Cybersecurity und Datenschutz: Worauf es beim Business mit und in China ankommt

1. Die aktuelle Situation

Immer mehr Staaten versuchen, die Hoheit über die im Inland generierten Daten zu behalten und diese auch außerhalb des Landes zu schützen. China spielt dabei eine herausragende Rolle. Das für die deutsche Wirtschaft wichtige Land schränkt die Verarbeitung von Daten und den grenzüberschreitenden Datenverkehr gleich durch mehrere neue Gesetze ein. In ihnen geht es neben dem Schutz von Daten auch um die Sicherheit der unternehmensinternen IT-Systeme und das IT-Management. Die Regelungen begrenzen den Umgang mit Daten und bergen für westliche Unternehmen, die im Chinageschäft tätig sind, völlig neue Risiken, die im Rahmen der IT-Compliance identifiziert, bewertet und minimiert werden müssen.

2. Besonderheiten des chinesischen Datenschutzregimes

In China sind vor allem das Cybersecurity Law (CSL)   , das Data Security Law (DSL)   sowie das Personal Information Protection Law (PIPL)   maßgebend für den Datenschutz. Die Grundlage für alle Datenschutzmaßnahmen aus den oben genannten Gesetzen ist das Multi-Level Protection Scheme (MLPS 2.0), das alle in China registrierten Unternehmen zu einer Sicherheitszertifizierung ihrer IT-Systeme durch die lokalen Behörden verpflichtet.

Relevante Datenschutzbehörden in China

Verantwortlich für die Vorgaben der Datensicherheit, des Datenschutzes und der Cybersicherheit sind drei verschiedenen Behörden: die Cyberspace Administration of China (CAC), das Ministerium für Industrie und Informationstechnologie (MIIT) und das Ministerium für öffentliche Sicherheit (MPS). Die Um- und Durchsetzung der Regelungen übernehmen die lokalen Büros der Ministerien, vor allem die Behörden für öffentliche Sicherheit und die lokalen Cyberspace Administrations.

Auffällig bei den neuen Gesetzen ist, dass sie sich, anders als man es von der DSGVO kennt, nicht nur mit dem Schutz personenbezogener Daten, sondern auch sogenannter wichtiger Daten, befassen. Wichtige Daten sind solche Daten, die in China gesammelt oder erzeugt wurden und kein Staatsgeheimnis sind, aber einen engen Bezug zur nationalen Sicherheit, der wirtschaftlichen Entwicklung und dem öffentlichen Interesse haben und diese im Falle eines Leaks, des Verlusts, Missbrauchs, der Verfälschung oder der Löschung gefährden. Welche Kategorien von Daten konkret unter wichtige Daten fallen, ist bisher gesetzlich zwar nicht klar definiert, viele werden aber die wirtschaftliche Entwicklung und das öffentliche Interesse betreffen. Die Veröffentlichung offizieller Definitionen wird noch dieses Jahr erwartet.

Auch im Bereich des Schutzes personenbezogener Daten gibt es einige relevante Besonderheiten, die beachtet werden müssen. Es ist nicht möglich, ein DSGVO-konformes Datenschutz-System einfach nach China zu übertragen. Es müssen Anpassungen vorgenommen werden, um das System in China gesetzeskonform zu machen.

Ein relevanter Unterschied ist beispielsweise die rechtliche Grundlage zur Verarbeitung personenbezogener Daten. Während die DSGVO ein berechtigtes Interesse an der Datenverarbeitung als rechtliche Grundlage nennt, kennt das PIPL das berechtigte Interesse nicht als rechtliche Grundlage zur Datenverarbeitung. Datenverarbeitungsprozesse in internationalen Unternehmen benötigen daher in China eine andere rechtliche Basis - beispielsweise das Einverständnis von Personen, einen Vertrag oder die Compliance mit rechtlichen Vorschriften als zulässige Grundlage für die Datenverarbeitung.

3. Unterschiedliche regionale Anforderungen

China hat die Präventionsmechanismen für die Datensicherheit sowie deren Kontrolle verstärkt. Das Data Security Law sieht vor, dass eine Kategorisierung von Daten in verschiedene Gruppen mit unterschiedlichen Sicherheitsmaßnahmen stattfinden muss. Neben wichtigen und personenbezogenen Daten wird es regional und auch industrieabhängig weitere Datenkategorien geben. Der chinesische Gesetzgeber plant, die Kompetenz und Verpflichtung, entsprechende Listen zur Kategorisierung von Daten zu erstellen, an die Provinzen oder an Verbände bestimmter Industrien zu geben.

Den Datenkategorien, die bisher für Unternehmen relevant waren (beispielsweise vertraulich, zur Einsicht, personenbezogen, öffentlich, usw.) werden weitere Kategorien hinzugefügt. Es ist damit zu rechnen, dass die verantwortlichen Behörden entsprechende Verordnungen zur Datenkategorisierung bis zum Inkrafttreten des DSL am 1. September 2021 veröffentlichen. Das bedeutet für Unternehmen, die in China mehrere Niederlassungen haben, dass für ihre Daten in unterschiedlichen Provinzen möglicherweise verschiedene Vorgaben gelten.

4. Grenzüberschreitender Datenverkehr

Die bereits in Kraft getretenen Gesetze beschränken den grenzüberschreitenden Datenverkehr von Betreibern kritischer Informationsinfrastruktur (CIIOs). Betroffen sind personenbezogene und wichtige Daten. Es liegen jedoch bereits Verordnungsentwürfe vor, welche die Einschränkungen in der Datenübertragung von CIIOs auf alle Unternehmen ausweiten.

Beispiel Automobilindustrie: Am 12. Mai 2021 hat die Cyberspace Administration China einen Entwurf zur Regelung des Datenschutzes in der Automobilbranche herausgegeben. Dabei handelt es sich um einen ersten Entwurf, der den Umgang mit personenbezogenen und wichtigen Daten durch die Automobilbranche regeln soll. Er definiert für die Branche, was wichtige Daten sind, und schränkt ihre Verarbeitung auf ein notwendiges Minimum ein. Die wichtigen Daten sollen soweit wie möglich im Auto verarbeitet und nicht übertragen werden. Die Verarbeitung sensibler personenbezogener Daten wird bis auf wenige Ausnahmen verboten. Die Übertragung von Daten ins Ausland ist nur noch nach einer Sicherheitsprüfung durch das CAC und unter weiteren Sicherheitsauflagen möglich. Dabei gilt, dass Daten generell in China gespeichert werden müssen. Weitere Regelungen für andere Branchen werden zeitnah folgen.

Bei Inkrafttreten müssen Unternehmen kurzfristig ihre Datenströme anpassen, entsprechende Genehmigungen zur Datenübertragung einholen, Folgenrisikoabschätzungen erstellen und ihre Datentransfers dokumentieren. Das Risiko, dabei gegen Vorschriften zu verstoßen, kann durch ein frühzeitig eingeführtes Datenmanagement-System minimiert werden, das es ermöglicht, Datenströme flexibel zu kontrollieren und zu dokumentieren. Dadurch kann ein Unternehmen zeitnah auf veränderte rechtliche Vorgaben reagieren.

Unternehmen sollten sich frühzeitig informieren, welche Behörden vor Ort für Genehmigungen zuständig sind und ob sie Datenkategorien verarbeiten und übertragen, für die vor dem grenzüberschreitenden Datentransfer eine Genehmigung notwendig werden könnte. Gleichzeitig sollte ein dokumentiertes System zur Risikofolgenabschätzung implementiert werden, das den gesetzlichen Vorgaben entspricht.
Die Dokumentation der Datenströme sollte einheitlich und übersichtlich sein. Hierbei ist vor allem relevant, die Art der verarbeiteten und übertragenen Daten anhand der vorgegebenen Datenkategorien zu spezifizieren, so dass im Falle einer behördlichen Inspektion eine lückenlose Nachverfolgung der Datenverarbeitungsaktivitäten möglich ist.

5. Multi-Level Protection Scheme

Dringlich ist die gesetzlich vorgegebene Umsetzung des Multi-Level Protection Scheme (MLPS) für unternehmensinterne IT-Systeme (Webinar zur Umsetzung des MLPS 2.0: https://www.youtube.com/watch?v=5BaZkfkvAb8). Unternehmen, die ihre Systeme nicht von den Behörden zertifizieren lassen, riskieren ein empfindliches Bußgeld und die öffentliche Anzeige (Blacklisting) im Corporate Social Credit System (CSCS) (https://www.creditchina.gov.cn/), was Sanktionen zur Folge hat. Das MLPS teilt jedem IT-System einen Sicherheitslevel zu, der dann festlegt, welche Maßnahmen zur Gewährleistung der Systemsicherheit gesetzlich verpflichtend getroffen werden müssen. Die Anpassung der IT-Sicherheitsmaßnahmen (Hardware, Software und IT-Management) an das vom MLPS geforderte Maß ist zwingend notwendig, die Umsetzung des MLPS wird von der Behörde für öffentliche Sicherheit überprüft.

Die Überprüfung von Unternehmen auf die Umsetzung des MLPS nimmt immer mehr Fahrt auf. In einigen Städten hat die CAC die Unternehmen vor Ort bereits mit Penetrationstests auf Sicherheitslücken überprüft. Sollten durch die CAC Datenschutz-relevante Lücken gefunden werden, werden die betroffenen Unternehmen ermahnt und müssen die entsprechende Sicherheitslücke zeitnah beheben. Auch Bußgelder können verhängt werden.

Fallbeispiel: IT-Compliance-Projekt

Ein internationaler Konzern mit einer Niederlassung in Shanghai zur Fertigung und Kundenbetreuung auf dem chinesischen Markt verwendet konzernweit eine einheitliche Unternehmenssoftware zur Verwaltung der vielfältigen Daten. Die Daten der chinesischen Niederlassung werden bislang an einen Server in Deutschland übertragen und auch in Deutschland gespeichert und verarbeitet. Dazu gehören neben Fertigungsdaten, Verkaufszahlen, Projektinformationen und Vertriebsinformationen auch personenbezogenen Daten wie Kunden- und Mitarbeiterdaten. Die chinesischen Fertigungslinien sind mit Sensoren ausgestattet, die permanent Betriebsdaten erfassen und zum Zweck der Predictive Maintenance über einen Digital Twin in die deutsche Zentrale gesendet werden.

In einem ersten Schritt wurden alle in China erhobenen und verarbeiteten Daten der Niederlassung branchen- und provinzspezifisch in die Kategorien a) personenbezogenen Daten, b) sensible Personenbezogenen Daten, c) wichtige Daten und in d) weitere Datenkategorien eingeordnet. Um die internen Verfahrensregeln zeitnah anpassen zu können, wurde bei einem externen Dienstleister ein ständiges Monitoring der aktuellen chinesisches Gesetzgebung beauftragt.
Da die Regeln der DSGVO im chinesischen Markt nicht ausreichen, wurden die bereits implementierten Datenschutzprozesse und -maßnahmen, die bei der Verarbeitung personenbezogener Daten zur Anwendung kommen, an das chinesische Datenschutzgesetz angepasst. Dabei wurden besonders die Informationspflichten des Unternehmens beachtet.

Im nächsten Schritt ging es um die Überprüfung der Zulässigkeit der Datenübertragung ins Ausland. Dazu wurde überprüft, welche Daten des Unternehmens im Sinne des Gesetzes wichtig sind und deshalb nur in China gespeichert werden dürfen und für welche Daten eine Genehmigung eingeholt werden muss. Für ausgewählte Daten wurden die Speicherungspflichten China überprüft. Wichtig war die Beantwortung der Frage, ob ausländische Partner, an die Daten übertragen werden, die Standards des chinesischen Datenschutzes erfüllen.

Um die Datenströme des Unternehmens flexibel kontrollieren und dokumentieren und damit den strengen Dokumentationspflichten gerecht werden zu können, wurde ein neues flexibles Datenverarbeitungssystem eingerichtet. In diesem Zusammenhang wurden auch Risikofolgenabschätzungen für Datentransfers ausgearbeitet, die momentan noch frei durchgeführt werden können. Bei der Umsetzung der MLPS-Zertifizierung wurden erfahrene Experten eines lokalen Testzentrums eingesetzt, zu denen bereits persönliche Kontakte bestanden. Durch den guten Draht zur prüfenden Behörde konnte ein problemloser Ablauf sichergestellt werden.

Checkliste: Risiken fehlender IT-Compliance

• Fehlende Sensibilisierung der Mitarbeiter in China lässt Sicherheitslücken im Dunklen.
  
• Entdeckung von Schwachstellen durch Pentests der lokalen Behörden.
  
• Bei fehlender oder mangelhafter Umsetzung von Datenschutzvorschriften hohe Bußgelder, besonders bei Datenlecks.
  
• Drohender Eintrag (Schwarzlistung) in das Corporate Social Credit System, Reputationsschaden.
  
• Zeitweilige Unterbrechung des Geschäftsbetriebs.
  
• Im Extremfall Entzug der Geschäftslizenz.
  
• Stopp jeglicher Datenübertragung ins Ausland, wenn nicht genehmigte grenzüberschreitende Datenübertragungen entdeckt werden.
  
• Einsatz von in China unzulässiger Hard- und Software

6. Handlungsempfehlungen

IT-Compliance ist in China jetzt unabdingbar. Der erste Schritt sollte die Durchführung des MLPS und die Anpassung der Sicherheitsmaßnahmen der relevanten IT-Systeme sein. Nur so können Unternehmen den Behörden zeigen, dass sie bereits dabei sind, den neuen gesetzlichen Anforderungen an die Cyber- und Datensicherheit gerecht zu werden.

Daneben sollte ein flexibles Datenmanagement-System eingerichtet oder bereits bestehende Systeme überprüft und, wenn erforderlich, angepasst werden. Wenn das Unternehmen in China mehrere Niederlassungen hat, müssen regional verschiedene Datenkategorien angelegt und diese separat verwaltet werden. Da es verschiedene Kategorien geben wird, ist bei der Datenverwaltung eine flexible Handhabung notwendig. Beim Export von Daten, den Dokumentationspflichten und Risikoeinschätzungen wird es Einschränkungen geben, die berücksichtigt werden müssen.

Unternehmen müssen außerdem dafür sorgen, dass sie über den aktuellen Stand der sich schnell ändernden Gesetzgebung zeitnah informiert sind. Viele der relevanten Vorschriften und Standards liegen nur in chinesischer Sprache vor, der aktuelle Stand der Gesetzgebung sollte deshalb durch einen chinesischen Angestellten oder chinesischsprachigen Juristen erfolgen.

Neben den Anforderungen an die IT-Compliance, die der verschärfte Datenschutz in China mit sich bringt, sollten Unternehmen auch überlegen, welche Daten in China erhoben und welche nach China oder aus China grenzüberschreitend übertragen werden müssen. Welche Datenströme sind zwingend notwendig und wie kann garantiert werden, dass diese gesetzeskonform und ohne Unterbrechung fließen können? Obwohl es markante Einschränken im Datenverkehr gibt, wird es deutschen Unternehmen durch eine professionelle IT-Compliance möglich sein, große Risiken und Disruptionen im Chinageschäft zu vermeiden.

---

Mareike Seeßelberg ist Senior Consultant, Zihao Liao ist Consultant bei der Chinabrand IP Consulting   .