Datenschutz-konformität

Als Rechtsanwaltskanzlei mit langjähriger Erfahrung und Expertise im Datenschutzrecht der Volksrepublik China stellen wir in fünf Schritten die Datenschutzkonformität Ihres Unternehmens in China sicher und minimieren Ihre wirtschaftlichen und persönlichen Haftungsrisiken.

In 5 Schritten zur Datenschutzkonformität

  1. Gemeinsam erarbeiten wir mit Ihnen und Ihren Datenschutzexperten die aktuelle inhaltliche und systemseitige Datensituation in Ihrem Unternehmen – basierend auf unserem eigens für China entwickelten Datenschutz-Evaluationsbogen.
  2. Wir führen die Qualifizierung und Klassifizierung Ihrer Daten auf Basis der einschlägigen chinesischen Vorschriften und Gesetzen durch.
  3. Wir erarbeiten einen Katalog an technischen & organisatorischen (Datenschutz-) Maßnahmen (TOMs).
  4. Ihr Datenschutzteam implementiert die entsprechenden TOMs in Ihrem Unternehmen.
  5. Gemeinsam prüfen wir die Implementierung der TOMs in Ihrem Unternehmen und stellen Ihnen eine Implementierungsbestätigung aus.

Vereinbaren Sie gerne ein unverbindliches Erstgespräch mit Rainer Burkardt (r.burkardt@BKTlegal.com), in dem dieser Ihnen die auf Ihre Situation maßgeschneiderte Vorgehensweise sowie unser modulares Vergütungssystem erläutert.

 

IHRE VORTEILE  

 

Daten-basierter Ansatz auf rechtsvergleichender Basis (GSPD vs. DSGVO): individualisiert auf die spezifische Situation in Ihrem Unternehmen in China. Wir kennen nicht nur die chinesischen, sondern auch die europäischen Datenschutzanforderungen.

Dank Ihrer Mithilfe benötigen wir keinen direkten Zugang zu Ihren Datenbanken und IT-Systemen, um die Datenschutz-Evaluation Ihres Unternehmens in China durchzuführen.

Wir arbeiten in enger Kooperation mit Ihren Datenschutzverantwortlichen und -beratern – Sie benötigen keinen zusätzlichen externen Datenschutzexperten in China.

Sie erhalten zu Ihrer Implementierung maßgeschneiderte TOMs für Ihr Unternehmen.

Nach der Implementierung der durch uns empfohlenen TOMs bestätigen wir diese und stellen Ihnen auf Wunsch eine entsprechende Datenschutzbestätigung aus, mit welcher Sie die Datenschutzkonformität Ihres Unternehmens Ihren Kunden gegenüber nachweisen können.

Das Wichtigste zum GSPD

Das Wichtigste zum Datenschutzrecht Chinas (GSPD):

.

  • 01
    icon-arrow

    Seit wann gibt es in China ein konsolidiertes Datenschutzrecht?

    Neuerdings spielt der Schutz personenbezogener, wichtiger und anderer Daten in China eine immer größere Rolle und die Gesetzeslage wird stetig angepasst. Nach dem Erlass des Cybersicherheitsgesetzes im Jahr 2017, traten 2021 gleich drei wichtige Datenschutzvorschriften in Kraft, die zusammen die rechtliche Grundlage für den Datenschutz in China bilden:

    •  Das Gesetz der Volksrepublik China zum Schutz persönlicher Daten (GSPD) vom 1. November 2021

    •  Das Datensicherheitsgesetz der VR China vom 1. September 2021 und

    •  Das 4. Buch des Zivilgesetzbuches der VR China vom 1. Januar 2021.

    icon-arrow-down-gray
  • 02
    icon-arrow

    Welche Parallelen gibt es zwischen DSGVO und GSPD?

    Das GSPD zielt darauf ab, die Daten und Rechte natürlicher Personen zu schützen. Im Gegensatz zur DSGVO verfolgt das GSPD aber auch ein darüberhinausgehendes Ziel, nämlich den Schutz der nationalen Sicherheit und des öffentlichen Interesses, was bei der Auslegung und Umsetzung des Gesetztes zu beachten ist.

    Ähnlich wie die DSGVO besitzt das GSPD auch grenzüberschreitende Wirkung. Das bedeutet, dass auch europäische Unternehmen, die in den Anwendungsbereich des GSPD fallen, die Datenschutzanforderungen des GSPD in Europa einhalten müssen. Andernfalls drohen nicht nur deren Tochtergesellschaften, sondern auch deren lokale Datenschutzverantwortlichen in China zivilrechtliche und strafrechtliche Sanktionen.

    Für viele in Europa ansässige Unternehmen stellt sich die Herausforderung, die für diese nach dem GSPD bestehenden gesetzliche Pflichten überhaupt zu identifizieren. Erschwerend ist dabei die Tatsache, dass GSPD und DSGVO nur teilweise deckungsgleich hinsichtlich ihrer Anforderungen sind. Es reicht daher nicht aus, die für die Einhaltung der DSGVO im europäischen Mutterunternehmen getroffenen Maßnahmen einfach auf die chinesische Tochtergesellschaft zu übertragen!

    Vor diesem Hintergrund lassen sich ergebnisorientierte, zielgerichtete und praxisnahe Lösungen für eine Datenschutzkonformität der europäischen Mutter und der Tochtergesellschaft in China sicherstellen, wenn man – wie wir – beide Gesetze und Rechtsordnungen kennt und berücksichtigen kann.

    icon-arrow-down-gray
  • 03
    icon-arrow

    Was sind die wichtigsten Unterschiede zwischen DSGVO und GSPD?

    Pflichten für die grenzüberschreitende Datenübermittlung

    Bei Datenverarbeitung im Ausland: Einrichtung einer speziellen Stelle oder Benennung eines lokalen Vertreters

    Pflicht zur Speicherung von Daten innerhalb Chinas als Grundsatz

    Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten

    Benennung eines Datenschutzbeauftragten

    Unseren Artikel mit der übersichtlichen Darstellung der wichtigsten Unterschiede zwischen der DGVO und dem GSPD finden Sie HIER.

    icon-arrow-down-gray
  • 04
    icon-arrow

    Für wen gilt das GSPD?

    Die Datenschutzgesetze betreffen Unternehmen innerhalb, aber auch außerhalb Chinas, und zwar branchenunabhängig! Fast bei jeder Betriebstätigkeit müssen datenschutzrechtliche Vorgaben in Erwägung gezogen werden.

    Für Konzerne mit Tochtergesellschaften in China und Unternehmen, die in oder mit China Geschäfte machen ist es wichtig, deren Datenschutzmanagementsysteme und Datenschutzmaßnahmen an die aktuellen gesetzlichen Anforderungen anzupassen, um eine Datenschutzkonformität in China sicherzustellen. 

    icon-arrow-down-gray
  • 05
    icon-arrow

    Wer trägt die Verantwortung im Unternehmen?

    Grundsätzlich liegt die Verantwortung für die Umsetzung des GSPD bei der Geschäftsführung eines Unternehmens.

    Unsere Praxiserfahrungen zeigen, dass bei behördlichen Untersuchungen aus Anlass eines möglichen Datenverstoßes der Nachweis eines guten Datenschutzmanagementsystems und effektiver Datenschutzmaßnahmen zu milderen Sanktionen oder sogar zum Verzicht der Ahndung durch die Datenschutzbehörden beitragen können. 

    Deshalb ist eine abwartende Haltung nicht zu empfehlen, insbesondere in Anbetracht der Tatsache, dass - anders als bei der DSGVO - ein Datenschutzverstoß in China nicht nur die Haftung des Unternehmens als juristische Person, sondern auch die persönliche Haftung des Managements nach sich ziehen kann.

    icon-arrow-down-gray
  • 06
    icon-arrow

    Welche Strafen können drohen?

    Rechtswidrige Datenverarbeitung oder rechtsmissbräuchlicher Umgang mit Daten kann schwerwiegende Folgen für Ihr Unternehmen und dessen Geschäftsführung haben. Die Einhaltung der Datenschutzvorschriften wird durch die chinesischen Behörden streng überwacht und Rechtsverstöße zunehmend geahndet. Bei einem Datenschutzverstoß drohen, neben Bußgeldern von bis zu RMB 50 Millionen (ca. EUR 6,8 Millionen) bzw. 5% des Vorjahresumsatzes und Verwaltungsmaßnahmen einschließlich der Beschlagnahme der rechtswidrig erlangten Einnahmen oder dem Verbot der Geschäftstätigkeit, auch zivil- und strafrechtliche Haftung der handelnden und verantwortlichen Personen. Die für die Datenverarbeitung verantwortlichen Personen können zusätzlich mit einem Bußgeld von bis zu RMB 1 Million (ca. EUR 136,000) belegt werden.  

    icon-arrow-down-gray

Datenschutz-zertifizierung

Unsere zertifizierten Experten für Informationssicherheit zum Schutz persönlicher Daten

In einer Vielzahl erfolgreicher Mandate haben unsere Anwälte in den vergangenen zehn Jahren viel wertvolle, praktische Erfahrung mit dem Thema Datenschutz in China sammeln können. Ergänzend hierzu haben wir uns kontinuierlich und gezielt weitergebildet, um auf dem neuesten Stand zu bleiben und unseren Mandanten einen stets zeitgemäßen Beratungs- und Leistungsumfang bieten zu können.

Unser Zertifikat "Certified Information Security Professionals for Personal Information Protection (CISP-PIP)"

Rechtsübergreifender Datenschutzansatz

Rechtsübergreifender Datenschutzansatz - nicht nur für China

Gerade weil GSPD und DSGVO eine Vielzahl von Überschneidungen (z.B. Informationspflichten ggü. Betroffenen, Verschwiegenheitspflicht, Durchführung der Datenschutzfolgenabschätzung,…) aber auch viele Unterschiede aufweisen, stellt sich für viele Unternehmen die Herausforderung, die gesetzlichen Pflichten und vor allem daraus resultierenden technischen und organisatorischen Maßnahmen (TOMs) überhaupt zu identifizieren. Gleichzeitig ist vor diesem Hintergrund eine getrennte Betrachtung der datenschutzrechtlichen Situation sowie Umsetzung datenschutzbezogener Maßnahmen im europäischen Heimatmarkt und in China nicht zielführend.

Gemeinsam mit dem deutschen Datenschutzexperten Jürgen Recha (interev GmbH) haben wir deshalb einen rechtsvergleichenden und datenzentrierten Ansatz entwickelt, um die im Rahmen von GSPD und DSGVO geforderten TOMs für unsere Mandanten in Einklang zu bringen. Wir sind der Meinung, dass es unzweckmäßig und kontraproduktiv ist das „Rad in China neu erfinden“ zu wollen. Vielmehr gilt es bestehende DSGVO-konforme Prozesse, Erklärungen und Verträge – soweit möglich – so anzupassen, dass diese den Anforderungen des chinesischen Datenschutzrechts genügen. Gemeinsam mit Ihnen erarbeiten wir so eine in Aufwand und Umsetzung maßgeschneiderte Datenschutzlösung für Ihr Unternehmen in China.

Webinar

Zum Thema Datenschutz und Datensicherheit organisieren wir regelmäßig in Zusammenarbeit mit Rechtsanwälten und Datenschutzexperten aus Europa Webinare und on-site Events.

Artikel

Erfahren Sie mehr über die wichtigsten Unterschiede zwischen der DSGVO und des GSPD sowie unseren datenzentrierten Ansatz“.

Datenschutz-dienstleistungen

Unsere Dienstleistungen rund um Ihren Datenschutz

Für Konzerne und Unternehmensgruppen aber auch für mittelständische Unternehmen mit Tochtergesellschaften in China, als auch für Unternehmen, die in oder mit China Geschäfte machen ist es besonders wichtig, deren Datenschutzmanagementsysteme und Datenschutzmaßnahmen an die aktuellen gesetzlichen Anforderungen anzupassen, um deren Datenschutzkonformität (auch) in China sicherzustellen.  Wir unterstützen Sie hierbei mit folgenden Dienstleistungen:

Rechtsberatung für Unternehmen und externe Datenschutzbeauftragte im Bereich Datenschutz und Datensicherheit (Praktische Empfehlungen, Unterstützung bei Identifizierung der datenschutzrechtlichen Pflichten)

Prüfung der datenschutzrechtlichen Unternehmensorganisation und des Datenschutzniveaus in Ihrem Unternehmen (TOMs, Fokus auf die Organisation und Maßnahmen, Empfehlungen zur Optimierung)

Durchführung von Risk Assessments & Datenschutzaudits (Compliance Audits) nach Art. 54 GSPD

Durchführung vom Daten-Mapping & Prüfung von datenschutzrelevanten Dokumenten und Prozessen (Datenschutzerklärungen, Einwilligungserklärungen, Vertraulichkeitsvereinbarungen, usw.)

Beratung bei der Auftragsverarbeitung & Entwurf und Anpassung von Datenverarbeitungsverträgen und anderen Dokumenten

Formulierung und Begleitung bei der Umsetzung von technisch- organisatorischen Maßnahmen (TOMs)

Bestätigung der Implementierung der durch uns empfohlenen TOMs in Zusammenarbeit mit Ihren IT- und Datenschutzmitarbeitern und Ausstellung einer entsprechenden Implementierungsbestätigung, mit welcher Sie die Datenschutzkonformität Ihres Unternehmens Ihren Kunden gegenüber nachweisen können

Weitere Dienstleistungen

Weitere Dienstleistungen rund um den Datenschutz in China

  • Unternehmensinterne Schulungen und Sensibilisierung (maßgeschneiderte Workshops vor Ort/ online Webinare für Ihre an den Verarbeitungsvorgängen beteiligten Mitarbeiter, konkrete Empfehlungen und Anleitungen, Fallbeispiele als praktische Hilfestellung für Ihr tägliches Geschäft)
  • Ernennung als Meldestelle für Datenschutzverletzungen (Ombudsanwalt)
  • Führen von Kommunikation mit Datenschutzbehörden & Unterstützung bei behördlichen Untersuchungen (Überprüfung von Verstößen)
  • Unterstützung bei Datenschutzvorfällen & Empfehlung der Abhilfemaßnahmen
  • Unterstützung bei Führung von Verarbeitungsverzeichnissen
  • Ernennung als Externer Datenschutzbeauftragter (Data Protection Officer)
  • Ernennung als Lokaler Vertreter in China
  • Bearbeitung von Anfragen von Betroffenen (Auskunftserteilung, Löschbegehren usw.)