China: Cybersecurity-Gesetz sieht deutliche Verschärfung vor

​veröffentlicht am 19. Juni 2019 | Lesedauer ca. 3 Minuten

Am 13. Juni 2019 hat die nationale Internet-Informationsbebörde („Cyberspace Administration of China”, kurz: „CAC”) einen neuen Verordnungsentwurf zum Cyber­security-Gesetz veröffentlicht. Die Verordnung sieht unter anderem umfassende Ver­schär­fungen hinsichtlich der Sicherheitsbewertung beim Export personenbezogener Daten vor. Unternehmen, die auf grenzüberschreitende Daten­über­mittlungen angewiesen sind, müssen womöglich in Zukunft mit spürbar mehr bürokratischen Hindernissen rechnen. Der Ent­wurf steht bis zum 13. Juli 2019 zur Kommentierung offen.

• Ausweitung der Verpflichtung zur Sicherheitsbewertung

• Strengere Behördenaufsicht und Verarbeitungsvertrag

• Empfehlungen

Ausweitung der Verpflichtung zur Sicherheitsbewertung

Nach den neuen Regelungen sind nun sämtliche Netzbetreiber, die personenbezogene Daten von China aus in ein Drittland übermitteln (und damit faktische alle Unternehmen die in China geschäft­lich tätig sind), ver­pflichtet, eine Sicherheits­bewertung durchzuführen. Nach der bisherigen Rechts­lage waren nur die Betreiber sogenannter kritischer Infrastruktur zu einer solchen Überprüfung verpflichtet.

Darüber hinaus sind nun nach Artikel 20 der Verordnung auch ausländische Unternehmen zur Sicher­heitsbewertung verpflichtet, die zwar nicht direkt in China geschäftlich tätig sind, aber personen­bezogene Daten von Nutzern in China erheben – beispielsweise weil sie chinesische Kunden haben. Einhergehend mit der Sicherheitsbewertung müssen die Unternehmen in Zukunft in China einen inlän­dischen Vertreter vorweisen können. Für ausländische Unternehmen die nur gelegentlich in China tätig sind, könnte dies eine deutliche Verschärfung der Rechtslage bedeuten.

Strengere Behördenaufsicht und Verarbeitungsvertrag

Der Verordnungsentwurf sieht auch eine strengere Aufsicht vor: Netzbetreiber sind nun aktiv dazu verpflichtet, den Behörden regelmäßig (i.d.R. jährlich) einen umfassenden Bericht vorzulegen. Bisher werden die Behörden grundsätzlich nur dann tätig, wenn es tatsächlich Informationen über einen Daten­schutzverstoß gibt. Was die Aufzeichnungspflicht betrifft, sind die Unternehmen in Zukunft nach Artikel acht der Verordnung verpflichtet, Datentransfers in Drittländer ausführlich zu proto­kollieren. Zudem werden die Unternehmen nach neuer Rechtslage dazu angehalten, mit einem Daten­verarbeiter im Drittland einen „Verarbeitungsvertrag” abzuschließen, welcher den ausländischen Datenverarbeiter allgemein haftungsrechtlich verpflichtet.  

Empfehlungen

• Prüfen, ob eine Übermittlung personenbezogener Daten möglicherweise durch eine Speicherung der Daten vor Ort in China reduziert werden kann und Prüfung der Möglichkeiten einer Daten­verarbeitung im Ausland oder der zentralen Datenspeicherung am Unternehmenssitz;
• Eine Bewertung ob bzw. welche Kategorien personenbezogener Daten im Rahmen des Tagesgeschäfts an die Muttergesellschaft oder an verbundene Unternehmen im Ausland übermittelt werden müssen;
• Kontaktaufnahme mit Datenverarbeitern hinsichtlich der Rahmenbedingungen der grenzüberschreitende Daten­übermittlung, z.B. auf der Grundlage der Standardvertragsklauseln nach der DSGVO.
• Durchführung der Sicherheitsbewertung (Self-Assessment), d.h. Dokumentation welche Daten in China generiert werden, ob diese Daten unter das Cybersecurity-Gesetz fallen, welche Art von Netzwerk­betreiber das eigene Unternehmen ist, ob ein Datentransfer ins Ausland erfolgt, insbesondere im Hinblick auf personenbezogener Daten. Ausgehend von den Übermittlungs­zwecken und der Not­wendigkeit einer solchen grenzüberschreitenden Übermittlung sollte weiter dokumentiert werden, welche Sicherungsmaßnahmen implementiert sind oder werden sollten, Zuständigkeiten hinschlich Datensicherheit im Unternehmen usw.

Da die Umsetzung der Sicherheitsbewertung für viele Unternehmen praktisch eine bisher recht unbekannte Aufgabe ist, können gerade die ersten Schritte etwas schwierig sein.