Mit dem neuen „Data Security Law“ (DSL) steht eine Weiterentwicklung der chinesischen Datensicherheit an. Das sog. „Cyber Security Law“ (CSL) wurde bereits 2017 auf den Tisch des Nationalen Volkskongresses gebracht. Hierzu interviewte Storymaker letztes Jahr den Cybersecurity Experten Dr. Dennis-Kenji Kipker.

Dieses ähnelt in vielen Teilen der hierzulande bekannten Datenschutzgrundverordnung (DSGVO) und regelt die Datenerfassung und Bearbeitung auf inländischen Servern. Im Unterschied zu der EU behält sich China weitreichende Datenverarbeitungsbefugnisse zu Zwecken der staatlichen Sicherheit, zur Aufrechterhaltung der öffentlichen Ordnung oder des sog. Gemeinwohls vor. Nun kam im Juli 2020 ein weiteres Gesetz auf: Das DSL steht ebenfalls im Raum und soll bereits in diesem Jahr durch den Ausschuss gehen und beschlossen werden. Dieses regelt den Umgang mit wichtigen und sensiblen Daten – dabei geht es jedoch nicht nur um digitale sondern gleichermaßen um analoge papierbezogene Daten.

Ein Blick in die neuen Datenschutzentwicklungen in China.

 

Erweiterung der Datensicherheit

Der Datenschutz werde von Konsumenteninteressen getrieben, die sich ein sicheres Einkaufserlebnis wünschen – ohne über den Tisch gezogen zu werden und ohne, dass Daten gestohlen oder missbraucht werden. Eine der häufigsten Missbrauchsformen sind sog. „Cold Calls“. Telefonnummern werden weitergegeben und benutzt, um Produkte anzubieten. Dabei kommt es vor, dass sehr private Details bekannt sind und genutzt werden, um Produkte oder Dienstleistungen zu verkaufen.

 

Künftig soll der Cyberkriminalität ein Strich durch die Rechnung gemacht werden.

 

Entstehen soll durch das neue Gesetz ein hierarchisches System zur Verwaltung und zum Schutz von Datenklassifizierungen, das die Bedeutung der Daten für die nationale Wirtschaft, die nationale Sicherheit, das öffentliche Interesse und die Gesellschaft sowie den Grad des Schadens, der aus einem Sicherheitsvorfall resultieren würde, in einer Matrix zusammenfasst: Ein zentralisierter Mechanismus zur Bewertung von Datensicherheitsrisiken, Berichterstattung, Informationsaustausch, Überwachung und Frühwarnung. Alle Datenaktivitäten, die die nationale Sicherheit berühren, können einer staatlichen Sicherheitsüberprüfung unterzogen werden, gegen die kein Rechtsmittel eingelegt werden kann. Ein Mechanismus, um auf Datensicherheitsnotfälle effektiv zu reagieren und sie zu bewältigen.

 

Welche Art von daten sind betroffen?

Das Konzept der „Wichtigen Daten“ wurde erstmals im CSL eingeführt. Wichtige Daten sollten einem verstärkten Schutz und auch Beschränkungen bei der grenzüberschreitenden Übermittlung unterworfen werden. Diese wurden in der Folge als Daten „definiert“, deren Bekanntwerden direkte Auswirkungen auf die nationale Sicherheit, die wirtschaftliche Sicherheit, die soziale Stabilität oder die öffentliche Gesundheit und Sicherheit haben kann, wie z. B. nicht-öffentliche Regierungsinformationen und solche über die Bevölkerung, die genetische Gesundheit, die Geografie und die Bodenschätze. Eine Ausarbeitung in einem Entwurf der Richtlinien für den grenzüberschreitenden Datentransfer im Jahr 2017 definiert weiterhin Daten, die in engem Zusammenhang mit der nationalen Sicherheit, der wirtschaftlichen Entwicklung und dem öffentlichen Interesse stehen und in China gesammelt werden, aber kein Staatsgeheimnis darstellen. Allerdings wurden weder der Maßnahmenentwurf noch die Richtlinien jemals in Kraft gesetzt, und „wichtige Daten“ wurden nie verbindlich kategorisiert.

Das DSL sieht vor, dass jede Region und jede sektorale Regulierungsbehörde einen regionalen Katalog wichtiger Daten formuliert. Einen nationalen Katalog mit der Auflistung wichtiger Daten werde es nicht geben. Gründe dafür könnten auf eine mögliche Schwierigkeit zurückzuführen sein, eine Angleichung darüber zu erreichen, was wichtige Daten in den verschiedenen Regierungsministerien seit 2017 darstellen.

Der Umgang mit wichtigen Daten soll im DSL geregelt und von den Regionen gesondert spezifiziert werden.

 

Was heißt das für Unternehmen vorort?

Organisationen, die mit wichtigen Daten umgehen, werden im Rahmen des DSL zusätzlichen Verpflichtungen unterliegen, wie z. B. der Notwendigkeit, Datensicherheitspersonal und Managementgremien zu benennen, um die Verantwortung für die Datensicherheit zu gewährleisten, regelmäßig Risikobewertungen durchzuführen und diese als Berichte an die zuständigen Behörden zu übermitteln.

Das DSL würde einzelnen Organisationen folgende Verpflichtungen auferlegen:

  • Organisationen, die Datentätigkeiten durchführen, sollten entsprechende technische Maßnahmen und andere notwendige Maßnahmen zur Gewährleistung der Datensicherheit ergreifen. Außerdem sollten sie die Überwachung der Datensicherheitsrisiken, die Risikobewertung und die interne Sicherheitsschulung verstärken.
  • Meldepflicht für Datensicherheitsvorfälle.
  • Organisationen, die Online-Datenverarbeitungsdienste durchführen, werden in Zukunft eine Lizenz benötigen.
  • Wenn Organisationen Datentransaktionsvermittlungsdienste anbieten, müssen sie die Quelle der Daten offenlegen und Aufzeichnungen über ihre Validierung der Daten sowie Aufzeichnungen über alle Transaktionen, die die Daten betreffen, aufbewahren.

Dabei geht das neue Gesetz auf keine dieser Anforderungen näher ein. Bislang sagt es außerdem nichts über die konkrete Regulierung des grenzüberschreitenden Transfers wichtiger Daten aus. Da das Thema aber nun bei der Regierung auf dem Plan steht, kann sich das noch rasch ändern. Ausländische Unternehmen sollten sich bereits jetzt professionell beraten lassen, welche Maßnahmen sie treffen sollten, sofern sie Daten aus China auf ihren deutschen Servern hosten.

Kontaktieren Sie uns, wir helfen Ihnen gerne und verknüpfen Sie mit dem passenden Experten aus unserem Partnernetzwerk.