China: Neues Cybersicherheitsgesetz bringt Auflagen für Unternehmen

08. Januar 2018 Drucken
China: Neues Cybersicherheitsgesetz bringt Auflagen für Unternehmen
© pixabay

Chinas neues Cybersicherheitsgesetz ist am 1. Juni 2017 in Kraft getreten. Das Gesetz erweitert die Befugnisse der Regierung im Hinblick auf Schutz und Kontrolle von Daten, Netzwerken und kritischer Infrastruktur. Die Außenwirtschaftsorganisation der Wirtschaftskammer zeigt, wo bei dem Gesetz für in China aktive Unternehmen die Herausforderungen versteckt sind.

Betroffen sind alle Netzwerkbetreiber und Netzwerkdienstleister. Nach der weit gefassten Definition zählen beispielsweise auch Unternehmen, die kundenbezogene Daten  auf Festplatten speichern, zu den Netzwerkbetreibern. Diese werden durch die neuen Regelungen verpflichtet, technische Maßnahmen zum Schutz von Netzwerk und Daten, z.B. vor Hackerangriffen, zu ergreifen.

Staatliche Zertifizierung für Infrastrukturprodukte

Künftig dürfen die Betreiber kritischer Infrastruktur nur IT-Produkte für die Netzwerksicherheit kaufen, die eine staatliche Zertifizierung in China erhalten haben. Laut AWO ist es noch nicht klar, ob diese Zertifizierung zur Offenlegung ihrer Quellcodes und dem Kauf chinesischer IT-Produkte gezwungen werden kann. Darüber hinaus schreibt das Gesetz den Betreibern kritischer Infrastrukturen die Speicherung sämtlicher Daten in der VR China vor.

Sicherheitsüberprüfungen bei Massentransfer von Namen

Eine im April erfolgte Präzisierung machte klar, dass die Weitergabe von persönlichen Informationen (wie Name und Adresse) eine Zustimmung des Betroffenen erforderlich macht. Überschreitet die Menge der jährlich transferierten Daten 1.000 Gigabyte oder die Angaben von über 500.000 Personen, muss sich das Unternehmen einer Sicherheitsüberprüfung unterziehen.

Übertragungsverbote

Der Umfang von 1.000 Gigabyte bezieht sich auf personenbezogene Daten und solche, die das öffentliche Interesse betreffen. Bei der Gefährdung persönlicher Interessen oder fehlender Zustimmung des Nutzers ist eine Übertragung der Daten ins Ausland unzulässig. Auch bei möglichen Risiken für die nationale Sicherheit und der Gefährdung öffentlicher Interessen bestehen Übertragungsverbote.

 

Mehr zum Thema