Handlungsempfehlungen zum Cybersecurity Gesetz
Seit dem 01.06.2017 ist das chinesische Cybersecurity Gesetz in Kraft. Obwohl viele Anforderungen angesichts noch fehlender rechtswirksamer Umsetzungsvorschriften bislang nicht endgültig geklärt sind, lassen sich einige Handlungsanforderungen für Unternehmen in China definieren. Wir haben 10 Handlungsempfehlungen für Unternehmen, die in der Deutsch-Chinesischen Wirtschaft aktiv sind, formuliert. Die Handlungsempfehlungen erfassen dabei sowohl die Anforderungen des Cybersecurity-Gesetzes als auch allgemein anerkannte Prinzipien zum Management von Informationssicherheits-Systemen.
Das Cybersecurity-Gesetz in Kürze:
- In Kraft seit: 01. Juni 2017
- Regelt: IT-Sicherheit, Datenschutz und Verhalten im elektronischen Geschäftsverkehr
- Betrifft: Fast alle in China tätigen Unternehmen, inklusive der ausländisch investierten Unternehmen
- Herausforderungen: Erhöhter Verwaltungsaufwand, Schutz von Geschäftsgeheimnissen, Handelshemmnis
- Folgen bei Verstoß: Bußgelder bis 1 Million RMB, Entzug von Business-Lizenzen
- Chancen: Verbesserung der IT-Sicherheit, geordnete Datenverarbeitungsprozesse
10 Handlungsempfehlungen zum Cybersecurity-Gesetz:
1. Verantwortung verteilen
Die Definition von Zuständigkeiten ist nach dem CSG Pflicht: mindestens eine zuständige Person für Netzwerkbetreiber (Art. 21) und eine ganze Abteilung für Betreiber von Schlüsselinfrastruktur (Art. 34).
2. Bedarf klären
Nicht jedes Unternehmen muss zwingend IT-Infrastruktur in China unterhalten oder Daten in China und in Deutschland speichern. Rechtliche Probleme können ggf. durch neue technische Lösungen vermieden oder zumindest im Umfang verringert werden.
3. Status quo ermitteln
Sowohl die rechtliche Bewertung als auch die Planung eines IT-Sicherheits-Konzepts erfordern eine klare Aufarbeitung des Sachverhalts. Welche Maßnahmen zur IT-Sicherheit bestehen bereits? Welche Daten werden wo erhoben und verarbeitet?
4. Prozesse definieren und aufzeichnen
Art. 21 fordert von Netzwerkbetreibern die Erstellung eines internen Systems zum Sicherheitsmanagement und die Formulierung von Standardprozeduren. Betreiber von Schlüsselinfrastruktur müssen außerdem einen Notfallplan bereithalten.
5. Mitarbeiter informieren & schulen
Mitarbeiter müssen für die Einhaltung des CSG sensibilisiert werden. Dies gilt für die Einhaltung von Maßnahmen zur IT-Sicherheit, Datenschutzvorgaben und rechtmäßigem Verhalten im Internet. Dies bedeutet unter anderem: Mitarbeiter-Handbücher prüfen und aktualisieren.
6. Hard- und Software richtig einkaufen
IT-Dienstleister und andere Anbieter, z.B. Cloud-Services, sind vertraglich auf die Einhaltung des CSG zu verpflichten. Auch VPNs sollten nur verwendet werden, wenn deren Anbieter entsprechend zugelassen sind.
7. Datenmanagement aufbauen
Das CSG betont Einwilligungserfordernisse für die Erhebung personenbezogener Daten. Betreiber von Schlüsselinfrastruktur müssen Daten in China speichern. Netzwerkbetreiber müssen ggf. vor der Weiterleitung von Daten ins Ausland Sicherheitsprüfungen vornehmen.
8. Die eigenen Kunden kennen
Auch wenn die meisten ausländischen Unternehmen nicht als Schlüsselinfrastruktur eingestuft werden, können sie als Zulieferer indirekt betroffen sein. Art. 23 sieht in diesem Fall Sicherheitsüberprüfungen vor. Außerdem sind spezielle Verträge zu schließen, Art. 36.
9. Informiert bleiben
Das CSG wird regelmäßig durch Umsetzungsvorschriften konkretisiert. Die Schaffung einheitlicher IT-Sicherheits-Standards für China ist angestrebt. Die Entwicklungen sollten verfolgt und interne Prozesse entsprechend angepasst werden.
10. Regelmäßig (sich selbst) prüfen
Das CSG fordert in einigen Fällen, z.B. vor der Weiterleitung von Daten ins Ausland, dass Unternehmen in Self-Assessments die eigenen Sicherheitsstandards und damit Compliance mit dem CSG prüfen. Außerdem muss das IT-Sicherheits-Konzept mit der technischen Entwicklung Schritt halten.
WZR unterstützt Sie unter anderem in folgenden Bereichen:
- Sie benötigen weitere Informationen zum CSG
- Sie möchten wissen, in welchem Maße Ihr Unternehmen vom CSG betroffen ist
- Sie benötigen ein Update für Ihr Mitarbeiter-Handbuch und Informationen für Ihre Mitarbeiter
- Sie benötigen Unterstützung bei der Formulierung und Verhandlung von Verträgen mit Dienstleistern und Kunden
- Sie haben Fragen zur Erhebung und Nutzung sowie zum Transfer von Daten zwischen Deutschland und China
Unsere Handlungsempfehlungen zum Cybersecurity-Gesetz finden Sie auch hier zum Download