Was ist das chinesische 'Data Security Law'? Erklärung der Maßnahmen, die japanische Unternehmen ergreifen sollten
Das chinesische Datenschutzgesetz (Chinese Data Security Law) ist ein Gesetz im Bereich der Datenverarbeitung in China, das im September 2021 (Reiwa 3) in Kraft getreten ist. Es findet auf alle Datenverarbeitungsaktivitäten Anwendung, die innerhalb Chinas stattfinden. Daher müssen Unternehmen, die in China Geschäfte betreiben oder eine Expansion dorthin planen, ihre bestehenden Vorschriften und Managementrichtlinien überprüfen und gegebenenfalls anpassen. Es gibt jedoch Personen, die das Gesetz nicht vollständig verstehen oder unsicher sind, welche Maßnahmen sie ergreifen sollten.
In diesem Artikel erläutern wir die Grundzüge des chinesischen Datenschutzgesetzes, wichtige Verständnispunkte, die Strafen sowie Maßnahmen, die in Japan ergriffen werden sollten.
Was ist das chinesische Datensicherheitsgesetz?
Das chinesische Datensicherheitsgesetz (中华人民共和国数据安全法) ist ein im September 2021 (Reiwa 3) in Kraft getretenes Gesetz, das sich mit der Datensicherheit in China befasst. Es wurde, ähnlich wie das im Juni 2017 (Heisei 29) in Kraft getretene chinesische Cybersicherheitsgesetz, zum Schutz der nationalen Sicherheit erlassen.
Chinesisches Cybersicherheitsgesetz: Ein Gesetz zum Schutz der Sicherheit des chinesischen “Netzwerks”.
Die Ziele des chinesischen Datensicherheitsgesetzes sind wie folgt festgelegt (Artikel 1):
- Regulierung von Datenverarbeitungsaktivitäten
- Sicherstellung der Datensicherheit
- Förderung der Entwicklung und Nutzung von Daten
- Schutz der legitimen Rechte und Interessen von Individuen und Organisationen
- Schutz der nationalen Souveränität, Sicherheit und Entwicklungsinteressen
Während das chinesische Cybersicherheitsgesetz elektronische Daten regulierte, zeichnet sich das chinesische Datensicherheitsgesetz dadurch aus, dass es auch nicht-elektronische Daten wie Papierdokumente als Regulierungsgegenstand einschließt (Artikel 3). Das chinesische Datensicherheitsgesetz legt Bestimmungen zur Klassifizierung von Daten, zur Einrichtung eines Sicherheitszertifizierungssystems und zu den Schutzpflichten für die Datensicherheit fest.
Schlüsselpunkte zum Verständnis des Chinesischen Datenschutzgesetzes
Das Chinesische Datenschutzgesetz umfasst eine Vielzahl von Bestimmungen, die für viele schwer zu verstehen sein können. In diesem Artikel erläutern wir detailliert die folgenden fünf Schlüsselpunkte des Datenschutzgesetzes.
- Regulierungsobjekte
- Erstellung von Datenklassifizierungs- und Bewertungsnormen
- Über die Verwaltung der Datensicherheit
- Regulierung der Datenübertragung
- Über die nationale Sicherheitsüberprüfung
Regulierungsgegenstände
Die durch das Gesetz regulierten Daten umfassen alle “Datenverarbeitungs”-Aktivitäten, die innerhalb Chinas stattfinden. Auch wenn die Datenverarbeitungsaktivitäten außerhalb Chinas durchgeführt werden, fallen sie unter diese Regelung, sofern sie die nationale Sicherheit Chinas, das öffentliche Interesse oder die Interessen von Bürgern und Organisationen schädigen könnten.
“Daten” beziehen sich auf Aufzeichnungen von Informationen, die elektronisch oder auf andere Weise erstellt wurden, und es ist wichtig zu beachten, dass dies auch Informationen auf Papier einschließt. “Datenverarbeitung” umfasst das Sammeln, Speichern, Verwenden, Verarbeiten, Übertragen, Bereitstellen und Offenlegen von Daten. Diejenigen, die diese Handlungen durchführen, werden als “Datenverarbeiter” bezeichnet.
Über die Einführung von Datenklassifizierungs- und Bewertungsnormen
Datenverarbeiter müssen die Datensicherheit auf der Grundlage des Graduated Protection Systems sicherstellen. Das Graduated Protection System ist ein öffentliches Bewertungssystem für das Netzwerksicherheitsmanagement, und die zu ergreifenden Maßnahmen variieren je nach Stufe. Zudem müssen Daten klassifiziert werden, basierend auf dem Ausmaß des Schadens, den ihre Zerstörung oder Leckage für die nationale Sicherheit, das öffentliche Interesse sowie für Individuen oder Organisationen verursachen kann.
Die Klassifizierung erfolgt in drei Kategorien: “Allgemeine Daten”, “Wichtige Daten” und “Kerndaten”. Die “Verordnung zur Netzwerkdatensicherheit (Entwurf zur Meinungseinholung)” definiert wichtige Daten als solche, deren Veränderung, Zerstörung, Leckage, unrechtmäßige Beschaffung oder unrechtmäßige Nutzung potenziell die nationale Sicherheit oder das öffentliche Interesse gefährden könnte. Kerndaten sind Daten, die mit der nationalen Sicherheit, der Lebensader der Volkswirtschaft, dem wesentlichen Lebensunterhalt der Bürger oder wichtigen öffentlichen Interessen verbunden sind (Artikel 21).
Zum Zeitpunkt der Abfassung dieses Textes gibt es noch keine konkreten Verzeichnisse für wichtige oder Kerndaten, daher ist es ratsam, die von Ihnen gehandhabten Daten anhand der in der “Verordnung zur Netzwerkdatensicherheit (Entwurf zur Meinungseinholung)” aufgeführten Beispiele für wichtige Daten zu klassifizieren. Es ist auch wichtig, die von den zuständigen Behörden veröffentlichten Verzeichnisse zu überwachen.
Über das Management der Datensicherheit
Die Anforderungen an Datenverarbeiter umfassen unter anderem Folgendes:
- Durchführung von Datensicherheitsschulungen und -trainings
- Einhaltung der Schutzpflichten gemäß dem Stufenschutzsystem für Datensicherheit
- Kontinuierliche Durchführung von Risikoüberwachungen
- Einrichtung eines Sicherheitsmanagementsystems für den gesamten Datenlebenszyklus
- Bestellung eines Verantwortlichen
- Technische Maßnahmen
Grundsätzlich ähneln diese Anforderungen denen eines ‘Information Security Management System (ISMS)’, jedoch ist besondere Aufmerksamkeit auf die Notwendigkeit zu legen, Managementmaßnahmen entsprechend der Klassifizierung der Daten zu ergreifen.
Im Falle eines Vorfalls müssen unverzüglich Maßnahmen ergriffen und sowohl die Nutzer als auch die zuständigen Behörden informiert werden. Zudem ist es erforderlich, bei der Verarbeitung wichtiger Daten regelmäßige Risikobewertungen durchzuführen und Risikobewertungsberichte den zuständigen Behörden vorzulegen.
Über die Regulierung der Datenübertragung
Bei der Übertragung von Daten werden insbesondere wichtige Daten reguliert. Es ist festgelegt, dass die Betreiber von kritischen Informationsinfrastrukturen, die wichtige Daten im Rahmen ihrer Geschäftstätigkeit in China erwerben oder generieren, bei einer grenzüberschreitenden Übertragung den Bestimmungen des japanischen Cybersecurity-Gesetzes unterliegen.
Kritische Informationsinfrastrukturen: Betreiber von Einrichtungen in Bereichen, die bei Schäden die nationale Sicherheit gefährden könnten (wie Energie, Transport, Finanzen, öffentliche Dienstleistungen usw.), deren Beschädigung oder Datenlecks die nationale Sicherheit, das Leben der Bürger und das öffentliche Interesse erheblich beeinträchtigen könnten.
Für Datenverarbeiter, die nicht als Betreiber kritischer Informationsinfrastrukturen gelten, ist es erforderlich, gemäß dem “Gesetz zur Sicherheitsbewertung bei der Übertragung von Daten ins Ausland” eine Sicherheitsbewertung durch die Behörden zu bestehen, bevor eine Übertragung erfolgen darf.
Laut dem “Entwurf der Verordnung zur Verwaltung der Datensicherheit im Netzwerk (zur Meinungsäußerung)” müssen auch bei der Übertragung von nicht-wichtigen Daten ins Ausland in folgenden Fällen Sicherheitsbewertungen durch die Behörden bestanden werden:
- Wenn die grenzüberschreitenden Daten wichtige Daten enthalten
- Wenn Betreiber kritischer Informationsinfrastrukturen oder Datenverarbeiter, die persönliche Informationen von mehr als einer Million Personen verarbeiten, persönliche Informationen ins Ausland übermitteln
Zudem werden folgende Pflichten für diejenigen aufgeführt, die Daten ins Ausland übertragen:
- Nicht über den im Bericht zur Bewertung der Auswirkungen auf den Datenschutz, der der Abteilung für Netzwerkinformationen vorgelegt wurde, festgelegten Zweck, Umfang, Methode, Datentyp und Größe hinaus persönliche Informationen ins Ausland zu übermitteln
- Nicht über den von der Abteilung für Netzwerkinformationen in der Sicherheitsbewertung festgelegten Zweck, Umfang, Datentyp und Größe hinaus persönliche Informationen und wichtige Daten ins Ausland zu übermitteln
- Beschwerden von Nutzern bezüglich des Datenexports anzunehmen und zu bearbeiten
- Die entsprechenden Log-Daten und Genehmigungsaufzeichnungen für den Datenexport für mindestens drei Jahre aufzubewahren
- Wenn der Datenexport legitime Rechte und Interessen von Personen, Organisationen oder der Öffentlichkeit schädigt, muss der Datenverarbeiter die Verantwortung gemäß dem Gesetz übernehmen
Beim Transfer von Daten ins Ausland besteht zudem die Pflicht, einen Sicherheitsbericht zum Datenexport zu erstellen und diesen der zuständigen Abteilung für Netzwerkinformationen zu melden.
Über die nationale Sicherheitsüberprüfung
Es ist wichtig zu beachten, dass, wenn die chinesische Regierung entscheidet, dass Datenverarbeitungsaktivitäten die nationale Sicherheit Chinas gefährden, eine nationale Sicherheitsüberprüfung durchgeführt wird. Das Ergebnis einer nationalen Sicherheitsüberprüfung ist endgültig, und es ist nicht möglich, dagegen Einspruch durch Verwaltungsbeschwerden oder Klagen zu erheben.
Strafen im Rahmen des japanischen Datenschutzgesetzes
Bei Verstößen gegen das japanische Datenschutzgesetz können Maßnahmen wie Anordnungen zur Korrektur und Warnungen, Geldstrafen, die Einstellung des Betriebs zur Durchführung von Korrekturen, die Aussetzung verwandter Geschäftstätigkeiten oder der Entzug der Geschäftslizenz verhängt werden.
Zum Beispiel ist im japanischen Datenschutzgesetz in den Artikeln 27, 29 und 30 festgelegt, dass bei Nichterfüllung der dort aufgeführten Pflichten neben Korrekturanordnungen und Warnungen auch Geldstrafen von mindestens 50.000 Yuan (ca. 6.500 Euro) bis zu 500.000 Yuan (ca. 65.000 Euro) für die direkt Verantwortlichen und andere direkt verantwortliche Personen verhängt werden können.
Es ist wichtig zu beachten, dass bei Verstößen gegen das japanische Datenschutzgesetz nicht nur juristische Personen, sondern auch die direkt Verantwortlichen und andere Mitarbeiter, die eine direkte Verantwortung tragen, von Strafen betroffen sein können. Angesichts der Tatsache, dass Verstöße schwerwiegende Auswirkungen auf die gesamte Organisation haben können, ist es ratsam, entsprechende Maßnahmen zur Einhaltung des Gesetzes zu ergreifen.
Maßnahmen zur Datensicherheit, die japanische Unternehmen ergreifen sollten
Das chinesische Datensicherheitsgesetz gilt für alle Datenverarbeitungsvorgänge innerhalb Chinas, daher müssen viele japanische Unternehmen entsprechende Maßnahmen ergreifen. In diesem Artikel erläutern wir detailliert, welche Maßnahmen japanische Unternehmen im Hinblick auf das Datensicherheitsgesetz vornehmen sollten.
Datenmanagement
Zunächst sollten Sie Ihr Datenmanagement überprüfen. Klären Sie innerhalb Ihres Unternehmens, welche Daten wie erzeugt, gespeichert und gelöscht werden, um einen klaren Überblick über die aktuelle Situation der Datenverarbeitung zu erhalten. Es ist auch wichtig, vorab durch Datenmapping zu überprüfen, welche Datenkategorien es gibt, wie der Transfer von Daten außerhalb Chinas stattfindet und welche Maßnahmen zum Datenmanagement derzeit getroffen werden.
Das chinesische Datensicherheitsgesetz fordert spezifische Schutzmaßnahmen für wichtige und Kern-Daten. Daher könnte es notwendig sein, die Klassifizierung von Informationen entsprechend ihrer Vertraulichkeit neu zu definieren.
Derzeit sind die Sicherheitsstufen für die verschiedenen Kategorien jedoch noch unklar. Da eine Konkretisierung in der Zukunft möglich ist, ist es unerlässlich, die Veröffentlichungen der zuständigen chinesischen Behörden zu überwachen. Gleichzeitig ist es beruhigend, Sicherheitsstufen unter Berücksichtigung der Klassifizierung festzulegen, einschließlich Zugangskontrollen, Authentifizierung, Kommunikationssicherheit und physischen Maßnahmen.
Überprüfen Sie außerdem Ihre Sicherheitsrichtlinien und wenden Sie Richtlinien an, die den durch Datenmapping klassifizierten Datenkategorien entsprechen.
Durchführung und Berichterstattung von Risikobewertungen
Wenn durch Datenmapping festgestellt wird, dass Ihre Firma wichtige Daten verarbeitet, müssen Sie eine Risikobewertung für die Datenverarbeitung durchführen und die Ergebnisse den Behörden melden.
Da Risikobewertungen regelmäßig durchgeführt werden müssen, ist es wichtig, sie zu standardisieren, damit sie kontinuierlich ausgeführt werden können.
Schulung der Mitarbeiter
In China werden kontinuierlich neue Sicherheitsvorschriften eingeführt. Zudem ist das Management von Daten und die Risikobewertung kein einmaliger Prozess. Daher ist es notwendig, regelmäßige Überprüfungen und Verbesserungen vorzunehmen und die Mitarbeiter entsprechend zu schulen, damit diese Praktiken im Unternehmen verankert werden können.
Da nicht nur die Rechts- und Verwaltungsabteilungen, sondern auch die Risikomanagementabteilungen beteiligt sind, ist die Zusammenarbeit zwischen den verschiedenen Abteilungen von entscheidender Bedeutung. Obwohl das Gesetz derzeit noch unklare Aspekte aufweist, gibt es bereits Fälle, in denen Strafen für Verstöße verhängt wurden, was die Notwendigkeit einer Auseinandersetzung mit dem Datensicherheitsgesetz unterstreicht.
Die Merkmale der drei chinesischen Cyber-Gesetze
Die drei chinesischen Cyber-Gesetze umfassen das “Cybersecurity Law”, das “Data Security Law” und das “Personal Information Protection Law”, die China erlassen hat. Das Cybersecurity Law zielt auf Maßnahmen gegen Cyberangriffe ab, das Data Security Law auf die Erhaltung von Daten und das Personal Information Protection Law auf die Verstärkung der Sicherheit persönlicher Informationen.
Verwandter Artikel: Was ist das chinesische Cybersecurity Law? Erklärung der wichtigsten Compliance-Punkte[ja]
Obwohl jedes dieser Gesetze seine Unterschiede aufweist, ist es ein gemeinsames Merkmal, dass sie alle Verwaltungsstrafen, zivilrechtliche Schadensersatzansprüche und strafrechtliche Verantwortlichkeiten für Verstöße festlegen. Zudem betrifft ein Verstoß nicht nur juristische Personen, sondern auch die direkt verantwortlichen Personen, die möglicherweise mit einem Berufsverbot belegt oder in nationale Verzeichnisse von Rechtsverletzern aufgenommen werden könnten.
Zusammenfassung: Auf Chinas Datenregulierung achten und schnell handeln
Das chinesische Daten-Sicherheitsgesetz ist ein Gesetz, das auf die Datenverarbeitung in China angewendet wird und Vorschriften zur Klassifizierung, Einstufung und zum Schutz von Daten sowie zur Risikobewertung enthält. Neben dem Cybersecurity-Gesetz wurden verschiedene Gesetze wie das “Gesetz zum Schutz persönlicher Informationen” und die “Bestimmungen zur Verwaltung von Sicherheitslücken in Internetprodukten” veröffentlicht, und eine angepasste Reaktion darauf ist unerlässlich.
Obwohl es derzeit noch unklare Aspekte gibt, wie die noch nicht konkretisierten Sicherheitsstufen je nach Klassifizierung, und es bereits Fälle gab, in denen Verstöße mit Geldstrafen geahndet wurden, ist es unerlässlich, auf das Gesetz zu reagieren. Es ist wichtig, die chinesischen Regulierungen im Auge zu behalten und die derzeit möglichen Maßnahmen zu ergreifen.
Wenn Sie in China Geschäfte machen oder dies in Zukunft planen, empfehlen wir Ihnen, sich an einen Anwalt zu wenden, der sich mit chinesischem Recht auskennt.
Maßnahmen der Kanzlei Monolith
Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat sich das globale Geschäft zunehmend ausgeweitet, und die Notwendigkeit einer rechtlichen Überprüfung durch Experten ist stetig gestiegen. Unsere Kanzlei bietet Lösungen im Bereich des internationalen Rechts, einschließlich China, den USA und den EU-Mitgliedstaaten.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Internationales Recht & Auslandsgeschäfte[ja]