabsichtigen, personenbezogene Daten oder wichtige Daten ins Ausland zu übermitteln. Durch den Entwurf würde diese Verpflichtung für wichtige Daten auf alle Netzwerkbetreiber erstreckt. 

 

d) Verhältnis zur Spezifikation bei Schutz personenbezogener Daten

 

In Bezug auf den Schutz personenbezogener Daten besteht eine weitgehende Überschneidung des Regelungsinhaltes mit der PI Specification 2020. Durch die AM Data Security würden diese Regelungen dann jedoch für Unternehmen verbindlich. Verschiedene Regelungen der PI Specification 2020 werden durch die AM Data Security zudem inhaltlich verschärft. Insbesondere werden Ausnahmen von dem Grundsatz der Einwilligung für die Erhebung und Weitergabe personenbezogener Daten eingeengt. Im Vergleich zur PI Specification 2020 enthalten die AM Data Security keine Ausnahmen vom Einwilligungsgrundsatz mehr. In der PI Specification 2020 gibt es eine Vielzahl von Ausnahmen, z.B. bei der Durchführung eines Vertrages. Auch bei der Weitergabe von personenbezogenen Daten werden die Voraussetzungen durch die AM Data Security im Vergleich zur PI Specification 2020 in einigen Fällen verschärft. Werden die Daten z.B. über legale öffentliche Kanäle erhoben, so ist eine Weitergabe nur dann ohne Einwilligung zulässig, wenn ihre Bereitstellung nicht offensichtlich dem Willen der betroffenen Personen entgegensteht. Weiterhin ist eine Weitergabe ohne Einwilligung nur dann möglich, wenn die Bereitstellung erforderlich ist, um die staatliche Sicherheit, das soziale und öffentliche Interesse oder das Leben der betroffenen Personen zu schützen.

 

III. Entwurf zu den Measures for Security Assessment for Cross-border Transfer of Personal Information

 

1. Hintergrund

 

Die PI Cross-border wurde am 13. Juni 2019 von der Cyberspace Administration of China (CAC) als Entwurf erlassen. Dieser Entwurf weist im Vergleich zu den Measures on the Security Assessment of Cross-border Transfer of Personal Information and Important Data von 2017 erhebliche Unterschiede auf.  Die PI Cross-border gilt nur für den grenzüberschreitenden Verkehr persönlicher Daten und nicht mehr für wichtige Daten. Der grenzüberschreitende Verkehr von wichtigen Daten wird nun durch die AM Data Security geregelt (siehe oben II.). Das Erfordernis der lokalen Datenspeicherung wird zudem nicht mehr erwähnt. Schließlich adressiert die PI Cross-Border auch ausländische – also nicht in China ansässige – Unternehmen, etc. 

 

2. Inhalte

 

Die wichtigsten Aspekte der Vorschrift sind:

 

a) Einführung behördlicher Sicherheitsprüfung bei personenbezogene Daten

 

Entsprechend der Situation beim grenzüberschreitenden Transfer von wichtigen Daten wird auch beim grenzüberschreitenden Verkehr von persönlichen Daten das rein unternehmensinterne Sicherheitsbewertungsverfahren durch ein behördliches Genehmigungsverfahren ersetzt. Vor einem grenzüberschreitenden Datentransfer müssen Netzwerkbetreiber daher bei der lokalen Behörde für Cybersicherheit eine Sicherheitsüberprüfung beantragen. Der Antrag muss unter anderem den Zweck des Transfers, den Umfang der Daten und die Anzahl der betroffenen Personen enthalten. Zudem muss angegeben werden, ob nach dem Transfer eine Weitergabe der Daten an Dritte geplant ist. 

 

Interessant ist das, dass entgegen früherer Entwürfe der grenzüberschreitende Transfer offenbar keine vorherige ausdrückliche Zustimmung der betroffenen Personen mehr voraussetzt. Diese wird in der PI Cross-Border nur noch bei sensitiven personenbezogenen Daten gefordert. In jedem Fall können alle betroffenen Personen aber einem Transfer widersprechen.

 

Das Erfordernis des CSG für Betreiber kritischer Informationsinfrastruktur zur Durchführung eines behördlichen Verfahrens wird damit im Ergebnis auch für den grenzüberschreitenden Transfer von personenbezogenen Daten auf alle Netzwerkbetreiber ausgeweitet. 

 

b) Prüfungsumfang und Vorgabe von Vertragsklauseln 

 

Im Rahmen der Sicherheitsüberprüfung prüft die Behörde inhaltlich, ob der Datentransfer im Einklang mit den anwendbaren Vorschriften und Gesetzen steht, und ob die Verträge die Rechte der betroffenen Personen schützen können und durchsetzbar sind. Die wesentlichen Vertragsklauseln sowie Haftungsregelungen für Netzwerkbetreiber und Empfänger werden durch die PI Cross-border relativ ausführlich vorgegeben. Der Prüfung unterliegt auch, ob der Netzwerkbetreiber oder Datenempfänger bereits die Rechte von Nutzern verletzt haben, es bei ihnen Vorfälle bzgl. der Netzwerksicherheit gab, und ob sie persönliche Daten gemäß den gesetzlichen Vorschriften erheben. 

 

Werden die persönlichen Daten häufig oder kontinuierlich demselben Empfänger zur Verfügung gestellt, ist eine wiederholte Überprüfung jedes einzelnen Datentransfers nicht notwendig. Jedoch muss die Überprüfung allgemein alle zwei Jahre oder bei Änderungen z.B. des Zwecks des Datentransfers oder der Art der persönlichen Daten durchgeführt werden. 

 

Netzwerkbetreiber müssen die Datenübertragung dokumentieren und diese Dokumentation 5 Jahre aufbewahren. Außerdem muss der Status der Datenübertragung, die Vertragserfüllung etc. jedes Jahr zum 31.12. der Behörde für Cybersicherheit berichtet werden. Ernste Zwischenfälle in Bezug auf die Datensicherheit sind unverzüglich der Datensicherheitsbehörde auf Provinzebene anzuzeigen.  

 

Weiterhin sieht die PI Cross-Border vor, unter welchen Umständen die Cybersicherheitsbehörde weitere Datenübertragungen untersagen kann, wie z.B. im Falle eines großen Datenlecks, etc.

 

c) Lokale Datenspeicherung 

 

Das Erfordernis der lokalen Datenspeicherung, welches nach dem CSG nur für die Betreiber kritischer Informationsinfrastruktur gilt, wurde in früheren Entwürfen auch auf alle Netzwerkbetreiber ausgedehnt. Im nun vorliegenden Entwurf der PI Cross-border ist dieses Erfordernis komplett gestrichen. Dies kann ggf. bedeuten, dass man nach der internationalen Kritik auf das Erfordernis der lokalen Speicherung für alle Netzwerkbetreiber verzichtet hat. Es kann jedoch auch nicht ausgeschlossen werden, dass das Kriterium der lokalen Datenspeicherung im Rahmen der Sicherheitsprüfung zukünftig von den Behörden implizit geprüft wird. Insofern hätte der chinesische Gesetzgeber das umstrittene Kriterium in das weite und unbestimmte Ermessen der chinesischen Behörden verlagert. Die weitere Entwicklung bleibt hier abzuwarten. Ggf. wird das Erfordernis in einer anderen Vorschrift wieder neu aufgegriffen.

 

d) Ausweitung der Pflichten auf ausländische Unternehmen 

 

Bemerkenswert ist weiterhin, dass die in den PI Cross-border geregelten Anforderungen an Netzwerkbetreiber auch für ausländische Institutionen gelten sollen, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Daten inländischer Nutzer in China über das Internet erheben: Diese müssen über Vertreter oder Organisationen in China die in den PI Cross-border festgelegten Pflichten erfüllen. Hier fragt sich, wie dies in der Praxis konkret umzusetzen wäre.

 

IV. Fazit

 

Insgesamt stellen die Entwürfe für die AM Data Security und die PI Cross-border und die neue PI Specification 2020 weitreichende neue Anforderungen für Netzwerkbetreiber auf. Diese Änderungen stellen für Unternehmen im Ergebnis drastische Verschärfungen zu früheren Entwürfen dar. Dies gilt insbesondere für die Einführung neuer obligatorischer behördlicher Verfahren bei der Erhebung und dem Transfer von Daten. Leider wird durch die Neuregelungen auch die wichtige Frage der lokalen Datenspeicherung weiterhin nicht geklärt. Die inhaltlichen Dopplungen AM Data Security und PI Specification 2020 schaffen schließlich zusätzliche Irritationen. Es bleibt nun abzuwarten, ob die Entwürfe noch weitere Änderungen erfahren oder in dieser Form erlassen werden.