Themenschwerpunkte


Das chinesische Datensicherheitsgesetz – mehr Sicherheit oder mehr Herausforderung?

Von Jiawei Wang

Um die Einhaltung der neuen Vorschriften zum Umgang mit Daten in China und beim Datentransfer ins Ausland gewährleisten zu können, sollten sich die betroffenen Unternehmen rasch mit dem Datensicherheitsgesetz beschäftigen. Schließlich drohen bei Nichteinhaltung hohe Strafen für Unternehmen; deren Vertreter müssen unter Umständen mit strafrechtlicher Verfolgung rechnen.

Historisch gesehen krönt das DSL eine Handlungsreihe des chinesischen Gesetzgebers in den letzten Jahren. Mit dem Cyber Security Law (CSL) wurden 2017 zum ersten Mal in der Geschichte der Volksrepublik die Weichen für die Anforderungen bei der Behandlung von Daten für Betreiber von kritischer Informationsinfrastruktur (KII) gestellt.  Seitdem spielt die nationale Internet-Informationsbehörde („Cyberspace Administration of China“, kurz: „CAC“) eine zentrale Rolle bei der Konkretisierung von gesetzlichen Maßnahmen. Mit dem Verordnungsentwurf 2019 ist eine drastische Verschärfung und Ausweitung der Verpflichtung zur Sicherheitsbewertung zu verzeichnen.

Upgrade der Netzwerk- und Informationssicherheit

Das neue DSL der chinesischen Gesetzgeber stellt ein systematisches „Upgrade“ im Bereich Netzwerk- und Informationssicherheit sowie der Sicherheit von persönlichen Daten dar. Bemerkenswert ist vor allem der geographische Anwendungsbereich. So schreibt § 2 des neuen DSL vor, dass das Gesetz nicht nur für Datenverarbeitungstätigkeiten innerhalb Chinas, sondern auch für Datenverarbeitungstätigkeiten außerhalb Chinas gilt, wenn die nationale Sicherheit oder das öffentliche Interesse Chinas gefährdet sind.

Die starke Verlinkung mit dem CSL ist beim neuen DSL nicht zu übersehen. Demzufolge gelten weiterhin die Bestimmung der CSL für das Sicherheitsmanagement beim Export von Daten, die von den Betreibern kritischer Informationsinfrastrukturen innerhalb des chinesischen Territoriums gesammelt oder produziert werden. Als Neuerung ist ein einheitliches Verfahren in Bezug auf die Sicherheitsüberprüfung, das sogenannte Security Assessment, in § 24 DSL geschaffen worden. Allerdings sind Anwendungsbereich und verfahrenstechnische Details derzeit noch unklar. Ferner gilt der Zusammenhang zwischen der Datensicherheitsprüfung und der Cybersicherheitsprüfung auch noch zu klären.

Zu beachten sind die – durchaus drastischen – Strafen bei festgestellten Verstößen. Zu den rechtlichen Folgen gehören zivilrechtliche Haftungen, Verwaltungsstrafen (z.B. Geldbußen und Entzug der Geschäftslizenz) sowie strafrechtliche Haftungen.

Parallel zum DSL gilt ein weiteres neues Gesetz als zentrales Element im Bereich der Datensicherheit: Das Gesetz zum Schutz persönlicher Daten, das am 1. November 2021 in Kraft treten wird. Datenverarbeiter von persönlichen Daten müssen unterschiedlichen Compliance-Verpflichtungen nachkommen. Ähnlich wie das DSL ist das Gesetz zum Schutz persönlicher Daten auch extraterritorial anwendbar. Dieses Regelwerk ist in vielfacher Hinsicht mit der General Data Protection Regulation GDPR der Europäischen Union vergleichbar; allerdings deutlich strenger in Bezug auf den Schutz der öffentlichen Sicherheit.

Automobilbranche im Fokus

Bemerkenswert ist auch die Gesetzgebung in einzelnen Industriebranchen: Die vorläufigen Regelungen für das Management der Datensicherheit in der Automobilindustrie werden am 1. Oktober 2021 in Kraft treten. Diese Regelungen betreffen sogenannte Automobil-Datenverarbeiter, also Automobilhersteller, Teile- und Softwarelieferanten, Händler, Reparaturbetriebe sowie Fahrdienstleister. Die Automobil-Datenverarbeiter müssen sich an die Bestimmungen dieser Regelungen halten, wenn sie persönliche Daten und wichtige Daten verarbeiten, die mit dem Design, der Herstellung, dem Verkauf, der Nutzung, dem Betrieb oder der Wartung von Fahrzeugen zusammenhängen. Automobil-Datenverarbeiter müssen den zuständigen Behörden jährlich über das „Management der Datensicherheit“ berichten.

Es bleibt abzuwarten, wie die neuen Gesetze und Regelungen in der Praxis umgesetzt werden. Es ist jedoch abzusehen, dass zahlreiche Ergänzungen im Bereich des Datenschutzes eingeführt werden. Dieser Trend lässt sich bereits im Bereich der Cybersicherheit beobachten. Nach der Verabschiedung des Cybersicherheitsgesetzes wurden zahlreiche Regelungen und nationale Standards erlassen. Die zuständige Behörde CAC setzt das Gesetz aktiv durch.

Ein typisches Beispiel war die Einleitung der Cybersicherheitsprüfung beim chinesischen Fahrdienstvermittler Didi Anfang Juli 2021 (China.Table berichtete). Kurz nach dessen Börsengang in New York veröffentlichte die CAC einen Entwurf zur Überarbeitung der Regelung zur Cybersicherheitsprüfung. Demnach unterliegt nun auch ein ausländischer Börsengang der Cybersicherheitsprüfung, wenn das Unternehmen Daten von mehr als einer Million Nutzern speichert. Ausländische Börsengänge chinesischer Unternehmen könnten somit in Zukunft sicherlich erschwert werden.

Ausblick und Fazit

Die Verschärfungen der Datenschutzgesetzgebung in China wird für Unternehmen mit China-Bezug eine Herausforderung für ihre Compliance-Regelungen darstellen. Aufgrund höherer gesetzlicher Anforderungen sind börsennotierte Unternehmen in China – einschließlich deren ausländischer Tochtergesellschaften – stark betroffen. Um Compliance-Risiken zu reduzieren, müssen deutsche Unternehmen, die mit Tochtergesellschaften in China vertreten sind, ebenfalls umfassend vorbereitet sein. Im Falle eines Verstoßes drohen nicht nur Strafen wie Geldbuße, sondern auch Beeinträchtigungen der Geschäftstätigkeiten. Insbesondere ist darauf zu achten, ob das Unternehmen oder dessen Geschäftspartner als „Betreiber kritischer Informationsinfrastrukturen“ eingestuft wird und ob das Unternehmen „wichtige Daten“ verarbeitet. Interne betriebliche Regeln sollten entsprechend zügig den neuen Bestimmungen zum Datenschutz angepasst werden.

Quo vadis: Mit DSL ist in China der gesetzliche Anker im Bereich Datenschutz gesetzt worden. Sicher werden in den kommenden Jahren weitere Konkretisierung der Durchführungsmaßnahmen folgen. Sicher ist auch das Ziel des Gesetzgebers: maximale Sicherheit für Daten mit China-Bezug. Nicht sicher ist hingegen, wie weit die Verschärfungen noch gehen werden. Wirtschaft und Unternehmen stehen diesbezüglich sicherlich noch vor weiteren Herausforderungen bei ihren Aktivitäten in China.

Jiawei Wang LL.M. ist Legal Counsel bei Rödl & Partner in Stuttgart und dort für den Bereich China Desk verantwortlich. Er hat Rechtswissenschaften in Shanghai und Heidelberg studiert und ist in der Volksrepublik China als Lü Shi (Anwalt chin. Rechts) zugelassen. Wang vertritt unter anderem deutsche Industrieunternehmen bei Vertragsverhandlungen und bei Rechtsstreitigkeiten mit chinesischen Geschäftspartnern. Ferner ist er darauf spezialisiert, Unternehmen und Geschäftsführer umfassend bei Fragen zum chinesischen Arbeitsrecht sowie in den Bereichen Company Compliance und White-Collar Crime zu beraten.

Mehr zum Thema

    Grüne Industrien: Welche Chancen bieten sich für ausländische Investoren? (Teil 2)
    Grüne Industrien: Welche Chancen bieten sich für ausländische Investoren? (Teil 1)
    Befreiung vom PU-Letter-Zwang für das Arbeitsvisum
    Chinas Steueranreize für kleine Unternehmen