China setzt seine Gesetzesinitiativen nach dem Cyber Security Law und dem Data Security Law fort. So wurden Bestimmungen zum Datensicherheitsmanagement in der Automobilindustrie zur probeweisen Umsetzung eingeführt, die am 1. Oktober 2021 in Kraft treten. Sie konzentrieren sich auf die Sicherheitsrisiken personenbezogener Informationen, sensibler personenbezogener Informationen und wichtiger Daten im Automobilsektor und bieten allen Akteuren des Automobilmarktes Richtlinien für die Einhaltung der Vorschriften.
Nach diesen Bestimmungen umfassen Kfz-Daten personenbezogene Daten und wichtige Daten, die mit dem Design, der Produktion, dem Verkauf, der Nutzung, dem Betrieb und der Wartung von Kraftfahrzeugen in Zusammenhang stehen. Alle Aktivitäten zur Verarbeitung von Automobildaten in China müssen die Anforderungen der Bestimmungen erfüllen. Das bedeutet, dass die von den Bestimmungen betroffenen Verarbeiter von Autodaten nicht nur Autohersteller im traditionellen Sinne umfassen, sondern auch Autoteile- und Softwarelieferanten, Händler, Wartungsorganisationen, Reisedienstleister und andere Marktteilnehmer in den vor- und nachgelagerten Branchen der Automobilindustrie.
Die Bestimmungen sehen klare Verpflichtungen zur Einhaltung der Vorschriften für Datenverarbeiter in der Automobilindustrie vor. Bei der Verarbeitung personenbezogener Daten müssen die Auftragsverarbeiter beispielsweise die Art der zu verarbeitenden Daten, das Erhebungsszenario und andere relevante Informationen mitteilen und die Zustimmung der betroffenen Person einholen. Für wichtige Daten sollten die Datenverarbeiter in der Automobilindustrie eine Risikobewertung durchführen und den zuständigen Behörden Bericht erstatten sowie die wichtigen Daten im Inland lokalisieren. Bei der Verarbeitung von Kfz-Daten über das Internet und andere Informationsnetze sollten sie das Multi Level Protection Scheme (MLPS 2.0) anwenden, um den Datenschutz im Kfz-Bereich zu stärken und den gesetzlichen Datensicherheitsverpflichtungen nachzukommen
Automobilunternehmen unterliegen auch dann den Bestimmungen, wenn sie Daten verarbeiten, die von Kfz-Ereignisdatenschreibern erfasst werden und personenbezogene oder sogar wichtige Daten darstellen können. Die Marktteilnehmer in der Smart-Car-Branche werden ebenfalls stärker von den Bestimmungen betroffen sein, da die von Smart Cars erzeugten und gesammelten Daten vielfältiger sind als die von herkömmlichen Autos.
China hofft, durch die Gesetzgebung ein Datensicherheits-Risikomanagement für das gesamte Ökosystem der Automobilbranche zu etablieren. Wir empfehlen allen Marktteilnehmern in der Automobilindustrie, sorgfältig zu prüfen, ob sie als Datenverarbeiter in der Automobilindustrie für Compliance-Anforderungen in den Bereichen Cyber Security und Datenschutz in Frage kommen.
China Intellectual Property Blog 