Das chinesische Cybersicherheitsgesetz und digitales Marketing

Haftungsausschluss: Dieser Artikel ist nicht als Rechtsberatung zu verstehen. Wir empfehlen dringend, sich rechtlich beraten zu lassen, um die Vorschriften auf Ihre spezifischen Umstände anzuwenden, und lehnen jegliche Haftung im Zusammenhang mit der Verwendung dieses Leitfadens ab.

Zum Schutz personenbezogener Daten und der Privatsphäre hat die Kommunistische Partei Chinas am 20. August 2021 das Gesetz zum Schutz personenbezogener Daten (PIPL) erlassen. Es ergänzt das Cybersicherheitsgesetz (CSL) und das Datensicherheitsgesetz (DSL), die 2017 in Kraft traten bzw. 2021. Während China eine Reihe anderer verwandter Durchführungsbestimmungen und nationaler Standards entworfen hat, gelten diese drei als die Eckpfeiler des gesamten Datenschutz- und Cybersicherheits-Rechtssystems in China.

Die Anforderungen an die Erhebung personenbezogener Daten sind der europäischen Datenschutzgrundverordnung überraschend ähnlich. Jedes Unternehmen, das den chinesischen Markt ernst nimmt, sollte diese Vorschriften ernst nehmen und sie als Teil der Investition betrachten, die erforderlich ist, um in China erfolgreich zu sein, zusammen mit einer physischen und rechtlichen Präsenz. In diesem Artikel behandeln wir den grundlegenden Umfang, die Risiken und Maßnahmen zur Risikominderung, die Unternehmen kennen müssen.

Für Vertrieb und Marketing lassen sich die Hauptprinzipien wie folgt zusammenfassen:

  1. Personenbezogene Daten müssen in Festlandchina gespeichert werden; Überweisungen ins Ausland unterliegen strengen Regeln
  2. Die Datenerhebung muss in Umfang und Dauer begrenzt sein und bedarf der ausdrücklichen Zustimmung des Nutzers
  3. Datenschutzmaßnahmen müssen getroffen werden

Betroffene Unternehmen und Daten

Wie die Europäische Datenschutzgrundverordnung (DSGVO) definiert das Gesetz personenbezogene Daten als alle Daten, die allein oder in Kombination mit anderen Daten die Identifizierung einer Person ermöglichen. Beispiele sind Name, Identifikationsnummer, Geburtsdatum, E-Mail-Adresse, Telefonnummer oder IP-Adresse. Dies betrifft die meisten digitalen Vertriebs- und Marketinginstrumente, z.B.:

  • Tools zur Marketingautomatisierung, z. zum Versand von E-Mail- und SMS-Kampagnen
  • Login- und Registrierungsbereiche auf Ihrer Website (z. B. Mitglieder-/Kundenbereiche)
  • Kontaktformulare
  • CRM-Systeme, z.B. Salesforce
  • Elektronische Zahlungen
  • E-Commerce: Auftragsverwaltung, Versand und Abwicklung
  • Reservierungssysteme für Eventbuchungen
  • Online-Kundenservice-Tools
  • Jede Online-Mitgliederdatenbank
  • Webanalysetools, die personenbezogene Daten wie IP-Adressen erkennen

Ähnlich wie die DSGVO unterscheidet die CSL zwischen zwei Arten von Datenverarbeitern: Critical Information Infrastructure Operators (CIIOs) und Network Operators (NOs). CIIOs sind Organisationen, die

  • zu strategischen Sektoren wie Energie, Finanzen usw. gehören
  • eine IT-Infrastrukturplattform betreiben
  • ein hohes Datenvolumen sammeln und verarbeiten (genaue Werte sind noch zu definieren)
  • hohe monetäre Schäden im Falle einer Datenpanne verursachen können
  • Daten im Auftrag eines CIIO verarbeiten (es gelten dieselben Anforderungen)

Ein Netzwerkbetreiber hingegen ist jedes Unternehmen, das ein Netzwerk miteinander verbundener Computer betreibt. Die meisten Hersteller und Händler fallen in diese Kategorie. Sie müssen weniger strenge Anforderungen an die Datenerhebung, -sicherheit und -nutzung erfüllen.

Ohne zwischen dem „Datenverantwortlichen“ und dem „Datenverarbeiter“ zu unterscheiden, weist das PIPL stattdessen Haftungs- und Compliance-Anforderungen einem „Verarbeiter personenbezogener Daten“ zu, der sich auf jede Organisation oder Einzelperson bezieht, die den Zweck und die Methode der Verarbeitung in ihren Aktivitäten unabhängig bestimmt Verarbeitung personenbezogener Daten. Diese Definition deutet darauf hin, dass der Begriff „Verwalter personenbezogener Daten“ im PIPL dem Konzept des „Datenverantwortlichen“ im Sinne der DSGVO ähnelt. Der folgende Artikel konzentriert sich auf diesen Typ, da er für unsere Kunden und Leser relevanter ist.

Hauptrisiken

Unternehmen, die trotz erster Abmahnung gegen das neue Gesetz verstoßen, drohen verschiedene Strafen:

  1. Bußgelder und Beschlagnahme unerlaubter Gewinne.
  2. Aussetzung der Website und Online-Systeme zur Behebung
  3. Widerruf der Geschäftslizenz in China
  4. Festnahme

Während die Bußgelder niedriger sind als in der DSGVO festgelegt, birgt die Sperrung einer Website oder der Entzug der Gewerbeberechtigung natürlich große Risiken. Was das Aufdeckungsrisiko anbelangt, werden natürlich am ehesten gut sichtbare multinationale Unternehmen untersucht. KMU sollten sich vor möglichen künftigen Belohnungen für Hinweisgeber in Acht nehmen.

Risikobegrenzung

Schauen wir uns die spezifischen Anforderungen unter den Hauptprinzipien an:

Personenbezogene Daten müssen in Festlandchina gespeichert werden; der Transfer ins Ausland unterliegt strengen Regeln

Gemäß dem PIPL dürfen personenbezogene Daten nur dann ins Ausland übertragen werden, wenn der Betreiber mindestens eine der folgenden Bedingungen erfüllt:

  1. die von den nationalen Cyberspace-Behörden organisierte Sicherheitsbewertung wurde bestanden;
  2. eine Zertifizierung zum Schutz personenbezogener Daten wurde von professionellen Agenturen gemäß den Vorschriften der nationalen Cyberspace-Behörden durchgeführt;
  3. mit den ausländischen Empfängerparteien wurde ein Vertrag unterzeichnet, der dem Standardvertrag der nationalen Cyberspace-Behörden enspricht, die Rechte und Pflichten der Parteien festlegt, ihre Aktivitäten zur Verarbeitung personenbezogener Daten überwacht, und sicherzustellt, dass das Schutzniveau für personenbezogene Daten gemäß dem PIPL eingehalten wird; oder
  4. andere Bedingungen erfüllt, die durch Gesetze, Verwaltungsvorschriften oder die nationalen Cyberspace-Behörden vorgeschrieben sind.

Es muss ferner alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die Verarbeitung der personenbezogenen Daten durch ausländische Empfänger den im PIPL vorgesehenen Standards zum Schutz personenbezogener Daten entspricht. Sie müssen auch die Zustimmung der betroffenen Person einholen, die zu verarbeitenden Informationen, den Zweck und die Methode der Verarbeitung, die Kontaktinformationen des ausländischen Empfängers und die Art und Weise, wie sie ihre Rechte gegenüber dem Empfänger ausüben können, angeben. Darüber hinaus unterliegt die grenzüberschreitende Übermittlung personenbezogener Daten auch einer Folgenabschätzung zum Schutz personenbezogener Daten.

Es wird daher empfohlen, personenbezogene Daten auf einer lokal gehosteten Infrastruktur in China zu speichern, beispielsweise auf einem lokalen CRM-System. Viele Unternehmen halten sich noch immer nicht an diese Regelung, da sie beliebte Cloud-Dienste mit Servern außerhalb Chinas nutzen, z. Zwangsversteigerung. Um sich vorzubereiten, verlagern multinationale Unternehmen wie Apple bereits ihr Hosting nach China.

Die Datenerhebung muss in Umfang und Dauer begrenzt sein und bedarf der ausdrücklichen Zustimmung des Nutzers

Die Anforderungen zum Einholen von Einwilligungen des neuen Gesetzes sind der DSGVO sehr ähnlich. Sie müssen:

  • Eine „eindeutige affirmative Bestätigung“ des Subjekts (Benutzer, Kunde, Mitarbeiter usw.) darstellen
  • Frei gegeben, nicht erzwungen sein
  • Explizit, spezifisch, informiert und eindeutig sein
  • Ausführlich dokumentiert sein
  • Leicht zurückgezogen werden können

Vorab aktivierte Checkboxen und die implizite Zustimmung zum Sammeln von Daten und zum Versenden von Marketingmitteilungen werden nicht mehr akzeptiert.

Darüber hinaus dürfen nur Daten erhoben werden, die zur Erfüllung der Geschäftsfunktion (z. B. Produktauslieferung) unbedingt erforderlich sind. Bei komplexen Situationen wie persönlichen Empfehlungen ist dies schwierig zu definieren. In diesen Fällen ist es am besten, nach Datenpunkten zu suchen, die zum Zeitpunkt der Anforderung für den Service benötigt wurden. Wenn die Notwendigkeit nicht klar ist, ist es besser, den Datenpunkt fallen zu lassen.

Datenschutzmaßnahmen müssen getroffen werden

Verwenden Sie nach Möglichkeit Datenerfassungs- und Analysetools, die in der chinesischen Cloud selbst gehostet werden können

Erwägen Sie, alle Datenerfassungssysteme auf dem chinesischen Festland zu hosten: Richten Sie lokale Instanzen Ihrer Infrastruktur ein. Wenden Sie sich an alle Ihre Drittanbieter und stellen Sie sicher, dass die Speicherung und Verarbeitung personenbezogener Daten konform ist, und wechseln Sie bei Bedarf zu konformen Anbietern. Verwenden Sie ein Online-Tool zum IP-Standort der Website, um den Hosting-Standort zu identifizieren, z. B. Iplocation. Ausländische Webanalyseanbieter (Hotjar, Mixpanel, Google Analytics usw.) können beispielsweise durch ein selbst gehostetes Matomo in Ihrer AWS China Cloud ersetzt werden.

Aggregieren Sie Daten für Berichterstattungen an Ihren Hauptsitz

Wenn Ihre Cloud-Dienste (z. B. BI- oder CRM-Tools) nur Datenaggregate oder anonymisierte Informationen aus Ihren chinesischen Aktivitäten sammeln und empfangen, sind Sie wahrscheinlich rechtmäßig. Compliance-Risiken beginnen immer dann, wenn die Daten Informationen enthalten, die direkt einer bestimmten Person zugeordnet werden können, z. eine IP-Adresse. Generell wird empfohlen, ausgehende Übertragungen solcher Daten auf ein Minimum zu reduzieren. Lagern Sie die Selbstbewertung bei Bedarf an einen zertifizierten Dienstleister aus und dokumentieren Sie die Notwendigkeit und das Ausmaß der damit verbundenen Risiken. In Europa implementierte Prozesse für die DSGVO sind eine gute Basis.

Vermeiden Sie das Sammeln von Daten, die Sie nicht benötigen

Vermeiden Sie es, personenbezogene Daten zu sammeln, die nicht für Ihre Transaktionen und zur Verbesserung Ihrer Dienste und Kampagnen benötigt werden. Solange der Anonymisierungsprozess irreversibel ist, ist die Datenübertragung außerdem konform. Vermeiden Sie für die Webanalyse Cookies, die einer bestimmten Person zugeordnet werden können. Vermeiden Sie insbesondere das Sammeln von IP-Adressen. Vermeiden Sie es auch, entzifferbare E-Mail-Adressen und andere persönliche Adressen in Links zu senden (dies ist eine allgemeine Best Practice, die ohnehin befolgt werden sollte).

Sammeln Sie die Erlaubnis für neue Kontakte und erhalten Sie eine erneute Erlaubnis für bestehende Kontakte

Gehen Sie alle Ihre Datenerfassungssysteme durch und stellen Sie sicher, dass der Benutzer vollständig über den Umfang der Datenerfassung und -nutzung informiert ist. Stellen Sie sicher, dass die Einwilligung eindeutig erfasst, aufgezeichnet und mit einem Zeitstempel versehen ist, und bewahren Sie Screenshots des Einwilligungsformulars auf. Fordern Sie in dem Moment, in dem Sie mit dem Sammeln von Kundendaten beginnen möchten, eine ausdrückliche Zustimmung an. Kommunizieren Sie den Prozess klar und unmissverständlich, damit die betroffene Person jederzeit ihre Zustimmung ein- oder austragen, auf ihre eigenen Daten zugreifen und diese kontrollieren kann. Informieren Sie Einzelpersonen über den Umfang der Datenerhebung, den Zeitrahmen und an welche Parteien die Daten weitergegeben werden.

Weder das Gesetz noch die Vorschriften gelten ausdrücklich für Daten, die vor der CSL erhoben wurden. Aber wie die DSGVO in Europa können wir vernünftigerweise davon ausgehen, dass die Verpflichtungen rückwirkend für Ihre bestehende Datenbank gelten. Sie müssen dann entweder

  • Löschen Sie alle bereits bestehenden Datensätze mit personenbezogenen Daten, oder
  • Repermit: Gehen Sie zurück zu den Personen, deren personenbezogene Daten Sie gespeichert haben, und holen Sie deren ausdrückliche Zustimmung ein

Es gibt zahlreiche Dokumentationen zu Repermission-Techniken für E-Mail-Datenbanken im Kontext der DSGVO.

Wenn Sie persönlich identifizierbare Daten an WeChat-Follower-Profile gebunden haben, können Sie in dieser Situation eine Broadcast-Nachricht mit der Bitte um Zustimmung an alle Follower senden, genau wie Sie es für E-Mail- oder SMS-Kanäle tun würden. Bei durchschnittlich niedrigen Öffnungsraten empfehlen wir jedoch interaktivere Methoden wie automatisierte Konversationen.

Aktualisieren Sie schließlich Ihre Datenschutzrichtlinien, um alle gesetzlich vorgeschriebenen Punkte abzudecken.

Stellen Sie sicher, dass Daten sicher gespeichert werden

Verschlüsseln Sie alle Daten und verwenden Sie HTTPS für alle Ihre Webeigenschaften und sFTP für Dateiübertragungen. Richten Sie eine Backup- und Systemredundanzrichtlinie ein, verschlüsseln Sie Backups und speichern Sie sie „kalt“ (getrennt von jeglichem Netzwerk).

Richten Sie Netzwerkschutzsysteme (wie Firewalls, Antivirenprogramme usw.) ein, um sich vor dem Verlust / der Änderung / Zerstörung von Daten zu schützen. Führen Sie Aufzeichnungen über alle Netzwerkzugriffe (Protokolle) und Sicherheitsvorfälle. Schreiben Sie eine interne Sicherheitsrichtlinie auf und schulen Sie die Mitarbeiter entsprechend (z. B. Regeln für die Passwortrotation). Benennen Sie in Ihrer Organisation einen IT-Sicherheitsmanager, der für die Definition und Anwendung der Prozesse verantwortlich ist, oder lagern Sie das Sicherheitsmanagement an einen spezialisierten Anbieter aus.

Der beste Schutz besteht darin, intern klare, dokumentierte Prozesse einzurichten, um die Einhaltung sicherzustellen: Risikobewertungs-Checklisten, Schulungsverfahren und -materialien, Einrichtung von Arbeitsgruppen und so weiter. Diese zeigen Ihren guten Willen im Falle einer Überprüfung und maximieren Ihre Chancen, nur eine Verwarnung und eine Berichtigungsanordnung zu erhalten, wenn die Behörde einige Ihrer Aktivitäten als Verstoß gegen die Verordnung interpretiert.

Alle Daten müssen eine genaue Haltbarkeit haben, die auf die kürzeste Zeit beschränkt ist, die zur Realisierung der Zwecke, für die sie erhoben wurden, erforderlich ist. Nach Ablauf der Frist werden die Informationen gelöscht oder anonymisiert. Wir empfehlen, jedes Tool mit Ihrem Marketing-, IT- und Rechtsberater zu prüfen, um zu verstehen, welche Daten erfasst und ob sie auf konforme Weise verarbeitet und gespeichert werden.