Live Chat Software by Kayako |
Datensicherheitsgesetz der Volksrepublik ChinaGepostet von Marc Füßlein, zuletzt bearbeitet von Marc Füßlein an 24 April 2024 16:59
|
|
Im September 2021 trat das Datensicherheitsgesetz der Volksrepublik China (中华人民共和国数据安全法) in Kraft. Im Deutschen wird das Gesetz gerne als DSL (aus dem Englischen: Data Security Law) abgekürzt. Aufbauend auf dem Cybersicherheitsgesetz der Volksrepublik China definiert es gesetzliche Vorgaben für den Umgang mit Daten im Allgemeinen und legt besonderen Fokus auf die nationale Sicherheit. Im Hinblick auf personenbezogene Daten wird es durch Chinas Gesetz zum Schutz personenbezogener Daten komplementiert. Wichtige Begriffsdefinitionen
Daten werden zudem in drei Kategorien unterteilt:
Internationaler DatentransferEin großer Teil des Datensicherheitsgesetzes befasst sich mit den Vorgaben von Datentransfers über die chinesischen Landesgrenzen hinaus. Sobald ein Unternehmen gewisse Kriterien erfüllt, dürfen Daten nur noch ins Ausland übertragen werden, sofern vorab eine entsprechende Sicherheitsprüfung durchgeführt wurde. Mit der Veröffentlichung der "Maßnahmen zur Prüfung von grenzüberschreitendem Datenverkehr" (据出境安全评估办法) im Juli 2022 wurden diese Kriterien genauer definiert. Ein Unternehmen muss sich dementsprechend für internationale Datentransfers einer Sicherheitsprüfung unterziehen, sofern
Darüber hinaus behält sich die chinesische Cybersicherheitsbehörde das Recht vor, nach eigenem Ermessen jederzeit eine Sicherheitsprüfung für den internationalen Datentransfer eines Unternehmens anzuordnen. Falls ein Unternehmen bereits Daten ins Ausland übermittelt und eines dieser Kriterien erfüllt, so muss bis September 2022 die Sicherheitsprüfung abgeschlossen werden. Aufgrund der fehlenden Kataloge zur Definition von wichtigen Daten ist allerdings weiterhin unklar, welche Unternehmen das erste Kriterium überhaupt erfüllen und vor allem, wer davon nicht betroffen ist. Sonderregelungen gibt es zudem für die Übergabe von Daten, die in China erfasst wurden, an ausländische Justiz- und Strafverfolgungsbehörde. Das Datensicherheitsgesetz untersagt die direkte Weitergabe von Daten an solche Behörden, unabhängig davon, in welche Kategorie die zugehören Daten fallen, pauschal. Stattdessen muss zuvor eine Genehmigung bei den zuständigen Behörden in China eingeholt werden. Allerdings ist derzeit ebenfalls nicht definiert, welche Behörden für eine solche Genehmigung zuständig sind. Weiterverarbeitung von DatenUnternehmen, die Daten von anderen Unternehmen beziehen und diese zum eigenen Zwecke weiterverarbeiten, unterliegen ebenfalls den Vorgaben des Datensicherheitsgesetzes. Insbesondere müssen sich solche Unternehmen von Ihren Datenlieferanten genau erklären lassen, woher die Daten stammen. Gleichzeitig muss die Identität des Datenlieferanten überprüft und verifiziert werden sowie jegliche Transaktionen mit einem Datenlieferanten dokumentiert und nachvollziehbar sein. SicherheitsvorkehrungenAlle chinesischen Unternehmen sind dazu verpflichtet, Datensicherheitssysteme einzuführen und kontinuierlich zu verbessern. Sobald eine Sicherheitslücke in den eigenen Systemen festgestellt wird, müssen umgehend Gegenmaßnahmen eingeleitet werden. Falls Daten ungewollt in die Hände eines Dritten gelangt sind, müssen sowohl die betroffenen Nutzer als auch die chinesischen Behörden unmittelbar informiert werden. Unternehmen, die mindestens mit wichtigen Daten arbeiten, müssen zudem einen Datensicherheitsbeauftragten benennen oder ein dafür zuständigen Team gründen. Darüber hinaus sind regelmäßige Risikobewertungen durchzuführen und deren Ergebnisse müssen den zuständigen Behörden zur Verfügung gestellt werden. Diese Risikobewertungen müssen unter anderem die Kategorie und Menge der Daten, mit denen gearbeitet wird, sowie die Art der Datenverarbeitung umfassen und benennen, ob Sicherheitslücken entdeckt und welche Gegenmaßnahmen eingeleitet wurden. StrafenUnternehmen, die sich nicht an die Vorgaben des Datensicherheitsgesetzes halten, drohen Strafen bis zu 10 Millionen RMB (knapp 1,4 Millionen Euro) sowie der Entzug der chinesischen Firmenlizenz. Die Höhe der Strafe hängt davon ab, mit welcher Kategorie von Daten das Unternehmen arbeitet.
| |
|