Was ist das 'Chinesische Cybersecurity-Gesetz'? Erklärung der Schlüsselpunkte zur Einhaltung
Laut einer Sonderauswertung der “Japanese Teikoku Databank” über die Tendenzen des Markteintritts japanischer Unternehmen in China im Jahr 2022 (2022年)[ja], gibt es 12.706 japanische Unternehmen, die in China tätig sind. Es ist anzunehmen, dass die Zahl der Unternehmen, die Geschäfte mit Bezug zu China betreiben, noch höher liegt. In China wurde im Jahr 2017 das “Japanese Cybersecurity Law” eingeführt.
Dies hat zur Folge, dass Unternehmen, die in China Geschäfte machen wollen, ihre Richtlinien gemäß dem Gesetz überarbeiten und technische Schutzmaßnahmen ergreifen müssen. Es gibt jedoch sicherlich Personen, die nicht genau wissen, um was für ein Gesetz es sich handelt oder die nicht wissen, wie sie darauf reagieren sollen.
In diesem Artikel erläutern wir die Grundzüge des chinesischen Cybersecurity-Gesetzes, die regulierten Bereiche und die zu ergreifenden Maßnahmen. Wenn Sie in China Geschäfte machen oder einen Markteintritt in Betracht ziehen, sollten Sie diesen Artikel unbedingt als Referenz nutzen.
Überblick über das chinesische Cybersecurity-Gesetz
Das chinesische Cybersecurity-Gesetz (网络安全法), das im Juni 2017 (Reiwa 29) in Kraft getreten ist, verfolgt laut Artikel 1 folgende Ziele:
- Die Sicherheit von Netzwerken gewährleisten
- Die Souveränität des Cyberspace, die nationale Sicherheit und das öffentliche Interesse schützen
- Die legitimen Rechte und Interessen von Bürgern, juristischen Personen und anderen Organisationen schützen
- Die Entwicklung der Informatisierung von Wirtschaft und Gesellschaft fördern
Unter “Netzwerk” versteht das Gesetz “Systeme, die aus Computern oder anderen Informationsendgeräten und zugehörigen Einrichtungen bestehen und nach bestimmten Regeln oder Programmen Informationen sammeln, speichern, übertragen, austauschen oder verarbeiten (Artikel 76)”. Dies umfasst nicht nur das Internet, sondern auch Intranets.
Im Gegensatz zur EU-Datenschutz-Grundverordnung (DSGVO) oder dem japanischen Datenschutzgesetz zeichnet sich das chinesische Cybersecurity-Gesetz nicht nur durch den Schutz von Informationen von Personen und Organisationen aus, sondern auch durch den Schutz der nationalen Sicherheit und des öffentlichen Interesses Chinas. Das Gesetz legt für die betroffenen Unternehmen die Umsetzung von Cybersecurity-Schutzstufen, die Einhaltung von Compliance und die Klärung von Rechten und Pflichten fest.
Zu den Gesetzen, die sich mit Sicherheit befassen, gehört auch das chinesische Datensicherheitsgesetz.
Verwandter Artikel: Was ist das chinesische Datensicherheitsgesetz? Maßnahmen, die japanische Unternehmen ergreifen sollten[ja]
Regulierungsziele des Chinesischen Cybersecurity-Gesetzes
Japanische Unternehmen fallen unter das Chinesische Cybersecurity-Gesetz in folgenden Fällen:
- Es erfolgt eine Handhabung von Informationen innerhalb Chinas
- Informationen werden von China nach Japan transferiert
Auch wenn sich der Firmensitz in Japan befindet, fällt das Unternehmen unter das Gesetz, sofern die oben genannten Punkte zutreffen. Zu den regulierten Akteuren zählen unter anderem “Netzwerkbetreiber” und “Betreiber von kritischen Informationsinfrastrukturen”.
Unter Netzwerkbetreibern versteht man Eigentümer und Verwalter von Netzwerken sowie Anbieter von Netzwerkdiensten.
Betreiber von kritischen Informationsinfrastrukturen sind solche, die Einrichtungen betreiben, deren Beschädigung oder Datenlecks die nationale Sicherheit, das Leben der Bürger oder das öffentliche Interesse erheblich beeinträchtigen könnten, insbesondere in Bereichen, die bei Schäden eine Bedrohung für die nationale Sicherheit darstellen könnten, wie Energie, Transport, Finanzen und öffentliche Dienstleistungen.
Inhalt des Chinesischen Cybersecurity-Gesetzes
Das Chinesische Cybersecurity-Gesetz legt unter anderem folgende Verpflichtungen fest:
- Einrichtung von Cybersecurity-Klassifizierungen
- Anpassung an die verbindlichen nationalen Standards
- Erfordernis der Registrierung mit Klarnamen
- Verpflichtungen für Betreiber kritischer Informationsinfrastrukturen
- Aufbau von Management- und Reaktionsstrukturen
Hier werden die Einzelheiten zu jedem Punkt erläutert.
Einrichtung von Cybersicherheitsstufen
Nach Artikel 21 des chinesischen Gesetzes über Cybersicherheit (Chinese Cybersecurity Law) ist ein “Stufenschutzsystem” festgelegt, das Netzwerkbetreiber einhalten müssen. Unternehmen und Organisationen, die in China Netzwerke besitzen, müssen eine Stufenschutzzertifizierung erlangen.
Das Stufenschutzsystem ist ein öffentliches Bewertungssystem für das Management von Netzwerksicherheit. Der Anwendungsbereich umfasst Folgendes:
- Netzwerkinfrastruktur
- IoT
- Industrielle Steuerungssysteme
- Große Internetseiten und Datenzentren
- Öffentliche Dienstleistungsplattformen
Im Stufenschutzsystem werden Informationssysteme je nach Ausmaß und Umfang des Schadens bei einer Beschädigung in fünf Stufen eingeteilt:
Grad des Schadens für das Objekt | |||
Allgemeiner Schaden | Erheblicher Schaden | Besonders schwerer Schaden | |
Bürger und juristische Personen usw. | Stufe 1 | Stufe 2 | Stufe 3 |
Soziale Ordnung & öffentliches Interesse | Stufe 2 | Stufe 3 | Stufe 4 |
Nationale Sicherheit | Stufe 3 | Stufe 4 | Stufe 5 |
Die Definitionen der einzelnen Stufen sind wie folgt:
Stufe | Definition |
Stufe 1 | Ein allgemeines Netzwerk, bei dessen Zerstörung die rechtmäßigen Rechte und Interessen der betroffenen Bürger, juristischen Personen und anderen Organisationen beeinträchtigt werden, jedoch ohne Auswirkungen auf die nationale Sicherheit, soziale Ordnung oder das öffentliche Interesse. |
Stufe 2 | Ein allgemeines Netzwerk, bei dessen Zerstörung erhebliche Schäden für die rechtmäßigen Rechte und Interessen der betroffenen Bürger, juristischen Personen und anderen Organisationen entstehen oder die soziale Ordnung und das öffentliche Interesse gefährdet werden, jedoch ohne Auswirkungen auf die nationale Sicherheit. |
Stufe 3 | Ein wichtiges Netzwerk, bei dessen Zerstörung sehr erhebliche Schäden für die rechtmäßigen Rechte und Interessen der betroffenen Bürger, juristischen Personen und anderen Organisationen entstehen oder die nationale Sicherheit gefährdet wird. |
Stufe 4 | Ein besonders wichtiges Netzwerk, bei dessen Zerstörung die soziale Ordnung und das öffentliche Interesse erheblich beeinträchtigt werden oder sehr wichtige Schäden für die nationale Sicherheit entstehen. |
Stufe 5 | Ein äußerst wichtiges Netzwerk, bei dessen Zerstörung sehr schwere Schäden für die nationale Sicherheit entstehen. |
Für jede Stufe sind bestimmte Standards der Informationssicherheit einzuhalten. Es ist üblich, dass Netzwerkbetreiber mindestens der Stufe 2 und Betreiber kritischer Informationsinfrastrukturen mindestens der Stufe 3 unterliegen.
Zur Erlangung einer Stufe müssen Betreiber eine Selbstbewertung bei den Behörden einreichen, aber letztendlich ist die Zustimmung des Ministeriums für öffentliche Sicherheit erforderlich. Darüber hinaus müssen Netzwerke ab Stufe 2 eine Bewertung durch eine Evaluierungsstelle durchlaufen. Bei Verstößen gegen das Stufenschutzsystem können Geldstrafen verhängt werden, daher ist Vorsicht geboten.
Konformität mit staatlichen Zwangsstandards
Anbieter von Internetprodukten und -dienstleistungen müssen sicherstellen, dass ihre Services den staatlichen Zwangsstandards entsprechen (Artikel 22). Es ist ihnen nicht gestattet, bösartige Programme zu installieren.
Entdecken sie zudem Mängel, Schwachstellen oder andere Risiken in ihren Produkten oder Dienstleistungen, müssen sie unverzüglich Maßnahmen ergreifen, die Nutzer informieren und die zuständigen Behörden benachrichtigen.
Im September 2021 (Reiwa 3) wurde die “Verordnung zur Verwaltung von Sicherheitslücken in Internetprodukten (网络产品安全漏洞管理规定)” für Netzwerkbetreiber in Kraft gesetzt. Daher ist es ratsam, sich auch auf diese Verordnung zu beziehen und entsprechend zu handeln.
Erfordernis der Registrierung mit dem echten Namen
Bei der Bereitstellung von Netzwerkverbindungsdiensten, Verfahren zur Netzwerkanbindung für Festnetz- und Mobiltelefone, Informationsaustauschdiensten sowie Instant-Messaging-Diensten ist es erforderlich, dass Nutzer mit ihrem echten Namen registriert werden. Sollten Nutzer sich nicht mit ihrem echten Namen registrieren, darf der Dienst nicht zur Verfügung gestellt werden.
Darüber hinaus haben Netzwerkbetreiber die Pflicht zu prüfen, ob die von Nutzern gesendeten Informationen keine Gesetze verletzen.
Pflichten für Betreiber kritischer Informationsinfrastrukturen
Betreiber kritischer Informationsinfrastrukturen müssen nicht nur die Sicherheitsmaßnahmen umsetzen, die Netzwerkbetreibern auferlegt sind, sondern auch folgende Maßnahmen ergreifen:
- Regelmäßige Backups von Systemen und Datenbanken erstellen
- Entwicklung eines Reaktionsplans für Sicherheitsvorfälle
- Jährliche Sicherheitsbewertungen durchführen
- Datenlokalisierung
Datenlokalisierung: Ein Prozess, bei dem Daten innerhalb der nationalen Grenzen des Landes gespeichert und verarbeitet werden, in dem sie generiert wurden.
Die im September 2021 (Reiwa 3) in Kraft getretene Verordnung zum Schutz kritischer Informationsinfrastrukturen (Japanese 重要情報インフラ施設安全保護条例) konkretisiert die Verwaltung, Zertifizierung und Pflichten der Betreiber kritischer Informationsinfrastrukturen weiter, sodass auch diese Verordnung zu beachten ist.
Aufbau eines Management- und Reaktionssystems
Von Netzwerkbetreibern wird Folgendes gefordert (Artikel 21):
- Einrichtung eines Sicherheitsmanagementsystems und Erstellung von Betriebsvorschriften
- Bestimmung eines Verantwortlichen für die Netzwerksicherheit
- Entwicklung eines Reaktionsplans für Sicherheitsvorfälle und Implementierung technischer Maßnahmen
- Einführung von Überwachungstechnologien für das Netzwerk und Speicherung von Protokollen (mindestens 6 Monate)
- Datenklassifizierung und Schutzmaßnahmen wie Backup und Verschlüsselung wichtiger Daten
Bestimmungen bei Verstößen gegen das japanische Cybersecurity-Gesetz
Wenn Sie gegen die im Graduated Protection System geforderten Sicherheitsanforderungen verstoßen, werden Berichtigungsanordnungen und Warnungen erteilt. Wenn Sie die Anordnung ablehnen oder die Sicherheit des Netzwerks gefährden, müssen Sie eine Geldstrafe von mindestens 10.000 Yuan (ca. 1.300 Euro) bis zu 100.000 Yuan (ca. 13.000 Euro) zahlen. Darüber hinaus wird gegen die direkt Verantwortlichen eine Geldstrafe von mindestens 5.000 Yuan (ca. 650 Euro) bis zu 50.000 Yuan (ca. 6.500 Euro) verhängt.
Des Weiteren werden Berichtigungsanordnungen und Warnungen ausgesprochen, wenn beispielsweise bösartige Programme installiert werden oder wenn keine Maßnahmen gegen Risiken wie Produkt- oder Dienstleistungsmängel oder Sicherheitslücken ergriffen werden. Wenn diese Anordnungen abgelehnt werden, entstehen ebenfalls Geldstrafen.
Die Höhe der Geldstrafe variiert je nach Art des Verstoßes, und es kann auch zu weiteren Maßnahmen wie der Schließung von Websites, der Löschung von Geschäftslizenzen oder der Einstellung des Betriebs kommen, weshalb besondere Vorsicht geboten ist. In der Vergangenheit gab es Fälle, in denen aufgrund von Verstößen Geldstrafen verhängt wurden und die verantwortlichen Personen mit einem lebenslangen Berufsverbot in der gleichen Branche belegt wurden. Daher ist es unerlässlich, angemessene Maßnahmen zur Cybersecurity zu ergreifen.
Maßnahmen zur Cybersecurity, die japanische Unternehmen ergreifen sollten
Das chinesische Cybersecurity-Gesetz ist komplex, und es kann schwierig sein zu wissen, wo man anfangen soll. In diesem Artikel erklären wir, welche Maßnahmen japanische Unternehmen ergreifen sollten.
Ein koordiniertes System mit der IT-Abteilung und den DX-bezogenen Abteilungen aufbauen
Um auf das chinesische Cybersecurity-Gesetz zu reagieren, müssen Unternehmen Betriebsprozesse aufbauen und Datenschutzrichtlinien entwickeln oder ergänzen. Zudem sind technische Maßnahmen für das eigene System unerlässlich, um dem Graduated Protection Scheme gerecht zu werden.
Es ist notwendig, nicht nur in den Rechts- und Verwaltungsabteilungen individuell zu handeln, sondern auch ein koordiniertes System mit der IT-Abteilung und den DX-bezogenen Abteilungen zu etablieren.
Bestimmen, welcher Stufe die eigenen Systeme entsprechen
Zuerst erfolgt die Einstufung der eigenen Systeme. Entsprechend dieser Stufe müssen alle Abteilungen Maßnahmen ergreifen, die den Cybersecurity-Vorschriften entsprechen. In den Rechts-, Verwaltungs- und Risikomanagementabteilungen sind Überprüfungen und Anpassungen der Vorschriften und Betriebsabläufe erforderlich, während in den IT- und DX-bezogenen Abteilungen technische Maßnahmen notwendig werden. Im Folgenden erläutern wir die jeweiligen Maßnahmen.
Rechts-, Verwaltungs- und Risikomanagementabteilungen
Die Abteilungen vergleichen die in der Stufe festgelegten Anforderungen mit dem eigenen Managementstatus und dem Informationssicherheitssystem, um Richtlinien zu ergänzen und Betriebsstrukturen zu überprüfen. Dann wird überlegt, wie man vorgeht, und es werden Maßnahmen wie die Einrichtung und Änderung von Systemen ergriffen.
Bei einer Einstufung ab der zweiten Stufe ist auch eine Meldung an die Behörden erforderlich. Wenn das Unternehmen als Betreiber kritischer Informationsinfrastrukturen angesehen wird, ist eine Zertifizierung für den Schutz ab der dritten Stufe erforderlich. Darüber hinaus müssen zahlreiche Maßnahmen ergriffen werden, wie die Einhaltung von Datenlokalisierungsregelungen und regelmäßige Schulungen und technische Trainings für Mitarbeiter. Wenn es wahrscheinlich ist, dass das Unternehmen als Betreiber kritischer Informationsinfrastrukturen gilt, ist es ratsam, mit einem Berateranwalt eine Vorgehensweise festzulegen.
In China werden kontinuierlich neue Sicherheitsvorschriften eingeführt. Daher muss die Risikomanagementabteilung entsprechende Risikomaßnahmen für neue Vorschriften entwickeln.
IT- und DX-bezogene Abteilungen
Die IT- und DX-bezogenen Abteilungen müssen Sicherheitsschutzmaßnahmen entsprechend der Einstufung in ihre Systeme integrieren. Zunächst sollten die Sicherheitsschutzmaßnahmen der bestehenden Systeme des Unternehmens überprüft und, falls notwendig, Systeme entsprechend dem Cybersecurity-Gesetz implementiert werden.
Neben dem Cybersecurity-Gesetz müssen auch Datenlokalisierungsregelungen, grenzüberschreitende Beschränkungen und Government Access berücksichtigt werden. Es ist wichtig zu verstehen, welche Daten ins Ausland übertragen werden und die eigene Datenerfassung und -speicherung zu überprüfen.
Das Cybersecurity-Gesetz erfordert nicht nur die Überarbeitung von Vorschriften, sondern auch die Umsetzung technischer Schutzmaßnahmen, weshalb die Zusammenarbeit der zuständigen Abteilungen unerlässlich ist.
Fazit: Bei Problemen mit unternehmensinternen Maßnahmen, suchen Sie den Rat von Experten
Das chinesische Cybersecurity-Gesetz ist ein System, das zum Schutz der nationalen Sicherheit Chinas geschaffen wurde. Um das Cybersecurity-Gesetz umzusetzen, ist es notwendig, nicht nur die Vorschriften durch die Rechts- oder Verwaltungsabteilung zu überarbeiten, sondern auch technische Schutzmaßnahmen zu ergreifen.
Seit der Einführung des Cybersecurity-Gesetzes wurden zahlreiche Gesetze im Bereich der Datenkonformität verabschiedet, wie die “Bestimmungen zur Verwaltung von Sicherheitslücken in Internetprodukten” und die “Cybersecurity-Überprüfungsverfahren (ein System, das das nationale Sicherheitsüberprüfungssystem konkretisiert)”. Bei Verstößen drohen Strafen wie Geldbußen, Schließung von Websites oder Löschung der Geschäftslizenz, daher ist Vorsicht geboten. Wenn Sie in China Geschäfte machen oder dies in Zukunft planen, empfehlen wir Ihnen, sich an einen Anwalt zu wenden, der sich mit chinesischem Recht auskennt.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei ist eine auf IT, Internet und Business spezialisierte Kanzlei. Wir haben bereits Projekte in verschiedenen Ländern wie China, den USA und den EU-Staaten bearbeitet. Bei der Geschäftsentwicklung im Ausland sind zahlreiche rechtliche Risiken zu beachten, weshalb die Unterstützung durch erfahrene Anwälte unerlässlich ist. Unsere Kanzlei verfügt über umfassende Kenntnisse der lokalen Gesetze und Vorschriften und arbeitet mit Rechtsanwaltskanzleien weltweit zusammen.
Bereiche, in denen die Monolith Rechtsanwaltskanzlei tätig ist: Internationales Recht & Auslandsgeschäfte[ja]