Alle News

  • Start
  • Alle News
  • (Teil 1) Chinas Datenschutzrecht: Cybersicherheits- und Datensicherheitsgesetz

(Teil 1) Chinas Datenschutzrecht: Cybersicherheits- und Datensicherheitsgesetz

Unsplash Cyber


Was Unternehmen über die neuesten Entwicklungen im Datenschutzrecht der VR China wissen sollten

Von Ondrej Zapletal
Burkardt & Partner Rechtsanwälte, Shanghai


Teil 1:
. Cybersicherheitsgesetz und Datensicherheitsgesetz
Teil 2 (folgt):
. Entwurf des Gesetzes zum Schutz von persönlichen Informationen
. 4. Buch im Zivilgesetzbuch

Der Schutz persönlicher und anderer Daten spielt neuerdings in der Volksrepublik China eine immer größere Rolle. Wie so oft, wird hier auch die Gesetzeslage den praktischen Erfordernissen schnell angepasst. Nachdem sich seit dem Erlass des Cybersicherheitsgesetzes in 2017 lange Zeit nichts bewegt hat, geht es nun Schlag auf Schlag.

Zum 1. Januar 2021 trat das erste Zivilgesetzbuch der VR China in Kraft, das im 4. Buch erstmals die Persönlichkeitsrechte definiert. Am 10. Juni 2021 hat nun der Ständige Ausschuss des Nationalen Volkskongresses das Datensicherheitsgesetz erlassen, das am 1. September 2021 in Kraft tritt. Damit fehlt nun nur noch die Inkraftsetzung des zweiten Entwurfs des Gesetzes zum Schutz persönlicher Informationen (am 29. April 2021 veröffentlicht), das voraussichtlich im Laufe dieses Jahres in Kraft tritt. Zusammen mit dem Cybersicherheitsgesetz, dem Datenschutzgesetz und dem 4. Buch des Zivilgesetzbuchs bildet das Gesetz zum Schutz persönlicher Informationen den Schlussstein für umfassenden Datenschutz in China.


TEIL 1
CYBERSICHERHEITSGESETZ (CSG)
Das CSG, seit 6. Januar 2017 in Kraft, ist das erste grundlegende Gesetz Chinas in Sachen Cybersicherheit. Ziel ist vor allem die Gewährleistung von Netzwerksicherheit und der Schutz personenbezogener und wichtiger Daten im Cyberspace. Dem CSG unterliegen Netzwerkbetreiber (Betreiber; Eigentümer von Cyberspaces; Anbieter von Cyberspace-relevanten Dienstleistungen), Betreiber kritischer Informationsinfrastrukturen (CII-Betreiber) sowie Individuen und Organisationen als Verwender vom Cyberspace. Kritische Informationsinfrastrukturen sind Infrastrukturen, durch deren Beschädigung, Funktionsverlust oder im Falle eines Datenlecks die nationale Sicherheit oder das öffentliche Interesse gefährdet werden können.

Um die Netzwerke vor Störungen, Beschädigungen, unberechtigten Zugriffen oder Datenlecks zu schützen, haben Netzwerkbetreiber bestimmte Standards zur Gewährleistung der Netzwerksicherheit einzuhalten, etwa ...

. Ernennung eines IT-Sicherheitsbeauftragten,
. Einführung von internen Sicherheitssystemen,
. Aufstellen von Notfallplänen
. und insbesondere die Aufzeichnung und Meldung von Vorfällen.

Netzwerkbetreiber haben Vorsorge zu tragen, dass keine Daten weitergegeben, gestohlen oder manipuliert werden. Und sie haben für ihr Netzwerk weiterhin eine Aufsichtspflicht für durch Nutzer veröffentlichte Inhalte und die Pflicht zur Aufzeichnung, Entfernung und Meldung illegaler veröffentlichter Inhalte.

Zusätzliche Pflichten gelten für CII-Betreiber, die u. a. Sicherheits- und Verschwiegenheitsverträge mit Lieferanten abschließen, jährliche Sicherheits- und Risikobewertungen durchführen als auch Bewertungsberichte und Maßnahmen zur Sicherheitsverbesserung der chinesischen Cyberspace-Behörden vorlegen müssen. Eine behördliche Sicherheitsprüfung ist ferner für sämtliche im Bereich kritischer Infrastrukturen genutzte Produkte und Dienstleistungen obligatorisch, sofern diese die nationale Sicherheit gefährden könnten.

Weiterhin sieht das CSG für CII-Betreiber eine Datenlokalisierungspflicht vor. Danach sind alle personenbezogenen und wichtigen Daten in China zu speichern und deren Übertragung ins Ausland - soweit erforderlich - nur nach bestandener Sicherheitsprüfung und Erfüllung anderer Bedingungen gestattet. Hierdurch kann der Betrieb nicht nur von globalen Cloud-Plattformen, sondern auch von ausländischen Unternehmen mit Standorten in oder Geschäftsbeziehungen mit China betroffen werden.

Wie erwähnt, umfasst das CSG auch Regelungen zum Schutz personenbezogener Daten im Cyberspace. Netzwerkbetreiber sind nach dem CSG u.a. verpflichtet, die Einwilligung der betroffenen Person einzuholen, die Prinzipien der Rechtmäßigkeit, Angemessenheit und Notwendigkeit einzuhalten, die Regeln für die Sammlung und Nutzung personenbezogener Daten zu veröffentlichen sowie technische Sicherheitsmaßnahmen und Compliance-Verfahren zum Schutz personenbezogener Daten einzuführen.

Die Nichtbeachtung des CSG kann je nach Schwere des Verstoßes mit einer Verwarnung, einem Entzug der Geschäftslizenz, Bußgeldern bis zu 1 Mio. RMB und 5 bis 15 Tage Haft usw. geahndet werden.


DATENSICHERHEITSGESETZ (DSG)
Das am 10. Juni 2021 erlassene DSG wird am 1. September 2021 in Kraft treten und soll u. a. Datensicherheit gewährleisten und Datenverarbeitungsaktivitäten, die das DSG beispielhaft als Sammlung, Speicherung, Verarbeitung und Übertragung von Daten („Datenverarbeitungsaktivitäten“) definiert, regulieren. Daten i.S.d. DSG sind „jede Aufzeichnung von Informationen in elektronischer oder nicht-elektronischer Form“ („Daten“). Der sachliche Anwendungsbereich des DSG umfasst also Informationen jeder Art und Form, einschließlich personenbezogener Daten. 

Dem DSG unterliegen vor allem Datenverarbeitungsaktivitäten innerhalb Chinas. Das DSG kann jedoch auch für Unternehmen außerhalb Chinas von Relevanz sein, sofern deren Datenverarbeitungsaktivitäten die nationale Sicherheit, die öffentlichen Interessen oder die legitimen Rechte und Interessen der Bürger und Organisationen der VR China beeinträchtigen.

Je nach Wichtigkeit der Daten, die im durch die chinesische Regierung eingerichteten klassifizierten Schutzsystem für die Netzwerksicherheit bestimmt ist, sind Datenverarbeiter zur Gewährleistung eines effektiven Datenschutzes, einer rechtmäßigen Datennutzung und eines „permanent sicheren Zustands” verpflichtet. Dies kann u.a. durch Einführung eines Datensicherheitsmanagementsystems, entsprechender technischen Maßnahmen und durch Sicherheitsschulungen erreicht werden. Spezielle Genehmigungen können für die Anbieter von datenverarbeitungsrelevanten Dienstleistungen erforderlich sein.

Darüber hinaus haben Verarbeiter wichtiger Daten eine für den Datenschutz verantwortliche Person und ein Leitungsorgan zu bestimmen, regelmäßig Risikobewertungen durchzuführen und Berichte über die vorgenommenen Risikobewertungen bei den zuständigen Organen einzureichen. Ein solcher Risikobewertungsbericht soll die Arten und den Umfang der verarbeiteten wichtigen Daten, die durchgeführten Datenverarbeitungstätigkeiten, die bestehenden Datensicherheitsrisiken, die daraufhin ergriffenen Maßnahmen usw. umfassen. Das DSG enthält keine Definition wichtiger Daten. Diese wird möglicherweise in künftigen Durchführungsbestimmungen festgelegt.

Obwohl die Datenlokalisierungspflicht im DSG nicht ausdrücklich vorgesehen ist, regelt das DSG das Exit-Sicherheitsmanagement wichtiger Daten. Für Bereitstellung wichtiger Daten im Ausland durch CII-Betreiber finden Bestimmungen des CSG Anwendung. Bedingungen für Bereitstellung wichtiger Daten, die nicht von CII Betreibern gesammelt und generiert werden, sollen von den zuständigen Behörden formuliert werden. 

Für Verstöße gegen die Bestimmungen des DSG können u.a. Bußgelder von bis zu 5 Millionen RMB verhängt und die Geschäftslizenz entzogen werden. Betreiber von Datentransaktionsvermittlungsdienstleistungen können für Zuwiderhandlungen gegen das DSG u.a. mit einem Bußgeld von bis zu 1 Million RMB oder dem Zehnfachen des illegal erzielten Gewinns bestraft werden.

Teil 2 folgt

CNBW-Mitglied
Burkardt & Partner Rechtsanwälte, Shanghai
Ondrej Zapletal,
O.ZAPLETAL@BKTlegal.com
www.BKTLegal.com


Burkardt
Folgen Sie uns auf LinkedIn


Bkt New Logo