Chinas neues Datensicherheitsgesetz

6. August 2021

Am 10.Juni 2021 hat China ein neues Datensicherheitsgesetz verabschiedet, das sich auf alle Unternehmen auswirken wird, die in China tätig sind oder mit China Geschäfte betreiben. Das Gesetz, das am 1.September 2021 in Kraft treten wird, hat einen weitreichenden Geltungsbereich. Es legt umfangreiche Verpflichtungen für die Datenverarbeitung fest und sieht bei Verstößen potenziell schwere Strafen vor. Auch wenn viele Details der Umsetzung noch unklar sind, sollten Unternehmen mit globaler Geschäftspräsenz angesichts der umfangreichen Anforderungen des Gesetzes und der hohen Strafen bei Nichteinhaltung jetzt mit der Planung beginnen.
Obwohl noch keine offizielle englische Übersetzung vorliegt, ist jedoch mittlerweile bereits eine inoffizielle Übersetzung vorhanden. Das Datensicherheitsgesetz hat eine große Reichweite; es regelt nicht nur Datenverarbeitungsaktivitäten innerhalb Chinas, sondern auch solche außerhalb Chinas, die der nationalen Sicherheit oder dem öffentlichen Interesse Chinas schaden oder die rechtlichen Interessen eines chinesischen Bürgers oder einer chinesischen Organisation beeinträchtigen könnten.

Inhalt des Gesetzes

Das Gesetz sieht vor, dass die chinesische Zentralregierung ein hierarchisches Datenkategorisierungs- und -klassifizierungssystem einführt, das die Daten entsprechend ihrer Bedeutung für die chinesische Wirtschaft, die nationale Sicherheit sowie öffentliche und private Interessen regelt. Auf der Grundlage dieses Systems sowie eines detaillierten Katalogs „wichtiger Daten“, der auf nationaler Ebene formuliert wird, wird jede Region und jedes Ministerium in China einen eigenen Katalog „wichtiger Daten“ herausgeben. Die Einzelheiten dieses Systems – einschließlich einer Definition des Begriffs „wichtige Daten“, die noch nicht in chinesischen Gesetzen oder Vorschriften enthalten ist – werden voraussichtlich in künftigen Durchführungsbestimmungen festgelegt.

Verpflichtungen für Unternehmen

Das Datensicherheitsgesetz erlegt Unternehmen und Einzelpersonen, die mit der Datenverarbeitung befasst sind, umfangreiche Pflichten auf. Zu diesen Verpflichtungen gehören zum einen die Einrichtung eines Managementsystems für die Datensicherheit, Ergreifung der erforderlichen Maßnahmen zur Gewährleistung der Datensicherheit und Durchführung von Schulungen zur Datensicherheit und zum anderen die Überwachung potenzieller Risiken und, im Falle der Entdeckung eines Sicherheitsvorfalls, die unverzügliche Benachrichtigung der Nutzer und Ergreifung von Abhilfemaßnahmen.

Je sensibler die zu verarbeitenden Daten sind, desto strenger sind die Datensicherheitsverpflichtungen eines Unternehmens. So müssen Unternehmen, die „wichtige Daten“ verarbeiten, nicht nur strenge Verarbeitungsbeschränkungen für „nationale Kerndaten“ einhalten, sondern auch einen Datensicherheitsbeauftragten benennen, eine Abteilung für Datensicherheitsmanagement einrichten, regelmäßige Bewertungen zur Überwachung potenzieller Risiken durchführen und die Ergebnisse an die zuständigen Regierungsbehörden melden.

Strafen

Diejenigen, die gegen ihre Verpflichtungen aus dem Datensicherheitsgesetz verstoßen, müssen mit schweren Strafen rechnen. Die chinesischen Behörden können gegen Unternehmen, die die Vorschriften nicht einhalten, Geldstrafen von bis zu 77.000 US-Dollar (500.000 Yuan) verhängen, den Verantwortlichen zusätzliche Geldstrafen auferlegen und Abhilfemaßnahmen anordnen.

Fazit
Viele der Anforderungen des Gesetzes scheinen anderen Datensicherheitsgesetzen zu entsprechen, insbesondere denen der Datenschutz-Grundverordnung (DSGVO). So verlangen beide im Allgemeinen, dass Unternehmen geeignete Maßnahmen zum Schutz der Datensicherheit ergreifen, die Nutzer im Falle eines Vorfalls benachrichtigen und verantwortliche Beauftragte benennen. In vielerlei Hinsicht sind die Anforderungen des Datensicherheitsgesetzes jedoch weitreichender als die der DSGVO. So regelt das neue chinesische Gesetz nicht nur die personenbezogenen Daten chinesischer Bürger, sondern auch Daten, die für die nationale Sicherheit und die Wirtschaft Chinas wichtig sind. Außerdem enthält es viel strengere Beschränkungen für die Datenübertragung als die DSGVO.