Deutsch English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_de/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Was ist das chinesische 'Data Security Law'? Erklärung der Maßnahmen, die japanische Unternehmen ergreifen sollten

Was ist das chinesische 'Data Security Law'? Erklärung der Maßnahmen, die japanische Unternehmen ergreifen sollten

General Corporate

Was ist das chinesische 'Data Security Law'? Erklärung der Maßnahmen, die japanische Unternehmen ergreifen sollten

Das chinesische Datenschutzgesetz (Chinese Data Security Law) ist ein Gesetz im Bereich der Datenverarbeitung in China, das im September 2021 (Reiwa 3) in Kraft getreten ist. Es findet auf alle Datenverarbeitungsaktivitäten Anwendung, die innerhalb Chinas stattfinden. Daher müssen Unternehmen, die in China Geschäfte betreiben oder eine Expansion dorthin planen, ihre bestehenden Vorschriften und Managementrichtlinien überprüfen und gegebenenfalls anpassen. Es gibt jedoch Personen, die das Gesetz nicht vollständig verstehen oder unsicher sind, welche Maßnahmen sie ergreifen sollten.

In diesem Artikel erläutern wir die Grundzüge des chinesischen Datenschutzgesetzes, wichtige Verständnispunkte, die Strafen sowie Maßnahmen, die in Japan ergriffen werden sollten.

Was ist das chinesische Datensicherheitsgesetz?

Fragezeichen

Das chinesische Datensicherheitsgesetz (中华人民共和国数据安全法) ist ein im September 2021 (Reiwa 3) in Kraft getretenes Gesetz, das sich mit der Datensicherheit in China befasst. Es wurde, ähnlich wie das im Juni 2017 (Heisei 29) in Kraft getretene chinesische Cybersicherheitsgesetz, zum Schutz der nationalen Sicherheit erlassen.

Chinesisches Cybersicherheitsgesetz: Ein Gesetz zum Schutz der Sicherheit des chinesischen “Netzwerks”.

Die Ziele des chinesischen Datensicherheitsgesetzes sind wie folgt festgelegt (Artikel 1):

  • Regulierung von Datenverarbeitungsaktivitäten
  • Sicherstellung der Datensicherheit
  • Förderung der Entwicklung und Nutzung von Daten
  • Schutz der legitimen Rechte und Interessen von Individuen und Organisationen
  • Schutz der nationalen Souveränität, Sicherheit und Entwicklungsinteressen

Während das chinesische Cybersicherheitsgesetz elektronische Daten regulierte, zeichnet sich das chinesische Datensicherheitsgesetz dadurch aus, dass es auch nicht-elektronische Daten wie Papierdokumente als Regulierungsgegenstand einschließt (Artikel 3). Das chinesische Datensicherheitsgesetz legt Bestimmungen zur Klassifizierung von Daten, zur Einrichtung eines Sicherheitszertifizierungssystems und zu den Schutzpflichten für die Datensicherheit fest.

Schlüsselpunkte zum Verständnis des Chinesischen Datenschutzgesetzes

Schlüsselpunkte

Das Chinesische Datenschutzgesetz umfasst eine Vielzahl von Bestimmungen, die für viele schwer zu verstehen sein können. In diesem Artikel erläutern wir detailliert die folgenden fünf Schlüsselpunkte des Datenschutzgesetzes.

  • Regulierungsobjekte
  • Erstellung von Datenklassifizierungs- und Bewertungsnormen
  • Über die Verwaltung der Datensicherheit
  • Regulierung der Datenübertragung
  • Über die nationale Sicherheitsüberprüfung

Regulierungsgegenstände

Die durch das Gesetz regulierten Daten umfassen alle “Datenverarbeitungs”-Aktivitäten, die innerhalb Chinas stattfinden. Auch wenn die Datenverarbeitungsaktivitäten außerhalb Chinas durchgeführt werden, fallen sie unter diese Regelung, sofern sie die nationale Sicherheit Chinas, das öffentliche Interesse oder die Interessen von Bürgern und Organisationen schädigen könnten.

“Daten” beziehen sich auf Aufzeichnungen von Informationen, die elektronisch oder auf andere Weise erstellt wurden, und es ist wichtig zu beachten, dass dies auch Informationen auf Papier einschließt. “Datenverarbeitung” umfasst das Sammeln, Speichern, Verwenden, Verarbeiten, Übertragen, Bereitstellen und Offenlegen von Daten. Diejenigen, die diese Handlungen durchführen, werden als “Datenverarbeiter” bezeichnet.

Über die Einführung von Datenklassifizierungs- und Bewertungsnormen

Datenverarbeiter müssen die Datensicherheit auf der Grundlage des Graduated Protection Systems sicherstellen. Das Graduated Protection System ist ein öffentliches Bewertungssystem für das Netzwerksicherheitsmanagement, und die zu ergreifenden Maßnahmen variieren je nach Stufe. Zudem müssen Daten klassifiziert werden, basierend auf dem Ausmaß des Schadens, den ihre Zerstörung oder Leckage für die nationale Sicherheit, das öffentliche Interesse sowie für Individuen oder Organisationen verursachen kann.

Die Klassifizierung erfolgt in drei Kategorien: “Allgemeine Daten”, “Wichtige Daten” und “Kerndaten”. Die “Verordnung zur Netzwerkdatensicherheit (Entwurf zur Meinungseinholung)” definiert wichtige Daten als solche, deren Veränderung, Zerstörung, Leckage, unrechtmäßige Beschaffung oder unrechtmäßige Nutzung potenziell die nationale Sicherheit oder das öffentliche Interesse gefährden könnte. Kerndaten sind Daten, die mit der nationalen Sicherheit, der Lebensader der Volkswirtschaft, dem wesentlichen Lebensunterhalt der Bürger oder wichtigen öffentlichen Interessen verbunden sind (Artikel 21).

Zum Zeitpunkt der Abfassung dieses Textes gibt es noch keine konkreten Verzeichnisse für wichtige oder Kerndaten, daher ist es ratsam, die von Ihnen gehandhabten Daten anhand der in der “Verordnung zur Netzwerkdatensicherheit (Entwurf zur Meinungseinholung)” aufgeführten Beispiele für wichtige Daten zu klassifizieren. Es ist auch wichtig, die von den zuständigen Behörden veröffentlichten Verzeichnisse zu überwachen.

Über das Management der Datensicherheit

Die Anforderungen an Datenverarbeiter umfassen unter anderem Folgendes:

  • Durchführung von Datensicherheitsschulungen und -trainings
  • Einhaltung der Schutzpflichten gemäß dem Stufenschutzsystem für Datensicherheit
  • Kontinuierliche Durchführung von Risikoüberwachungen
  • Einrichtung eines Sicherheitsmanagementsystems für den gesamten Datenlebenszyklus
  • Bestellung eines Verantwortlichen
  • Technische Maßnahmen

Grundsätzlich ähneln diese Anforderungen denen eines ‘Information Security Management System (ISMS)’, jedoch ist besondere Aufmerksamkeit auf die Notwendigkeit zu legen, Managementmaßnahmen entsprechend der Klassifizierung der Daten zu ergreifen.

Im Falle eines Vorfalls müssen unverzüglich Maßnahmen ergriffen und sowohl die Nutzer als auch die zuständigen Behörden informiert werden. Zudem ist es erforderlich, bei der Verarbeitung wichtiger Daten regelmäßige Risikobewertungen durchzuführen und Risikobewertungsberichte den zuständigen Behörden vorzulegen.

Über die Regulierung der Datenübertragung

Bei der Übertragung von Daten werden insbesondere wichtige Daten reguliert. Es ist festgelegt, dass die Betreiber von kritischen Informationsinfrastrukturen, die wichtige Daten im Rahmen ihrer Geschäftstätigkeit in China erwerben oder generieren, bei einer grenzüberschreitenden Übertragung den Bestimmungen des japanischen Cybersecurity-Gesetzes unterliegen.

Kritische Informationsinfrastrukturen: Betreiber von Einrichtungen in Bereichen, die bei Schäden die nationale Sicherheit gefährden könnten (wie Energie, Transport, Finanzen, öffentliche Dienstleistungen usw.), deren Beschädigung oder Datenlecks die nationale Sicherheit, das Leben der Bürger und das öffentliche Interesse erheblich beeinträchtigen könnten.

Für Datenverarbeiter, die nicht als Betreiber kritischer Informationsinfrastrukturen gelten, ist es erforderlich, gemäß dem “Gesetz zur Sicherheitsbewertung bei der Übertragung von Daten ins Ausland” eine Sicherheitsbewertung durch die Behörden zu bestehen, bevor eine Übertragung erfolgen darf.

Laut dem “Entwurf der Verordnung zur Verwaltung der Datensicherheit im Netzwerk (zur Meinungsäußerung)” müssen auch bei der Übertragung von nicht-wichtigen Daten ins Ausland in folgenden Fällen Sicherheitsbewertungen durch die Behörden bestanden werden:

  • Wenn die grenzüberschreitenden Daten wichtige Daten enthalten
  • Wenn Betreiber kritischer Informationsinfrastrukturen oder Datenverarbeiter, die persönliche Informationen von mehr als einer Million Personen verarbeiten, persönliche Informationen ins Ausland übermitteln

Zudem werden folgende Pflichten für diejenigen aufgeführt, die Daten ins Ausland übertragen:

  • Nicht über den im Bericht zur Bewertung der Auswirkungen auf den Datenschutz, der der Abteilung für Netzwerkinformationen vorgelegt wurde, festgelegten Zweck, Umfang, Methode, Datentyp und Größe hinaus persönliche Informationen ins Ausland zu übermitteln
  • Nicht über den von der Abteilung für Netzwerkinformationen in der Sicherheitsbewertung festgelegten Zweck, Umfang, Datentyp und Größe hinaus persönliche Informationen und wichtige Daten ins Ausland zu übermitteln
  • Beschwerden von Nutzern bezüglich des Datenexports anzunehmen und zu bearbeiten
  • Die entsprechenden Log-Daten und Genehmigungsaufzeichnungen für den Datenexport für mindestens drei Jahre aufzubewahren
  • Wenn der Datenexport legitime Rechte und Interessen von Personen, Organisationen oder der Öffentlichkeit schädigt, muss der Datenverarbeiter die Verantwortung gemäß dem Gesetz übernehmen

Beim Transfer von Daten ins Ausland besteht zudem die Pflicht, einen Sicherheitsbericht zum Datenexport zu erstellen und diesen der zuständigen Abteilung für Netzwerkinformationen zu melden.

Über die nationale Sicherheitsüberprüfung

Es ist wichtig zu beachten, dass, wenn die chinesische Regierung entscheidet, dass Datenverarbeitungsaktivitäten die nationale Sicherheit Chinas gefährden, eine nationale Sicherheitsüberprüfung durchgeführt wird. Das Ergebnis einer nationalen Sicherheitsüberprüfung ist endgültig, und es ist nicht möglich, dagegen Einspruch durch Verwaltungsbeschwerden oder Klagen zu erheben.

Strafen im Rahmen des japanischen Datenschutzgesetzes

Mann gibt eine Verwarnung

Bei Verstößen gegen das japanische Datenschutzgesetz können Maßnahmen wie Anordnungen zur Korrektur und Warnungen, Geldstrafen, die Einstellung des Betriebs zur Durchführung von Korrekturen, die Aussetzung verwandter Geschäftstätigkeiten oder der Entzug der Geschäftslizenz verhängt werden.

Zum Beispiel ist im japanischen Datenschutzgesetz in den Artikeln 27, 29 und 30 festgelegt, dass bei Nichterfüllung der dort aufgeführten Pflichten neben Korrekturanordnungen und Warnungen auch Geldstrafen von mindestens 50.000 Yuan (ca. 6.500 Euro) bis zu 500.000 Yuan (ca. 65.000 Euro) für die direkt Verantwortlichen und andere direkt verantwortliche Personen verhängt werden können.

Es ist wichtig zu beachten, dass bei Verstößen gegen das japanische Datenschutzgesetz nicht nur juristische Personen, sondern auch die direkt Verantwortlichen und andere Mitarbeiter, die eine direkte Verantwortung tragen, von Strafen betroffen sein können. Angesichts der Tatsache, dass Verstöße schwerwiegende Auswirkungen auf die gesamte Organisation haben können, ist es ratsam, entsprechende Maßnahmen zur Einhaltung des Gesetzes zu ergreifen.

Maßnahmen zur Datensicherheit, die japanische Unternehmen ergreifen sollten

Mann, der Anweisungen gibt

Das chinesische Datensicherheitsgesetz gilt für alle Datenverarbeitungsvorgänge innerhalb Chinas, daher müssen viele japanische Unternehmen entsprechende Maßnahmen ergreifen. In diesem Artikel erläutern wir detailliert, welche Maßnahmen japanische Unternehmen im Hinblick auf das Datensicherheitsgesetz vornehmen sollten.

Datenmanagement

Zunächst sollten Sie Ihr Datenmanagement überprüfen. Klären Sie innerhalb Ihres Unternehmens, welche Daten wie erzeugt, gespeichert und gelöscht werden, um einen klaren Überblick über die aktuelle Situation der Datenverarbeitung zu erhalten. Es ist auch wichtig, vorab durch Datenmapping zu überprüfen, welche Datenkategorien es gibt, wie der Transfer von Daten außerhalb Chinas stattfindet und welche Maßnahmen zum Datenmanagement derzeit getroffen werden.

Das chinesische Datensicherheitsgesetz fordert spezifische Schutzmaßnahmen für wichtige und Kern-Daten. Daher könnte es notwendig sein, die Klassifizierung von Informationen entsprechend ihrer Vertraulichkeit neu zu definieren.

Derzeit sind die Sicherheitsstufen für die verschiedenen Kategorien jedoch noch unklar. Da eine Konkretisierung in der Zukunft möglich ist, ist es unerlässlich, die Veröffentlichungen der zuständigen chinesischen Behörden zu überwachen. Gleichzeitig ist es beruhigend, Sicherheitsstufen unter Berücksichtigung der Klassifizierung festzulegen, einschließlich Zugangskontrollen, Authentifizierung, Kommunikationssicherheit und physischen Maßnahmen.

Überprüfen Sie außerdem Ihre Sicherheitsrichtlinien und wenden Sie Richtlinien an, die den durch Datenmapping klassifizierten Datenkategorien entsprechen.

Durchführung und Berichterstattung von Risikobewertungen

Wenn durch Datenmapping festgestellt wird, dass Ihre Firma wichtige Daten verarbeitet, müssen Sie eine Risikobewertung für die Datenverarbeitung durchführen und die Ergebnisse den Behörden melden.

Da Risikobewertungen regelmäßig durchgeführt werden müssen, ist es wichtig, sie zu standardisieren, damit sie kontinuierlich ausgeführt werden können.

Schulung der Mitarbeiter

In China werden kontinuierlich neue Sicherheitsvorschriften eingeführt. Zudem ist das Management von Daten und die Risikobewertung kein einmaliger Prozess. Daher ist es notwendig, regelmäßige Überprüfungen und Verbesserungen vorzunehmen und die Mitarbeiter entsprechend zu schulen, damit diese Praktiken im Unternehmen verankert werden können.

Da nicht nur die Rechts- und Verwaltungsabteilungen, sondern auch die Risikomanagementabteilungen beteiligt sind, ist die Zusammenarbeit zwischen den verschiedenen Abteilungen von entscheidender Bedeutung. Obwohl das Gesetz derzeit noch unklare Aspekte aufweist, gibt es bereits Fälle, in denen Strafen für Verstöße verhängt wurden, was die Notwendigkeit einer Auseinandersetzung mit dem Datensicherheitsgesetz unterstreicht.

Die Merkmale der drei chinesischen Cyber-Gesetze

Die drei chinesischen Cyber-Gesetze umfassen das “Cybersecurity Law”, das “Data Security Law” und das “Personal Information Protection Law”, die China erlassen hat. Das Cybersecurity Law zielt auf Maßnahmen gegen Cyberangriffe ab, das Data Security Law auf die Erhaltung von Daten und das Personal Information Protection Law auf die Verstärkung der Sicherheit persönlicher Informationen.

Verwandter Artikel: Was ist das chinesische Cybersecurity Law? Erklärung der wichtigsten Compliance-Punkte[ja]

Obwohl jedes dieser Gesetze seine Unterschiede aufweist, ist es ein gemeinsames Merkmal, dass sie alle Verwaltungsstrafen, zivilrechtliche Schadensersatzansprüche und strafrechtliche Verantwortlichkeiten für Verstöße festlegen. Zudem betrifft ein Verstoß nicht nur juristische Personen, sondern auch die direkt verantwortlichen Personen, die möglicherweise mit einem Berufsverbot belegt oder in nationale Verzeichnisse von Rechtsverletzern aufgenommen werden könnten.

Zusammenfassung: Auf Chinas Datenregulierung achten und schnell handeln

Das chinesische Daten-Sicherheitsgesetz ist ein Gesetz, das auf die Datenverarbeitung in China angewendet wird und Vorschriften zur Klassifizierung, Einstufung und zum Schutz von Daten sowie zur Risikobewertung enthält. Neben dem Cybersecurity-Gesetz wurden verschiedene Gesetze wie das “Gesetz zum Schutz persönlicher Informationen” und die “Bestimmungen zur Verwaltung von Sicherheitslücken in Internetprodukten” veröffentlicht, und eine angepasste Reaktion darauf ist unerlässlich.

Obwohl es derzeit noch unklare Aspekte gibt, wie die noch nicht konkretisierten Sicherheitsstufen je nach Klassifizierung, und es bereits Fälle gab, in denen Verstöße mit Geldstrafen geahndet wurden, ist es unerlässlich, auf das Gesetz zu reagieren. Es ist wichtig, die chinesischen Regulierungen im Auge zu behalten und die derzeit möglichen Maßnahmen zu ergreifen.

Wenn Sie in China Geschäfte machen oder dies in Zukunft planen, empfehlen wir Ihnen, sich an einen Anwalt zu wenden, der sich mit chinesischem Recht auskennt.

Maßnahmen der Kanzlei Monolith

Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat sich das globale Geschäft zunehmend ausgeweitet, und die Notwendigkeit einer rechtlichen Überprüfung durch Experten ist stetig gestiegen. Unsere Kanzlei bietet Lösungen im Bereich des internationalen Rechts, einschließlich China, den USA und den EU-Mitgliedstaaten.

Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Internationales Recht & Auslandsgeschäfte[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Kann eine Jobzusage aufgrund schlechter Geschäftsergebnisse oder Geschäftsschrumpfung in der Corona-Krise zurückgezogen werden?

Kann eine Jobzusage aufgrund schlechter Geschäftsergebnisse oder Geschäftsschrumpfung in der Cor.

General Corporate

Sind Freelancer 'Arbeitnehmer'? Was Personalverantwortliche über die Kriterien zur Beurteilung der Arbeitnehmereigenschaft wissen sollten

Sind Freelancer 'Arbeitnehmer'? Was Personalverantwortliche über die Kriterien zur Beurteilung d.

General Corporate

Ist die Personalvermittlung ohne Lizenz illegal? Wann ist eine Genehmigung für kostenpflichtige Berufsvermittlung erforderlich?

Ist die Personalvermittlung ohne Lizenz illegal? Wann ist eine Genehmigung für kostenpflichtige .

General Corporate

Krisenmanagement und die Rolle des Anwalts im Lichte des Informationslecks bei Capcom

Krisenmanagement und die Rolle des Anwalts im Lichte des Informationslecks bei Capcom

General Corporate

Was ist eine Markenrechtsverletzung? Erklärung des Rahmens für die Beurteilung der Rechtswidrigkeit

Was ist eine Markenrechtsverletzung? Erklärung des Rahmens für die Beurteilung der Rechtswidrigk.

General Corporate

Was Sie über die Schlüsselpunkte bei der Unterzeichnung eines Vertrags für gemeinsame Forschungs- und Entwicklungsprojekte wissen sollten

Was Sie über die Schlüsselpunkte bei der Unterzeichnung eines Vertrags für gemeinsame Forschungs.

General Corporate

10 wichtige Klauseln, auf die Sie bei Lizenzverträgen achten sollten: Eine punktuelle Erklärung

10 wichtige Klauseln, auf die Sie bei Lizenzverträgen achten sollten: Eine punktuelle Erklärung

General Corporate

Regulierung der Darstellung von Kosmetikwerbung auf LPs und ähnlichen Plattformen von EC-Websites

Regulierung der Darstellung von Kosmetikwerbung auf LPs und ähnlichen Plattformen von EC-Website.

General Corporate

Was ist der abgeschaffte (alte) 'Japanische Anwaltsgebührenstandard'? Einführung in die konkrete Berechnungsmethode

Was ist der abgeschaffte (alte) 'Japanische Anwaltsgebührenstandard'? Einführung in die konkrete.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Zurück Nach Oben