Update zum chinesischen Cybersecurity Gesetz

23.11.2018

Seit dem 1. Juni 2017 ist das Cybersecurity Gesetz mit seinen Regelungen zu Datenschutz, IT-Sicherheit und Verhalten im Internet in Kraft. Lange Zeit waren die konkreten Verpflichten jedoch unklar, da zentrale Umsetzungsvorschriften fehlten. Mittlerweile liegen einige Umsetzungsvorschriften vor. In unserem Updaten geben wir einen Überblick zum Stand der Gesetzgebung.

 

Was ist der Stand der Gesetzgebung?

 

Der Umsetzungsstand unterscheidet sich stark je nach Anwendungsbereich des Gesetzes.

 

  • Im Bereich Datenschutz liegen Vorschriften teils final, teils als Entwurf vor. Hier fehlen jedoch insbesondere die finalen Regelungen zur Übertragung von Daten ins Ausland (siehe dazu sogleich unten 1.).
  • Im Bereich IT-Sicherheit liegen zahlreiche Entwürfe, jedoch kaum finale Vorschriften vor (siehe dazu sogleich unten 2.).
  • Im Bereich „Verhalten im Internet“ sind die meisten der erwarteten Umsetzungsvorschriften bereits in Kraft (siehe hierzu sogleich unten 3.)

 

1. Datenschutz

 

a) Bestehende Regelungsbereiche

 

Das Cybersecurity Gesetz greift datenschutzrechtliche Grundsätze auf und formuliert einige grundsätzliche Anforderungen, wie z.B. eine Pflicht zur Einholung von Einwilligungen.

Für den Bereich der Verarbeitung von personenbezogenen Daten werden diese konkretisiert in einer kürzlich erlassenen Vorschrift („Personal Information Security Specification“), die am 1. Mai 2018 in Kraft tritt. Diese stellt insbesondere klar,

 

  • dass Management-Personal und gesetzliche Vertreter zur Übernahme von Führungsaufgaben im Bereich Datenschutz verpflichtet sind.
  • welche Daten als personenbezogene Daten und/oder sensitive personenbezogene Daten zu werten sind.
  • in welchen Fällen eine Einwilligung erforderlich ist, welche Form hierfür gewählt werden muss gelten und welche Ausnahmen gelten. Zentral ist die Ausnahme vom Einwilligungserfordernis, soweit Daten zur Erfüllung eines Vertrags erforderlich sind.
  • welche Anforderungen an intern zu formulierende Richtlinien zum Umgang mit personenbezogenen Daten zu stellen sind. Insbesondere sind Verantwortungen zu verteilen und die Datenverarbeitungsprozesse von Erhebung bis Löschung der Daten genau aufzuzeichnen.
  • wie eine Datenschutzerklärung zur Verwendung gegenüber Kunden und anderen Dritten formuliert sein soll. In den Vorschriften selbst ist eine Vielzahl von Musterklauseln enthalten.

 

b) Noch zu erwartende Regelungsbereiche

 

Im Bereich Datenschutz werden insbesondere noch in folgenden Bereichen Vorschriften erwartet:

 

  • Speicherpflicht für personenbezogene und wichtige Daten in China und Datentransfer ins Ausland: während das Cybersecurity Gesetz eine Speicherpflicht und die Durchführung von Sicherheitsüberprüfungen vor Versand von Daten ins Ausland nur für Betreiber von Schlüsselinfrastruktur vorgesehen hat, wurde diese Pflicht in den Entwürfen für Umsetzungsvorschriften auf alle Netzwerkbetreiber erweitert. Verweisnormen in der „Personal Information Security Specification“ deuten darauf hin, dass es mindestens beim Erfordernis einer intern durchzuführenden Sicherheitsüberprüfung vor Versand von Daten ins Ausland bleiben wird. Mit Blick auf die Speicherpflicht sind die finalen Vorschriften abzuwarten.
  • Wichtige Daten: hier werden Klarstellungen und eine verkürzte Liste der „wichtigen Daten“ erwartet. Bislang liegt ein umfassender Katalog von Daten vor, die als „wichtig“ gelten. Dieser wurde zum einen wegen seines Umfangs deutlich kritisiert, zum anderen überschneiden sich die Daten mit personenbezogenen Daten, z.B. bei Rechnungsdaten oder im Bereich E-Commerce.
  • Nutzung von pseudonymisierten und anonymisierten Daten: es wird grundsätzlich möglich sein, pseudonymisierte bzw. anonymisierte Daten umfangreich zu nutzen, z.B. für Marketingzwecke. Konkrete Anforderungen an die Pseudonymisierung bzw. Anonymisierung sollen festgelegt werden.

 

2. Im Einzelnen: IT-Sicherheit

 

a) Bestehende Regelungsbereiche

 

Auch im Bereich IT-Sicherheit macht das Cybersecurity Gesetz grundsätzliche Vorgaben. Gemäß Artikel 21 ist eine verantwortliche Person zu benennen, die sich um die Einführung eines internen Sicherheitsmanagementsystems einschließlich technischer und organisatorischer Maßnahmen und deren Implementierung kümmert.

 

b) Noch zu erwartende Regelungsbereiche

 

Im Bereich IT-Sicherheit werden insbesondere noch in folgenden Bereichen finale Umsetzungsvorschriften erwartet:

 

  • Konkretisierung des Begriffs der Schlüsselinfrastruktur bzw. Kritischen Infrastruktur und der durch diese zu erfüllenden Sicherheitsanforderungen.
  • Definition von Standards zum Aufbau und zur Prüfung von internen Sicherheitsmanagementsystemen. In vorliegenden Entwürfen werden ausführliche Regelungen zur Bewertung von Gefahrpotentialen und hierfür geltenden Sicherheitsmaßnahmen getroffen.
  • Standards für die Bewertung des Sicherheitsniveaus von Netzwerkprodukten und Netzwerkservices. 

 

3. Im Einzelnen: Verhalten im Internet

 

Der Bereich „Verhalten im Internet“ ist mit Blick auf den Stand der Gesetzgebung am weitesten fortgeschritten. Viele der Regelungen sind jedoch für ausländische Unternehmen nicht relevant, da sie Bereiche betreffen, die für ausländisch investierte Unternehmen nicht zugänglich sind. Hierzu gehören z.B. Online Nachrichtenservices. 

 

Ausländische Unternehmen sollten jedoch aktuelle Themen rund um das Thema im Blick behalten. Hierzu gehören beispielsweise

 

  • Klarnamenspflicht für Kommentare im Internet,
  • Sperrung von Webseiten wegen der Verwendung von Landkarten, auf denen Taiwan nicht eindeutig als Teil Chinas gekennzeichnet ist bzw. die Taiwan als eigenständiges Land bezeichnen,
  • Sperrung von Online-Kanälen, die nicht „sozialistischen Werten“ entsprechen und „Gossip“ verbreiten.

 

Aktuelle ToDos für ausländische Unternehmen in China

 

Ausländische Unternehmen sollten sich vor allem folgende Punkte auf die kurzfristige ToDo-Liste schreiben:

 

  • Auf Management-Ebene: Benennung zuständige Personen für Koordinierung im Unternehmen
  • IT-Abteilung: Benennung zuständige Person für IT-Sicherheit und Datenschutz
  • In allen Abteilungen des chinesischen Tochterunternehmes: Feststellung des Status Quo:
    • Welche Daten werden vom Unternehmen erfasst und wie werden diese verarbeitet? Insbesondere welche Daten von Mitarbeitern, Kunden und Kooperationspartnern werden erfasst?
    • Welche internen Richtlinien und Maßnahmen zu Datenschutz und IT-Sicherheit und Verhalten im Internet liegen vor?
  • Feststellung der individuellen Betroffenheit und Abgleich des Status Quo mit gesetzlichen Anforderungen, z.B. durch externe Auditierung
  • Für Unternehmen mit chinesisch-sprachigen Online-Angeboten: Formulierung bzw. Anpassung von Datenschutzerklärungen
  • Laufendes Monitoring der weiteren Gesetzgebung und Anpassung interner und externer Prozesse, insbesondere zu den Themen
    • Speicherpflicht für personenbezogene Daten in China
    • Sicherheitsüberprüfung bei Versand von Daten ins Ausland
    • IT-Sicherheitsmaßnahmen

 

Sie benötigen Hilfe bei der Umsetzung der Pflichten des Cybersecurity Gesetzes? WZR unterstützt Sie unter anderem in folgenden Bereichen:

 

  • Feststellung der individuellen Pflichten ihres Unternehmens nach dem Cybersecurity Gesetz
  • Beratung zur Umsetzung des Gesetzes im Unternehmen: Updates von Arbeitsverträgen, Mitarbeiterhandbüchern und internen Richtlinien
  • Prüfung und Formulierung von Verträgen mit IT-Dienstleistern und Kunden
  • Formulierung von Datenschutzerklärungen für Ihre Website
  • Laufende Informationen zu aktuellen Entwicklungen rund um das Cybersecurity Gesetz

 

Ansprechpartner:

Jost Blöchl

jost.bloechl@wzr-china.com

Unten finden Sie unser Update zudem als pdf-Download.

Weiterführende Downloads: