Datensicherheit bei Bilibili

Im Juni 2021 verkündete der Ständige Ausschuss des Nationalen Volkskongresses der Volksrepublik China, SCNPC, das Datensicherheitsgesetz, das im September 2021 in Kraft trat. Das Datensicherheitsgesetz sieht unter anderem ein Sicherheitsüberprüfungsverfahren für datenbezogene Aktivitäten vor, die die nationale Sicherheit beeinträchtigen können.

Im Juli 2021 erließ der Staatsrat die Verordnungen zum Schutz kritischer Informationsinfrastrukturen, die am 1. September 2021 in Kraft traten. Gemäß dieser Verordnung bedeutet “kritische Informationsinfrastruktur” wichtige Netzwerkeinrichtungen oder Informationssysteme kritischer Branchen oder Sektoren, wie z. B. die Öffentlichkeit Kommunikations- und Informationsdienste, Energie, Transport, Wasserschutz, Finanzen, öffentliche Dienste, E-Government-Angelegenheiten und nationale Verteidigungswissenschaft, deren Beschädigung, Fehlfunktion oder Datenleck die nationale Sicherheit, die Lebensgrundlagen der Menschen und das öffentliche Interesse gefährden können.

Im Dezember 2021 hat die Cyberspace Administration of China (CAC), die zentrale Internet-Regulierungs-, Zensur-, Aufsichts- und Kontrollbehörde für die Volksrepublik China, zusammen mit anderen Behörden gemeinsam die Cybersecurity Review Measures verkündet, die am 15. Februar 2022 in Kraft getreten sind und ihre Vorgängerverordnung ersetzen.

Gemäß den Maßnahmen zur Überprüfung der Cybersicherheit müssen Betreiber kritischer Informationsinfrastrukturen, die Internetprodukte und -dienste beschaffen, der Überprüfung der Cybersicherheit unterzogen werden, wenn ihre Aktivitäten die nationale Sicherheit beeinträchtigen oder beeinträchtigen können. Die Maßnahmen zur Überprüfung der Cybersicherheit schreiben ferner vor, dass Betreiber von Netzwerkplattformen, die über personenbezogene Daten von über einer Million Benutzern verfügen, beim Cybersecurity Review Office vor jeder öffentlichen Notierung im Ausland eine Überprüfung der Cybersicherheit beantragen müssen.

Bis zur Vorlage des jüngsten Jahresberichts von Bilibili wurden von keiner Behörde detaillierte Vorschriften oder Durchführungsbestimmungen erlassen, und Bilibili wurde nach eigenen Angaben von keiner Regierungsbehörde darüber informiert, dass Bilibili als ein Betreiber kritischer Informationsinfrastrukturen gesehen wird.

Darüber hinaus bleibt der genaue Geltungsbereich von „Betreibern kritischer Informationsinfrastrukturen“ im Rahmen des derzeitigen Regulierungssystems unklar, und die Regierungsbehörden der Volksrepublik China haben möglicherweise einen weiten Ermessensspielraum bei der Auslegung und Durchsetzung der geltenden Gesetze. Daher ist es ungewiss, ob Bilibili nach dem Recht der Volksrepublik China als Betreiber einer kritischen Informationsinfrastruktur gelten würde.

Wenn Bilibili gemäß den Gesetzen und Vorschriften zur Cybersicherheit der Volksrepublik China als Betreiber einer kritischen Informationsinfrastruktur gelten, können Bilibili zusätzlich zu den Verpflichtungen, die das Unternehmen gemäß den Gesetzen und Vorschriften zur Cybersicherheit der Volksrepublik China erfüllt hat, weiteren Verpflichtungen unterliegen.

Im November 2021 veröffentlichte die CAC die Vorschriften für das Internet-Datensicherheitsmanagement (Entwurf zur Kommentierung) oder den Verordnungsentwurf. Die Verordnungsentwürfe sehen vor, dass sich Datenverarbeiter auf Personen oder Organisationen beziehen, die während ihrer Datenverarbeitungstätigkeiten wie Datenerhebung, Speicherung, Nutzung, Übermittlung, Veröffentlichung und Löschung Autonomie über den Zweck und die Art und Weise der Datenverarbeitung haben. Gemäß dem Verordnungsentwurf müssen Datenverarbeiter eine Cybersicherheitsüberprüfung für bestimmte Aktivitäten beantragen, darunter unter anderem

  • die Auflistung von Datenverarbeitern in einem fremden Land, die die personenbezogenen Daten von mehr als einer Million Benutzern verarbeiten, und
  • jede Datenverarbeitungstätigkeit, die die nationale Sicherheit beeinträchtigt oder beeinträchtigen könnte.

Bis zum Jahresbericht 2021 von Bilibili gab es jedoch keine Klarstellungen von den zuständigen Behörden hinsichtlich der Standards für die Bestimmung, ob eine Aktivität eine Aktivität ist, die „die nationale Sicherheit beeinträchtigt oder beeinträchtigen könnte“.

Darüber hinaus verlangt der Verordnungsentwurf, dass Auftragsverarbeiter, die „wichtige Daten“ verarbeiten oder im Ausland gelistet sind, eine jährliche Datensicherheitsbewertung selbst durchführen oder einen Datensicherheitsdienstleister damit beauftragen und den Bewertungsbericht des Vorjahres der kommunalen Abteilung für Cybersicherheit bis Ende Januar eines jeden Jahres vorlegen müssen.

Zum Datum des jüngsten Jahresberichts von Bilibili wurden die Verordnungsentwürfe nur zur öffentlichen Kommentierung freigegeben, und ihre jeweiligen Bestimmungen und die voraussichtliche Annahme oder das Datum des Inkrafttretens können sich ändern. Bilibili weist auf die damit verbundene erhebliche Unsicherheit hin.

Published by:

Dr. Oliver Everling

Independent since 1998, he is Managing Director of RATING EVIDENCE GmbH. As visiting professor of Capital University of Economics and Business in Beijing, former chairman of the supervisory board of a rating agency, advisory board member, advisor, member of rating committees, chairman of ISO-TC Rating Services, author or publisher of books and a magazine, Independent Non-Executive Director under EU Regulation on Credit Rating Agencies, he has been or is involved in ratings from a variety of perspectives. Previously, he was for 6 years department director at Dresdner Bank and, until 1993, managing director of the Projektgesellschaft Rating mbH after a doctorate at the banking and stock exchange seminar of the University of Cologne.

Categories DEUTSCHTags Leave a comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s