29 März, 2023
In den letzten Jahren sind die gesetzlichen Vorgaben und Vorschriften der chinesischen Behörden in den Bereichen IT und IT-Sicherheit kontinuierlich ausgebaut worden. Im Wesentlichen gibt es drei neue Gesetze:
das Cyber Security Law (CSL), das Data Security Law (DSL) und das Personal Information Protection Law (PIPL). Was sie verlangen und was das vor allem für deutsche Tochterunternehmen in China bedeutet, erfahren Sie in diesem Beitrag.
Das CSL ist seit 1. Juni 2017 in Kraft und das erste umfassende IT-Sicherheitsgesetz Chinas. Es stellt Anforderungen an die Speicherung ausgewählter Daten in Festlandchina und ermächtigt die Aufsichtsbehörden, Unternehmensnetzwerke einer Sicherheitsüberprüfung zu unterziehen. Insoweit bildet dieses Gesetz auch die Basis für weitergehende zukünftige Regelungen.
Im Zuge des CSL haben die Aufsichtsbehörden bisher auch im Rahmen des Multi-Level Protection Scheme (MLPS) Untersuchungen zur IT-Sicherheit bei Unternehmen durchgeführt – teilweise ohne deren Kenntnis oder Zustimmung. In diesem Zusammenhang wurden einige namhafte Internetserviceprovider sanktioniert: Moniert wurde bei den öffentlich bekannt gewordenen Fällen zum Beispiel die fehlende Speicherung von Log-in-Daten innerhalb der letzten sechs Monate. Den betroffenen Unternehmen wurden Fristen zur Nachbesserung gesetzt.
Das seit 1. September 2021 geltende DSL regelt vorrangig, welche Daten in Festlandchina sicherheitsrelevant sind und wie sie gespeichert und überwacht werden müssen. Mit diesem Gesetz zog eine neue Komplexität in Chinas Rechtssystem ein. Die Einführung von Konzepten wie „Key Data“ und „Important Data“ verschärften die Anforderungen an die Unternehmen abermals deutlich.
Das PIPL ist das erste eigene Gesetz des Landes zum Schutz von persönlichen Informationen. Es regelt die Verarbeitung persönlicher Informationen, das Speichern und Veröffentlichen sowie das Löschen dieser Daten. In der Praxis wird dieses Gesetz, das seit 1. November 2021 in Kraft ist, oft als „chinesische Datenschutzgrundverordnung“ bezeichnet.
Insgesamt umfasst das PIPL acht Abschnitte mit 74 einzelnen Artikeln. Harte Anforderungen an alle Unternehmen in Festlandchina stellt dabei vor allem der Unterabschnitt Grenzüberschreitender Datentransfer (Cross-border Data Transfer, CBDT). Er verknüpft die Artikel 35 und 37 des CSL mit dem neuen PIPL und konkretisiert die Pflicht zur Datenlokalisierung in China und für den Auslandsdatentransfer.
Konkret bedeutet das für den Transfer: Mindestens eine der folgenden Bedingungen muss im Regelfall erfüllt sein:
Bitte beachten Sie: Die früher ebenfalls ausreichende ausdrückliche Zustimmung der Personen zum Auslandsdatentransfer genügt mittlerweile nicht mehr allein.
Unternehmen sind darüber hinaus gut beraten, die Sicherheit ihrer personenbezogenen Daten zunächst selbst zu analysieren und beurteilen. Dieses Selbstassessment sollte detailliert und fallbezogen sämtliche personenbezogenen Daten und deren grenzüberschreitende Verwendung auflisten, klassifizieren und bewerten. Aufgrund der Komplexität der lokalen Anforderungen sollten sich Unternehmen nicht scheuen, dabei externe Fachexpertise heranzuziehen.
Weitere wesentliche Herausforderungen bergen der internationale Transfer persönlicher wichtiger Daten (wie medizinische Informationen) und der Umgang mit Daten im Zusammenhang mit kritischer Infrastruktur. Mittlerweile haben die Aufsichtsbehörden Kataloge mit „wichtigen Daten“ für einzelne Branchen veröffentlicht. Insoweit sollten speziell deutsche Tochterunternehmen mit B2C-Geschäft oder in kritischen Infrastrukturbranchen ein besonderes Augenmerk auf die Implikationen und Anforderungen des internationalen Datentransfers legen.
Diese Einführung in die jüngsten chinesischen IT-Gesetze ist lediglich eine Zusammenfassung und kann keine individuelle Beratung ersetzen. Ein Grund dafür ist: Zu allen drei Gesetzen gibt es eine Vielzahl weiterer Anforderungen und Verordnungen. Dazu kommt: Diese lokalen Auflagen und deren Überwachung werden kontinuierlich erweitert. In Zukunft werden die Bedeutung der lokalen Datenspeicherung und der Umgang mit Daten, die nach den Katalogen der Behörden als „wichtig“ eingestuft werden, weiter zunehmen. Die drastisch verschärften Sanktionsmechanismen sind ein zusätzliches Indiz für die gestiegene Bedeutung des Themenkomplexes. Deutsche Tochterunternehmen in Festlandchina sollten ihre IT-Systeme, die lokale Datenspeicherung und den grenzüberschreitenden Datentransfer turnusmäßig mit Blick auf die lokalen Vorschriften analysieren und bei Bedarf aktualisieren. Im Büro Shanghai unterstützt Sie unsere erfahrene bilinguale (chinesisch- und deutschsprachige) PwC-IT-Partnerin Ling Chen gern dabei.
Nach seinem Abschluss in International Business begann Sebastian Huth 2006 bei PwC als Prüfungsassistent in Düsseldorf. Dort wurde er 2011 als Steuerberater und 2013 als Wirtschaftsprüfer bestellt. Danach wechselte er nach Siegen. Neben seinen Kenntnissen in internationalen Konzernprüfungen verfügt er über langjährige Erfahrung in der Betreuung von nationalen und internationalen Familienunternehmen. Ab 2017 war er in Köln verantwortlich für die Steuerung und Leitung von Konzernprüfungen börsennotierter Unternehmen. Seit April 2021 ist er erster Ansprechpartner am German Desk von PwC Shanghai. Im Vordergrund stehen für ihn die persönliche Betreuung deutschsprachiger Mandanten in China und der Ausbau des internationalen Netzwerks.
Tel.: +86 21 2323-5028
E-Mail