Das Jahr 2021 war – nicht nur, aber auch – in den Bereichen Cyber Security und Datenschutz ein turbulentes Jahr in China. Neben verstärkter Durchsetzung des Multi-Level Protection Schemes (MLPS) in China, dessen Umsetzung bereits seit 2017 für Unternehmen in China rechtlich verpflichtend ist (siehe dazu auch unsere Webinare), sind viele neue Regelungen im Bereich Datenschutz veröffentlicht worden oder bereits wirksam. Allen voran sind hier das Personal Information Protection Law (PIPL) sowie das Data Security Law (DSL) zu nennen. Beide sind seit Herbst 2021 in Kraft und werden die Grundlage für weitere Regulation im diesem Bereich darstellen.
Die Gesetze geben nur einen ungefähren Rahmen vor, der viel Interpretationsspielraum lässt und weiterer rechtlicher Klärung bedarf. Vor allem Betreiber kritischer Infrastruktur, und damit indirekt auch deren Zulieferer, unterliegen strengeren technischen, organisatorischen und prozeduralen Anforderungen. Aber auch andere Datenverarbeiter müssen sich an neue Regelungen anpassen. Bereits jetzt abzusehen ist, dass
- die Übertragung von wichtigen und personenbezogenen Daten ins Ausland weiter reguliert und kontrolliert werden wird,
- ab bestimmten Datenmengen Datenlokalisierungsanforderungen eintreten werden,
- mehr Dokumente auf Chinesisch zum Nachweis von Datenschutzmaßnahmen erstellt werden müssen,
- die Kontrollen zur legalen Datenerhebung und Nutzung verstärkt werden,
- die Kontrollen zur Einhaltung der gesetzlich vorgegebenen Cybersicherheitsmaßnahmen (Umsetzung des MLPS) verstärkt werden sowie
- vermehrt und erhöhte Bußgelder für Verstöße im Bereich Cybersicherheit und Datenschutz ausgesprochen werden.
Wir gehen davon aus, dass die noch offenen Fragen im Jahr 2022 adressiert werden, so dass die praktische Umsetzung des PIPL und des DSL in den Unternehmen erfolgen kann und auch sollte.
China Intellectual Property Blog 