Am 1. November 2021 ist in China das „Personal Information Protection Law“ (PIPL) in Kraft getreten. Weitere Staaten und Regionen sind daran, ähnliche Gesetzte einzuführen.
Dieser Beitrag erklärt, welche Eigenheiten das PIPL hat. Der Blog beschreibt zudem zwei technische Massnahmen, die nötig sind, um ein solches Gesetz umzusetzen.
Chinesisches Datenschutzgesetz (PIPL)
Die Anforderungen im PIPL sind nicht neu, sondern basieren auf dem Cyber Security Law und dem Data Security Law, welche früher in Kraft getreten sind.
Dennoch gilt es einen Abschnitt hervorzuheben, welcher im PIPL heraussticht.
Das ganze Kapitel drei (Artikel 38-43) umfasst den Umgang mit persönlichen Daten, welche China verlassen.
Das Gesetz verlangt in diesem Fall ein Gutachten oder eine Zertifizierung durch chinesische Behörden. Bis heute ist nicht bekannt, welche Voraussetzungen es zu erfüllen gilt.
Dies schafft eine gewisse Unsicherheit. Um diese Unsicherheit zu reduzieren, werden technische Massnahmen getroffen.
Technische Massnahmen
Ein Unternehmen muss mit technischen Massnahmen diese Herausforderungen angehen.
- Erfasste persönliche Daten bedürfen je nach Land unterschiedlichen Klassifizierungen.
- Der Aufbau der Software Architektur muss die entsprechenden Anforderungen erfüllen können.
- Die Software Architektur muss die klassifizierten Daten korrekt verarbeiten können.
Diese Abklärungen sind die Grundlage für weitere Umsetzungen, wie zum Beispiel:
- Aufbewahrungs- und Löschfristen sicherstellen
- Auskunfts- und Löschbegehren von Benutzern bearbeiten
- Backups erstellen und überprüfen
- Logfiles korrekt aufbewahren
welche entsprechend den Datenschutz Gesetzen implementiert werden.
Datenklassifizierung
Es ist nötig, dass die Daten klassifiziert werden. Damit können die technischen Massnahmen sicherstellen, dass die Daten ordnungsgemäss verarbeitet werden.
Dabei werden die Daten bereits zu Beginn, mit Meta-Informationen (Klassifizierung) versehen.
Hier ein einfaches Beispiel einer solchen Klassifizierung
Datenobjekt | Datenschutz relevant (Klassifizierung) |
Telefonnummer | Ja |
Haustiername | Nein |
Software Architektur überprüfen und anpassen
Ein Weg entsteht, wenn man ihn geht.
Konfuzius
Die bestehende Software Architektur bedarf einer genauen Analyse. Diese Überprüfung stellt fest, ob Anpassungen nötig sind.
Der offensichtliche Teil, welcher bei einer Software Architektur überprüft werden muss, ist das Identität-Management (IdM). Im IdM werden meist persönliche Daten, wie Telefonnummer oder E-Mail-Adresse erfasst und verwaltet.
Ein IdM kann über
- Active Directory / Lightweight Directory Access Protocol (LDAP) Server
- IdM eines Cloud-Providers (Azure AD, AWS Directory Service)
- Drittanbieter für IdM (Auth0, Okta)
- Open-Source-Tools für IdM (keycloack)
Umgesetzt werden.
Software-Anbieter (Cloud-Provider und Drittanbieter), bieten Produktlösungen an, wo das IdM ein Teil eines grösseren Pakets ist.
Dies kann für Software Komponenten, welche nicht in China betrieben werden, problematisch sein. So kann China die Verbindung zu Software Dienstleistungen unterbinden, wenn diese nur im chinesischen Ausland verfügbar sind.
Ob nebst dem IdM noch weitere Software Komponenten Anpassungen benötigen, hängt von der aktuellen Architektur ab.
Beginne mit dem ersten Schritt und überprüfe die Software Architektur. Der Weg wird sich dann abzeichnen.