China: Neue Maßnahmen für Daten­sicherheits­management in der Industrie und Informationstechnologie (zur probeweisen Umsetzung)

   
Erschwerend kommt hinzu, dass die maßgeblichen gesetzlichen Bestimmungen in der Regel bewusst sehr allgemein gehalten sind, damit sie später durch lokale und/oder sektorspezifische Durchführungsvorschriften präzisiert werden können. Das führt im Falle datenverarbeitender Unternehmen in der Praxis dazu, dass technische und organisatorische Maßnahmen aufgrund gesetzlicher Vorgaben ergriffen werden müssen, die mangels entsprechender Durchführungsvorschriften zu viel Raum für unterschiedliche Auslegungen lassen und dadurch keine sichere Grundlage für unternehmerische Entscheidungen sein können. 
   

Im hochsensiblen Bereich des grenzüberschreitenden Datenverkehrs konnte die chinesische Regierung in 2022 durch verschiedene Verwaltungsvorschriften etwas mehr Rechtssicherheit schaffen. Seit 1. Januar 2023 können zudem Industrieunternehmen sowie in der Informationstechnologie tätige Unternehmen ihre Datenverarbeitung an den vom Ministerium für Industrie und Informationstechnologie („MIIT") erlassenen Maßnahmen für Datensicherheitsmanagement in der Industrie und Informationstechnologie (zur probeweisen Umsetzung) (im Folgenden „Maßnahmen") ausrichten. Was diese Maßnahmen im Detail regeln und welche Auswirkungen sie für betroffene Unternehmen mit sich bringen, möchten wir in diesem Beitrag darstellen.

 

Wesentlicher Regelungsinhalt der Maßnahmen

Zweck, Definitionen und behördliche Zuständigkeit

Zweck der Maßnahmen ist vor allem die Stärkung des Umgangs mit relevanten Daten für mehr Datensicherheit im Bereich der Industrie und Informationstechnologie. Daneben betonen die Maßnahmen, dass auch die Datenentwicklung und -nutzung durch Anwendung der Vorschriften gefördert werden soll. Diese Spiegelbildlichkeit verpflichtender Vorgaben zur Datensicherheit einerseits und der Ermöglichung wirtschaftlicher Nutzung von Daten andererseits findet sich bereits im DSL sowie einigen hochrangigen Regierungsdokumenten, wobei sich der letztgenannte Aspekt einer umfassenden „Data Governance" im Vergleich zur Datensicherheit noch im Anfangsstadium der Regulierung befindet.

 

Den Maßnahmen unterliegen alle Industrieunternehmen, Software- und IT-Dienstleistungsunternehmen, zugelassene Telekommunikationsunternehmen, Funkfrequenz- und Funkstationsnutzungsunternehmen sowie sonstige Rechtssubjekte, die selbstständig über Zweck und Methoden der Datenverarbeitung entscheiden.

  

In sachlicher Hinsicht unterteilen die Maßnahmen geschützte Daten in Industriedaten, Telekommunikationsdaten sowie Funkdaten. Als Industriedaten werden Daten verstanden, die bei Forschung und Entwicklung, Konstruktion, Produktion, Verwaltung, Wartung, dem Plattformbetrieb usw. in verschiedenen Bereichen der Industrie erzeugt und gesammelt werden. Telekommunikationsdaten sind Daten, die im Rahmen von Telekommunikationsgeschäften erzeugt und gesammelt werden. Als Funkdaten definieren die Maßnahmen schließlich Daten über Funkfrequenzen, Sender (Stationen) und andere Funkwellenparameter, die im Zuge der Durchführung von Funkgeschäften erzeugt und gesammelt werden.

  

Die zentralstaatliche Zuständigkeit für Koordinierung und Überwachung aller Tätigkeiten im Anwendungsbereich der Maßnahmen liegt beim MIIT. Die lokalen Abteilungen des MIIT führen die Maßnahmen im Rahmen ihrer örtlichen Zuständigkeit aus.

  

Datenklassifizierung

Effektives Datenmanagement erfordert zunächst neben der präzisen Erfassung der von Unternehmen verarbeiteten Daten eine Klassifizierung nach geeigneten Merkmalen. Die Klassifizierung soll in zweierlei Hinsicht erfolgen:

• nach Anforderungen, Merkmalen, geschäftlichen Bedürfnissen, Datenquellen und Verwendungszwecken der jeweiligen Branche
  sowie
  
• nach dem Grad der Beeinträchtigung der nationalen Sicherheit, der öffentlichen Interessen oder der legitimen Rechte und Interessen von Einzelpersonen und Organisationen, wenn die Daten manipuliert, zerstört, weitergegeben oder unrechtmäßig erlangt oder unrechtmäßig verwendet werden.
  

Für die erste Art der Klassifizierung nennen die Maßnahmen (nicht abschließend)

• Forschungs- und Entwicklungsdaten,
• Produktions- und Betriebsdaten,
• Managementdaten,
• Wartungsdaten,
• Daten über Unternehmensdienstleistungen,
  

Nach dem Grad möglicher Schäden müssen Daten unterteilt werden in

• allgemeine Daten,
• wichtige Daten,
• Kerndaten.
  

Die Maßnahmen liefern einige Kriterien, die zur Bestimmung allgemeiner, wichtiger und Kerndaten herangezogen werden können. Das MIIT sowie dessen lokale Stellen haben in diesem Zusammenhang die Aufgabe, Standards, Spezifikationen und Kataloge zur Datenklassifizierung zu veröffentlichen, an denen Unternehmen sich bei der eigenen Datenklassifizierung und -katalogisierung orientieren müssen.

Besonders zu betonen ist die Pflicht von Unternehmen, die unternehmensintern erstellten Kataloge wichtiger Daten und Kerndaten bei der lokal zuständigen Abteilung des MIIT zur Prüfung einzureichen. Aus den Katalogen müssen u.a. die jeweiligen Datenquellen, -kategorien, -ebenen, -maßstäbe, -träger, Verarbeitungszwecke und -methoden, der Umfang der Nutzung, verantwortliche Personen, externe Weitergabe, grenzüberschreitende Übermittlung und getroffene Sicherheitsmaßnahmen hervorgehen. Explizit nicht in die Kataloge mit aufzunehmen ist der eigentliche Dateninhalt. Sollten sich nach beanstandungsloser Prüfung wesentliche Änderungen bzgl. der im Katalog aufgeführten Daten ergeben, sind sie innerhalb von drei Monaten nach der Änderung der zuständigen Behörde anzuzeigen.

 

Ganzheitliches Sicherheitsmanagement

Wie bereits das DSL, verlangen die Maßnahmen von Datenverarbeitern die Implementierung eines Datensicherheitsmanagements, das sich über den gesamten Lebenszyklus der betreffenden Daten erstreckt, und die in den Maßnahmen detailliert vorgeschriebenen Schutzmaßnahmen für alle Stadien von der Generierung bis zur Löschung beinhalten muss. Das System zum Management von Datensicherheit muss dabei dem Prinzip des abgestuften Schutzes Rechnung tragen. Bei gleichzeitiger Verarbeitung verschiedener Kategorien von Daten (allgemein, wichtig, Kerndaten) bestimmt die höchste Datenkategorie das anzuwendende Schutzniveau. Unternehmen müssen daher im Mindestmaß folgende Maßnahmen ergreifen:

• Einrichtung eines Sicherheitsmanagementsystems mit abgestuften Schutzanforderungen und Betriebsverfahren für die Datenverarbeitung;
• Bereitstellung von Personal für das Datensicherheitsmanagement;
• Festlegung und Überwachung der operativen Befugnisse für Datenverarbeitungstätigkeiten;
• Ausarbeitung von Notfallplänen und Durchführung von Notfallübungen für Datensicherheitsvorfälle;
• Regelmäßige Aufklärung über die Datensicherheit und Schulung von Personal.

  

Zusätzliche Pflichten werden nach den Maßnahmen bei der Verarbeitung wichtiger Daten sowie von Kerndaten ausgelöst, wie etwa die Einrichtung interner Registrierungs-, Genehmigungs- und sonstiger Arbeitsverfahren.

Unternehmen müssen schließlich sämtliche Verarbeitungsaktivitäten lückenlos dokumentieren und entsprechende Protokolle für mindestens sechs Monate aufbewahren.

 

Frühwarnung und Notfallmanagement

Das MIIT wird einen landesweiten Mechanismus zur Überwachung, Erkennung, Meldung und Behebung bzw. Minimierung von Datensicherheitsrisiken einrichten. Zu diesem Zweck kommen sowohl den lokal zuständigen Behörden als auch datenverarbeitenden Unternehmen unverzichtbare Unterstützungsfunktionen zu. Im Falle von Unternehmen bedeutet das, dass sie im Rahmen ihres unternehmensinternen Datensicherheitsmanagements Maßnahmen ergreifen müssen, die eine frühzeitige Erkennung, Bearbeitung, Meldung und Beseitigung entsprechender Risiken ermöglichen. Dazu zählt laut den Maßnahmen insbesondere auch die Einrichtung eines Kanals zur Entgegennahme von Beschwerden.

 

Bewertung und Zertifizierung von Datensicherheit

Zur Bewertung und Zertifizierung der Datensicherheit in Unternehmen wird das MIIT gemäß den Maßnahmen ein System zur Verwaltung qualifizierter und akkreditierter Bewertungsstellen errichten und dafür notwendige Standards formulieren.

  

Verarbeiter wichtiger Daten und von Kerndaten werden dazu aufgefordert, mindestens einmal jährlich eine Risikobewertung ihrer Datenverarbeitungstätigkeiten durchzuführen, erkannte Schwachstellen rechtzeitig zu beheben und den lokal zuständigen Aufsichtsbehörden Risikobewertungsberichte vorlegen. Derartige Berichte können, müssen nach den Maßnahmen aber nicht durch eine externe Bewertungsagentur erstellt werden.

 

Behördliche Befugnisse und Haftung

Im Hinblick auf die zur Durchsetzung der Maßnahmen erforderlichen Befugnisse der Behörden verweisen die Maßnahmen auf die den Behörden anderweitig durch einschlägige Gesetze (insbesondere das Cybersecurity Law, DSL und PIPL) sowie Verwaltungsvorschriften eingeräumten Befugnisse. Folglich steht den Behörden eine breite Palette möglicher Maßnahmen zur Verfügung, wie etwa die Einholung von Auskünften, das Betreten von Einrichtungen, die Verhängung von Bußgeldern, die Entziehung unrechtmäßig erzielter Vermögenswerte oder der Widerruf erteilter Genehmigungen und Lizenzen. Auch die Einleitung strafrechtlicher Ermittlungen ist bei Erfüllung eines Straftatbestandes denkbar.

   

Auswirkungen und Empfehlungen für betroffene Unternehmen

Die Kommunistische Partei und Regierung Chinas haben frühzeitig erkannt, dass Daten bereits gegenwärtig und viel mehr noch in Zukunft essentiell für die weitere Entwicklung der chinesischen Wirtschaft und Gesellschaft sein werden. Die Hauptantriebskraft geht dabei aus Sicht des chinesischen Staates eindeutig von Akteuren aus der Industrie und der Informationstechnologie aus, weshalb sie vordringlich mit Blick auf den sicheren Umgang mit Daten reguliert werden sollen. Diese Entscheidung ist im Grunde nachvollziehbar, da unerkannte bzw. unbehandelte Schwachstellen in den genannten Sektoren in einer zunehmend industrialisierten und digitalisierten Gesellschaft unter Umständen verheerende Auswirkungen haben können.

Auf der anderen Seite liegt die Einrichtung und Aufrechterhaltung eines robusten Datenmanagementsystems auch im ureigenen Interesse betroffener Unternehmen. Datensicherheitsvorfälle gefährden in den meisten Fällen – vor allem bei kleinen und mittelgroßen Unternehmen – nicht die nationale Sicherheit oder andere hochrangige Schutzgüter, sondern vielmehr deren eigenen Betrieb, im schlimmsten Fall sogar deren Existenz. Daher ist auch ohne die verbindlichen Vorgaben der neuen Maßnahmen eine systematische und kritische Auseinandersetzung mit dem Datenmanagement im eigenen Unternehmen absolut sinnvoll. Die Maßnahmen geben betroffenen Unternehmen insofern gewissermaßen einen Leitfaden an die Hand, mit dessen Hilfe das eigene Datenmanagementsystem auf- bzw. ausgebaut werden kann.

 

Das MIIT kündigt seinerseits auf seiner offiziellen Webseite (Link in Chinesisch) an, welche Aktivitäten es nach Inkrafttreten der Maßnahmen in Angriff nehmen will:

• verstärkte Verbreitung, Information und Beratung zur praktischen Anwendung der Maßnahmen;
• Erarbeitung unterstützender Spezifikationen und Standards mit Fokus auf die Förderung der Umsetzung von Überwachungs- und Frühwarnsystemen, Notfallmaßnahmen, Sicherheitsbewertungen und anderen institutionellen Mechanismen;
• Stärkung der Aufsicht und Durchsetzung gegen rechtswidrige Handlungen.

Es bleibt abzuwarten, wie die genannten Aktivitäten priorisiert und vor allem gegeneinander ausbalanciert werden. Betroffene Unternehmen sollten in jedem Fall die Augen nach zukünftig vom MIIT veröffentlichten Umsetzungshilfen offen halten.