Umgang mit Daten in China
Eraneos Group unterstützt Schweizer Unternehmen bei der Umsetzung von Data Security Law (DSL) und Personal Information Protection Law (PIPL)
Welche Auswirkungen haben DSL und PIPL für die betroffenen Schweizer Unternehmen?
Die sich aus DSL und PIPL ergebenden Anforderungen haben strategische, technische, organisatorische, und rechtliche Aspekte, welche betroffene Schweizer Unternehmen berücksichtigen sollten. Hier eine Liste möglicher Punkte:
Auswirkungen des DSL
- Durch die gesetzliche Regelung des Umgangs mit Daten, gewinnt die Informationssicherheit zusätzlich an Relevanz für die Geschäftstätigkeit in und/oder mit Bezug zu China.
- Eine Prüfung auf neue bzw. veränderte Unternehmensrisiken wird notwendig (sowohl für personenbezogene wie auch nicht personenbezogene Daten; vgl. auch Bemerkungen zu den Auswirkungen des PIPL).
- Die Ressourcen für die Informationssicherheit müssen möglicherweise aufgestockt werden.
- Richtlinien und Prozesse zur Klassifizierung von Daten müssen an die neuen gesetzlichen Anforderungen angepasst werden.
- Infrastruktur für die Bearbeitung von Daten in oder mit Bezug zu China muss auf deren Konformität mit den neuen gesetzlichen Anforderungen geprüft werden.
- Bei Widerhandlungen drohen Bussen bis zu RMB 10'000'000, der Verlust der Geschäftslizenz oder weitere rechtliche Schritte.
Auswirkungen des PIPL
- Die Regelung des Umgangs mit personenbezogenen Daten (Rechtfertigung, Schutzniveau, Exportbeschränkungen, etc.) ist ein neuer Faktor für die Geschäftstätigkeit in und/oder mit Bezug zu China.
- Möglicherweise drängen sich Änderungen bei den Aktivitäten in China (z.B. neue lokale Systeme; vgl. auch "Technisch" unten) oder mit Bezug zu China (z.B. Marketing in China) auf.
- Es muss ein Vertreter für Datenschutzangelegenheiten in China bezeichnet und den zuständigen Behörden mitgeteilt werden.
- Bestehende Richtlinien und Prozesse im Zusammenhang mit der Bearbeitung von personenbezogenen Daten müssen neu auch für die Geschäftstätigkeit in oder mit Bezug zu China angewandt werden. Möglicherweise ist sind Anpassungen bestehender Richtlinien und Prozesse notwendig.
- Global konsolidierte Systeme müssen möglicherweise wieder getrennt und dedizierte Systeme in China aufgebaut werden, sodass personenbezogene Daten aus China wo nötig in China lokalisiert bearbeitet werden können.
- Bei Widerhandlungen drohen Bussen bis zu RMB 50'000'000 oder 5% des Umsatzes, der Verlust der Geschäftslizenz oder weitere rechtliche Schritte.
Eraneos Group unterstützt Schweizer Unternehmen bei der Identifikation und Umsetzung von Massnahmen im Zusammenhang mit den neuen chinesischen Gesetzen Data Security Law (DSL) und Personal Information Protection Law (PIPL)
Die Dringlichkeit des Themas erfordert ein rasches Handeln. Gemeinsam mit unseren Fachexperten in der Schweiz und in China sowie mit betroffenen Kunden hat die Eraneos Group hierfür eine Vorgehensweise ausgearbeitet. Diese lässt sich rasch für jedes Unternehmen umsetzen und bietet folgende Vorteile:
- Risikobasiert: Wir haben die Gebiete identifiziert, die das grösste potenzielle Risiko mit sich bringen und fokussieren die initialen ersten Schritte darauf.
- Fokus auf Quick Wins: Die Dringlichkeit des Themas erfordert rasches Handeln, wobei unser Vorgehen den Unternehmen hilft, sich in kürzester Zeit ein klares Bild über die Risiken zu machen und diese auf effiziente Weise zu adressieren.
- Pragmatisch: Wir fokussieren uns auf unsere Fachgebiete und bieten pragmatische & etablierte Ansätze, welche von unseren erfahrenen Experten auf die Ansprüche Ihres Unternehmens angepasst werden.
- Lokal: Unsere Experten in der Schweiz beraten Sie persönlich vor Ort und virtuell in Zusammenarbeit mit unseren Experten in China.
Potenziell relevante Datenflüsse identifizieren, Daten klassifizieren und Kontrollsysteme für Daten
Die folgenden drei Dienstleistungen hat Eraneos Group zusammen mit ihren Experten in China entwickelt, um Schweizer Unternehmen dabei zu unterstützen, relevante Risiken zu identifizieren und zu adressieren, sofern diese von den neuen Gesetzgebungen in China betroffen sind:
Eraneos hat zusammen mit ihren Experten in China folgende Dienstleistungen entwickelt:
Architektur und Datenflüsse
Global agierende Unternehmen nutzen meist eine multinationale technische Infrastruktur, um den operativen Anforderungen gerecht zu werden. Oft fliessen dabei Daten aus den Tochtergesellschaften zurück zur Muttergesellschaft – in konsolidierter oder kompletter Form – und umgekehrt. Auch die Nutzung von Diensten ausländischer IT-Anbieter ist weit verbreitet, wobei auch hier oft Daten über Landesgrenzen hinweg bekanntgegeben werden. Schweizer Unternehmen müssen sich einen Überblick über solche Vorgänge verschaffen und verstehen, wo potenziell betroffene Datenflüsse vorhanden sind. Diese Anforderung besteht seit längerem auch gemäss schweizerischer und europäischer Datenschutzgesetzgebung.
Dienstleistungen der Eraneos Group
- Umfangreicher Review der Datenflüsse und der zugrunde liegenden technischen Architektur.
- Identifizierung und Darstellung von Datenflüssen über Landesgrenzen.
- Ausarbeitung einer initialen Risikoeinschätzung, welche potentiell risikobehaftete Datenflüsse transparent aufzeigt.
- Optional: Erarbeitung einer Entscheidungsgrundlage für die künftige technologische Strategie (z.B. Trennung von bestimmten grenzüberschreitenden Datenhaltungen).
Datenklassifizierung
Aufgrund des PIPL müssen personenbezogene Daten von Personen, die in China ihren Wohnsitz haben, als solche klassifiziert werden. Nur so kann sichergestellt werden, dass die geltenden Vorschriften – namentlich für den Export solcher Daten – eingehalten werden. Zudem müssen bestimmte Datentypen gemäss DSL als "Important Data" oder gar "National Core Data" klassifiziert werden. Für diese gelten noch strengere Vorgaben – schwierig ist dabei, dass diese Klassifizierungen im Gesetz nicht eindeutig definiert sind.
Dienstleistungen der Eraneos Group
- Review & Überarbeitung der bestehenden Datenklassifizierung mit Blick auf relevante personenbezogene Daten (solche finden sich beispielsweise in lokalen operativen Prozessen und im Marketing).
- Identifizierung potentiell als «Important Data» oder «National Core Data» eingestufter Daten und Erarbeitung eines Massnahmenplanes zur Minimierung oder Mitigation allfälliger Risiken
Information Security Framework
Die neuen Gesetzgebungen aus China verlangen von Unternehmen umfangreiche Massnahmen zur Wahrung der Informationssicherheit. Die Implementierung und Effektivität der eingesetzten Prozesse und Kontrollen müssen nachgewiesen werden. Die geforderten Massnahmen weichen dabei teilweise von den in Europa etablierten «Best-Practices» ab und beinhalten neben bekannten Disziplinen wie Security Incident oder Desaster-Recovery-Management unter anderem auch Themen wie Kontrollsysteme für Daten-Exporte.
Dienstleistungen der Eraneos Group
- Umfangreicher Review der Kompetenzen im Bereich Informationssicherheit mit Blick auf die gesetzlich geforderten Sicherheitsmassnahmen.
- Aufzeigen allfälliger Lücken, welche einen Gesetzesverstoss darstellen könnten - inklusive Priorisierung und einer initialen Aufwandseinschätzung zur Behebung.
- Optional: Unterstützung oder Durchführung von Test-Aktivitäten, welche die Effektivität der relevanten Prozesse und Kontrollen aufzeigen.
Kontaktieren Sie uns für eine unverbindliche Anfrage
Weitere Dienstleistungen von Eraneos Group, um den gesetzlichen Anforderungen in China gerecht zu werden
Je nach Organisation und Geschäftsmodell sind noch weitere umfangreichere Aktivitäten nötig, um den neuen gesetzlichen Anforderungen gerecht zu werden. Wir beraten Sie gerne und ziehen weitere Experten hinzu.
Umfangreiche Gap-Analyse durchführen
Unternehmen, die von den neuen Gesetzgebungen stark betroffen sind, sollten eine umfangreiche GAP-Analyse durchführen. Sie stellen somit sicher, dass alle relevanten Risiken identifiziert und adäquat adressiert werden.
Verträge überprüfen
Arbeitet eine Firma mit chinesischen IT-Providern zusammen, müssen die bestehenden Verträge überprüft werden. Auch dann, wenn die Verträge bereits vor Inkrafttreten der Gesetze abgeschlossen wurden.
Onlineauftritt anpassen
Unternehmen müssen ihren Onlineauftritt so anpassen, dass dieser mit den chinesischen Vorgaben übereinstimmt. Dazu gehört unter anderem das Einholen einer Zustimmung zum Bearbeiten von persönlichen Daten.
TOM-Analyse
Da der rechtliche Rahmen durch die neuen chinesischen Gesetze verändert wird, besteht auch beim IT Target Operating Model (TOM) Handlungsbedarf. Mit einer TOM-Analyse haben Schweizer Unternehmen die Möglichkeit, Handlungsfelder zu identifizieren, um sich an die neuen Gegebenheiten anzupassen und sich für die Zukunft zu rüsten. Insbesondere im Hinblick auf das IT Operating Model, mit Fokus auf IT-Strategie und Sourcing, erwarten wir einen erheblichen Einfluss der neuen chinesischen Gesetze.