Die chinesische Regierung hat einen Entwurf für umfangreiche Datenschutzvorschriften vorgelegt. Dieser unterwirft insbesondere große Online-Plattformen deutlich schärferen Pflichten. Kernpunkte sind die verpflichtende Speicherung in China erhobener personenbezogener Daten, engere Meldepflichten bei Datenpannen und erweiterte Rechte für Nutzer.

China will den Schutz personenbezogener Daten stärken, die gesetzlichen Rechte der Betroffenen besser sichern und die gesunde Entwicklung der Plattformökonomie fördern. Dies geht aus neuen Entwürfen hervor, die am Samstag veröffentlicht wurden.

Der Entwurf der „Verordnung zum Schutz personenbezogener Daten für große Online-Plattformen“ wurde von der Cyberspace Administration of China (CAC) und dem chinesischen Ministerium für öffentliche Sicherheit zur öffentlichen Begutachtung vorgelegt.

Dem Entwurf zufolge müssen personenbezogene Daten, die in China erhoben oder erzeugt werden, innerhalb Chinas gespeichert werden. Falls eine Übermittlung ins Ausland erforderlich ist, müssen die Plattformen die nationalen Vorschriften zur Datenausfuhrsicherheit einhalten. Zudem sind Plattformbetreiber verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um Risiken durch illegale Auslandsübermittlungen zu verhindern und zu beheben.

Anbieter von Onlinediensten müssen bequeme Wege bereitstellen, damit Personen auf ihre Daten zugreifen, diese berichtigen, ergänzen oder löschen können – ebenso wie die Möglichkeit, Konten zu löschen.

Fordert eine Person die Übertragung ihrer personenbezogenen Daten an einen von ihr bezeichneten Verarbeiter, so hat der Dienstanbieter die Übertragung innerhalb von 30 Arbeitstagen nach Eingang der Anfrage abzuschließen.

Bei schwerwiegenden Mängeln im Datenschutz – etwa wiederholten Verstößen oder großflächigen Datenpannen mit einer großen Zahl betroffener Personen – können die Behörden Prüfungen und Risikoanalysen durch externe, fachkundige Dritte anordnen.

Als meldepflichtige Vorfälle gelten gemäß Entwurf beispielsweise Sicherheitsvorfälle, die zur Weitergabe, Veränderung, zum Verlust oder zur Zerstörung personenbezogener Daten von mehr als einer Million Personen führen oder zur Offenlegung sensibler personenbezogener Daten von mehr als 100.000 Personen.

Plattformen, die nicht in der Lage sind, Datensicherheit zu gewährleisten, könnten verpflichtet werden, Daten in regulierungskonformen Rechenzentren von Drittanbietern vorzuhalten.

Der Entwurf fördert den verstärkten Einsatz nationaler Dienste zur Netzwerk-Identitätsauthentifizierung, von Technologien zur Kennzeichnung und Kategorisierung von Daten sowie von Zertifizierungen zum Schutz personenbezogener Daten, um das Schutzniveau insgesamt zu erhöhen.

Die Öffentlichkeit ist eingeladen, über verschiedene Kanäle Rückmeldungen einzureichen. Beschwerden über Verstöße können den Behörden gemeldet werden, die innerhalb von 15 Arbeitstagen reagieren müssen.

Die CAC und das Ministerium für öffentliche Sicherheit betonen die Vertraulichkeit für alle beteiligten Stellen – einschließlich staatlicher Stellen und externer Organisationen – hinsichtlich personenbezogener Daten, Geschäftsgeheimnissen und sonstigen sensiblen Informationen, die ihnen im Dienst begegnen.

Die öffentliche Konsultation zum Entwurf läuft bis zum 22. Dezember, wie die CAC in einer offiziellen Mitteilung bekannt gab.