Themenschwerpunkte


China konkretisiert Datengesetze für die IT-Branche

Von Zoey Zhang, Dezan Shira & Associates

Nachdem das Datensicherheitsgesetz jetzt in Kraft ist, hat China eine neue Verordnung ausgearbeitet, die klarstellt, wie Unternehmen mit sensiblen Industrie- und Telekommunikationsdaten umgehen sollen. Der Verordnungsentwurf unterteilt die Daten in die Kategorien „Kerndaten“, „wichtige Daten“ und „gewöhnliche Daten“ und verlangt bei Erhebung, Verarbeitung, Übertragung und Löschung von Daten unterschiedliche Schutzmaßnahmen zu ergreifen.

Am 30. September 2021 veröffentlichte das Ministerium für Industrie und Informationstechnologie (MIIT) die Maßnahmen für die Verwaltung der Datensicherheit im Bereich der Industrie- und Informationstechnologiesektoren (Pilotprojekt) (Entwurf) (im Folgenden „Maßnahmen“ genannt). Bis zum 30. Oktober 2021 hatte die Regierung um Stellungnahmen der Öffentlichkeit gebeten.

Das MIIT spielt eine wichtige Rolle im chinesischen System zur Überwachung der Datensicherheit. Es reguliert mehrere beteiligte IT-Branchen, beispielsweise die Elektronikindustrie, die Telekommunikationsanbieter, Informationsanbieter, Software- sowie Internetdienste. Sie alle sind für die digitale Wirtschaft des Landes von entscheidender Bedeutung.

Insgesamt bietet der Maßnahmenentwurf detailliertere Beurteilungskriterien für wichtige und zentrale Industrie- und Telekommunikationsdaten und stellt erhöhte Anforderungen an die Einhaltung der Vorschriften auf praktischer Ebene, was für Unternehmen in den betreffenden Sektoren von großer Bedeutung sein dürfte.

Der Maßnahmenentwurf gilt für alle Arten von Unternehmen, insbesondere für Software- und IT-Dienstleister und Inhaber von Telekommunikationslizenzen.

Sie zielen darauf ab, die Datenverarbeitung in industriellem Maßstab zu regulieren. Insbesondere ist es den Unternehmen eindeutig untersagt, „Kerndaten“ aus China heraus zu verschieben. Außerdem müssen die Unternehmen eine Sicherheitsüberprüfung durch die Regierung anfordern, bevor sie „wichtige Daten“ ins Ausland übermitteln.

In dem Dokument werden detaillierte Anforderungen an die Speicherung, Verarbeitung, Offenlegung, Entsorgung und grenzüberschreitende Übermittlung von Daten festgelegt. Datenverarbeiter können verpflichtet werden, ihre Aktivitäten bei der Verarbeitung wichtiger und zentraler Daten aufzuzeichnen und der Regierung darüber zu berichten.

Die Maßnahmen sind die erste Datensicherheitsverordnung, die von einem für die Industrie zuständigen Ministerium formuliert wurde, seit das Datensicherheitsgesetz am 1. September 2021 in Kraft getreten ist.

Definition und Einordnung von Industrie- und Telekommunikationsdaten

In dem Dokument werden „Industriedaten“ als Informationen definiert, die in Sektoren wie Rohstoffen, Maschinen, Konsumgütern, Elektronikherstellung sowie Software und Informationstechnologie gesammelt und erzeugt werden. Der Begriff „Telekommunikationsdaten“ bezieht sich auf Informationen, die auf dem breiten Markt der Kommunikationsnetze erzeugt oder gesammelt werden.

Gemäß Artikel 11 der Maßnahmen sind die Unternehmen verpflichtet, diese Industrie- und Telekommunikationsdaten in die drei Kategorien zu sortieren – Kern-, wichtige und gewöhnliche Daten – und den Katalog der wichtigen und Kerndaten der örtlichen Zweigstelle des MIIT vorzulegen.

In dem Dokument sind die jeweiligen Grundsätze zur Identifizierung von Kern-, wichtigen und gewöhnlichen Daten aufgeführt.

Im Allgemeinen können Informationen, die eine Bedrohung für die nationale Sicherheit, die wirtschaftliche Stabilität und den technologischen Fortschritt darstellen oder erhebliche Auswirkungen auf Chinas Industrie- und Telekommunikationssektor haben können, als wichtige Daten oder Kerndaten bezeichnet werden. Die Maßnahmen enthalten jedoch keine konkreten Beispiele, so dass viele Beobachter die Definition noch immer als recht subjektiv empfinden.

Die Klassifikation der Daten im Einzelnen

Kerndaten:

  • Informationen, die eine ernsthafte Bedrohung für Chinas Politik, Territorium, Militär, Wirtschaft, Kultur, Gesellschaft, Wissenschaft und Technologie, Cyberspace, Ökosystem, Ressourcen und nukleare Sicherheit darstellen und die große Auswirkungen auf die überseeischen Interessen des Landes und seine Datensicherheit im Weltraum, in den Polarregionen, in der Tiefsee und bei der künstlichen Intelligenz haben.
  • Informationen, die einen großen Einfluss auf Chinas Industrie- und Telekommunikationssektor sowie auf wichtige Backbone-Unternehmen, wichtige Informationsinfrastrukturen und andere wichtige Ressourcen haben.
  • Informationen, die der industriellen Produktion und den Betriebsabläufen, der Telekommunikation und den Internetdiensten erheblichen Schaden zufügen können, was zu großflächigen Abschaltungen und zur Lahmlegung von Netzen und Diensten führen kann.
  • Andere Informationen, die vom MIIT als Kerndaten bewertet und anerkannt werden.

Wichtige Daten:

  • Informationen, die eine Bedrohung für Chinas Politik, sein Territorium, sein Militär, seine Wirtschaft, seine Kultur, seine Gesellschaft, seine Wissenschaft und Technologie, seinen Cyberspace, sein Ökosystem, seine Ressourcen und seine nukleare Sicherheit darstellen und die Auswirkungen auf die überseeischen Interessen des Landes und seine Datensicherheit im Weltraum, in den Polarregionen, in der Tiefsee und in der künstlichen Intelligenz haben.
  • Informationen, die Einfluss auf die Entwicklung, die Produktion, den Betrieb und die wirtschaftlichen Interessen von Chinas Industrie- und Telekommunikationssektor haben.
  • Informationen, die schwerwiegende Datensicherheitsvorfälle oder Produktionssicherheitsunfälle verursachen können, die erhebliche Auswirkungen auf die gesetzlichen Rechte von Einzelpersonen und Organisationen haben und die sich sehr negativ auf die Gesellschaft auswirken.
  • Informationen, die offensichtliche Kaskadeneffekte in einer Reihe von Branchen und Unternehmen haben oder langfristige Auswirkungen, die Chinas industrielle Entwicklung, den technologischen Fortschritt und die industrielle Ökologie ernsthaft beeinträchtigen können.
  • Die Kosten für die Wiederbeschaffung dieser Informationen sind potenziell hoch oder die Kosten für die Beseitigung der negativen Auswirkungen dieser Informationen könnten als hoch angesehen werden.
  • Andere Informationen, die vom MIIT als wichtige Daten bewertet und anerkannt werden.

Gewöhnliche Daten:

  • Informationen, die einen relativ geringen Einfluss auf die rechtlichen Interessen von Einzelpersonen und Organisationen haben.
  • Informationen, die sich nur auf eine kleine Anzahl von Nutzern und Unternehmen oder einen kleinen Bereich von Produktions- und Lebensräumen auswirken können, die sich nur kurzfristig auswirken und die einen relativ geringen Einfluss auf den Betrieb von Unternehmen, die Entwicklung der Industrie, den technologischen Fortschritt und die industrielle Ökologie haben.
  • Die Kosten für die Wiederherstellung dieser Informationen können gering sein oder die Kosten für die Beseitigung der negativen Auswirkungen dieser Informationen können gering sein.
  • Andere Daten, die aus dem Katalog der wichtigen und zentralen Daten ausgeschlossen sind.

Was sind die Pflichten der Dateninhaber?

Nach dem Maßnahmenentwurf sind die Unternehmen verpflichtet, wichtige und grundlegende Daten zu sortieren und aufzuzeichnen und einen Datenkatalog an die örtliche Zweigstelle des MIIT zu melden. Wenn sich die gemeldeten Daten ändern, sind die Unternehmen außerdem verpflichtet, die aktualisierten Informationen innerhalb von drei Monaten an die Regierung zu melden.

Je nach Bedeutung der Daten sollten Unternehmen bei der Erhebung, Speicherung, Verarbeitung, Übertragung, Bereitstellung, Offenlegung und Entsorgung wichtiger und zentraler Daten unterschiedliche Schutzmaßnahmen ergreifen.

Was den grenzüberschreitenden Datenverkehr anbelangt, so ist die Übermittlung von Kerndaten ins Ausland durch die Maßnahmen eindeutig verboten, und die Übermittlung wichtiger Daten ins Ausland wird von der Regierung geprüft.

Dies alles steht im Einklang mit dem chinesischen Datensicherheitsgesetz und dem Cybersicherheitsgesetz und entwickelt die Vorgaben dort weiter. Das Cybersicherheitsgesetz schreibt vor, dass der Betreiber einer kritischen Informationsinfrastruktur wichtige Daten, die im Inland gesammelt und generiert werden, auf dem chinesischen Staatsgebiet speichern muss. Müssen solche Informationen und Daten zu Geschäftszwecken ins Ausland übermittelt werden, ist eine Sicherheitsüberprüfung durchzuführen.

Das chinesische Datensicherheitsgesetz enthält zwar keine detaillierten Regeln für das Sicherheitsmanagement bei der grenzüberschreitenden Übermittlung wichtiger Daten, schreibt aber Strafen für Unternehmen vor, die wichtige Daten unter Verletzung des Cybersicherheitsgesetzes und anderer Datensicherheitsmaßnahmen ins Ausland übermitteln. Zu den Sanktionen gehören Geldstrafen, die Aussetzung des betreffenden Geschäfts, die Aussetzung des Geschäfts zur Berichtigung und der Entzug der betreffenden Geschäftserlaubnis oder Geschäftslizenz.

Darüber hinaus wird in dem Maßnahmenentwurf darauf hingewiesen, dass Unternehmen die verantwortlichen Abteilungen einrichten und die Hauptverantwortlichen für das Datensicherheitsmanagement benennen sowie die Schlüsselpositionen und das Personal für die Datenverarbeitung klar festlegen sollen.

Die folgenden Compliance-Anforderungen verdienen ebenfalls die Aufmerksamkeit der Unternehmen:

  • Ohne die Zustimmung der Person oder des Unternehmens dürfen Unternehmen keine genauen Nutzerporträts erstellen oder Daten bestimmter Personen durch Data Mining, Assoziationsanalysen oder andere technische Mittel wiederherstellen.
  • Wenn es zum Schutz der nationalen Sicherheit und der sozialen und öffentlichen Interessen erforderlich ist, sollten Unternehmen die Daten vernichten, wenn eine dritte Organisation den Nachweis erbringt, dass sie eine solche Vernichtung verlangt.
  • Die Unternehmen sollten Registrierungs- und Genehmigungsmechanismen einrichten und Aufzeichnungen über die Übermittlung wichtiger Daten sowie über die Nutzung und Verarbeitung wichtiger Daten und Kerndaten führen.
  • Die Übermittlung und Bereitstellung von Kerndaten muss vom Staat genehmigt werden.

Die Bedeutung der Datensicherheitsmaßnahmen des MIIT

China hat seine datenbezogenen Vorschriften verschärft. In diesem Sommer leitete die Regierung eine Cybersicherheitsuntersuchung gegen die Mitfahr-App Didi ein, nachdem das Unternehmen seinen Börsengang in den USA überstürzt hatte. Didi wurde beschuldigt, bei der Sammlung und Nutzung personenbezogener Daten schwerwiegend gegen Gesetze und Vorschriften zu verstoßen, und es wurde angeordnet, die Registrierung neuer Nutzer auszusetzen.

Im Juli hat die chinesische Cyberspace-Verwaltung (CAC) dann ihre Maßnahmen zur Überprüfung der Cybersicherheit überarbeitet, um klarzustellen, dass chinesische Unternehmen, die über die persönlichen Daten von einer Million oder mehr Nutzern verfügen, eine Überprüfung der Cybersicherheit durch die Regierung beantragen müssen, bevor sie im Ausland an die Börse gehen können. Einen Monat später verabschiedete Chinas oberste Legislative das Gesetz zum Schutz persönlicher Daten PIPL. Und im September trat das neue chinesische Datensicherheitsgesetz in Kraft. Die Maßnahmen des MIIT werden nach ihrer Verabschiedung ein weiteres wichtiges Regelwerk für die Datensicherheit sein und dazu beitragen, die Regeln klarer zu gestalten.

Dieser Artikel ist zuerst im Asia Briefing erschienen, das von Dezan Shira Associates herausgegeben wird. Das Unternehmen berät internationale Investoren in Asien und unterhält Büros in China, Hongkong, Indonesien, Singapur, Russland und Vietnam.

Lesen Sie jetzt auch:

    BDI drängt zur Einhaltung von Menschenrechten
    Ein deutliches Bekenntnis der deutschen Wirtschaft zu Menschenrechten in China: Der Präsident des Bundesverbands der deutschen Industrie (BDI), Siegfried Russwurm, hat an die deutschen Unternehmen appelliert, bei Geschäften in der Volksrepublik auf ihre Einhaltung zu bestehen. „China ist ein wachsender Wettbewerber, der immer wieder gegen die globalen Regeln verstößt. Als Exportland müssen wir eine Grenze ziehen, […] weiterlesen →
    Bild von Lee Felix
    von Felix Lee
    PIPL: Besserer Schutz für persönliche Daten
    Chinas Parlament hat das erste nationale Datenschutzgesetz verabschiedet. Peking hat nicht nur erkannt, dass es höchste Zeit ist, den Schwarzmarkt trocken zu legen, der um Verbraucherdaten gewachsen ist. Die Regierung will auch die bisher offenen Fragen um die Vorherrschaft im Geschäft mit den Daten klären. Gelingt es dem Staat, sich gegen die Tech-Konzerne durchzusetzen? weiterlesen →
    Bild von Wang Ning
    von Ning Wang