kontakt

Compliance & Datenschutz in China

5 Minuten
 

Werden durch die Gesetzesänderungen in China Ermittlungen und Gerichtsverfahren über im Land gespeicherte Informationen nun erheblich erschwert?

 

China bringt sein erstes umfassendes Datenschutzgesetz auf den Weg.

Bereits 2016 führte die Volksrepublik das Cybersicherheitsgesetz "Cyber Secury Law" (CSL) ein, um die kritische Informationsinfrastruktur des Landes zu schützen und regulieren.

Um den zunehmenden Bedenken in Bezug auf den Schutz von persönlichen Informationen und „sensiblen Daten" Rechnung zu tragen, wurden zwei weitere Gesetze erlassen: Das Datensicherheitsgesetz („Data Security Law“) (DSL) und das Gesetz zum Schutz persönlicher Daten („Personal Information Protection Law“) (PIPL).

Das hauptsächliche Ziel des DSL war es, Datenverarbeitungsaktivitäten zu regeln, die einen Einfluss auf die nationale Sicherheit haben könnten, insbesondere solche, die sich auf „sensible Daten" beziehen, während das PIPL zum Schutz persönlicher Informationen geschaffen wurde. Beide Gesetze haben eine wichtige Bedeutung für Unternehmen, die in China tätig sind und im weitesten Sinne Daten bzw. persönliche Informationen sammeln, speichern und nutzen. Am 29. April 2021 hat der Ständige Ausschuss des Nationalen Volkskongresses von China (NPC), der oberste Gesetzgeber des Landes, nun den zweiten Entwurf des DSL und des PIPL zur öffentlichen Stellungnahme bis zum 28. Mai 2021 freigegeben.

Nach ihrer Fertigstellung werden diese drei Gesetze, die CSL, die DSL und die PIPL, ein kompliziertes Regelwerk für Datenschutz und Cybersicherheit bilden, das den grenzüberschreitenden Transfer von personenbezogenen und nicht personenbezogenen Daten regulieren soll.

Insbesondere die vorgeschlagenen Regelungen im 2. Entwurf der DSL und PIPL würden die bereits bestehenden Gesetze in mehrfacher Hinsicht ergänzen.

Hier finden Sie einen kurzen Überblick über die wichtigsten Aspekte des 2. Entwurfs der DSL und PIPL.

 

Data Security Law, DSL

 

1) Datenverarbeitungsprozesse

Der erste Entwurf der DSL weist darauf hin, dass dieses Gesetz für Körperschaften gilt, die „Datenverarbeitungen" durchführen, die „alle elektronischen und nichtelektronischen Aufzeichnungen von Informationen umfassen." Der zweite Entwurf ersetzt diesen Begriff durch „Datenverarbeitungsprozesse", die nach Artikel 3 „das Erheben, Speichern, Verwenden, Veredeln, Übermitteln, Bereitstellen oder öffentliche Zugänglichmachen von Daten" umfasst. Diese Überarbeitung entspricht dem Begriff der „Verarbeitung" unter dem PIPL, der ähnlich definiert ist als „das Erheben, Speichern, Verwenden, Veredeln, Übermitteln, Bereitstellen oder die öffentliche Bekanntgabe von personenbezogenen Daten".

2) Zur Verfügung stellen eines Datenklassifizierungs- und Katalogisierungsschutzsystems

Der 2. Entwurf des DSL fordert die Zentralregierung auf, ein „Datenklassifizierungs- und Katalogisierungssystem" auf nationaler Ebene zu implementieren, um Daten zu regeln. Darüber hinaus soll die Zentralregierung einen Katalog von „wichtigen Daten" herausgeben und erhöhte Schutzanforderungen für „wichtige Daten" durchsetzen, Artikel 20.

3) Hervorhebung der Bedeutung des mehrstufigen Schutzsystems

Der 2. Entwurf der DSL unterstreicht insbesondere, dass Unternehmen, die Datenverarbeitungsaktivitäten durchführen, ein internes Datensicherheitsprogramm implementieren müssen, das die Schulung des Personals und die Durchsetzung anderer technischer Maßnahmen umfasst – in Übereinstimmung mit den Anforderungen des Multi-Level Protection Scheme (kurz "MLPS"). Dieses stellt einen Cybersicherheitsrahmen dar, gemäß Artikel 26, unter dem die Regierung die Netzwerke von Unternehmen klassifiziert, die sich physisch in China befinden.

4) Grenzüberschreitender Transfer von wichtigen Daten

Darüber hinaus schreibt das neue Gesetz eine Benachrichtigung und Zustimmung für grenzüberschreitende Transfers vor. Unternehmen müssen vor einem Datentransfer aus China heraus eine interne Risikobewertung durchführen und diese Transfers dokumentieren. Ein legitimer Transfermechanismus wie z. B. ein Standard-Transfervertrag oder eine Sicherheitsbewertung, die von der Cyberspace Administration of China verwaltet wird, ist ebenfalls verpflichtend.

5) Anforderung von Daten durch ausländische Justiz- oder Strafverfolgungsorgane

Gemäß Artikel 35 des 2. Entwurfs der DSL dürfen, wenn ein ausländisches Justiz- oder Strafverfolgungsorgan Daten anfordert, die innerhalb Chinas „gespeichert" sind, diese Daten nicht bereitgestellt werden, es sei denn, Chinas „zuständige Regierungsbehörde" hat eine solche Bereitstellung genehmigt. Wenn Verträge oder Abkommen, die China abgeschlossen hat oder an denen es beteiligt ist, einschlägige Bestimmungen über die Übermittlung von Daten aufgrund ausländischer Anfragen enthalten, ist es erlaubt, im Einklang mit diesen Bestimmungen zu handeln. Die DSL legt zwar fest, dass sie nicht für Staatsgeheimnisse, persönliche Informationen oder militärische Daten gilt, aber sie gilt für alle anderen Szenarien, in denen Unternehmen nicht-personenbezogene Daten verarbeiten.

6) Strafen für die unbefugte Weitergabe von Daten an ausländische Behörden

Artikel 46 des 2. Entwurfs der DSL legt die Strafen für den Verstoß gegen Art. 35 der DSL fest, angefangen von einer Verwarnung bis hin zu einer Geldstrafe zwischen RMB 100.000 und RMB 1 Million für Unternehmen und einer Geldstrafe zwischen RMB 20.000 und RMB 200.000 für verantwortliche Mitarbeitende.

 

Personal Information Protection Law, PIPL

 

1) Hervorhebung des Prinzips des notwendigen Minimums

Artikel 6 des 2. Entwurfs des PIPL hebt das Prinzip des notwendigen Minimums hervor, indem er fordert, dass die Verarbeitung personenbezogener Daten auf den minimalen Umfang beschränkt wird, der zur Erfüllung des Verarbeitungszwecks notwendig ist, und durch eine Methode mit dem geringsten Einfluss auf die Rechte und Interessen der Person durchgeführt wird.

2) Eine neue Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Der 2. Entwurf des PIPL führt in seinem Artikel 13 eine neue Rechtsgrundlage für die Verarbeitung personenbezogener Daten ein, indem er festlegt, dass bei der Verarbeitung zuvor offengelegter personenbezogener Daten innerhalb eines logischen Umfangs eine Einwilligung nicht zwingend erforderlich ist. Bemerkenswert ist, dass die Verarbeitung personenbezogener Daten auf dieser Grundlage auch für Artikel 28 des PIPL gelten soll, der die Regeln für die Verwendung offengelegter personenbezogener Daten vorschreibt.

3) Regeln für den Widerruf der Einwilligung

Der 1. Entwurf des PIPL hat den Widerruf der Einwilligung durch die betroffene Person vorgesehen. Im zweiten Entwurf schreibt Artikel 16 der PIPL vor, dass der Bearbeitende von personenbezogenen Daten (der dem „Datenverantwortlichen" unter der GDPR gleichzusetzen ist) Personen die Möglichkeit geben soll, ihre Einwilligung auf einfache Weise zu widerrufen. Darüber hinaus darf der Widerruf der Einwilligung keine Auswirkungen auf personenbezogene Datenverarbeitungsaktivitäten haben, die bereits begonnen haben, bevor die betroffene Person ihre Einwilligung zurückgezogen hat.

4) Grenzüberschreitende Übermittlung von personenbezogenen Daten

Die einzige Änderung, die im zweiten Entwurf des PIPL bezüglich der grenzüberschreitenden Übermittlung personenbezogener Daten festgelegt wurde, ist, dass, wenn eine verarbeitende Stelle personenbezogene Daten ins Ausland übertragen möchte, indem sie einen Übertragungsvertrag unterzeichnet, sie den von der Cyberspace Administration of China (kurz CAC) veröffentlichten „Standardvertrag" verwenden muss.

 

Diese beiden neuen Entwürfe lassen viele Fragen offen: Unter anderem, was nicht-chinesische Stellen als „Justiz- und Vollzugsbehörden" definieren dürfen. Auch die geplanten Einschränkungen im DSL und PIPL machen es für multinationale Unternehmen noch schwieriger zu entscheiden, ob sie im Falle einer staatlichen oder gerichtlichen Aufforderung zur Herausgabe von in China gespeicherten Daten oder Dokumenten der Aufforderung nachkommen und sich mit möglichen Strafen und Härten für die Verletzung chinesischen Rechts auseinandersetzen müssen, auf die Zustimmung der chinesischen Regierung warten oder sich der Aufforderung verweigern und mit negativen Konsequenzen nach dem Recht des anfragenden Landes rechnen müssen.

In dieser Hinsicht müssen Unternehmen mehrere Faktoren im Auge behalten, wenn sie sich mit einer Anfrage einer Justiz- oder Vollzugsbehörde zur Herausgabe von in China gespeicherten Daten befassen. Diese beiden Gesetze werden übrigens voraussichtlich im Jahr 2021 verabschiedet und treten 2022 in Kraft. Unternehmen, die in China tätig sind, sollten sich jedoch unverzüglich darauf vorbereiten.

Privacy Settings

Datenschutzeinstellungen

Paramètres de confidentialité

Configuración de privacidad

Configurações de privacidade

Impostazioni sulla privacy

Ustawienia prywatności

Nastavení ochrany osobních údajů

Nastavenia ochrany osobných údajov

On our website we use cookies that are necessary for technical reasons, for example to save your cookie settings and, after you have provided your consent, also marketing cookies, which help us to improve our web presence and implement advertising campaigns.

In this regard, we also use technology by third-party providers (Google, LinkedIn, Microsoft), with which data processing in the USA, where there is no adequate level of data protection, cannot be excluded. IP address data is anonymised by abbreviation.

Your consent is provided on a voluntary basis and may be revoked at any time. Please note that this information applies only to our company website. In order to guarantee absolute confidentiality, we still do not use third-party provider cookies or other marketing technologies in the BKMS® Compliance System.

You can find more information in the data protection policy.

Auf unserer Webseite verwenden wir technisch notwendige Cookies, etwa zur Speicherung Ihrer Cookie-Einstellungen und, nach Ihrer Einwilligung, auch Marketing Cookies, die uns helfen, unseren Internetauftritt zu verbessern sowie Werbekampagnen durchzuführen.

Dabei nutzen wir auch Technologien von Drittanbietern (Google, LinkedIn, Microsoft), bei denen eine Datenverarbeitung in den USA, wo kein angemessenes Datenschutzniveau gewährleistet ist, nicht ausgeschlossen werden kann. IP-Adressdaten werden durch Kürzung anonymisiert.

Ihre Einwilligung ist freiwillig und jeder Zeit widerrufbar. Bitte beachten Sie, dass dieser Hinweis nur für unsere Unternehmenswebseite gilt. Zur Gewährleistung absoluter Vertraulichkeit verwenden wir im BKMS® Compliance System weiterhin weder Drittanbieter-Cookies noch sonstige Marketing Technologien.

Weitere Informationen finden Sie im Datenschutzhinweis.

Sur notre site web, nous utilisons des cookies techniquement nécessaires par exemple pour enregistrer vos réglages en matière de cookies et, après avoir reçu votre consentement, également des cookies de marketing qui nous aident à améliorer notre présence sur Internet et à réaliser des campagnes publicitaires.

Nous utilisons aussi des technologies de fournisseurs tiers (Google, LinkedIn, Microsoft) au cours de l’emploi desquelles ne peut être exclu un traitement des données aux États-Unis, pays où aucun niveau raisonnable de protection des données n’est garanti. Les données d’adresse IP sont tronquées pour les anonymiser.

Votre consentement est facultatif et révocable à tout moment. Veuillez noter que cette remarque ne vaut que pour notre site web d’entreprise. Pour garantir une confidentialité absolue et comme par le passé, nous n’utilisons dans le BKMS® Compliance System ni cookies de tiers ni technologies de marketing diverses.

Vous trouverez d’autres informations dans l’avis relatif à la protection des données.

En nuestra página web utilizamos cookies técnicamente necesarias, como las que se usan para almacenar sus ajustes de cookies, y, tras recabar su consentimiento, utilizamos también cookies de marketing que nos ayudan a mejorar nuestro sitio web y a llevar a cabo campañas publicitarias.

Para ello, hacemos uso también de tecnologías de terceros (Google, LinkedIn, Microsoft), en cuyo caso no se puede descartar que el tratamiento de datos se lleve a cabo en los EE. UU., donde no se garantiza un nivel adecuado de protección de datos. Los datos de las direcciones IP se anonimizan mediante acortamiento.

Su consentimiento es voluntario y puede ser revocado en cualquier momento. Tenga en cuenta que este aviso solo es de aplicación para la página web de nuestra empresa. Para garantizar una confidencialidad absoluta, en el BKMS® Compliance System no utilizamos cookies de terceros ni otras tecnologías de marketing.

Puede encontrar más información en el aviso de protección de datos.

Na nossa página de internet, utilizamos cookies necessários do ponto de vista técnico, por exemplo, para o armazenamento das suas definições de cookies e, após a sua autorização, também cookies de marketing que nos ajudam a melhorar a nossa presença na internet , bem como a realizar campanhas publicitárias.

No processo utilizamos também tecnologias de outros fornecedores (Google, LinkedIn, Microsoft), nos quais não é possível excluir um tratamento de dados nos EUA, onde não é garantido um nível de proteção de dados adequado. Os dados do endereço IP são anonimizados através de redução.

A sua autorização é voluntária e revogável em qualquer altura. Por favor, tenha em consideração que esta mensagem só é válida para a página de internet da nossa empresa. Para garantir absoluta confidencialidade, continuaremos a não utilizar no BKMS® Compliance System nem cookies de outros fornecedores nem outras tecnologias de marketing.

Encontrará mais informações no aviso relativo à proteção de dados

Sul nostro sito web utilizziamo cookie necessari dal punto di vista tecnico, ad esempio per salvare le impostazioni dei cookie e, se l'utente ha fornito il suo consenso, utilizziamo anche cookie di marketing che ci aiutano a migliorare il nostro sito web e realizzare campagne pubblicitarie.

A tale scopo, utilizziamo anche tecnologie di terze parti (Google, LinkedIn, Microsoft) per le quali non è possibile escludere il trattamento dei dati negli Stati Uniti, dove non è garantito un livello adeguato di protezione dei dati. I dati dell'indirizzo IP vengono resi anonimi mediante abbreviazione.

Il consenso dell'utente è volontario e revocabile in qualsiasi momento. Questo avviso si applica solo al nostro sito web aziendale. Per garantire la massima riservatezza, non utilizziamo nel BKMS® Compliance System né cookie di terze parti né altre tecnologie di marketing.

Maggiori informazioni sono disponibili nell'informativa sulla protezione dei dati.

Na naszej stronie wykorzystujemy niezbędne technicznie pliki cookie, np. do zapisywania ustawień cookie, oraz – po wyrażeniu zgody, również cookie marketingowe pomagające nam ulepszać naszą witrynę internetową oraz prowadzić kampanie reklamowe.

Wykorzystujemy przy tym również technologie od dostawców zewnętrznych (Google, LinkedIn, Microsoft), w przypadku których nie można wykluczyć przetwarzania danych na terenie USA, gdzie nie jest zapewniony dostatecznie wysoki poziom ochrony danych. Adresy IP są anonimizowane poprzez skrócenie.

Udzielana zgoda jest dobrowolna i można ją odwołać w dowolnym momencie. Prosimy pamiętać, że ta informacja dotyczy całej naszej strony. Dla zapewnienia pełnej poufności w BKMS® Compliance System nadal nie stosujemy plików cookie dostawców zewnętrznych ani innych technologii marketingowych.

Więcej informacji można znaleźć w informacji o ochronie danych.

Na našich webových stránkách používáme technicky nezbytné soubory cookie, například k uložení vašeho nastavení souborů cookie, a s vaším souhlasem také marketingové soubory cookie, které nám pomáhají vylepšovat naše webové stránky a provádět reklamní kampaně.

Při tom používáme technologie třetích stran (Google, LinkedIn, Microsoft), u nichž nelze vyloučit zpracování dat v USA, kde není zaručena adekvátní úroveň ochrany dat. Data IP adresy jsou anonymizována zkrácením.

Váš souhlas je dobrovolný a můžete jej kdykoli odvolat s účinkem do budoucna. Vezměte prosím na vědomí, že toto upozornění se vztahuje pouze na webové stránky naší firmy. Abychom zajistili absolutní důvěrnost, v systému BKMS® Compliance System nadále nepoužíváme žádné soubory cookie třetích stran ani jiné marketingové technologie.

Další informace naleznete v informacích k ochraně dat.

Používame technicky potrebné súbory cookies, napríklad na úschovu vašich nastavení cookie, a s vašim súhlasom tiež marketingové súbory cookies, ktoré nám pomáhajú zlepšovať našu webovú stránku a uskutočňovať reklamné kampane.

Používame tiež technológie od tretích strán (Google, LinkedIn, Microsoft), pre ktoré nemožno vylúčiť spracovanie údajov v USA, kde nie je zaručená primeraná úroveň ochrany údajov. Údaje IP adresy sú anonymizované skrátením.

Váš súhlas je dobrovoľný a je možné ho kedykoľvek odvolať. Upozorňujeme, že toto oznámenie sa týka iba webových stránok našej spoločnosti. Aby sme zaistili absolútnu dôvernosť, v BKMS® Compliance System naďalej nepoužívame súbory cookies tretích strán ani iné marketingové technológie.

Ďalšie informácie nájdete v oznámení o ochrane osobných údajov.

Show detailed settings Ausführliche Einstellungen anzeigen Montrer des paramètres détaillés Mostrar configuración detallada Apresentar configurações detalhadas Mostra le impostazioni dettagliate Pokaż szczegółowe ustawienia Zobrazit podrobná nastavení Zobraziť podrobné nastavenia Hide detailed settings Detaileinstellungen ausblenden Cacher les paramètres détaillés Ocultar los ajustes detallados Apresentar configurações detalhadas Nascondi le impostazioni dettagliate Ukryj szczegółowe ustawienia Ukryj szczegółowe ustawienia Ukryj szczegółowe ustawienia