Fallstricke im Datendschungel

Jedes Unternehmen, das in oder mit China Geschäftsbeziehungen unterhält, muss sich mit den chinesischen Datenschutzbestimmungen auseinandersetzen. Das ist gar nicht so einfach, denn in der Praxis ist längst nicht alles klar – trotz hoher Regelungsdichte. Wir verschaffen Ihnen einen ersten Durchblick.

Datenschutz betrifft jeden
Datenschutzlandschaft ist vielgestaltig
Daten werden kategorisiert
Extraterritoriale Anwendbarkeit
Werden Sie aktiv!

Datenschutz betrifft jeden

Datenschutz ist spätestens seit der EU-Datenschutzgrundverordnung und dem aktualisierten Bundesdatenschutzgesetz für alle Unternehmen ein Thema. Nicht nur die Europäische Union und ihre Mitgliedsstaaten haben Datenschutzgesetze verabschiedet. Auch China nimmt den gesetzeskonformen Umgang mit Daten ernst. In den letzten Jahren fanden vermehrt datenschutzrelevante Bestimmungen Eingang in verschiedene, zum Teil branchenspezifische, chinesische Gesetze und Verordnungen. Den Durchblick im Rechtsdschungel zu behalten und die unterschiedlichen, teilweise widersprüchlichen Anforderungen verschiedener Gesetze zu koordinieren, stellt eine zusätzliche Herausforderung dar.

Datenschutzgesetze in China – Herausforderungen, Hintergründe und Handlungsanweisungen

Die chinesischen Regeln betreffen nicht nur in China ansässige Unternehmen, sondern auch solche, die durch chinesische Kunden am grenzüberschreitenden Datenverkehr teilhaben. Was bedeutet dies konkret für Geschäftsbeziehungen zu China?

Maßgeblich sind vor allem das Cybersicherheitsgesetz (Cyber Security Law, CSL), das Datensicherheitsgesetz (Data Security Law, DSL) und das Gesetz zum Schutz persönlicher Informationen (Personal Information Protection Law, PIPL). International operierende Unternehmen müssen sich gerade beim grenzüberschreitenden Datentransfer mit den strengen chinesischen Vorschriften vertraut machen. Das stellt teils hohe Anforderungen. Zudem müssen alle Firmen Daten lokal in China speichern, sofern bestimmte Mengenschwellen überschritten werden.

Die Gesetze geben meist nur den allgemeinen Rechtsrahmen vor, konkreter werden technische Normen und Standards sowie weitere Regelungen und provinzeigene Anforderungen. Die nationale Internet-Informationsbehörde (Cyberspace Administration of China, CAC), das Ministerium für Industrie und Informationstechnologie (MIIT) und das Ministerium für öffentliche Sicherheit (MPS) sind dabei zentrale Akteure.

Die Entwicklung bleibt dynamisch; mit weiteren Umsetzungsbestimmungen zu den Gesetzen ist zu rechnen. Das macht die Lage zu einem komplexen, teils undurchsichtigen Dschungel aus Vorschriften und Pflichten. Umso wichtiger ist es, den Überblick über die jeweils aktuelle Gesetzeslage zu behalten und die Auswirkungen auf das eigene Unternehmen und die Geschäftsprozesse zu kennen.

Datenschutzlandschaft ist vielgestaltig

Chinas erste datenschutzrechtliche Regelung, das CSL, legt das Hauptaugenmerk auf die Erhaltung der “Souveränität über den Cyberspace” und die nationale Sicherheit Chinas. Im Fokus stehen IT-Sicherheit und das Verhalten im Internet. Unter das CSL fallen sowohl natürliche als auch juristische Personen mit Datenaktivitäten innerhalb Chinas, also alle, die Informationen erheben, verarbeiten oder verbreiten. Auch ausländische Unternehmen mit Niederlassungen in China oder mit in China ansässigen Kunden sind davon betroffen.

Das CSL bleibt in seinen Ausführungen eher allgemein, anders das Datensicherheitsgesetz (DSL). Es gibt einen übergreifenden Rahmen für Chinas nationalen Datenschutz vor und zielt darauf ab, Datenaktivitäten zu regulieren sowie die allgemeine Datensicherheit zu verbessern. Neu ist zudem ein einheitliches Verfahren in Bezug auf die Sicherheitsüberprüfung, das sogenannte Security Assessment.

Das PIPL ist das erste Gesetz Chinas ausschließlich zum Schutz persönlicher Informationen. Es reguliert die Datenerhebung und Datenverarbeitung. Gleichzeitig dient es zur Schadensbegrenzung bei Datendiebstahl und bei Datenlecks. Das PIPL schafft einen einheitlichen Rechtsrahmen und baut dabei auf bereits bestehender Gesetzgebung und nationalen Datenschutzleitlinien auf. Es weist Ähnlichkeiten zur EU-Datenschutzgrundverordnung (DSGVO) auf. Daher lassen sich Analogien ziehen und Synergien nutzen. Das PIPL erweitert das DSL um den Bereich der persönlichen Informationen und stellt umfangreiche Compliance- Anforderungen an Datenverarbeiter.

Lesen Sie mehr zu den Grundsätzen der Datenverarbeitung gemäß DSGVO sowie der rechtmäßigen Datenverarbeitung.

Grundlage für alle Datenschutzmaßnahmen ist das Multi-Level Protection Scheme (MLPS 2.0), das alle in China registrierten Unternehmen, also auch ausländische Niederlassungen, zu einer Sicherheitszertifizierung ihrer IT-Systeme durch die lokalen Behörden verpflichtet.

Daten werden kategorisiert

Das DSL fordert, Daten in Gruppen mit unterschiedlichen Sicherheitsmaßnahmen zu klassifizieren. Als Daten gilt grundsätzlich jede Informationsaufzeichnung in elektronischer oder anderer Form. Durch diese weite Definition wirkt sich das DSL gleichermaßen auf Produktion, Verwaltung und andere Abläufe in Unternehmen aus.

Als Datenaktivitäten zählen das Sammeln, Speichern, Verarbeiten und Übertragen von Daten. Als eine persönliche Information wird jede Art von elektronisch oder durch andere Medien aufgenommene, nicht-anonymisierte Information verstanden, die eine natürliche Person identifiziert oder identifizieren kann. Sensible persönliche Informationen sind beispielsweise biometrische Merkmale oder Gesundheitsdaten. Auch Daten, deren Verlust oder Missbrauch die Würde einer Person beeinträchtigen oder Schaden verursachen können, gehören dazu.

Wichtige Daten und nationale Kerndaten sind in Abstufung jene, die einen engen Bezug zur nationalen Sicherheit, wirtschaftlichen Entwicklung sowie zu sozialen und öffentlichen Interessen Chinas haben. Ergänzend dazu gibt es regional sowie industrieabhängig weitere Datenkategorien. Die kritische Informationsinfrastruktur bezieht sich auf wichtige Branchen wie öffentliche Informationsdienste, Energie, Verkehr oder Finanzen, wo Datenlecks die nationale Sicherheit und Wirtschaft ernsthaft gefährden können. Für sie gelten strengere Vorschriften.

Extraterritoriale Anwendbarkeit

Das CSL reguliert insbesondere auch den internationalen Datenverkehr, der die Volksrepublik verlässt. Grundsätzlich besteht eine Pflicht zur Datenlokalisierung in China, Daten dürfen nur unter bestimmten Voraussetzungen ins Ausland übermittelt werden. Auch das DSL hat eine extraterritoriale Komponente. Das heißt, grundsätzlich sind auch der grenzüberschreitende Datentransfer und Aktivitäten im Ausland betroffen, wenn China seine ökonomischen Interessen und die nationale Souveränität berührt sieht.

Auch das PIPL erstreckt sich auf Verarbeitungsaktivitäten außerhalb Chinas und findet ausdrücklich auch auf ausländische Unternehmen und Individuen Anwendung. Etwa wenn zur Bereitstellung von Produkten oder Dienstleistungen oder zur Verhaltensanalyse personenbezogene Daten chinesischer Kunden außerhalb des Landes erhoben und verarbeitet werden. Betroffene Individuen müssen informiert werden und zustimmen.

Betreiber kritischer IT-Infrastruktur und Unternehmen, die bestimmte Schwellenwerte bei der Menge der verarbeiteten persönlichen Informationen überschreiten, müssen vor einem notwendigen Datentransfer ins Ausland zwingend eine behördliche Sicherheitsbewertung bestehen. Vorsicht ist auch bei unbewusstem Datentransfer geboten, beispielsweise durch die betriebsinterne Nutzung von US-Cloud-Anbietern. Verstöße können mit empfindlichen Strafen, hohen Geldbußen oder Beeinträchtigung der Geschäftstätigkeiten bis zum Entzug der Geschäftslizenz sanktioniert werden.

Werden Sie aktiv!

Unternehmen sollten sich einen Überblick über den Stand von Datenverarbeitung und -management, von Verarbeitungssystem sowie Datenschutzmaßnahmen im Unternehmen verschaffen. Sie sollten prüfen, ob die Gesetze konkrete Pflichten auferlegen wie Datenlokalisierung in China, regelmäßige Risikobewertungen, Berichterstattungen gegenüber chinesischen Aufsichtsbehörden oder ob ein Datenschutzbeauftragter benannt werden muss.

Bestandsaufnahme und Vorgehen sollten umfassend und zielführend sein. Wir haben für Sie einen 11-Punkte-Plan zusammengestellt:

Errichten Sie ein System zur Klassifizierung der verarbeiteten Daten in wichtige Daten, personenbezogene Daten und sensible personenbezogene Daten. Prüfen Sie, ob Sie unter die Definition als kritische Informationsinfrastruktur fallen.
Stellen Sie fest, welche Daten (auch) ins Ausland übertragen werden und welches Volumen die Datenmengen haben. Wie ist die Niederlassung in das Konzern IT-Netz eingebunden, innerhalb Chinas und über Grenzen hinweg?
Welche Mechanismen greifen, um Daten vor Verlust, Diebstahl, Manipulation oder Beschädigung zu schützen? Achten Sie darauf, dass diese nicht nur technische, sondern auch organisatorische Maßnahmen und entsprechende Vertragsklauseln umfassen. Bessern Sie gegebenenfalls nach. Und für alle Fälle einen Notfallplan erstellen!
Machen Sie Datensicherheit zur Chefsache: Organisieren Sie regelmäßige Fort- und Weiterbildungen in Sachen Datensicherheit!
Untersuchen Sie genau, ob und welche Datenaktivitäten im In- wie Ausland unter chinesisches Recht fallen.
Stellen Sie alle Datentransaktionen mit Externen auf den Prüfstand. Sie müssen den chinesischen Datenschutzbestimmungen Stand halten – selbst wenn es „nur“ um Datenübermittlung innerhalb des Konzernverbunds geht.
Klären Sie, ob Personen der Datenverarbeitung zustimmen müssen. Prüfen Sie, ob Betroffene zustimmen müssen oder zumindest informiert werden müssen. Letzteres dürfen Sie ruhig als Regelfall annehmen.
Allgemeine Bedingungen zur Datenverarbeitung sollten immer öffentlich zugänglich sein.
Interne Spielregeln im Umgang mit personenrelevanten Daten sollten schriftlich fixiert und die Zuständigkeiten geklärt und transparent sein ebenso wie ein datenschutzrechtlicher Notfallplan.
Stellen Sie fest, ob in bestimmten Fällen eine Risikoanalyse erforderlich ist. Das kann beim grenzüberschreitenden Datentransfer oder beim Umgang mit sensiblen Daten der Fall sein. Ergebnisse solcher Bewertungen sind drei Jahre vorrätig zu halten.
Unterziehen Sie Verträge und andere rechtsverbindlichen Dokumente, die Datenschutzklauseln enthalten, einer peinlichen Untersuchung, inwieweit sie betroffen sind und überarbeitet werden müssen – und veranlassen Sie die entsprechenden Schritte unverzüglich.

Sprechen Sie uns bei Fragen gerne an!