Am 30. Januar 2022 erließ Shanghai die erste offizielle Corporate Data Compliance Richtlinie. Das 38 Artikel umfassende Dokument leitet Unternehmen an, ihr Datenmanagement bezüglich Data-Compliance, Identifizierung, Bewertung und Beseitigung von Datenrisiken zu stärken. Die Richtlinie betont, dass die Geschäftsführung eines Unternehmens für die Einhaltung der Datenvorschriften verantwortlich ist und empfiehlt, eine spezielle Abteilung für Data-Compliance-Management einzurichten. Gleichzeitig wird davon abgeraten, dass die Rechtsabteilung eines Unternehmens die Aufgaben des Compliance-Managements übernimmt.
Bei der Identifizierung von Datenrisiken werden auch die verbotenen Tätigkeiten und die Regeln für den Umgang mit personenbezogenen Daten dargelegt. Geht es um die grenzüberschreitende Übermittlung personenbezogener Daten, müssen die chinesischen Vorschriften über die grenzüberschreitende Datenübermittlung eingehalten und im Voraus eine Selbsteinschätzung des Risikos der Datenübermittlung vorgenommen werden. Datenverarbeiter sollen die Zustimmung der betreffenden Personen einholen und diesen die folgenden Informationen zur Verfügung stellen: Name des ausländischen Datenempfängers, Kontaktdaten, Zweck und die Art der Verarbeitung, Art der personenbezogenen Daten und Art und Weise, wie sie ihre Rechte auf personenbezogene Daten beim ausländischen Datenempfänger ausüben können.
Ferner werden ein Plan zur Reaktion auf Datensicherheitsvorfälle und eine verstärkte Schulung der Mitarbeiter in Bezug auf Data-Compliance gefordert. Auch wenn die offizielle Richtlinie zum aktuellen Zeitpunkt noch nicht verpflichtend ist, sollten die Datenverarbeiter die mögliche zivil-, verwaltungs- und strafrechtliche Haftung bei Verstößen der Vorschriften beachten.
Die Richtlinie gilt als Vorbild für die Reform der Corporate Compliance und dient als Leitfaden für datenverarbeitende Unternehmen in China. Da die Vorgabe nicht verpflichtend ist, ist noch ungewiss, wann ein umfassendes Managementsystem für Corporate-Data-Compliance etabliert werden kann. Die Unternehmen sollten ihre Ressourcen der Corporate Data Compliance weiter ausbauen.
China Intellectual Property Blog 