DATA SECURITY LAW

BEACHTEN UND IMPLEMENTIEREN

Neues Gesetz in China: Data Security Law

Data Security Law

China hat im Juni 2021 das neue Data Security Law (DSL) verabschiedet. Ziel des Gesetzes, das am 1. September 2021 in Kraft tritt, ist nicht nur der Schutz von Daten in China, sondern auch die Regelung des grenzüberschreitenden Datenverkehrs. Es geht beim DSL vor allem um die Förderung der Dateninfrastruktur und die innovative Nutzung von Daten durch die Industrie. Cybersicherheit und Datenschutz sind die Grundlagen für eine funktionierende digitale Wirtschaft.

Extraterritoriale Geltung

Mit dem Data Security Law (DSL) nimmt der regulatorische Druck auf alle in China tätigen Unternehmen weiter zu. Das Regulierungssystem für Datenschutz und Cybersicherheit gilt auch für Unternehmen und Personen außerhalb Chinas, sobald sie an China-bezogenen Datenaktivitäten beteiligt sind und diese die nationale Sicherheit, das öffentliche Interesse oder andere legale Interessen chinesischer Bürger oder Organisationen betreffen.

Kontakt

Rufen Sie uns unter +49 (0) 89 - 321 212 800 an oder schreiben Sie uns:

Ihr Partner für DSL-Compliance in China

CHINABRAND unterstützt mit seinen Experten deutsche und europäische Unternehmen bei der Umsetzung der Vorschriften des Data Security Law in China:

  • Hilfe bei der Gestaltung von Verträgen mit dem Empfänger von Daten.
  • Unterstützung bei der Einrichtung eines Datensicherheit-Managementsystems.
  • Gap-Analyse und Behebungsplan bei Optimierungsbedarf.
  • Koordination der vorgeschriebenen Risikobewertung von Datensätzen vor der Übertragung ins Ausland.
  • Kommunikation mit den für Prozesse und Genehmigungen verantwortlichen Behörden.
  • Koordination der Sicherheitsüberprüfung und Genehmigungen durch die Cyberspace-Behörde bei personenbezogenen Daten.
  • Koordination der regelmäßigen Berichtserstattung an die Behörden.

Zeit zu handeln

Die Vielzahl an neuen chinesischen Gesetzen ist für ausländische Unternehmen oft herausfordernd, unüberschaubar und intransparent, was nicht selten zu Unsicherheit bei der Umsetzung in der Praxis führt. Unternehmen sollen bereits vor Inkrafttreten des Gesetzes ihr Datenmanagement und ihre Maßnahmen zum Datenschutz überprüfen, um auf das DSL und damit zusammenhängender neuer Vorschriften vorbereitet zu sein.

Case Studies
Compliance Cybersecurity und Datenschutz

Ein Mandant wollte analysieren, welche Verpflichtungen auf seine chinesische Niederlassung in den Bereichen Cybersecurity und Datenschutz zukommen. Diese Analyse wurde benötigt, um weitreichende Entscheidungen in der Entwicklung der Unternehmens-IT treffen zu können. Wir konnten dem Unternehmen mit einer Analyse der aktuellen Gesetzeslage durch spezialisierte chinesische Fachanwälte und mit strategischer Beratung zur Seite stehen.

Rollout von Software nach China

Der globale Einsatz standardisierter Computerprogramme ist für viele international tätigen Unternehmen unabdingbar. Beim Rollout westlicher Software nach China sind nicht nur die spezifischen gesetzlichen Anforderungen der Cyber Security und des Datenschutzes relevant, sondern auch die Verhaltensmuster chinesischer Mitarbeiter – beispielsweise die Umgehung von Unternehmensanwendungen durch WeChat. CHINABRAND konnte deutsche Unternehmen dabei begleiten, ihre Software in China einzusetzen. Dabei wurden Lösungen gefunden, die die rechtlichen und technischen Anforderungen erfüllen.

Überblick Datenschutz und Cyber Security in China

Cybersecurity Law: Implementierung von MLPS
Das MLPS stellt die technische und organisatorische Grundlage der Datensicherheit und auch des Datenschutzes dar. Alle Unternehmen in China sind verpflichtet, das MLPS umzusetzen – unabhängig von der Art der verarbeiteten Daten und der verwendeten Informationssysteme.

Data Security Law: Datenklassifizierung
Das System der Datenklassifizierung ist ein dominantes Thema des DSL. Neben den gewöhnlichen Daten sieht das DSL „wichtige Daten“ und „nationale Kerndaten“ als spezielle Datenkategorien vor. Für diese besondere Kategorien gelten strengere Vorschriften und schärfere Sicherheitsmaßnahmen. Das DSL spezifiziert die „wichtigen Daten“ nicht. Ihre Bestimmung hängt weitgehend von einem Katalog ab, der von jeder Region und Branche erstellt wird. Wir empfehlen, auf Benachrichtigungen der Behörden Ihres Standorts und Ihrer Branche zu achten.

Schutz persönlicher Informationen 
Unternehmen sammeln im Geschäftsbetrieb viele Kundeninformationen, die auch detaillierte persönliche Informationen wie Namen, Adressen und Kontaktdaten beinhalten. Das CSL sowie einige Verordnungen beinhalten bereits grundlegende Datenschutzvorschriften. Das Gesetz zum Schutz personenbezogener Daten (PIPL) soll diese Vorschriften in Hinblick auf personenbezogenen Daten weitere konkretisieren und wird voraussichtlich noch in diesem Jahr in Kraft treten.

Schulung zur Datensicherheit
Sowohl gemäß des CSL als auch des DSL ist es notwendig, dass Unternehmen angemessene Maßnahmen zum Schutz der Daten ergreifen müssen. Wir empfehlen deshalb, regelmäßig interne Schulungen zum Thema Cybersicherheit und Datensicherheit für die Mitarbeiter durchzuführen.

Datenexportkontrollen und grenzüberschreitender Datenverkehr
Das DSL stellt in Verbindung mit dem Exportkontrollgesetz weiter klar, dass der Export von Daten, beispielsweise technischer Daten, in den Anwendungsbereich der Exportkontrollverordnung fällt. In diesem Fall muss Ihr Unternehmen ggf. eine Exportgenehmigung beantragen. Das Gesetz hebt außerdem die Anforderungen beim grenzüberschreitenden Datentransfer für Betreiber kritischer Infrastrukturen (CIIOs) hervor. Aktuelle Verordnungen in Zusammenhang mit dem DSL weisen darauf hin an, dass Beschränkungen des grenzüberschreitenden Datenverkehrs möglicherweise bald für alle Unternehmen gelten. 

Handlungsempfehlungen
Wir empfehlen allen in China niedergelassenen und auch den im Chinageschäft tätigen Unternehmen, die Themen Cyber Security und Datenschutz kurzfristig anzugehen und die gesetzlich geforderten Schutzmaßnahmen zügig umzusetzen. Die chinesische Regierung hat die Überwachung in Sachen Cybersicherheit und Datenschutz jetzt deutlich verstärkt und drängt alle Unternehmen, ihre Verpflichtungen zu erfüllen. Unsere Erfahrungen in aktuellen Projekten zeigen, dass die Behörden die Umsetzung sogar durch unangekündigte Penetrationstests überprüft.

Copyright 2021 CHINABRAND IP CONSULTING GMBH
Es werden notwendige Cookies, Google Fonts, Google Maps, OpenStreetMap, Youtube und Google Analytics geladen. Details finden Sie in unserer Datenschutzerklärung und unserem Impressum.