Rechtsbericht China Datenschutz, Datensicherheit
Chinesisches Datensicherheitsgesetz ab September 2021 in Kraft
Der Ständige Ausschuss des Nationalen Volkskongresses hat im Juni 2021 das "Data Security Law" verabschiedet. Am 1. September 2021 wird das Gesetz in Kraft treten.
21.07.2021
Von Julia Merle | Bonn
Hinweis: Der Rechtsbericht wurde erstmals am 21. Juli 2021 veröffentlicht und zuletzt überprüft im Dezember 2024. Das ebenfalls erwähnte "Personal Information Protection Law" - PIPL trat am 1. November 2021 in Kraft. Die "Vorläufigen Bestimmungen zum Datensicherheitsmanagement in der Automobilindustrie" (Chinesisch) gelten seit 1. Oktober 2021.
Das neue Datensicherheitsgesetz
Der zweite Entwurf stammte aus dem April 2021, am 10. Juni 2021 wurde das neue Datensicherheitsgesetz (Data Security Law; nachfolgend: DSL) nun nach drei Lesungen in China verabschiedet.
Es enthält in 55 Artikeln unter anderem folgende Regelungen:
Artikel 2 DSL sieht einen gewissen extraterritorialen Anwendungsbereich vor, das heißt, rechtliche Haftung auch bei außerhalb von China ausgeführten "Datenverarbeitungsaktivitäten", die die nationale Sicherheit oder das öffentliche Interesse Chinas beeinträchtigen. Unter "Daten" wird gemäß Art. 3 DSL grundsätzlich jede Aufzeichnung von Informationen in elektronischer oder anderer Form verstanden.
Ist diese durch die Aktivitäten berührt, soll seitens des Staats eine nationale Sicherheitsüberprüfung (national security review) mit endgültiger Entscheidung erfolgen, Art. 24 DSL.
Neben der besonderen Kategorie "wichtige Daten" verlangt die finale Gesetzesfassung in Art. 21 DSL auch die Einrichtung eines strengeren Schutzsystems hinsichtlich sogenannter "nationaler Kerndaten" (national core data; 国家核心数据): Daten, die unter anderem auf die nationale Sicherheit oder wichtige öffentliche Interessen bezogen sind.
Beim grenzüberschreitenden Datentransfer aus China heraus durch Betreiber kritischer Informationsinfrastruktur ist nach Art. 31 DSL das Cybersicherheitsgesetz anzuwenden. Entsprechende Regelungen für andere Verarbeiter wichtiger Daten sollen erlassen werden.
Eine Datenerhebung durch chinesische Organe der öffentlichen Sicherheit oder Strafverfolgungsbehörden ist nach den Vorgaben des Art. 35 DSL zulässig; Verweigerungen der Zusammenarbeit sind nach Art. 48 DSL sanktionsbewehrt. Handelt es sich um eine Anfrage ausländischer Justiz- oder Strafverfolgungsbehörden hinsichtlich in China gespeicherter Daten, ist gemäß Art. 36 DSL zur Datenübermittlung aus China eine vorherige behördliche Genehmigung erforderlich.
Die maximale Höhe der im 6. Kapitel des DSL vorgesehenen möglichen Bußgelder bei Verstößen beträgt 10 Millionen Renminbi Yuan (RMB).
Es ist in nächster Zeit voraussichtlich mit dem Erlass von näheren Bestimmungen zur Umsetzung des DSL zu rechnen.
Im Entstehen: Gesetz zum Schutz persönlicher Informationen
Ein "Gesetz zum Schutz persönlicher Informationen" (Personal Information Protection Law) befindet sich weiterhin im Gesetzgebungsverfahren. Am 29. April 2021 wurde der zweite Gesetzesentwurf veröffentlicht. Danach ist beispielsweise in bestimmten Fällen ein unabhängiges Gremium zur Überwachung der Datenverarbeitungsaktivitäten einzurichten (Art. 57 des zweiten Entwurfs).
Eine Verabschiedung des Gesetzes könnte eventuell ebenfalls noch in diesem Jahr erfolgen.
Sonstiges
Speziell in Bezug auf die Automobilindustrie veröffentlichte die Cyberspace Administration of China (CAC) im Mai 2021 einen Entwurf detaillierterer Verwaltungsvorschriften hinsichtlich der Sicherheit von Automobildaten (siehe: Entwurf in chinesischer Sprache).
Zum Thema:
- Gesetzestext des Datensicherheitsgesetzes (中华人民共和国数据安全法) vom 10. Juni 2021 (Chinesisch)
- GTAI-Rechtsbericht E-Commerce und Datenschutz in China
