MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Was ist das 'Chinesische Cybersecurity-Gesetz'? Erklärung der Schlüsselpunkte zur Einhaltung

General Corporate

Was ist das 'Chinesische Cybersecurity-Gesetz'? Erklärung der Schlüsselpunkte zur Einhaltung

Laut einer Sonderauswertung der “Japanese Teikoku Databank” über die Tendenzen des Markteintritts japanischer Unternehmen in China im Jahr 2022 (2022年)[ja], gibt es 12.706 japanische Unternehmen, die in China tätig sind. Es ist anzunehmen, dass die Zahl der Unternehmen, die Geschäfte mit Bezug zu China betreiben, noch höher liegt. In China wurde im Jahr 2017 das “Japanese Cybersecurity Law” eingeführt.

Dies hat zur Folge, dass Unternehmen, die in China Geschäfte machen wollen, ihre Richtlinien gemäß dem Gesetz überarbeiten und technische Schutzmaßnahmen ergreifen müssen. Es gibt jedoch sicherlich Personen, die nicht genau wissen, um was für ein Gesetz es sich handelt oder die nicht wissen, wie sie darauf reagieren sollen.

In diesem Artikel erläutern wir die Grundzüge des chinesischen Cybersecurity-Gesetzes, die regulierten Bereiche und die zu ergreifenden Maßnahmen. Wenn Sie in China Geschäfte machen oder einen Markteintritt in Betracht ziehen, sollten Sie diesen Artikel unbedingt als Referenz nutzen.

Überblick über das chinesische Cybersecurity-Gesetz

Beratende Frau

Das chinesische Cybersecurity-Gesetz (网络安全法), das im Juni 2017 (Reiwa 29) in Kraft getreten ist, verfolgt laut Artikel 1 folgende Ziele:

  • Die Sicherheit von Netzwerken gewährleisten
  • Die Souveränität des Cyberspace, die nationale Sicherheit und das öffentliche Interesse schützen
  • Die legitimen Rechte und Interessen von Bürgern, juristischen Personen und anderen Organisationen schützen
  • Die Entwicklung der Informatisierung von Wirtschaft und Gesellschaft fördern

Unter “Netzwerk” versteht das Gesetz “Systeme, die aus Computern oder anderen Informationsendgeräten und zugehörigen Einrichtungen bestehen und nach bestimmten Regeln oder Programmen Informationen sammeln, speichern, übertragen, austauschen oder verarbeiten (Artikel 76)”. Dies umfasst nicht nur das Internet, sondern auch Intranets.

Im Gegensatz zur EU-Datenschutz-Grundverordnung (DSGVO) oder dem japanischen Datenschutzgesetz zeichnet sich das chinesische Cybersecurity-Gesetz nicht nur durch den Schutz von Informationen von Personen und Organisationen aus, sondern auch durch den Schutz der nationalen Sicherheit und des öffentlichen Interesses Chinas. Das Gesetz legt für die betroffenen Unternehmen die Umsetzung von Cybersecurity-Schutzstufen, die Einhaltung von Compliance und die Klärung von Rechten und Pflichten fest.

Zu den Gesetzen, die sich mit Sicherheit befassen, gehört auch das chinesische Datensicherheitsgesetz.

Verwandter Artikel: Was ist das chinesische Datensicherheitsgesetz? Maßnahmen, die japanische Unternehmen ergreifen sollten[ja]

Regulierungsziele des Chinesischen Cybersecurity-Gesetzes

Regeln

Japanische Unternehmen fallen unter das Chinesische Cybersecurity-Gesetz in folgenden Fällen:

  • Es erfolgt eine Handhabung von Informationen innerhalb Chinas
  • Informationen werden von China nach Japan transferiert

Auch wenn sich der Firmensitz in Japan befindet, fällt das Unternehmen unter das Gesetz, sofern die oben genannten Punkte zutreffen. Zu den regulierten Akteuren zählen unter anderem “Netzwerkbetreiber” und “Betreiber von kritischen Informationsinfrastrukturen”.

Unter Netzwerkbetreibern versteht man Eigentümer und Verwalter von Netzwerken sowie Anbieter von Netzwerkdiensten.

Betreiber von kritischen Informationsinfrastrukturen sind solche, die Einrichtungen betreiben, deren Beschädigung oder Datenlecks die nationale Sicherheit, das Leben der Bürger oder das öffentliche Interesse erheblich beeinträchtigen könnten, insbesondere in Bereichen, die bei Schäden eine Bedrohung für die nationale Sicherheit darstellen könnten, wie Energie, Transport, Finanzen und öffentliche Dienstleistungen.

Inhalt des Chinesischen Cybersecurity-Gesetzes

Foto einer Frau

Das Chinesische Cybersecurity-Gesetz legt unter anderem folgende Verpflichtungen fest:

  • Einrichtung von Cybersecurity-Klassifizierungen
  • Anpassung an die verbindlichen nationalen Standards
  • Erfordernis der Registrierung mit Klarnamen
  • Verpflichtungen für Betreiber kritischer Informationsinfrastrukturen
  • Aufbau von Management- und Reaktionsstrukturen

Hier werden die Einzelheiten zu jedem Punkt erläutert.

Einrichtung von Cybersicherheitsstufen

Nach Artikel 21 des chinesischen Gesetzes über Cybersicherheit (Chinese Cybersecurity Law) ist ein “Stufenschutzsystem” festgelegt, das Netzwerkbetreiber einhalten müssen. Unternehmen und Organisationen, die in China Netzwerke besitzen, müssen eine Stufenschutzzertifizierung erlangen.

Das Stufenschutzsystem ist ein öffentliches Bewertungssystem für das Management von Netzwerksicherheit. Der Anwendungsbereich umfasst Folgendes:

  • Netzwerkinfrastruktur
  • IoT
  • Industrielle Steuerungssysteme
  • Große Internetseiten und Datenzentren
  • Öffentliche Dienstleistungsplattformen

Im Stufenschutzsystem werden Informationssysteme je nach Ausmaß und Umfang des Schadens bei einer Beschädigung in fünf Stufen eingeteilt:

Grad des Schadens für das Objekt
Allgemeiner SchadenErheblicher SchadenBesonders schwerer Schaden
Bürger und juristische Personen usw.Stufe 1Stufe 2Stufe 3
Soziale Ordnung & öffentliches InteresseStufe 2Stufe 3Stufe 4
Nationale SicherheitStufe 3Stufe 4Stufe 5

Die Definitionen der einzelnen Stufen sind wie folgt:

StufeDefinition
Stufe 1Ein allgemeines Netzwerk, bei dessen Zerstörung die rechtmäßigen Rechte und Interessen der betroffenen Bürger, juristischen Personen und anderen Organisationen beeinträchtigt werden, jedoch ohne Auswirkungen auf die nationale Sicherheit, soziale Ordnung oder das öffentliche Interesse.
Stufe 2Ein allgemeines Netzwerk, bei dessen Zerstörung erhebliche Schäden für die rechtmäßigen Rechte und Interessen der betroffenen Bürger, juristischen Personen und anderen Organisationen entstehen oder die soziale Ordnung und das öffentliche Interesse gefährdet werden, jedoch ohne Auswirkungen auf die nationale Sicherheit.
Stufe 3Ein wichtiges Netzwerk, bei dessen Zerstörung sehr erhebliche Schäden für die rechtmäßigen Rechte und Interessen der betroffenen Bürger, juristischen Personen und anderen Organisationen entstehen oder die nationale Sicherheit gefährdet wird.
Stufe 4Ein besonders wichtiges Netzwerk, bei dessen Zerstörung die soziale Ordnung und das öffentliche Interesse erheblich beeinträchtigt werden oder sehr wichtige Schäden für die nationale Sicherheit entstehen.
Stufe 5Ein äußerst wichtiges Netzwerk, bei dessen Zerstörung sehr schwere Schäden für die nationale Sicherheit entstehen.

Für jede Stufe sind bestimmte Standards der Informationssicherheit einzuhalten. Es ist üblich, dass Netzwerkbetreiber mindestens der Stufe 2 und Betreiber kritischer Informationsinfrastrukturen mindestens der Stufe 3 unterliegen.

Zur Erlangung einer Stufe müssen Betreiber eine Selbstbewertung bei den Behörden einreichen, aber letztendlich ist die Zustimmung des Ministeriums für öffentliche Sicherheit erforderlich. Darüber hinaus müssen Netzwerke ab Stufe 2 eine Bewertung durch eine Evaluierungsstelle durchlaufen. Bei Verstößen gegen das Stufenschutzsystem können Geldstrafen verhängt werden, daher ist Vorsicht geboten.

Konformität mit staatlichen Zwangsstandards

Anbieter von Internetprodukten und -dienstleistungen müssen sicherstellen, dass ihre Services den staatlichen Zwangsstandards entsprechen (Artikel 22). Es ist ihnen nicht gestattet, bösartige Programme zu installieren.

Entdecken sie zudem Mängel, Schwachstellen oder andere Risiken in ihren Produkten oder Dienstleistungen, müssen sie unverzüglich Maßnahmen ergreifen, die Nutzer informieren und die zuständigen Behörden benachrichtigen.

Im September 2021 (Reiwa 3) wurde die “Verordnung zur Verwaltung von Sicherheitslücken in Internetprodukten (网络产品安全漏洞管理规定)” für Netzwerkbetreiber in Kraft gesetzt. Daher ist es ratsam, sich auch auf diese Verordnung zu beziehen und entsprechend zu handeln.

Erfordernis der Registrierung mit dem echten Namen

Bei der Bereitstellung von Netzwerkverbindungsdiensten, Verfahren zur Netzwerkanbindung für Festnetz- und Mobiltelefone, Informationsaustauschdiensten sowie Instant-Messaging-Diensten ist es erforderlich, dass Nutzer mit ihrem echten Namen registriert werden. Sollten Nutzer sich nicht mit ihrem echten Namen registrieren, darf der Dienst nicht zur Verfügung gestellt werden.

Darüber hinaus haben Netzwerkbetreiber die Pflicht zu prüfen, ob die von Nutzern gesendeten Informationen keine Gesetze verletzen.

Pflichten für Betreiber kritischer Informationsinfrastrukturen

Betreiber kritischer Informationsinfrastrukturen müssen nicht nur die Sicherheitsmaßnahmen umsetzen, die Netzwerkbetreibern auferlegt sind, sondern auch folgende Maßnahmen ergreifen:

  • Regelmäßige Backups von Systemen und Datenbanken erstellen
  • Entwicklung eines Reaktionsplans für Sicherheitsvorfälle
  • Jährliche Sicherheitsbewertungen durchführen
  • Datenlokalisierung

Datenlokalisierung: Ein Prozess, bei dem Daten innerhalb der nationalen Grenzen des Landes gespeichert und verarbeitet werden, in dem sie generiert wurden.

Die im September 2021 (Reiwa 3) in Kraft getretene Verordnung zum Schutz kritischer Informationsinfrastrukturen (Japanese 重要情報インフラ施設安全保護条例) konkretisiert die Verwaltung, Zertifizierung und Pflichten der Betreiber kritischer Informationsinfrastrukturen weiter, sodass auch diese Verordnung zu beachten ist.

Aufbau eines Management- und Reaktionssystems

Von Netzwerkbetreibern wird Folgendes gefordert (Artikel 21):

  • Einrichtung eines Sicherheitsmanagementsystems und Erstellung von Betriebsvorschriften
  • Bestimmung eines Verantwortlichen für die Netzwerksicherheit
  • Entwicklung eines Reaktionsplans für Sicherheitsvorfälle und Implementierung technischer Maßnahmen
  • Einführung von Überwachungstechnologien für das Netzwerk und Speicherung von Protokollen (mindestens 6 Monate)
  • Datenklassifizierung und Schutzmaßnahmen wie Backup und Verschlüsselung wichtiger Daten

Bestimmungen bei Verstößen gegen das japanische Cybersecurity-Gesetz

Achtung Warnung

Wenn Sie gegen die im Graduated Protection System geforderten Sicherheitsanforderungen verstoßen, werden Berichtigungsanordnungen und Warnungen erteilt. Wenn Sie die Anordnung ablehnen oder die Sicherheit des Netzwerks gefährden, müssen Sie eine Geldstrafe von mindestens 10.000 Yuan (ca. 1.300 Euro) bis zu 100.000 Yuan (ca. 13.000 Euro) zahlen. Darüber hinaus wird gegen die direkt Verantwortlichen eine Geldstrafe von mindestens 5.000 Yuan (ca. 650 Euro) bis zu 50.000 Yuan (ca. 6.500 Euro) verhängt.

Des Weiteren werden Berichtigungsanordnungen und Warnungen ausgesprochen, wenn beispielsweise bösartige Programme installiert werden oder wenn keine Maßnahmen gegen Risiken wie Produkt- oder Dienstleistungsmängel oder Sicherheitslücken ergriffen werden. Wenn diese Anordnungen abgelehnt werden, entstehen ebenfalls Geldstrafen.

Die Höhe der Geldstrafe variiert je nach Art des Verstoßes, und es kann auch zu weiteren Maßnahmen wie der Schließung von Websites, der Löschung von Geschäftslizenzen oder der Einstellung des Betriebs kommen, weshalb besondere Vorsicht geboten ist. In der Vergangenheit gab es Fälle, in denen aufgrund von Verstößen Geldstrafen verhängt wurden und die verantwortlichen Personen mit einem lebenslangen Berufsverbot in der gleichen Branche belegt wurden. Daher ist es unerlässlich, angemessene Maßnahmen zur Cybersecurity zu ergreifen.

Maßnahmen zur Cybersecurity, die japanische Unternehmen ergreifen sollten

Mann, der Anweisungen gibt

Das chinesische Cybersecurity-Gesetz ist komplex, und es kann schwierig sein zu wissen, wo man anfangen soll. In diesem Artikel erklären wir, welche Maßnahmen japanische Unternehmen ergreifen sollten.

Ein koordiniertes System mit der IT-Abteilung und den DX-bezogenen Abteilungen aufbauen

Um auf das chinesische Cybersecurity-Gesetz zu reagieren, müssen Unternehmen Betriebsprozesse aufbauen und Datenschutzrichtlinien entwickeln oder ergänzen. Zudem sind technische Maßnahmen für das eigene System unerlässlich, um dem Graduated Protection Scheme gerecht zu werden.

Es ist notwendig, nicht nur in den Rechts- und Verwaltungsabteilungen individuell zu handeln, sondern auch ein koordiniertes System mit der IT-Abteilung und den DX-bezogenen Abteilungen zu etablieren.

Bestimmen, welcher Stufe die eigenen Systeme entsprechen

Zuerst erfolgt die Einstufung der eigenen Systeme. Entsprechend dieser Stufe müssen alle Abteilungen Maßnahmen ergreifen, die den Cybersecurity-Vorschriften entsprechen. In den Rechts-, Verwaltungs- und Risikomanagementabteilungen sind Überprüfungen und Anpassungen der Vorschriften und Betriebsabläufe erforderlich, während in den IT- und DX-bezogenen Abteilungen technische Maßnahmen notwendig werden. Im Folgenden erläutern wir die jeweiligen Maßnahmen.

Rechts-, Verwaltungs- und Risikomanagementabteilungen

Die Abteilungen vergleichen die in der Stufe festgelegten Anforderungen mit dem eigenen Managementstatus und dem Informationssicherheitssystem, um Richtlinien zu ergänzen und Betriebsstrukturen zu überprüfen. Dann wird überlegt, wie man vorgeht, und es werden Maßnahmen wie die Einrichtung und Änderung von Systemen ergriffen.

Bei einer Einstufung ab der zweiten Stufe ist auch eine Meldung an die Behörden erforderlich. Wenn das Unternehmen als Betreiber kritischer Informationsinfrastrukturen angesehen wird, ist eine Zertifizierung für den Schutz ab der dritten Stufe erforderlich. Darüber hinaus müssen zahlreiche Maßnahmen ergriffen werden, wie die Einhaltung von Datenlokalisierungsregelungen und regelmäßige Schulungen und technische Trainings für Mitarbeiter. Wenn es wahrscheinlich ist, dass das Unternehmen als Betreiber kritischer Informationsinfrastrukturen gilt, ist es ratsam, mit einem Berateranwalt eine Vorgehensweise festzulegen.

In China werden kontinuierlich neue Sicherheitsvorschriften eingeführt. Daher muss die Risikomanagementabteilung entsprechende Risikomaßnahmen für neue Vorschriften entwickeln.

IT- und DX-bezogene Abteilungen

Die IT- und DX-bezogenen Abteilungen müssen Sicherheitsschutzmaßnahmen entsprechend der Einstufung in ihre Systeme integrieren. Zunächst sollten die Sicherheitsschutzmaßnahmen der bestehenden Systeme des Unternehmens überprüft und, falls notwendig, Systeme entsprechend dem Cybersecurity-Gesetz implementiert werden.

Neben dem Cybersecurity-Gesetz müssen auch Datenlokalisierungsregelungen, grenzüberschreitende Beschränkungen und Government Access berücksichtigt werden. Es ist wichtig zu verstehen, welche Daten ins Ausland übertragen werden und die eigene Datenerfassung und -speicherung zu überprüfen.

Das Cybersecurity-Gesetz erfordert nicht nur die Überarbeitung von Vorschriften, sondern auch die Umsetzung technischer Schutzmaßnahmen, weshalb die Zusammenarbeit der zuständigen Abteilungen unerlässlich ist.

Fazit: Bei Problemen mit unternehmensinternen Maßnahmen, suchen Sie den Rat von Experten

Foto eines Mannes und einer Frau

Das chinesische Cybersecurity-Gesetz ist ein System, das zum Schutz der nationalen Sicherheit Chinas geschaffen wurde. Um das Cybersecurity-Gesetz umzusetzen, ist es notwendig, nicht nur die Vorschriften durch die Rechts- oder Verwaltungsabteilung zu überarbeiten, sondern auch technische Schutzmaßnahmen zu ergreifen.

Seit der Einführung des Cybersecurity-Gesetzes wurden zahlreiche Gesetze im Bereich der Datenkonformität verabschiedet, wie die “Bestimmungen zur Verwaltung von Sicherheitslücken in Internetprodukten” und die “Cybersecurity-Überprüfungsverfahren (ein System, das das nationale Sicherheitsüberprüfungssystem konkretisiert)”. Bei Verstößen drohen Strafen wie Geldbußen, Schließung von Websites oder Löschung der Geschäftslizenz, daher ist Vorsicht geboten. Wenn Sie in China Geschäfte machen oder dies in Zukunft planen, empfehlen wir Ihnen, sich an einen Anwalt zu wenden, der sich mit chinesischem Recht auskennt.

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei ist eine auf IT, Internet und Business spezialisierte Kanzlei. Wir haben bereits Projekte in verschiedenen Ländern wie China, den USA und den EU-Staaten bearbeitet. Bei der Geschäftsentwicklung im Ausland sind zahlreiche rechtliche Risiken zu beachten, weshalb die Unterstützung durch erfahrene Anwälte unerlässlich ist. Unsere Kanzlei verfügt über umfassende Kenntnisse der lokalen Gesetze und Vorschriften und arbeitet mit Rechtsanwaltskanzleien weltweit zusammen.

Bereiche, in denen die Monolith Rechtsanwaltskanzlei tätig ist: Internationales Recht & Auslandsgeschäfte[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben