Das Neue Cyber Space Gesetz von China

Posted by Reading Time: 5 minutes

Autor: Alexander Chipman Koty
Übersetzt bei: Kristine Horbach

Die Cyberspace-Verwaltung von China hat vor kurzem die “Bestimmungen für die Sicherheitseinhaltung von in das Ausland freigegebenen persönlichen Informationen und kritischen Daten“, als neue Leitlinien, erlassen (i.W. “die Regelungen“). Diese neuen Regelungen sind Teil des umfassenden Cybersicherheitsgesetzes von China (i.W. “das Gesetz“), welches am 1. Juni in Kraft trat. Sie sollen in Ergänzung zum Gesetz,  die Übertragung und Speicherung von persönlichen Informationen und Daten, welche China verlassen, regeln.

Obwohl diese Regelungen lediglich bei der Umsetzung des Gesetzes helfen sollen, sind sie Anlass für neue  Bedenken bei ausländische Unternehmen in China, die Informationen in Übersee speichern. Insbesondere könnten die Bestimmungen über die Erhebung und Speicherung von “personenbezogenen Daten”,  eine Herausforderung für solche ausländischen Unternehmen darstellen, die ihre Personalabteilung außerhalb von China zentralisiert haben und in China ansässige Mitarbeiter besitzen.

In welchem Umfang die einzelnen Regelungen in der Praxis durchgesetzt werden, ist aufgrund der Unklarheit des Gesetzesregelungen nicht absehbar, ferner behalten sich die Chinesischen kommunalen Regierungen bei der Auslegung der Regelungen, einen Entscheidungsspielraum vor. Betroffenen Unternehmen wird daher dringend empfohlen, ihre derzeitigen HR- und IT-Systeme gründlich zu prüfen und Notfallpläne zu entwickeln bzw. sie derart zu strukturieren, dass sie den neuen Anforderungen gerecht werden.

Betroffene Organisationen

Die ergänzenden Regelungen des Gesetzes betreffen vor allem zwei Arten von Organisationen, welche im Gesetz definiert werden als  “Netzbetreiber” und “kritische Informationsinfrastruktur (CII) Betreiber”. Diese sehr weite Definition zieht zunächst einen unbestimmbaren Kreis von Unternehmen mit ein.

Die Regelungen grenzen “Netzbetreiber” weiter ein, als Eigentümer, Administratoren und Dienstanbietern von Netzwerken, welche selber Systeme aus Computern und anderen Informationsendgeräten und zugehörigen Geräten darstellen, die Daten erfassen, speichern, übertragen und verarbeiten. Während diese Definition unweigerlich Telekommunikationsunternehmen und Internet Service Provider einbezieht, können jedoch auch Unternehmen, die Computernetzwerke an einem einzelnen Bürostandort eingerichtet haben und sogar natürliche Personen, welche mehrere, mit einem Netzwerk verbundenen Computer benutzen, als “Netzbetreiber” unter das Gesetz fallen.
“CII-Operatoren” werden in den Regularien zwar enger gefasst, jedoch lässt das Gesetz auch hier Raum für Interpretationen. Der Definition zur Folge, sind CII-Betreiber alle Netzbetreiber, in Sektoren, welche in “Chinas nationalem Interesse” sind. Als solche Sektoren werden hier insbesondere aufgezählt, der Informationsdienst, der Transportsektor, Wasserressourcen und der öffentliche Dienstleistungssektor.
Unternehmen werden, laut der neuen Regelungen,  auch dann als CII-Betreiber eingestuft, wenn ihre Operationen die nationale Sicherheit, das soziale oder wirtschaftliche Wohlergehen oder das öffentliche Interesse verletzen bzw. beeinträchtigen können. Diese Erweiterung gibt der Regierung eine unbegrenzte Ermessensgrundlage für die Einstufung als CII-Betreiber.

Professional-Service_CB-icons-2017 Dezan Shira & Associates Dienstleistungen im Überblick

Datenlokalisierungspflichten

Die Regelungen erweitern die Datenlokalisierungsanforderungen des Gesetzes nun auch auf Netzbetreiber, welche im Original Gesetzestext zuvor, nur für CII-Betreiber galten. Gemäß Artikel 37 des Gesetzes müssen alle personenbezogenen Daten und sonstigen Schlüsseldaten, die von CII-Betreibern (und nun auch Netzbetreibern) erstellt und gesammelt werden, in Servern auf dem Festland China gespeichert werden. Um Daten außerhalb des Landes zu übertragen, auch nach Hongkong, Macau und Taiwan, müssen die Betreiber eine staatliche Genehmigung erhalten und sich einer Sicherheitsüberprüfung unterziehen. “Persönliche Informationen” werden durch das Gesetz definiert als Informationen, die verwendet werden können, um die persönliche Identität eines Individuums festzustellen, entweder durch die  Informationen selbst oder durch Erlangung von Nebeninformationen. Das Gesetz bezieht sich hinsichtlich personenbezogener Daten auf “natürliche Personen” und nicht nur auf Chinesische Staatsbürger. Der Begriff “Schlüsseldaten” ist nicht explizit definiert, bezieht sich jedoch auf Daten, die eng mit der nationalen Sicherheit, der wirtschaftlichen Entwicklung und sozialen und öffentlichen Interessen zusammenhängen.

Eine von der Cyberspace-Verwaltung in China zu bildende Kommission wird die Sicherheitsbewertungen durchführen. Diese wird eine Risikobewertung beinhalten die berücksichtigt wie die Unternehmen, die Daten erheben, speichern, verarbeiten und nutzen.

Rechtsfolgen

Die Nichtbeachtung des Gesetzes kann zu einer Verwarnung, einer Schließung einer Website, zu einem Genehmigungswiderruf oder zu einer Geldbuße zwischen RMB 50.000 und RMB 500.000 (ca. US $ 7.250 und US $ 72.500) für Unternehmen oder RMB 10.000 und RMB 100.000 (ca. US $ 1.450 und US $ 14.500) für Einzelpersonen, führen.

Professional-Service_CB-icons-2017 IT-Lösungen Services von Dezan Shira & Associates

Implikationen für ausländische Unternehmen

Angesichts der breiten Definitionen der Termini  “Netzwerk- und CII-Betreiber” und das alle ausländischen Unternehmen mit Mitarbeitern in China, auch deren persönlichen Daten für HR-Zwecke speichern, können fast alle ausländischen Unternehmen, die auch in China tätig sind, durch die neuen Regelungen in das Gesetz einbezogen werden.

Ausländische Unternehmen, die ihre HR-Systeme im Ausland zentralisieren, müssen möglicherweise ihre Systeme ändern und ihre Daten auf Servern auf dem Festland China speichern, um gesetzeskonform zu agieren. Dies könnte bedeuten, eine dedizierte HR-Plattform für Mitarbeiter in China zu etablieren oder das Back-End eines Systems auf Server in China zu verlagern, während das internationale Front- end nur für den praktischen Einsatz integriert bleibt.

Am 15. Mai hat eine Koalition von 54 globalen Unternehmensgruppen die chinesische Regierung dazu veranlasst, die Umsetzung des Gesetzes zu stoppen. Es bestehen Bedenken, dass das Gesetz gegen die Freihandelsverpflichtungen Chinas verstößt und die Sicherheit von Markenschutz und Daten gefährden könnte. Allerdings bleibt abzuwarten, ob Peking das Gesetz zurück rufen wird oder mehr Transparenz für seine Umsetzung schafft

Ausblick

Unabhängig davon wie Peking entscheiden wird, erscheint es unter Berücksichtigung der unbestimmten Definitionen des Gesetzes und seiner neuen Regelunge, seiner hohen Anforderungen und der mangelnden Klarheit hinsichtlich der bevorstehenden Umsetzung, sinnvoll, dass jedes Unternehmen, welches personell international aufgestellt ist in China, seine IT- und HR-Systeme überprüft und gegebenenfalls aktualisiert, um die Einhaltung der neuen Vorschriften zu gewährleisten. Ferner ist es auch anderen Organisationen empfohlen, die sich nicht in erste Linie angesprochen fühlen, präventiv,  den “security assesment “ freiwillig durchzuführen.

Für weitere Information oder um mit Dezan Shira & Associates in Kontakt zu treten, senden Sie bitte eine Email an germandesk@dezshira.com oder besuchen Sie uns auf www.dezshira.com/de, wo Sie unsere Unternehmensbroschüre herunterladen können. Bleiben Sie auf dem Laufenden über die aktuellsten Wirtschafts- und Investitionstrends in Asien durch unseren Newsletter.

Folgen Sie uns auf Twitter und besuchen Sie unser Facebook!

WeiterführendeLektüre

 

China-Plus Strategien: Indien, Thailand, Indonesien, Kambodscha 
In unserer Serie „China-Plus Strategie“, stellen wir Ihnen die Möglichkeiten und Notwendigkeiten einer Expansion innerhalb Asiens vor. In dieser Ausgabe von Asia Briefing, legen wir die allgemeinen Handelsmerkmale Indiens, Thailands, Indonesiens und Kambodschas mit China bereit. Dazu stellen wir die signifikantesten Importe und Exporte dar und vergleichen bestimmte Kostenfaktoren. Ferner, präsentieren wir Ihnen einen Überblick gängiger Unternehmensstrukturen.


Bestimmungen zu Verrechnungspreisen in Asien:
Die ökonomische Bedeutung von Verrechnungspreisen ist unangefochten. Das Ziel der Steuerbehörden lautet deshalb, die Interessen des jeweils eigenen Landes zu schützen und zu verhindern, dass Konzerne mithilfe der Verrechnungspreise sich Steuervorteile einräumen. Ein verstärktes Augenmerk wird deshalb auf eine detaillierte Dokumentierung von Transferpreisen gelegt, damit diese nachvollzogen und überprüft werden können, da letztlich nur so ein „faires“ Steuersystem möglich ist.