Unternehmen müssen ihre Daten lokalisieren

Wenn es um den Datenschutz in China geht, ist die Auseinandersetzung mit Anforderungen zur Datenlokalisierung für ausländische Unternehmen unumgänglich. Die grundlegenden Anforderungen finden sich derzeit hauptsächlich im Cyber Security Law, während es für bestimmte Branchen, wie beispielsweise das Finanzwesen, die Gesundheitsbranche oder Online-Buchungsdienste für Taxis, brancheneigenen weitere Anforderungen zur Datenlokalisierung gibt.

Das Cybersicherheitsgesetz unterscheidet zwischen CIIOs (Betreiber kritischer Informationsinfrastrukturen) und Nicht-CIIOs und verlangt von CIIOs, persönliche Informationen und wichtige Daten in China zu speichern. Für nicht-CIIOs, also Netzwerkbetreiber, bzw. Datenverantwortliche, schreibt das Cybersicherheitsgesetz nicht vor, dass sie Daten lokal speichern müssen.

Einige aktuelle Entwürfe für neue Verordnungen wie die Data Security Measures (Draft) und die Personal Information Assessment Measures (Draft) sehen jedoch ebenfalls Datenlokalisierungsregeln für Netzwerkbetreiber vor. Das bedeutet, dass mehr Unternehmen die Anforderungen an die Datenlokalisierung erfüllen müssen. Diese Regelungen sind noch nicht in Kraft getreten, aber sie spiegeln den aktuellen Trend wider, den grenzüberschreitenden Datentransfer stärker zu regulieren. Darüber hinaus erweitert das Personal Information Protection Law (Draft) den Gegenstand der Datenlokalisierung auch auf CIIOs und Datenverantwortliche.

All dies wird weitere Herausforderungen mit sich bringen. Einerseits gibt es keinen klaren Anwendungsbereich für CIIOs, so dass es für ausländische Unternehmen schwierig ist, vorherzusagen, ob sie Gegenstand der Datenlokalisierung gemäß dem Cybersicherheitsgesetz sind. Auf der anderen Seite ist es möglich, dass die Datenlokalisierungsanforderungen in Zukunft auch dann gelten, wenn das Unternehmen kein CIIO ist. Der beste Weg, Risiken zu vermeiden, besteht darin, die neuesten politischen Entwicklungen genau zu verfolgen, insbesondere Vorschriften, die noch nicht formell in Kraft getreten sind. Unternehmen sollten auch auf verschiedene Einschränkungen in den Gesetzen achten und reagieren – nicht nur in dem Land, in dem die Daten liegen, sondern auch in den Staaten, in denen die Daten verarbeitet und genutzt werden.

Bild: shutterstock.com

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s