Datensicherheitsgesetz der Volksrepublik China

Gepostet von Marc Füßlein, zuletzt bearbeitet von Matthias Haarmann an 19 Januar 2023 12:26

Im September 2021 trat das Datensicherheitsgesetz der Volksrepublik China (中华人民共和国数据安全法) in Kraft. Im Deutschen wird das Gesetz gerne als DSL (aus dem Englischen: Data Security Law) abgekürzt. Aufbauend auf dem Cybersicherheitsgesetz der Volksrepublik China definiert es gesetzliche Vorgaben für den Umgang mit Daten im Allgemeinen und legt besonderen Fokus auf die nationale Sicherheit. Im Hinblick auf personenbezogene Daten wird es durch Chinas Gesetz zum Schutz personenbezogener Daten komplementiert.

Wichtige Begriffsdefinitionen

  • Im Sinne des Gesetzes sind Daten jegliche Aufzeichnungen von Informationen in sowohl elektronischer als auch sonstiger Form.
  • Die Verarbeitung von Daten umfasst unter anderem deren Sammlung, Speicherung, Nutzung, Auswertung, Übertragung, Bereitstellung und Offenlegung. 
  • Die Datensicherheit bezieht sich auf den wirksamen Schutz der Daten, die Nutzung der Daten zu ausschließlich legalen Zwecken sowie die Ergreifung aller dafür notwendigen Sicherheitsmaßnahmen.

Daten werden zudem in drei Kategorien unterteilt:

  • Nationale Kerndaten fallen in die höchste Kategorie und umfassen alle Daten, die unter anderem im Zusammenhang zur nationalen Sicherheit und der chinesischen Volkswirtschaft stehen, wichtige Aspekte der Lebensgrundlagen der chinesischen Bürger betreffen, und sich an der vordersten Front des öffentlichen Interesses befinden.
  • Wichtige Daten sind eine Ebene niedriger angeordnet, allerdings zum jetzigen Zeitpunkt nicht näher spezifiziert. Das Datensicherheitsgesetz gibt den chinesischen Behörden zur Aufgabe, umfangreiche Kataloge von wichtigen Daten in den jeweiligen Zuständigkeitsbereichen zu veröffentlichen. Während dies den Behörden in China große Freiheit in der Definition von wichtigen Daten gibt, wurden bisher keine solchen Kataloge veröffentlicht. Bis dies geschieht oder es Rechtsprechungen in diesem Zusammenhang gibt, ist ungewiss, welche Daten in diese Kategorie fallen.
  • Die unterste Ebene bilden schlichtweg alle sonstigen Daten. Aufgrund der fehlenden Spezifikation von wichtigen Daten ist nicht klar, welche Daten tatsächlich für diese Kategorie übrig bleiben.

Internationaler Datentransfer

Ein großer Teil des Datensicherheitsgesetzes befasst sich mit den Vorgaben von Datentransfers über die chinesischen Landesgrenzen hinaus. Sobald ein Unternehmen gewisse Kriterien erfüllt, dürfen Daten nur noch ins Ausland übertragen werden, sofern vorab eine entsprechende Sicherheitsprüfung durchgeführt wurde. Mit der Veröffentlichung der "Maßnahmen zur Prüfung von grenzüberschreitendem Datenverkehr" (据出境安全评估办法) im Juli 2022 wurden diese Kriterien genauer definiert. Ein Unternehmen muss sich dementsprechend für internationale Datentransfers einer Sicherheitsprüfung unterziehen, sofern

  • wichtige Daten, gemäß der Definition des Datensicherheitsgesetzes, ins Ausland übertragen werden,
  • das Unternehmen kritische Informationsinfrastruktur, wie im Cybersicherheitsgesetz definiert, betreibt,
  • oder mit personenbezogenen Daten von über einer Million Menschen gearbeitet wird und diese im Ausland zur Verfügung gestellt werden sollen.

Darüber hinaus behält sich die chinesische Cybersicherheitsbehörde das Recht vor, nach eigenem Ermessen jederzeit eine Sicherheitsprüfung für den internationalen Datentransfer eines Unternehmens anzuordnen.

Falls ein Unternehmen bereits Daten ins Ausland übermittelt und eines dieser Kriterien erfüllt, so muss bis September 2022 die Sicherheitsprüfung abgeschlossen werden. Aufgrund der fehlenden Kataloge zur Definition von wichtigen Daten ist allerdings weiterhin unklar, welche Unternehmen das erste Kriterium überhaupt erfüllen und vor allem, wer davon nicht betroffen ist.

Sonderregelungen gibt es zudem für die Übergabe von Daten, die in China erfasst wurden, an ausländische Justiz- und Strafverfolgungsbehörde. Das Datensicherheitsgesetz untersagt die direkte Weitergabe von Daten an solche Behörden, unabhängig davon, in welche Kategorie die zugehören Daten fallen, pauschal. Stattdessen muss zuvor eine Genehmigung bei den zuständigen Behörden in China eingeholt werden. Allerdings ist derzeit ebenfalls nicht definiert, welche Behörden für eine solche Genehmigung zuständig sind.

Weiterverarbeitung von Daten

Unternehmen, die Daten von anderen Unternehmen beziehen und diese zum eigenen Zwecke weiterverarbeiten, unterliegen ebenfalls den Vorgaben des Datensicherheitsgesetzes. Insbesondere müssen sich solche Unternehmen von Ihren Datenlieferanten genau erklären lassen, woher die Daten stammen. Gleichzeitig muss die Identität des Datenlieferanten überprüft und verifiziert werden sowie jegliche Transaktionen mit einem Datenlieferanten dokumentiert und nachvollziehbar sein.

Sicherheitsvorkehrungen

Alle chinesischen Unternehmen sind dazu verpflichtet, Datensicherheitssysteme einzuführen und kontinuierlich zu verbessern. Sobald eine Sicherheitslücke in den eigenen Systemen festgestellt wird, müssen umgehend Gegenmaßnahmen eingeleitet werden. Falls Daten ungewollt in die Hände eines Dritten gelangt sind, müssen sowohl die betroffenen Nutzer als auch die chinesischen Behörden unmittelbar informiert werden.

Unternehmen, die mindestens mit wichtigen Daten arbeiten, müssen zudem einen Datensicherheitsbeauftragten benennen oder ein dafür zuständigen Team gründen. Darüber hinaus sind regelmäßige Risikobewertungen durchzuführen und deren Ergebnisse müssen den zuständigen Behörden zur Verfügung gestellt werden. Diese Risikobewertungen müssen unter anderem die Kategorie und Menge der Daten, mit denen gearbeitet wird, sowie die Art der Datenverarbeitung umfassen und benennen, ob Sicherheitslücken entdeckt und welche Gegenmaßnahmen eingeleitet wurden.

Strafen

Unternehmen, die sich nicht an die Vorgaben des Datensicherheitsgesetzes halten, drohen Strafen bis zu 10 Millionen RMB (knapp 1,4 Millionen Euro) sowie der Entzug der chinesischen Firmenlizenz. Die Höhe der Strafe hängt davon ab, mit welcher Kategorie von Daten das Unternehmen arbeitet.


Sie sind sich nicht sicher, inwieweit Sie vom Datensicherheitsgesetz betroffen sind?

Mit mehreren Jahren Erfahrung im Hosting von den verschiedensten Webseiten, Webshops und Webapplikationen, darunter bspw. Buchungsplattformen oder Online-Expos, in China hilft Ihnen weber.cloud China gerne bei Ihren offenen Fragen. Unsere Experten beraten Sie gerne zum Betrieb Ihrer Website in China und allen damit verbundenen Themen. Bei tiefergehenden rechtlichen Fragen können wir Ihnen auch gerne einen Kontakt zu unseren deutschsprachigen Partner-Rechtsanwälten in China vermitteln. 

Klingt spannend? Dann freuen wir uns über Ihre Kontaktaufnahme.


Die Inhalte dieses Artikels wurden mit größtmöglicher Sorgfalt und nach bestem Gewissen zusammengestellt. Die weber.digital GmbH übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung unserer Wissensdatenbank entstehen, wird ausgeschlossen, soweit diese nicht auf Vorsatz oder grober Fahrlässigkeit beruhen.

Unsere Wissensdatenbank enthält externe Verlinkungen auf anderen Webseiten, auf deren Inhalt wir keinen Einfluss haben. Aus diesem Grund kann die weber.digital GmbH für diese Inhalte auch keine Gewähr übernehmen. Für die Inhalte und Richtigkeit der bereitgestellten Informationen ist der jeweilige Anbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar. Bei Bekanntwerden einer solchen Rechtsverletzung wird der Link umgehend entfernt.

(6 Stimme(n))
Hilfreich
Nicht hilfreich

Kommentare (0)
Neuen Kommentar posten
 
 
Vollständiger Name:
E-Mail:
Kommentare:
CAPTCHA Überprüfung 
 
Bitte bearbeiten Sie das untere Captcha.

© Copyright weber.digital GmbH · Anschrift & Impressum · AGB · Datenschutzerklärung