Chinas neue Regelung über das Management der Netzdatensicherheit

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​veröffentlicht am 5. November 2024 | Lesedauer ca. 9 Minuten


Am 24. September 2024 hat der chinesische Staatsrat eine neue Regelung zum Management der Netzdatensicherheit erlassen, die ab dem 1. Januar 2025 gilt. Diese Regelung ist Teil der Bemühungen Chinas, Datensicherheit noch umfassender zu regeln, und ergänzt die bestehenden Gesetze wie das Cybersicherheitsgesetz (CSL), das Datensicherheitsgesetz (DSL) und das Gesetz zum Schutz personenbezogener Daten (PIPL). 


 

Sie betrifft alle Unternehmen, die elektronische Daten verarbeiten, sei es über das Internet oder interne Netz­werke. Auch für kleine und mittlere Unternehmen (KMU) sind die neuen Vorschriften relevant, da bereits interne Datenverarbeitung in ERP-Systemen unter die Regelung fallen kann.

Die Regelung kann dazu führen, dass Unternehmen ihre internen Datenschutzrichtlinien und technischen Sicherheitsmaßnahmen überprüfen und gegebenenfalls aktualisieren müssen. Dazu gehören die Anpassung von Datenschutzvereinbarungen mit externen Partnern, die Durchführung von Compliance-Prüfungen und die verstärkte Vorbereitung auf mögliche Audits. Besonders datenintensive Unternehmen müssen jährliche Risiko­bewertungen vornehmen und diese den zuständigen Behörden vorlegen. Ein besonderer Fokus liegt auf dem Schutz personenbezogener und sensibler Daten, wobei die Regelung neue Anforderungen zur Datenportabilität und zur Einholung von Einwilligungen präzisiert.

Anbieter von Netzwerkplattformen und großen Datenverarbeitern – wie soziale Netzwerke oder Betreiber von App-Stores – sind verpflichtet, ihre Sicherheitsmaßnahmen zu verstärken und jährliche Berichte über ihre Bemühungen zum Schutz von Daten zu erstellen. Diese Maßnahmen sollen das Risiko unrechtmäßiger Daten​­verarbeitung mindern und die Sicherheit wichtiger Daten garantieren. 

Wir haben dazu die wichtigsten Neuerungen zusammengefasst:
  
 
​Was ist neu beim Schutz personenbezogener Daten? ​​

 

Netzdaten

Netzwerkdaten bezieht sich auf alle Arten von elektronischen Daten, die über ein Netz verarbeitet und erzeugt werden. Eine solche Verarbeitung und Erzeugung umfasst beispielsweise elektronische Daten, die über ein Netz verarbeitet und erzeugt werden, was in diesem Fall sowohl das Internet als auch lokale Netze (LANs) durch Unternehmen, Netzplattformen, Anbieter von Anwendungsdiensten und andere an der Netzda­​ten­ver­arbeitung beteiligte Subjekte umfassen könnte, wie etwa:

  • Externe personenbezogene Daten, die von Produkt- und Dienstleistungsanbietern gesammelt und verarbeitet werden, einschließlich in sozialen Medien im Internet;
  • Interne Dateneingabe und -verarbeitung in ERP-Systemen eines Unternehmens. 

Warum ist die Regularie potenziell für alle Unternehmen relevant, auch für KMU?

  • Neben bestimmten anderen Fällen kann jede interne Dateneingabe und -verarbeitung in einem ERP-System unter die Regelung fallen und deren Anwendung auslösen.
  • Der Schutz der Datensicherheit im Unternehmensnetz muss möglicherweise verstärkt werden.
  • Die Vorschriften des Unternehmens für die Verwaltung von Netzdaten, die einschlägigen internen Verwalt​­ungs­vorschriften, einschließlich der Mitarbeiterhandbücher, die Datenschutzrichtlinien oder die Vorschriften für die Verarbeitung personenbezogener Daten müssen gegebenenfalls aktualisiert und erforderliche tech­nischen Maßnahmen getroffen werden.
  • Datenschutzvereinbarungen zwischen dem Unternehmen und externen Kooperationspartnern müssen gegebenenfalls eingerichtet oder aktualisiert und regelmäßig überwacht werden. 
  • Die Folgenabschätzung des Unternehmens zum Schutz personenbezogener Daten muss möglicherweise aktualisiert werden.
  • Die Vorbereitung des Unternehmens auf mögliche Audits zur Einhaltung der Vorschriften zum Schutz personenbezogener Daten muss möglicherweise verbessert werden.
  

Was ist der Hintergrund der Regularie? 

In den letzten Jahren sind mit der Konvergenz und Integration der Informationstechnologie Datenver­​arbei​­tungsaktivitäten komplexer geworden. Die Risiken für die Datensicherheit konzentrieren sich zunehmend auf Netzdaten. Von Zeit zu Zeit kann es zu illegalen Netzwerkdatenverarbeitungsaktivitäten kommen, die die wirtschaftliche und soziale Entwicklung und die nationale Sicherheit ernsthaft gefährden. Das Cybersicher­heitsgesetz („CSL“), das Datensicherheitsgesetz („DSL​“) und das Gesetz zum Schutz personenbezogener Daten („PIPL“​) enthalten die grundlegenden Bestimmungen zur Datensicherheit und zu Systemen zum Schutz personenbezogener Daten. Die Regelung ist ein wichtiger Teil des administrativen Rechtsrahmens, der diese drei Gesetze unterstützt. 

​Was ist neu beim Schutz personenbezogener Daten?​

Die Regelung konzentriert sich auf die Präzisierung insbesondere der Bestimmungen des PIPL über die Anmeldung, die Zustimmung und die Ausübung der Rechte des Einzelnen. 

Formulierung von Regeln​​​
In bestimmten Fällen müssen die Datenverarbeiter Regeln für die Verarbeitung personenbezogener Daten formulieren. Dies ist z. B. die Datenschutzrichtlinie oder der Datenschutzhinweis im Falle von Online-Diensteanbietern über das Internet oder in Apps, in denen erläutert wird, welche personenbezogenen Daten gesammelt werden und wie die personenbezogenen Daten im Einzelnen verarbeitet werden. Es kann sich auch um ein Mitarbeiterhandbuch oder andere unternehmensinterne Regeln handeln, die Aspekte der Datenver­arbeitung von personenbezogenen Daten der Mitarbeiter enthalten. Um die Anforderungen an eine ordnungs­gemäße Benachrichtigung zu erfüllen, müssen diese Regeln die folgenden Inhalte enthalten:

  1. Name(n) und Kontaktinformationen des Netzdatenverarbeiters
  2. Der Zweck, die Art und Weise und die Art der Verarbeitung personenbezogener Daten, die Notwendigkeit der Verarbeitung sensibler personenbezogener Daten und die Auswirkungen auf die Rechte und Interessen von Personen
  3. Die Dauer der Aufbewahrung personenbezogener Daten und die Art der Verarbeitung nach Ablauf der Aufbewahrungsfrist; ist die Aufbewahrungsfrist schwer zu bestimmen, ist die Methode zur Bestimmung der Aufbewahrungsfrist anzugeben; die Aufbewahrungsfrist könnte z. B. vom Ablauf bestimmter Verträge oder der Erfüllung bestimmter vertraglicher oder gesetzlicher Verpflichtungen abhängig gemacht werden
  4. Die Methoden und Mittel, mit denen Einzelpersonen Zugang zu personenbezogenen Daten erhalten, diese kopieren, übertragen, berichtigen, ergänzen, löschen und deren Verarbeitung einschränken können, sowie die Methoden und Mittel zur Löschung von Konten und zum Widerruf der Zustimmung

Automatisierte Datenerfassung​
​Bei der Erhebung personenbezogener Daten unter Verwendung automatisierter Erhebungsmethoden usw. kann es unvermeidlich sein, personenbezogene Daten zu erheben, ohne die Zustimmung des Einzelnen im Einklang mit dem Gesetz einzuholen. Dies ist z. B. der Fall, wenn mit dem Internet verbundene Fahrzeuge personen­bezogene Daten von Personen außerhalb des Fahrzeugs erfassen, wie z. B. Gesichtsbilder, Stimmen oder Videos usw.

Der Netzdatenverarbeiter muss dann die gesammelten personenbezogenen Daten löschen oder anonymisieren. Das Gleiche gilt, wenn sich die Person von ihrem Konto abmeldet.

Übertragbarkeit von Daten​
​​​​Um das Recht der betroffenen Person auf Datenübertragbarkeit zu gewährleisten, stellt der Netzdatenver­arbeiter anderen von der betroffenen Person benannten Netzdatenverarbeitern die Möglichkeit zur Verfügung, auf die betreffenden personenbezogenen Daten zuzugreifen und sie unter den folgenden Bedingungen zu erhalten:
  1. ​Der Bearbeiter muss in der Lage sein, die wahre Identität des Antragstellers (der Person) zu überprüfen
  2. Das Ersuchen um Übermittlung bezieht sich auf personenbezogene Daten, (i) deren Bereitstellung die betroffene Person zugestimmt hat oder (ii) die auf der Grundlage eines Vertrags erhoben wurden
  3. Die Übermittlung personenbezogener Daten ist technisch machbar
  4. Die Übermittlung personenbezogener Daten beeinträchtigt nicht die legitimen Rechte und Interessen anderer

Übersteigt die Zahl der Anträge auf Übermittlung personenbezogener Daten usw. einen angemessenen Rahmen, kann der Netzdatenverarbeiter die erforderlichen Gebühren auf der Grundlage der Kosten für die Übermittlung der personenbezogenen Daten erheben.

​Compliance-Prüfungen​​​
Netzdatenverarbeiter müssen in regelmäßigen Abständen selbst oder durch beauftragte Fachorganisationen prüfen, ob ihr Umgang mit personenbezogenen Daten mit den Rechts- und Verwaltungsvorschriften überein­stimmt. Die Häufigkeit der Compliance-Prüfungen ist jedoch in der Regelung noch nicht festgelegt. Ein Entwurf der „Managementmaßnahmen für Compliance-Audits zum Schutz Personenbezogener Daten“ sieht mindestens eine jährliche Prüfung der Einhaltung der Vorschriften für Unternehmen vor, die personenbezogene Daten von 1.000.000 Personen verarbeiten, und mindestens eine Prüfung der Einhaltung der Vorschriften alle zwei Jahre für andere Unternehmen. 

Besondere Pflichten für große Datenverarbeiter​
In der Regelung werden die besonderen Verpflichtungen für Netzdatenverarbeiter klargestellt, die personenbezogene Daten von mehr als 10 Millionen Menschen verarbeiten. 
 
  1. Die Verarbeiter müssen die für die Sicherheit der Netzdaten verantwortliche Person und die Organisation zur Verwaltung der Netzdatensicherheit angeben
  2. Kann ein Auftragsverarbeiter die Sicherheit wichtiger Daten infolge einer Fusion, Trennung, Auflösung, eines Konkurses usw. beeinträchtigen, muss er Maßnahmen ergreifen, um die Sicherheit der Netzdaten zu gewährleisten. Außerdem muss der Auftragsverarbeiter der jeweils zuständigen Behörde den Plan für die Entsorgung wichtiger Daten melden, den Namen oder die Namen und Kontaktangaben der Empfänger, usw.
  
 
​Was ist neu beim Schutz wichtiger Daten?​​​

 

Katalog wichtiger Daten​

​Die Regelung definiert klare Anforderungen für die Erstellung von Katalogen wichtiger Daten und legt fest, dass Netzdatenverarbeiter verpflichtet sind, diese wichtigen Daten zu identifizieren und zu melden. 

Im Falle von Datenexporten müssen Netzdatenverarbeiter möglicherweise wichtige Daten in Übereinstimmung mit den einschlägigen nationalen Vorschriften identifizieren und deklarieren. Wenn diese Daten von den zu­ständigen Behörden oder Abteilungen nicht als „wichtige Daten“ definiert oder öffentlich freigegeben werden, ist ein Netzwerkdatenverarbeiter nicht verpflichtet, sie für die Sicherheitsbewertung von Datenexporten zu deklarieren. Das bedeutet, dass die Regierungsbehörden zuerst festlegen und bekanntgeben müssen, welche Daten als „wichtige Daten​“​ gelten.

Verantwortliche Person/Organisation

Die Regelung definiert die Verantwortlichkeiten sowohl der für die Netzdatensicherheit zuständigen Person als auch der Organisation, die Management der Netzdatensicherheit übernimmt.

Risikobewertungen​​​

​Eine Risikobewertung ist erforderlich, bevor wichtige Daten bereitgestellt, zur Verarbeitung beauftragt oder gemeinsam verarbeitet werden. Bei einer solchen Risikobewertung sind die folgenden wesentlichen Punkte zu prüfen: 
  • Rechtmäßigkeit und Notwendigkeit: Ist die Bereitstellung, Auftragsverarbeitung oder gemeinsame Ver­arbeitung von Netzdaten sowie deren Zweck, Art und Umfang der Verarbeitung durch den Empfänger rechtmäßig, legitim und erforderlich?
  • Risikoanalyse: Besteht ein Risiko, dass die zur Verfügung gestellten, zur Verarbeitung anvertrauten oder gemeinsam verarbeiteten Netzdaten manipuliert, zerstört, durchsickern oder unrechtmäßig zugänglich gemacht oder verwendet werden? Welche Risiken bestehen für die nationale Sicherheit, das öffentliche Interesse oder die legitimen Rechte und Interessen von Einzelpersonen oder Organisationen?
  • Integrität und Compliance: Ist der Empfänger der Netzwerkdaten integer und compliant?
  • Vertragliche Verpflichtungen: Können die Anforderungen an die Netzdatensicherheit im betreffenden (geplanten) Vertrag mit dem Empfänger wirksam verpflichten, seinen Verpflichtungen zum Schutz der Netzdaten nachzukommen?
  • Technische und administrative Maßnahmen: Können die geplanten technischen und administrativen Maßnahmen wirksam verhindern, dass Netzdaten manipuliert, beschädigt, weitergegeben oder unrechtmäßig erworben oder unrechtmäßig genutzt werden?
  • Weitere Bewertungsinhalte: Gibt es andere von den zuständigen Behörden vorgeschriebene Bewertungs­inhalte?

Verarbeiter wichtiger Daten müssen jährlich eine Risikobewertung ihrer Netzdatenverarbeitungstätigkeiten durchführen und einen Risikobewertungsbericht bei der zuständigen Sektorbehörde auf Provinzebene einreichen. Dieser Bericht wird dann mit der CAC und der Behörde für öffentliche Sicherheit auf derselben Ebene geteilt. Der Risikobewertungsbericht muss folgenden Inhalt umfassen:
  1. ​Grundlegende Informationen: Angaben über den Netzdatenverarbeiter, Informationen über die Organisa­tionen zur Verwaltung der Netzdatensicherheit sowie Name und Kontaktinformationen der für die Netz­datensicherheit zuständigen Person
  2. Datenverarbeitung: Zweck, Art, Menge, Modus, Umfang, Speicherdauer und Speicherort der Verarbeitung wichtiger Daten sowie die Umstände der Durchführung der Netzdatenverarbeitung, ausgenommen der Inhalt der Netzdaten selbst
  3. Sicherheitsmanagement: Beschreibung des Netzdatensicherheitsmanagementsystem und dessen Umset­zung, einschließlich Verschlüsselung, Sicherung, Kennzeichnung und Identifizierung, Zugangskontrolle, Sicherheitsauthentifizierung und andere technische und notwendige Maßnahmen sowie deren Wirksamkeit
  4. Risikobewertung: Entdeckte Risiken für Netzdatensicherheit, aufgetretene Vorfälle und deren Behebung
  5. Datenbereitstellung: Bewertung der Risiken bei der Bereitstellung, Auftragsverarbeitung und der Mitver­arbeitung wichtiger Daten
  6. Datenexport: Informationen über den Export von Netzdaten
  7. Weitere Inhalte: Andere von den zuständigen Behörden vorgeschriebene Berichtsinhalte
   

​Was ist neu bei grenzüberschreitenden Daten?
 
Wie bereits erwähnt, müssen Netzdatenverarbeiter möglicherweise die Ausfuhr wichtiger Daten gemäß den einschlägigen nationalen Vorschriften feststellen und melden. 

Gemäß dem Personal Information Protection Law (PIPL) und den Regularien zur Förderung und Regulierung grenzüberschreitender Daten vom 22. März 2024 erfordert der Export personenbezogener Daten entweder​​
  • eine behördliche Sicherheitsbewertung, oder 
  • Abschluss eines Standardvertrags und die Übermittlung damit verbundener Informationen an die Regierung bei der Einreichung, oder 
  • eine Zertifizierung zum Schutz personenbezogener Daten
  
Ausgenommen hiervon ist beispielsweise 
  • die Übermittlung personenbezogener Daten ins Ausland zum Zweck des Abschlusses und der Erfüllung eines Vertrags, an dem eine Person beteiligt ist, oder 
  • die Übermittlung personenbezogener Daten von Arbeitnehmern ins Ausland, die für die Durchführung einer grenzüberschreitenden Personalverwaltung in Übereinstimmung mit den einschlägigen arbeitsrechtlichen Vorschriften erforderlich ist
  
Weitere Einzelheiten finden Sie in unserem Artikel zur grenzüberschreitende Datenübermittlung​.
  
Die Regelung sieht eine weitere Ausnahme vor: 
  
Wenn die Bereitstellung personenbezogener Daten außerhalb Chinas für die Erfüllung gesetzlicher Aufgaben oder Verpflichtungen erforderlich ist, ist dies ebenfalls zulässig. Dennoch bleiben die regulatorischen Anforderungen der zuständigen Behörden in der Praxis im Hinblick auf den Begriff „Erfüllung gesetzlicher Aufgaben oder Verpflichtungen“ abzuwarten.

 
​​​Was ist neu an den Verpflichtungen der Anbieter von Netzwerkplattformen?​​
 
Die Regelung legt die Verpflichtungen zum Schutz von Netzwerkdaten für Anbieter von Netzwerkplattformen wie sozialen Medien und Service-Apps sowie für Hersteller von intelligenten Endgeräten wie Mobiltelefonen, Tablet-Computern und anderen Geräten mit vorinstallierten Anwendungen fest. Anbieter von Netzwerk­plattformen, wie z. B. mobile App-Stores, die Dienste für den Vertrieb von Anwendungen anbieten, müssen Regeln für die Überprüfung von Anwendungen aufstellen. Sie müssen Überprüfungen in Bezug auf die Sicherheit von Netzwerkdaten durchführen, um sicherzustellen, dass solche Anwendungen den gesetzlichen Vorschriften oder nationalen Standards in Bezug auf Cybersicherheit und Datensicherheit entsprechen, bevor sie auf dem Markt vertrieben werden. 
  
Als Reaktion auf bestimmte Probleme, wie die Schwierigkeit, individuelle Empfehlungsdienste mit auto­matischer Entscheidungsfindung zu kündigen, etc., müssen Anbieter von Netzwerkplattformen leicht ver­ständliche, zugängliche und zu bedienende Optionen zur Kündigung solcher Dienste bereitstellen. Nutzern sollen die Möglichkeit haben, den Erhalt von gepushten Informationen abzulehnen und Nutzer-Labels, die auf ihre persönlichen Merkmale ausgerichteten sind, zu löschen. 
  
Die Regelung verlangt von Anbietern großer Netzwerkplattformen, jährliche Berichte über ihre soziale Ver­antwortung beim Schutz personenbezogener Daten zu erstellen. Große Netzwerkplattformen sind solche mit mehr als fünfzig Millionen registrierten Nutzern oder mehr als zehn Millionen monatlich aktiven Nutzern. Die Plattformen haben komplexe Geschäftsmodelle und Netzwerkdatenverarbeitungsaktivitäten, die wichtigen Einfluss auf die nationale Sicherheit, den Wirtschaftsbetrieb, die nationale Wirtschaft und den Lebensunterhalt der Menschen haben. Dazu zählen in China etwa die Plattformen WeChat, TikTok, Little Red Book, TaoBao, JingDong usw.
  
 
​Empfehlungen​​​​
 
Die Regelung enthält detailliertere und praxisrelevante Vorschriften zur Umsetzung der einschlägigen Bestim­mungen des Cyber Security Law (CSL), Data Security Law (DSL) und des Personal Information Protection Law (PIPL). Unternehmen sollten proaktiv Maßnahmen ergreifen, um ihre derzeitigen Datensicherheitsvorschriften zu überprüfen und erforderliche Verbesserungen umzusetzen.
  
China hat nationale Standards für die Klassifizierung und die Einstufung von Daten und Normen für die Sicherheit persönlicher Informationen formuliert und umgesetzt. 
  
Eine Reihe weiterer Normen, insbesondere in den Bereichen der sicheren Verwaltung wichtiger Daten und dem Schutz sensibler persönlicher Informationen, werden derzeit entwickelt. Es wird erwartet, dass die in ver­schiedenen Industriezweigen entwickelten Methoden und Regeln zur Datenklassifizierung und -einstufung Unternehmen dabei helfen, ihre Datensicherheit und den Schutz personenbezogener Informationen zu verbessern. Es ist wichtig, dass Unternehmen sich weiterhin über relevante Änderungen auf dem Laufenden halten.
  
Risikobewertungen, Compliance-Audits und jährliche Berichte sind entscheidende Werkzeuge für Unter­nehmen, ihre Verantwortung für die Netzdatensicherheit zu erfüllen und ihre Fähigkeiten in diesem Bereich zu stärken. Gleichzeitig dienen die entsprechenden Dokumentationen als wichtiger Nachweis für die Bemühungen eines Unternehmens, die komplexen chinesischen Datenschutzgesetze und -vorschriften einzuhalten. ​
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu