Handlungsempfehlungen zum Cybersecurity Gesetz

23.11.2018

Seit dem 01.06.2017 ist das chinesische Cybersecurity Gesetz in Kraft. Obwohl viele Anforderungen angesichts noch fehlender rechtswirksamer Umsetzungsvorschriften bislang nicht endgültig geklärt sind, lassen sich einige Handlungsanforderungen für Unternehmen in China definieren. Wir haben 10 Handlungsempfehlungen für Unternehmen, die in der Deutsch-Chinesischen Wirtschaft aktiv sind, formuliert. Die Handlungsempfehlungen erfassen dabei sowohl die Anforderungen des Cybersecurity-Gesetzes als auch allgemein anerkannte Prinzipien zum Management von Informationssicherheits-Systemen.

Das Cybersecurity-Gesetz in Kürze:

In Kraft seit: 01. Juni 2017
Regelt: IT-Sicherheit, Datenschutz und Verhalten im elektronischen Geschäftsverkehr
Betrifft: Fast alle in China tätigen Unternehmen, inklusive der ausländisch investierten Unternehmen
Herausforderungen: Erhöhter Verwaltungsaufwand, Schutz von Geschäftsgeheimnissen, Handelshemmnis
Folgen bei Verstoß: Bußgelder bis 1 Million RMB, Entzug von Business-Lizenzen
Chancen: Verbesserung der IT-Sicherheit, geordnete Datenverarbeitungsprozesse

10 Handlungsempfehlungen zum Cybersecurity-Gesetz:

1. Verantwortung verteilen

Die Definition von Zuständigkeiten ist nach dem CSG Pflicht: mindestens eine zuständige Person für Netzwerkbetreiber (Art. 21) und eine ganze Abteilung für Betreiber von Schlüsselinfrastruktur (Art. 34).

2. Bedarf klären

Nicht jedes Unternehmen muss zwingend IT-Infrastruktur in China unterhalten oder Daten in China und in Deutschland speichern. Rechtliche Probleme können ggf. durch neue technische Lösungen vermieden oder zumindest im Umfang verringert werden.

3. Status quo ermitteln

Sowohl die rechtliche Bewertung als auch die Planung eines IT-Sicherheits-Konzepts erfordern eine klare Aufarbeitung des Sachverhalts. Welche Maßnahmen zur IT-Sicherheit bestehen bereits? Welche Daten werden wo erhoben und verarbeitet?

4. Prozesse definieren und aufzeichnen

Art. 21 fordert von Netzwerkbetreibern die Erstellung eines internen Systems zum Sicherheitsmanagement und die Formulierung von Standardprozeduren. Betreiber von Schlüsselinfrastruktur müssen außerdem einen Notfallplan bereithalten.

5. Mitarbeiter informieren & schulen

Mitarbeiter müssen für die Einhaltung des CSG sensibilisiert werden. Dies gilt für die Einhaltung von Maßnahmen zur IT-Sicherheit, Datenschutzvorgaben und rechtmäßigem Verhalten im Internet. Dies bedeutet unter anderem: Mitarbeiter-Handbücher prüfen und aktualisieren.

6. Hard- und Software richtig einkaufen

IT-Dienstleister und andere Anbieter, z.B. Cloud-Services, sind vertraglich auf die Einhaltung des CSG zu verpflichten. Auch VPNs sollten nur verwendet werden, wenn deren Anbieter entsprechend zugelassen sind.

7. Datenmanagement aufbauen

Das CSG betont Einwilligungserfordernisse für die Erhebung personenbezogener Daten. Betreiber von Schlüsselinfrastruktur müssen Daten in China speichern. Netzwerkbetreiber müssen ggf. vor der Weiterleitung von Daten ins Ausland Sicherheitsprüfungen vornehmen.

8. Die eigenen Kunden kennen

Auch wenn die meisten ausländischen Unternehmen nicht als Schlüsselinfrastruktur eingestuft werden, können sie als Zulieferer indirekt betroffen sein. Art. 23 sieht in diesem Fall Sicherheitsüberprüfungen vor. Außerdem sind spezielle Verträge zu schließen, Art. 36.

9. Informiert bleiben

Das CSG wird regelmäßig durch Umsetzungsvorschriften konkretisiert. Die Schaffung einheitlicher IT-Sicherheits-Standards für China ist angestrebt. Die Entwicklungen sollten verfolgt und interne Prozesse entsprechend angepasst werden.

10. Regelmäßig (sich selbst) prüfen

Das CSG fordert in einigen Fällen, z.B. vor der Weiterleitung von Daten ins Ausland, dass Unternehmen in Self-Assessments die eigenen Sicherheitsstandards und damit Compliance mit dem CSG prüfen. Außerdem muss das IT-Sicherheits-Konzept mit der technischen Entwicklung Schritt halten.

WZR unterstützt Sie unter anderem in folgenden Bereichen:

Sie benötigen weitere Informationen zum CSG
Sie möchten wissen, in welchem Maße Ihr Unternehmen vom CSG betroffen ist
Sie benötigen ein Update für Ihr Mitarbeiter-Handbuch und Informationen für Ihre Mitarbeiter
Sie benötigen Unterstützung bei der Formulierung und Verhandlung von Verträgen mit Dienstleistern und Kunden
Sie haben Fragen zur Erhebung und Nutzung sowie zum Transfer von Daten zwischen Deutschland und China

Unsere Handlungsempfehlungen zum Cybersecurity-Gesetz finden Sie auch hier zum Download

Weiterführende Downloads:

20170814_CSL-Factsheet.pdf

Handlungsempfehlungen zum Cybersecurity Gesetz

Weiterführende Downloads:

News

Provisions on Regulating and Promoting Cross-border Data Flow were officially promulgated, and the exemption scope extended once again

Chinese New Company Law – How the New Revision Could Impact FIEs in China

SMEs may not need to sign the standard contract or conduct the filing at local CAC

Kontaktdaten:

Geschäftszeiten:

WZR China auf: