Datenschutz in China. Ein Wegweiser.

Am 1. November 2021 ist in China das „Personal Information Protection Law“ (PIPL) in Kraft getreten. Weitere Staaten und Regionen sind daran, ähnliche Gesetzte einzuführen.

Dieser Beitrag erklärt, welche Eigenheiten das PIPL hat. Der Blog beschreibt zudem zwei technische Massnahmen, die nötig sind, um ein solches Gesetz umzusetzen.

Chinesisches Datenschutzgesetz (PIPL)

Datenschutz gilt auch in China. (Bildquelle: Pixabay)

Die Anforderungen im PIPL sind nicht neu, sondern basieren auf dem Cyber Security Law und dem Data Security Law, welche früher in Kraft getreten sind.

Dennoch gilt es einen Abschnitt hervorzuheben, welcher im PIPL heraussticht.

Das ganze Kapitel drei (Artikel 38-43) umfasst den Umgang mit persönlichen Daten, welche China verlassen.

Das Gesetz verlangt in diesem Fall ein Gutachten oder eine Zertifizierung durch chinesische Behörden. Bis heute ist nicht bekannt, welche Voraussetzungen es zu erfüllen gilt.

Dies schafft eine gewisse Unsicherheit. Um diese Unsicherheit zu reduzieren, werden technische Massnahmen getroffen.

Technische Massnahmen

Ein Unternehmen muss mit technischen Massnahmen diese Herausforderungen angehen.

  • Erfasste persönliche Daten bedürfen je nach Land unterschiedlichen Klassifizierungen.
  • Der Aufbau der Software Architektur muss die entsprechenden Anforderungen erfüllen können.
  • Die Software Architektur muss die klassifizierten Daten korrekt verarbeiten können.

Diese Abklärungen sind die Grundlage für weitere Umsetzungen, wie zum Beispiel:

  • Aufbewahrungs- und Löschfristen sicherstellen
  • Auskunfts- und Löschbegehren von Benutzern bearbeiten
  • Backups erstellen und überprüfen
  • Logfiles korrekt aufbewahren

welche entsprechend den Datenschutz Gesetzen implementiert werden.

Datenklassifizierung

Es ist nötig, dass die Daten klassifiziert werden. Damit können die technischen Massnahmen sicherstellen, dass die Daten ordnungsgemäss verarbeitet werden.

Dabei werden die Daten bereits zu Beginn, mit Meta-Informationen (Klassifizierung) versehen.

Hier ein einfaches Beispiel einer solchen Klassifizierung

Datenobjekt Datenschutz relevant (Klassifizierung)
Telefonnummer Ja
Haustiername Nein
Software Architektur überprüfen und anpassen

Ein Weg entsteht, wenn man ihn geht.

Konfuzius

Software-Architektur Analyse und Diskussion am Whiteboard. (Bildquelle: Unsplash)

Die bestehende Software Architektur bedarf einer genauen Analyse. Diese Überprüfung stellt fest, ob Anpassungen nötig sind.

Der offensichtliche Teil, welcher bei einer Software Architektur überprüft werden muss, ist das Identität-Management (IdM). Im IdM werden meist persönliche Daten, wie Telefonnummer oder E-Mail-Adresse erfasst und verwaltet.

Ein IdM kann über

Umgesetzt werden.

Software-Anbieter (Cloud-Provider und Drittanbieter), bieten Produktlösungen an, wo das IdM ein Teil eines grösseren Pakets ist.

Dies kann für Software Komponenten, welche nicht in China betrieben werden, problematisch sein. So kann China die Verbindung zu Software Dienstleistungen unterbinden, wenn diese nur im chinesischen Ausland verfügbar sind.

Ob nebst dem IdM noch weitere Software Komponenten Anpassungen benötigen, hängt von der aktuellen Architektur ab.

Beginne mit dem ersten Schritt und überprüfe die Software Architektur. Der Weg wird sich dann abzeichnen.

Beitrag teilen

Markus Boos

Markus Boos ist Project Lead IoT/Cloud bei der BELIMO Automation AG und blogt aus dem Unterricht des CAS Cloud und Platform Manager. In seiner Rolle ist er auch für den Datenschutz in der Belimo Cloud mitverantwortlich.

Alle Beiträge ansehen von Markus Boos →

Schreibe einen Kommentar