Cybersecurity & das neue Datensicherheitsgesetz der Volksrepublik China.

 
Was Unternehmen jetzt über aktuelle Compliance-Anforderungen wissen müssen.

Cybersecurity & das neue Datensicherheitsgesetz der Volksrepublik China.

Insight vom 31.08.2021 von Jan Tibor Lelley und Dr. Yuanyuan Yin
Am 10.06.2021 wurde auf der 29. Sitzung des ständigen Ausschusses des 13. Nationalen Volkskongresses das Datensicherheitsgesetz der Volksrepublik China 中华人民共和国数据安全法 (Data Security Law - DSL) verabschiedet. Das Gesetz wird am 01.09.2021 in Kraft treten.

Zweck dieses Gesetzes ist gemäß § 1 des DSL

  • die Datenverarbeitungsaktivitäten zu regeln,
  • Datensicherheit zu gewährleisten,
  • Datenentwicklung und -nutzung zu fördern,
  • legitime Rechte und Interessen von Einzelpersonen und Organisationen zu schützen sowie
  • die nationale Souveränität, Sicherheit und die Entwicklungsinteressen Chinas zu wahren.

Das Datensicherheitsgesetz ist in insgesamt sieben Kapitel und 55 Paragrafen unterteilt. Wesentliche Bestimmungen betreffen hauptsächlich

  • die Datensicherheitsregelung auf nationaler und lokaler Regierungsebene,
  • die Datensicherheitspflichten für Datenverarbeiter und
  • die Strafen bei Verstößen.

Neben dem chinesischen Cybersicherheitsgesetz 中华人民共和国网络安全法, das im Jahr 2017 erlassen wurde, und dem Gesetz zum Schutz personenbezogener Daten 中华人民共和国个人信息保护法, das derzeit noch überarbeitet wird, hebt die Verabschiedung des Datensicherheitsgesetzes die grundlegende Etablierung eines rechtlichen Rahmens für Daten- und Informationssicherheit in China hervor.

Anwendung – auch außerhalb Chinas

§ 2 des DSL sieht vor, dass das Gesetz für alle Datenverarbeitungsaktivitäten gelten soll, die auf dem Gebiet der Volksrepublik China (einschließlich Hongkong und Macau) durchgeführt werden. In Bezug auf die extraterritoriale Anwendung regelt das DSL außerdem, dass bestimmte Datenverarbeitungsaktivitäten außerhalb der Volksrepublik China zu einer rechtlichen Haftung führen können. Das betrifft Vorgänge zum Nachteil der nationalen Sicherheit oder der öffentlichen Interessen der Volksrepublik China oder der rechtmäßigen Rechte und Interessen von chinesischen Bürgern oder chinesischer Organisationen.

Wichtige Begriffe

  • Daten
    § 3 des DSL enthält eine umfassende Definition von „Daten“: „Daten im Sinne dieses Gesetzes sind alle Aufzeichnungen von Informationen in elektronischer oder nicht-elektronischer Form.“ Das heißt, dass neben den „Netzwerkdaten“, wie sie im Cybersicherheitsgesetz definiert sind, auch „Aufzeichnungen von Informationen mit anderen Mitteln“ in die Kategorie der Daten fallen. Nach dieser Definition sind auch archivierte Informationen in Papierform und andere Aufzeichnungen von Informationen in schriftlicher Form „Daten“. Die einheitliche Behandlung elektronischer und anderer Formen von aufgezeichneten Informationen im Rahmen des DSL ist von großer praktischer Bedeutung.
  • Datenverarbeitung
    Die Datenverarbeitung umfasst die Erhebung, Speicherung, Nutzung, Verarbeitung, Übermittlung, Bereitstellung und Offenlegung von Daten.
  • Datensicherheit
    Datensicherheit umfasst, dass die Daten effektiv geschützt und nur rechtmäßig genutzt werden, sowie die Gewährleistung eines kontinuierlichen Sicherheitszustand, indem die notwendigen Maßnahmen getroffen werden.

Sicherheitsstufe der Daten

Durch § 21 DSL soll ein System der Klassifizierung und Einstufung von Daten auf nationaler chinesischer Ebene eingeführt werden. Allerdings enthält das DSL selbst keine detaillierten Anleitungen zur Klassifizierung von Daten und zur Umsetzung des Klassifizierungs- und Abstufungsschutzes.

Eine Definition der nationalen Kerndaten ergibt sich jedoch aus § 21 Abs. 2 DSL. Dementsprechend sind nationale Kerndaten solche Daten, die sich auf die nationale Sicherheit, die nationale Wirtschaft, wichtige Lebensgrundlagen von Menschen und wichtige öffentliche Interessen beziehen. Sie unterliegen daher einem strengeren Verwaltungssystem.

Zusätzlich verlangt § 21 DSL von der lokalen chinesischen Regierung und den lokalen chinesischen Behörden einen spezifischen Katalog wichtiger Daten in ihrer Region, Abteilung und den relevanten Branchen gemäß dem nationalen Datenklassifizierungs- und Abstufungsschutzsystem festzulegen. Somit wird es der lokalen Regierung ermöglicht, den Schutz der wichtigen Daten aufgrund des unterschiedlichen Bedarfs in der Praxis flexibel anzupassen. Das bedeutet zugleich auch, dass der lokalen Regierung ein großer Spielraum bei der Einstufung der Daten zukommt.

Im Fokus: Cross-Border Datentransfer

  • Kontrolle
    Darüber hinaus enthält das DSL auch strenge Regelungen zum Cross-Border Datentransfer. Der chinesische Staat kontrolliert gemäß § 25 DSL den Cross-Border Transfer solcher Daten, die für die kontrollierten Güter im Sinne des Exportkontrollgesetzes relevant sind sowie für die Aufrechterhaltung der nationalen Sicherheit und Interessen und die Erfüllung internationaler Verpflichtungen der Volksrepublik China.
    § 31 DSL regelt zusätzlich den Cross-Border Datentransfer kritischer Informationsinfrastrukturen. Diese Daten, die in Betrieben in China gesammelt und erhoben werden, fallen weiterhin in den Anwendungsbereich des § 37 chinesischen Cybersicherheitsgesetzes. Zusätzlich wird das Sicherheitsmanagement für die wichtigen Daten hinzugefügt. Die staatliche Internet-Informationsbehörde ist befugt, mit der zuständigen Abteilung des Staatsrats zusammenzuarbeiten, um entsprechende Maßnahmen für das Sicherheitsmanagement des Cross-Border Datentransfers festzulegen.
    Weiterhin stellt § 36 DSL klar, dass Organisationen und Einzelpersonen ohne die Genehmigung der zuständigen chinesischen Behörde ihre in China gespeicherten Daten nicht an ausländische Justiz- oder Strafverfolgungsbehörden weitergeben dürfen.
  • Bußgeld
    Verstoßen Unternehmen gegen die Bestimmungen des DSL, wichtige Daten nicht unrechtmäßig ins Ausland weiterzugeben, droht ihnen eine Geldstrafe von bis zu 10 Millionen Yuan (ca. 1,3 Millionen Euro).

Gegenmaßnahmen zur ausländischen „Datendiskriminierung“

Um besser mit der ausländischen Gesetzgebung und Strafverfolgung umgehen zu können, sieht § 26 des DSL Gegenmaßnahmen zur „Datendiskriminierung“ vor. Nach Meinung der chinesischen Regierung könnten diskriminierende Verbote, Einschränkungen oder ähnliche Maßnahmen in Bezug auf Investitionen oder den Handel mit Daten und Technologien zur Entwicklung und Nutzung von Daten verhängt werden. Dann kann China je nach Art der tatsächlichen Umstände entsprechende Gegenmaßnahmen ergreifen.

Was müssen Unternehmen jetzt tun?

Bis zum Inkrafttreten des DSL am 01.09.2021 sollten Unternehmen die Anforderungen des DSL erkennen, verstehen und Maßnahmen umsetzen, um Compliance-Risiken zu vermeiden oder mindestens zu minimieren. Diese Anforderungen aus dem DSL entsprechen außerdem auch dem internationalen Standard-ISO27001 für Informationssicherheit:

  • Management für Datensicherheit nach § 27 DSL
    Bei der Verarbeitung der Daten müssen Unternehmen ein Managementsystem für die Datensicherheit einrichten. Nach § 27 DSL sind auch regelmäßige Schulungen der Mitarbeiter zur Datensicherheit erforderlich. Und dann sollte ein eigenständiger Zuständigkeitsbereich im Management für die Datensicherheit des Unternehmens verantwortlich sein.
  • Durchführung regelmäßiger Risikobewertungen nach § 30 DSL
    Für die Verarbeitung der wichtigen Daten bedarf es einer regelmäßigen Risikobewertung. Dabei hat der Verarbeiter das Ergebnis der Bewertung an die zuständige Behörde zu berichten.
  • Rechtskonformität der Datenerhebung nach § 32 DSL
    Unternehmen sollten in der Praxis auf die Rechtskonformität der Datenerhebung achten. Gemäß § 32 DSL ist die unrechtmäßige Datenerhebung einer Organisation oder einzelner Personen streng verboten.
  • Wichtige Daten in China speichern
    Firmendaten dürfen nicht mehr ohne weiteres aus China ins Ausland übermittelt werden, z.B. in Standorten in der EU oder den USA. Sinnvoll für die Praxis wird daher die digitale Abspaltung der Geschäftsaktivitäten in der Volksrepublik China. Für internationale Unternehmen wie beispielweise Apple, Tesla oder Volkswagen bedeutet das Gesetz die Lokalisierung ihrer Daten.
  • Zusammenarbeit mit chinesischen Sicherheitsbehörden nach § 35 DSL
    Unternehmen sind verpflichtet, den Sicherheitsbehörden ihre gespeicherten Daten zur Aufrechterhaltung der Staatssicherheit oder der Aufklärung von Straftaten zur Verfügung zu stellen.

Ausblick

In der digital vernetzten Weltwirtschaft des 21. Jahrhunderts geben Staaten den Fragen der Datensicherheit höchste Priorität. Die Volksrepublik China als High-Tech-Standort ist dabei einer der global wichtigsten Akteure. Nach der aktuellen Rechtslage bzw. der Verabschiedung des neuen chinesischen Datensicherheitsgesetzes und dem kommenden Gesetz zum Schutz personenbezogener Daten ergeben sich in China große Compliance-Herausforderungen bei der Datenverarbeitung. Das gilt nicht nur für chinesische Unternehmen, sondern auch für ausländischen Unternehmen mit Geschäftsaktivitäten in China.

Haben Sie Frage zu dem chinesischen Datensicherheitsgesetz? Sprechen Sie uns gerne an!

SMS vom Arbeitgeber in der Freizeit.

Blog: Arbeitsrecht
SMS vom Arbeitgeber in der Freizeit. Es gibt kein absolutes Recht von Arbeitnehmern auf Unerreichbarkeit in der Freizeit – urteilte das BAG.
23.04.2024
Alexander Krol

E-Mail mit personenbezogenen Daten: verschlüsseln notwendig?!

Blog: Arbeitsrecht
E-Mail mit personenbezogenen Daten: verschlüsseln notwendig?! Ein aktuelles Urteil des ArbG Suhl zum Thema DSGVO-Verstoß und Schadenersatz.
16.04.2024
Dennis Gonta

Datenschutz in der Volksrepublik China.

Blog: Arbeitsrecht
Datenschutz in der Volksrepublik China. Ein Überblick über die Regeln für grenzüberschreitende Datentransfers aus China.
09.04.2024
Albrecht von Wilucki

Keine Bewertung ohne Klarnamen?

Blog: Arbeitsrecht
Keine Bewertung ohne Klarnamen? Arbeitgeber können anonyme negative Bewertungen auf Kununu löschen lassen.
02.04.2024
Christine Nitschke

Gendersternchen: Diskriminierung?!

Blog: Arbeitsrecht
Gendersternchen: Diskriminierung?! Die Verwendung des Gendersternchens in einer Stellenanzeige ist laut BAG keine Diskriminierung.
26.03.2024
Jürgen Masling

Arbeitsunfähigkeitsbescheinigung und Arbeitsunfähigkeits-Richtlinie.

Blog: Arbeitsrecht
Arbeitsunfähigkeitsbescheinigung und Arbeitsunfähigkeits-Richtlinie. Verletzungen der Arbeitsunfähigkeits-Richtlinie können den Beweiswert einer Arbeitsunfähigkeitsbescheinigung erschüttern.
19.03.2024
Mathias Kühnreich

Handyverbot am Arbeitsplatz.

Blog: Arbeitsrecht
Handyverbot am Arbeitsplatz. Die Regelung der privaten Smartphone-Nutzung am Arbeitsplatz ist nicht mitbestimmungspflichtig durch den Betriebsrat.
12.03.2024
Markus Dreyer

Gesetz zur Betriebsratsvergütung kommt.

Blog: Arbeitsrecht
Gesetz zur Betriebsratsvergütung kommt. Neue gesetzliche Regelungen werden Rechtssicherheit für Betriebsräte und Arbeitgeber schaffen.
05.03.2024
Tobias Grambow
Gehen Sie zur Archivseite um mehr zu sehen.
Zur Archivseite

Informationen zum den Autoren:

Jan-Tibor Lelley, Rechtsanwalt der Kanzlei Buse Heberer Fromm

Anwalt
Dr. Jan Tibor Lelley, LL.M. (Suffolk University Law School)
Rechtsanwalt, Fachanwalt für Arbeitsrecht
+49 201 17580 / lelley@buse.de
Let’s connect

Möchten Sie Informationen zu aktuellen Rechtsentwicklungen, Einladungen zu Veranstaltungen und Seminaren von uns erhalten? Dann bitten wir Sie um Ihre ausdrückliche Einwilligung.

…zur Einwilligungserklärung

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB