Chinas aktuelle Datenregulierung – was jetzt zu tun ist

​veröffentlicht am 17. November 2021 | Lesedauer ca. 4 Minuten

Seit Inkrafttreten der neuen chinesischen Datenschutzgesetze, namentlich des Daten­sicherheitsgesetzes am 1. September 2021 sowie des Gesetzes zum Schutz personen­bezogener Daten der Volksrepublik China am 1. November 2021, herrscht offenbar weit verbreitete Unsicherheit darüber, was die konkreten Auswirkungen der neuen Regelungen auf den Geschäftsbetrieb der in und mit China tätigen Unternehmen anbelangt.

 
Insbesondere das gerade erst in Kraft getretene Gesetz zum Schutz personenbezogener Daten wirft für Unternehmen, die in China agieren, die Frage auf, was jetzt konkret zu tun ist.
 

Wir möchten daher im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aspekten geben, die von Unternehmen in ihrem Chinageschäft zukünftig, vor allem aber in den nächsten Wochen und Monaten beachtet und praktisch umgesetzt werden sollten.
 

• Datensicherheit »

• Schutz personenbezogener Daten »

• Ausblick »

Datensicherheit

Sprichwörtlich „vor die Klammer gezogen“ ist zunächst der wichtige Hinweis, dass die Regelungen nach dem Daten­sicherheitsgesetz auf ausnahmslos alle Unternehmen innerhalb Chinas anwendbar sind, die in irgendeiner Form Daten sammeln, speichern, verarbeiten, übermitteln etc. Da Daten vom Gesetz als elektronische oder sonstige Aufzeichnung von Informationen definiert werden und keine Beschränkung auf personenbezogene Daten vorgesehen ist, dürfen Unternehmen nicht dem Irrtum erliegen, dass bei der Verarbeitung von Daten ohne Personenbezug kein Compliance-Risiko bestünde. Die beiden oben genannten Gesetze verfolgen unterschiedliche Zwecke und ihnen sollte gleichermaßen Aufmerksamkeit bei der Prüfung gewidmet werden.
 

Ein zweiter wichtiger Hinweis in puncto Datensicherheit bezieht sich auf Datenverarbeitungsvorgänge außerhalb Chinas, und in diesem Zusammenhang auch die sorgfältige Beobachtung regulatorischer wie politischer Entwick­lungen insgesamt. Denn das Datensicherheitsgesetz – ebenso wie das übergreifende Cybersicherheitsgesetz - bezweckt in erster Linie den Schutz nationaler Sicherheitsinteressen sowie anderer öffentlicher Allgemeingüter. Daher ist Datenverarbeitung im Ausland ebenfalls stets dann in die Compliance-Analyse einzubeziehen, sollten sich Anhalts­punkte für eine Kollision mit chinesischen Staats- oder Gemeininteressen ergeben.
 

Als momentan dringlichste Maßnahmen im Hinblick auf die Datensicherheit empfehlen wir:

• Verschaffen Sie sich einen umfassenden Überblick zum Status Quo der Datenverarbeitung in Ihrem Unternehmen (welche Arten von Daten werden gespeichert, verarbeitet und ggf. ins Ausland transferiert, wie groß sind die Datenmengen usw.) sowie die Eingliederung in das IT-System der Unternehmensgruppe, sowohl innerhalb Chinas als auch grenzüberschreitend.
• Ermitteln Sie, ob und welche Schutzmechanismen (organisatorisch, technologisch, vertraglich) gegen den Verlust, den Diebstahl, die Beschädigung usw. von Daten bestehen und ggf. nachgebessert werden müssen.
• Errichten Sie ein System zur Klassifizierung der verarbeiteten Daten.
• Formulieren Sie einen Notfallplan im Hinblick auf mögliche Datenverluste, Diebstahl, Missbrauch, Beschädigung usw..
• Ermitteln Sie, ob in Ihrer Industrie von der zuständigen Regulierungsbehörde bereits ein Katalog zu sogenannten „wichtigen Daten“ veröffentlicht wurde. Falls dies der Fall ist und Sie solche wichtige Daten verarbeiten, müssen regelmäßige Risikobewertungen durchgeführt und die Berichte der zuständigen Behörde übermittelt werden. Außerdem müssen in diesem Fall intern spezielle Zuständigkeiten für Datensicherheit vergeben werden, wobei das Datensicherheitsgesetz keine näheren Vorgaben hierzu macht.
• Überprüfen Sie , ob Ihr Unternehmen unter den Begriff der „Betreiber kritischer Informationsinfrastrukturen“ fällt.
• Organisieren Sie regelmäßige interne Trainings, Weiterbildungen etc. zum Thema Datensicherheit.
   

Schutz personenbezogener Daten

Die Verarbeitung von Daten mit Bezug zu identifizierten oder identifizierbaren Personen erzeugt für Unternehmen erhebliche zusätzliche rechtliche Herausforderungen. Zugleich sollten jedoch Maßnahmen hierzu nicht isoliert betrachtet und umgesetzt, sondern ganzheitlich im Rahmen eines datenrechtlichen Compliance-Checks behandelt werden. Denn personenbezogene Daten sind letztlich eine spezielle Unterkategorie der „Daten“ im Sinne des Datensicherheitsgesetzes, weshalb sich eine einheitliche Behandlung nicht zuletzt aus Effizienz- und Kostengründen anbietet.
 

Von den oben bereits aufgeführten Maßnahmen lassen sich die meisten ebenfalls auf personenbezogene Daten übertragen. Darüber hinaus empfehlen wir Folgendes:

• Stellen Sie fest, ob neben Ihren Verarbeitungsaktivitäten in China auch solche im Ausland im konkreten Fall vom chinesischen Recht erfasst werden.
• Überprüfen Sie Datentransaktionen mit Dritten (auch verbundenen Unternehmen) hinsichtlich datenschutzrechtlicher Anforderungen.
• Prüfen Sie, ob eine Zustimmung der betroffenen Personen zur Verarbeitung erforderlich oder eine Verarbeitung auch ohne Zustimmung zulässig ist.
• Prüfen Sie, ob und in welchem Umfang betroffene Personen über die Verarbeitung informiert werden müssen (Regelfall) oder ob Ausnahmen greifen.
• Sollten Sie allgemeine Bedingungen zur Datenverarbeitung verwenden, machen Sie diese öffentlich und für Betroffene leicht zugänglich.
• Formulieren Sie interne Regelungen zum Umgang mit personenbezogenen Daten, einschließlich Zuständigkeiten und eines datenschutzrechtlichen Notfallplans.
• Ermitteln Sie, ob Sie im konkreten Fall eine datenschutzrechtliche Risikoanalyse durchführen müssen (z.B. bei Verarbeitung sensibler Daten oder grenzüberschreitender Datenübertragung). Die Ergebnisse der Risikoanalyse müssen in jedem Fall für mindestens drei Jahre aufbewahrt werden.
• Sollten Sie persönliche Daten ab einem gewissen Schwellenwert (der noch von der Cyberspace Administration of China festgelegt werden muss) verarbeiten, so ist zwingend ein Datenschutzbeauftragter zu benennen.
• Prüfen und überarbeiten Sie sämtliche rechtsverbindlichen Dokumente (Verträge, unternehmensinterne Regelungen usw.), die Datenschutzklauseln enthalten bzw. enthalten sollten.

Ausblick

Die von den neuen Gesetzen aufgestellten Anforderungen wirken auf den ersten Blick immens. Wir möchte an dieser Stelle aber etwas Spannung aus dem bedrohlich wirkenden Regelungsgeflecht nehmen und die Vermutung äußern, dass die chinesischen Behörden von heute auf morgen nicht reihum Unternehmen für datenrechtliche Verstöße abstrafen. Diese Vermutung stützen wir vor allem auf drei Gesichtspunkte:

• Erstens hat die Arbeit an den Gesetzen selbst sehr lange Zeit (teilweise mehrere Jahre) in Anspruch genommen, so dass chinesische Behörden Unternehmen ebenfalls eine gewisse Zeit zur Umstellung einräumen werden.
• Zweitens weisen die Gesetze teils erhebliche Lücken auf, die zur praktischen Handhabbarkeit erst noch im Wege von Durchführungsvorschriften ausgefüllt werden müssen.
• Und drittens sieht das Gesetz zum Schutz personenbezogener Daten (noch zu entwerfende) Sonder­regelungen für „kleine Datenverarbeiter“ einerseits und gesteigerte Anforderungen für „Big Player“ wie Internetplattformbetreiber andererseits vor.
   

Daraus wird ersichtlich, dass der Gesetzgeber gewillt ist, einem Kräfteungleichgewicht hinreichend Rechnung zu tragen.
 

Unabhängig von Unternehmensgröße, Industrie oder anderen Kriterien gilt, dass das sich rasant fortentwickelnde rechtliche Umfeld im Bereich Datenschutz und -sicherheit aufmerksam verfolgt werden sollte. So können relevante Entwicklungen – wie z.B. der am 29. Oktober 2021 veröffentlichte Entwurf zu Maßnahmen über die Sicherheits­überprüfung bei grenzüberschreitender Datenübertragung – rechtzeitig erkannt und entsprechende Schritte einge­leitet werden. Schließlich sollte frühzeitig geprüft werden, welche Auswirkungen sich aus der Anwendung daten­schutz- und datensicherheitsrechtlicher Vorschriften am Sitz des Mutterhauses (insbes. in Deutschland und der EU) ergeben. Wenngleich die rechtlichen Anforderungen in einigen Bereichen ähnlich oder sogar identisch sind, bestehen doch teils gewichtige Unterschiede, die es geschickt auszubalancieren gilt.