Rechtsbericht | China | Datenschutzrecht
Regelungen zur Sicherheit von Netzwerkdaten in China erlassen
Am 1. Januar 2025 treten die neuen chinesischen "Regulations on the Management of Network Data Security" in Kraft. Sie betreffen auch die Verarbeitung personenbezogener Daten.
04.11.2024
Von Julia Merle | Bonn
Die neuen Regelungen, die insbesondere das chinesische Datensicherheitsgesetz (DSL) sowie das Gesetz zum Schutz persönlicher Informationen (PIPL) näher ausführen, betreffen vor allem den Umgang mit Netzwerkdaten. Diese werden darin definiert als "alle Arten elektronischer Daten, die über Netzwerke verarbeitet und generiert werden" (Art. 62 Abs. 1 der Regelungen).
Zu den geregelten Aspekten und Neuerungen gehören unter anderem:
Nach ihrem Art. 2 finden die Regelungen Anwendung auf Verarbeitungsaktivitäten und das Sicherheitsmanagement von Netzwerkdaten innerhalb Chinas; liegen die Voraussetzungen des Art. 3 Abs. 2 PIPL vor, sind die Regelungen auch anwendbar, wenn personenbezogene Daten natürlicher Personen in China außerhalb Chinas verarbeitet werden (Stichwort: extraterritoriale Anwendbarkeit). Wer Online-Datenverarbeitungsaktivitäten außerhalb Chinas durchführt, die unter anderem die nationale Sicherheit oder das öffentliche Interesse Chinas verletzen, haftet nach den gesetzlichen Bestimmungen.
Kapitel 4, Art. 29 ff. der Regelungen ist der Sicherheit wichtiger Daten gewidmet. Zuständige Abteilungen haben entsprechende Kataloge wichtiger Daten für die jeweilige Region und Branche aufzustellen (Art. 29). Dabei enthalten die neuen Regelungen eine allgemeine Bestimmung des Begriffs der wichtigen Daten in Art. 62 Abs. 4: Danach handelt es sich etwa um solche Daten in bestimmten Bereichen oder auch Regionen, bei deren Manipulation, Zerstörung oder illegaler Verwendung etc. eine unmittelbare Gefährdung unter anderem der nationalen Sicherheit möglich wäre. Der Begriff tauchte bislang zwar vielfach in chinesischen Bestimmungen auf, wurde aber kaum definiert - nicht einmal im DSL.
Die Regelungen enthalten ein eigenes Kapitel bezüglich des Schutzes persönlicher Daten (Kapitel 3, Art. 21 ff.), insbesondere zur Bereitstellung von Informationen über die Datenverarbeitung. Verarbeiten Netzwerkdatenverarbeiter personenbezogene Daten von mehr als 10 Millionen Personen, so haben sie nach Art. 28 der Regelungen bestimmte zusätzliche Vorgaben für sogenannte Verarbeiter wichtiger Daten einzuhalten.
Artikel 26 der Regelungen nimmt Bezug auf Art. 53 PIPL und spezifiziert, dass die bei einer Verarbeitung personenbezogener Daten inländischer natürlicher Personen außerhalb Chinas zu benennende Einrichtung oder der Vertreter in China namentlich der lokalen Internetinformationsbehörde (Cyberspace Administration) auf kommunaler Ebene am Ort der Einrichtung beziehungsweise des Repräsentanten zu melden sind, die wiederum die sonstigen zuständigen Stellen derselben Ebene informiert.
Mit der Sicherheit des grenzüberschreitenden Transfers von Netzwerkdaten befassen sich die Regelungen in Kapitel 5, Art. 34 ff.; zum Beispiel, unter welchen Bedingungen personenbezogene Daten im Ausland bereitgestellt werden dürfen (Art. 35). Bislang finden sich in den Regeln zur grenzüberschreitenden Datenübertragung vom 22. März 2024 bereits verschiedene Ausnahmen von Verpflichtungen wie etwa der Durchführung einer Sicherheitsbewertung. Art. 35 Abs. 6 der neuen Regelungen enthält nun darüber hinaus den Fall der wirklichen Notwendigkeit der Übermittlung personenbezogener Daten ins Ausland zur Erfüllung gesetzlicher Verpflichtungen. Ob es sich dabei lediglich um Pflichten aus dem chinesischen Recht handeln soll, bleibt allerdings offen.
Gemäß Art. 19 der Regelungen haben Netzwerkdatenverarbeiter, die generative KI-Dienste anbieten, das Sicherheitsmanagement der Trainingsdaten und deren Verarbeitungsaktivitäten zu stärken und effektive Maßnahmen anzuwenden, um Sicherheitsrisiken für Netzwerkdaten vorzubeugen und diese zu behandeln.
Ferner sind Haftungsvorschriften in Kapitel 8, Art. 55 ff. der Regelungen enthalten. Sie sehen Sanktionen in Höhe von bis zu 10 Millionen Renminbi Yuan (RMB; entspricht ca. 1,3 Millionen Euro) in Art. 56 bei Verstößen im Zusammenhang mit Auswirkungen auf die nationale Sicherheit nach Art. 13 der Regelungen vor. Bei erstmaligen kleineren Verstößen und geringfügigen Schäden kann gemäß Art. 59 der Regelungen von der Sanktionierung abgesehen werden.
Die Bestimmungen treten nach ihrem Art. 64 am 1. Januar 2025 in Kraft. Erste Entwürfe solcher Regelungen waren bereits Ende 2021 vorgelegt worden.
Zum Thema:
- Dekret des Staatsrats Nr. 790: Regelungen zur Verwaltung der Netzwerkdatensicherheit (《网络数据安全管理条例》) vom 30. September 2024 auf Chinesisch
- GTAI-Publikation Gesetze in der VR China