Suche begrenzen auf:
zurücksetzen

Umgang mit Daten in China

Neue rechtliche Anforderungen für Schweizer Unternehmen

AWK Group unterstützt Schweizer Unternehmen bei der Umsetzung von Data Security Law (DSL) und Personal Information Protection Law (PIPL)

Welche Auswirkungen haben DSL und PIPL für die betroffenen Schweizer Unternehmen?

Die sich aus DSL und PIPL ergebenden Anforderungen haben strategische, technische, or­ga­ni­sa­to­ri­sche, und rechtliche Aspekte, welche betroffene Schweizer Unternehmen be­rück­sich­ti­gen sollten. Hier eine Liste möglicher Punkte:


AWK Group unterstützt Schweizer Unternehmen dabei, die neuen chinesischen Gesetze DSL und PIPL besser zu verstehen und hilft bei der Umsetzung von Massnahmen zur Erfüllung der sich daraus ergebenden Anforderungen. Mehr Informationen hier.

AWK Group unterstützt Schweizer Unternehmen bei der Identifikation und Umsetzung von Massnahmen im Zusammenhang mit den neuen chinesischen Gesetzen Data Security Law (DSL) und Personal Information Protection Law (PIPL)


Die Dringlichkeit des Themas erfordert ein rasches Handeln. Gemeinsam mit unseren Fachexperten in der Schweiz und in China sowie mit betroffenen Kunden hat die AWK Group hierfür eine Vorgehensweise ausgearbeitet. Diese lässt sich rasch für jedes Unternehmen umsetzen und bietet folgende Vorteile:


  • Risikobasiert: Wir haben die Gebiete identifiziert, die das grösste potenzielle Risiko mit sich bringen und fokussieren die initialen ersten Schritte darauf.
  • Fokus auf Quick Wins: Die Dringlichkeit des Themas erfordert rasches Handeln, wobei unser Vorgehen den Unternehmen hilft, sich in kürzester Zeit ein klares Bild über die Risiken zu machen und diese auf effiziente Weise zu adressieren.
  • Pragmatisch: Wir fokussieren uns auf unsere Fachgebiete und bieten pragmatische & etablierte Ansätze, welche von unseren erfahrenen Experten auf die Ansprüche Ihres Unternehmens angepasst werden.
  • Lokal: Unsere Experten in der Schweiz beraten Sie persönlich vor Ort und virtuell in Zusammenarbeit mit unseren Experten in China.

Potenziell relevante Datenflüsse identifizieren, Daten klassifizieren und Kon­troll­sys­te­me für Daten


Die folgenden drei Dienst­leis­tun­gen hat AWK Group zusammen mit ihren Experten in China entwickelt, um Schweizer Unternehmen dabei zu unterstützen, relevante Risiken zu identifizieren und zu adressieren, sofern diese von den neuen Gesetzgebungen in China betroffen sind:

AWK hat zusammen mit ihren Experten in China folgende Dienstleistungen entwickelt:

Architektur und Datenflüsse

Global agierende Unternehmen nutzen meist eine multinationale technische Infrastruktur, um den operativen Anforderungen gerecht zu werden. Oft fliessen dabei Daten aus den Tochtergesellschaften zurück zur Muttergesellschaft – in konsolidierter oder kompletter Form – und umgekehrt. Auch die Nutzung von Diensten ausländischer IT-Anbieter ist weit verbreitet, wobei auch hier oft Daten über Landesgrenzen hinweg bekanntgegeben werden. Schweizer Unternehmen müssen sich einen Überblick über solche Vorgänge verschaffen und verstehen, wo potenziell betroffene Datenflüsse vorhanden sind. Diese Anforderung besteht seit längerem auch gemäss schweizerischer und europäischer Datenschutzgesetzgebung.


Dienstleistungen der AWK Group


  • Umfangreicher Review der Datenflüsse und der zugrunde liegenden technischen Architektur.
  • Identifizierung und Darstellung von Datenflüssen über Landesgrenzen.
  • Ausarbeitung einer initialen Risikoeinschätzung, welche potentiell risikobehaftete Datenflüsse transparent aufzeigt.
  • Optional: Erarbeitung einer Entscheidungsgrundlage für die künftige technologische Strategie (z.B. Trennung von bestimmten grenzüberschreitenden Datenhaltungen).

Da­ten­klas­si­fi­zie­rung

Aufgrund des PIPL müssen personenbezogene Daten von Personen, die in China ihren Wohnsitz haben, als solche klassifiziert werden. Nur so kann sichergestellt werden, dass die geltenden Vorschriften – namentlich für den Export solcher Daten – eingehalten werden. Zudem müssen bestimmte Datentypen gemäss DSL als "Important Data" oder gar "National Core Data" klassifiziert werden. Für diese gelten noch strengere Vorgaben – schwierig ist dabei, dass diese Klassifizierungen im Gesetz nicht eindeutig definiert sind.





Dienstleistungen der AWK Group


  • Review & Überarbeitung der bestehenden Datenklassifizierung mit Blick auf relevante personenbezogene Daten (solche finden sich beispielsweise in lokalen operativen Prozessen und im Marketing).
  • Identifizierung potentiell als «Important Data» oder «National Core Data» eingestufter Daten und Erarbeitung eines Massnahmenplanes zur Minimierung oder Mitigation allfälliger Risiken

Information Security Framework

Die neuen Gesetzgebungen aus China verlangen von Unternehmen umfangreiche Massnahmen zur Wahrung der Informationssicherheit. Die Implementierung und Effektivität der eingesetzten Prozesse und Kontrollen müssen nachgewiesen werden. Die geforderten Massnahmen weichen dabei teilweise von den in Europa etablierten «Best-Practices» ab und beinhalten neben bekannten Disziplinen wie Security Incident oder Desaster-Recovery-Management unter anderem auch Themen wie Kontrollsysteme für Daten-Exporte.





Dienstleistungen der AWK Group


  • Umfangreicher Review der Kompetenzen im Bereich Informationssicherheit mit Blick auf die gesetzlich geforderten Sicherheitsmassnahmen.
  • Aufzeigen allfälliger Lücken, welche einen Gesetzesverstoss darstellen könnten - inklusive Priorisierung und einer initialen Aufwandseinschätzung zur Behebung.
  • Optional: Unterstützung oder Durchführung von Test-Aktivitäten, welche die Effektivität der relevanten Prozesse und Kontrollen aufzeigen.

Kontaktieren Sie uns für eine unverbindliche Anfrage

Sascha Sandragesan
Senior Manager
Sascha Sandragesan
Michael Ruch
Managing Consultant
Michael Ruch

Weitere Dienst­leis­tun­gen von AWK Group, um den gesetzlichen Anforderungen in China gerecht zu werden

Je nach Organisation und Ge­schäfts­mo­dell sind noch weitere umfangreichere Aktivitäten nötig, um den neuen gesetzlichen Anforderungen gerecht zu werden. Wir beraten Sie gerne und ziehen weitere Experten hinzu.


Umfangreiche Gap-Analyse durchführen

Unternehmen, die von den neuen Gesetzgebungen stark betroffen sind, sollten eine umfangreiche GAP-Analyse durchführen. Sie stellen somit sicher, dass alle relevanten Risiken identifiziert und adäquat adressiert werden.


Verträge überprüfen

Arbeitet eine Firma mit chinesischen IT-Providern zusammen, müssen die bestehenden Verträge überprüft werden. Auch dann, wenn die Verträge bereits vor Inkrafttreten der Gesetze abgeschlossen wurden.


Onlineauftritt anpassen

Unternehmen müssen ihren Onlineauftritt so anpassen, dass dieser mit den chinesischen Vorgaben übereinstimmt. Dazu gehört unter anderem das Einholen einer Zustimmung zum Bearbeiten von persönlichen Daten.


TOM-Analyse

Da der rechtliche Rahmen durch die neuen chinesischen Gesetze verändert wird, besteht auch beim IT Target Operating Model (TOM) Hand­lungs­be­darf. Mit einer TOM-Analyse haben Schweizer Unternehmen die Möglichkeit, Hand­lungs­fel­der zu identifizieren, um sich an die neuen Gegebenheiten anzupassen und sich für die Zukunft zu rüsten. Insbesondere im Hinblick auf das IT Operating Model, mit Fokus auf IT-Strategie und Sourcing, erwarten wir einen erheblichen Einfluss der neuen chinesischen Gesetze.

Wir verwenden Cookies, um Ihnen ein optimales Nutzererlebnis zu bieten. Durch die weitere Nutzung unserer Webseite stimmen Sie der Verwendung von Cookies zu. Konsultieren Sie bitte unsere Datenschutzerklärung, falls Sie mehr darüber erfahren möchten.