So wirkt Chinas Gesetz für Cybersecurity

Betroffen sind alle. Vor allem ausländische Unternehmen müssen Strategien entwickeln, damit umzugehen.

Von Florian Kessler, Jost Blöchl

Das chinesische Cybersecurity- Gesetz (CSG), das seit dem 1. Juni 2017 in Kraft ist, trifft Regelungen zu Datenschutz, IT-Sicherheit und Verhalten im Internet. In Deutschland finden sich vergleichbare Inhalte in der Datenschutzgrundverordnung (DSGVO), dem IT-Sicherheitsgesetz, den Regelungen zum Äußerungsrecht oder dem Netzwerkdurchsetzungsgesetz. Die chinesische Variante unterscheidet sich jedoch in der Anwendung in etlichen Punkten. Grund hierfür ist eine grundsätzlich andere Ausrichtung. Argumentieren europäische Gesetzgeber primär mit dem Schutz von Persönlichkeitsrechten ihrer Bürger, stehen in China die Erhaltung der „Souveränität über den Cyberspace“ und der nationalen Sicherheit im Vordergrund.

Das CSG ist Teil einer Gesamtstrategie zum Aufbau eines digitalen Chinas. An seiner Umsetzung sind diverse Behörden und Institutionen beteiligt, die, teilweise mit Rechtssetzungskompetenz ausgestattet, weitere Vorschriften erlassen. Dies sind Gesetze, Verordnungen oder nationale Standards, die die im CSG nur grob umrissenen Pflichten konkretisieren. Die Titel von circa 300 nationalen Standards, die sich mit IT-Sicherheit und Datenschutz befassen, zeigen, wohin China will: Cloud Computing, Big Data, Internet of Things, industrielle Kontrollsysteme oder Smart City sind nur einige Beispiele für die geplante umfassende Regulierung des digitalen Raums. Viele der Vorschriften befinden sich noch im Entwurfsstadium. Voraussichtlich wird ein Großteil der Vorschriften bis Ende 2018 finalisiert.

Zwingendes Thema: Das CSG gilt für natürliche und juristische Personen, die im Gebiet Chinas Informationen erheben, verarbeiten oder verbreiten. Betroffen sind alle ausländischen Unternehmen mit Niederlassungen in China, aber auch ausländische Unternehmen, die sich zum Beispiel mit ihrer Webseite an chinesische Kunden wenden. Diesen droht bei Verstößen die Blockierung ihrer Angebote in China.

Schwellenwerte für die Anwendbarkeit des Gesetzes, z.B. nach Anzahl der Mitarbeiter oder nach Umfang der Datenverarbeitung, gibt es nicht. Die zu erfüllenden Pflichten variieren aber in Abhängigkeit von der rechtlichen Einordnung als Betroffener nach dem CSG und nach dem Umfang der Datenverarbeitung.

Umsetzungsfokus

Die ersten Anwendungsfälle des neuen Gesetzes betreffen die Steuerung des Verhaltens der Unternehmen und Bürger im Internet und spiegeln damit das chinesische Primat der Erhaltung der Souveränität über den Cyberspace wider. Behörden prüften Webseiten und Social-Media-Kanäle auf die Einhaltung „sozialistischer Werte“ und verlangten die Löschung von Inhalten, z.B. Klatschgeschichten oder politisch nicht gewollten Inhalten. Internationale Aufmerksamkeit erlangte der Fall einer Hotelkette, deren Webseite in China für eine Woche gesperrt wurde, weil sie Tibet und Taiwan in einem Auswahlmenü als eigenständige Kategorien aufgeführt hatte.

Weitere Maßnahmen erfolgten zum Datenschutz, z.B. bei der Unterbindung des illegalen Datenhandels. Nach aktuellem Stand werden zukünftig die Polizeibehörden die Aufsicht über die Durchsetzung des CSG führen und nicht unabhängige Datenschutzbehörden. Gründe hierfür sind der gesetzgeberische Fokus des CSG auf die Erhaltung der nationalen Sicherheit sowie die enge Verknüpfung von Datenschutz und Strafrecht. Fälle von Identitätsdiebstahl und Online-Betrug sind ein wachsendes Problem in China, welches die Behörden in den Begriff bekommen wollen.

Beim Datenschutz ergeben sich Parallelen und Besonderheiten im Vergleich zur DSGVO. Das CSG erfasst personenbezogene Daten, die ähnlich der DSGVO nach dem Merkmal der Identifizierbarkeit einer natürlichen Person bestimmt werden. Daneben werden mit Verweis auf die nationale Sicherheit, die wirtschaftliche Entwicklung Chinas und öffentliche Interessen auch „wichtige“ Daten vom CSG erfasst. Welche Daten hierunter genau fallen, ist noch nicht geklärt. Ein aktueller Entwurf bezeichnet Daten aus insgesamt 27 Kategorien als wichtig.

Die Pflichten für den Umgang mit personenbezogenen und wichtigen Daten sind aktuell weitestgehend einheitlich gestaltet. Für die Verarbeitung personenbezogener Daten gelten einige zusätzliche Pflichten. Bei deren Umsetzung können europäische Unternehmen in vielen Fällen auf Vorarbeiten im Rahmen der DSGVO zurückgreifen und müssen diese häufig nur geringfügig an die chinesischen Besonderheiten anpassen. Pflichten wie die Aufzeichnung von Verarbeitungsprozessen, Risikoabschätzungen, ein grundsätzliches Einwilligungserfordernis, die Wahrung von Auskunftsrechten, Berichtigungs- und Löschungsansprüchen oder das Vorhalten einer Datenschutzerklärung finden sich parallel in der DSGVO und den chinesischen Regeln.

Eine große Sorge für ausländische Unternehmen ist die im Raum stehende lokale Speicherpflicht in China. Diese laut CSG nur für Betreiber Kritischer Infrastrukturen geltende Pflicht wurde in einem Entwurf einer Umsetzungsvorschrift auf alle Netzwerkbetreiber erweitert. Bleibt es bei dieser Erweiterung, müssten ausländische Unternehmen ihre IT-Infrastruktur massiv anpassen, z.B. die Wahl von Cloud-Services oder zentral aus dem Ausland betriebene ERP-Systeme oder SAP-Anwendungen. Vor einem Datentransfer in Drittländer werden Unternehmen nach dem Entwurf voraussichtlich eine interne Sicherheitsüberprüfung durchführen und bei größeren Datenmengen eine vorherige Genehmigung einholen müssen.

Kollisionsgefahr

Bei Verstößen gegen das CSG drohen Strafen von Geldbußen bis zum Entzug der Geschäftslizenz.

Die Umsetzungspraxis zeigt, dass ausländischen Unternehmen der Umgang mit dem CSG schwerfällt. Gründe hierfür sind die Regelungsflut, fehlendes geschultes Personal oder Abweichungen von geschriebenem Gesetz und Praxis. So schlagen chinesische Internet-Unternehmen wie Alibaba oder Jingdong in der Praxis (offenbar mit Duldung der Aufsichtsbehörden) einen von den hart formulierten Anforderungen eines empfohlenen Standards abweichenden Weg ein und lassen sich z.B. bei der Registrierung auf ihren Plattformen weitreichende Einwilligungen zusichern.

Für Unternehmen aus dem Technologie- Bereich kann das CSG zu einer erheblichen Einschränkung des Marktzugangs führen. Betroffen sind vor allem Anbieter von Anwendungen für den Bereich Industrie 4.0. Umsetzungsvorschriften stellen klar, dass Netzwerkprodukte z.B. auch Sensorik oder industrielle Kontrollsysteme sind, mit denen Daten erfasst und verarbeitet werden. Der Begriff der wichtigen Daten wird womöglich viele Informationen aus dem Bereich der industriellen Fertigung erfassen.

Diese potenzielle Marktzugangsbeschränkung hat vor allem mit einer Besonderheit nationaler Standards zu tun. Standards werden in der Regel zur Einhaltung empfohlen und nicht als verpflichtend erlassen. Das CSG fordert aber, dass „zwingende Anforderungen relevanter nationaler Standards“ einzuhalten sind. Häufig werden empfohlene Standards faktisch verpflichtend, weil die Einhaltung von Aufsichtsbehörden, Prüfstellen oder Vertragspartnern gefordert wird. Betreiber Kritischer Infrastrukturen sind nach dem CSG gezwungen, nur Netzwerkprodukte und -services einzukaufen, für die die Einhaltung relevanter Standards in Sicherheitsüberprüfungen nachgewiesen ist.

Werden Sicherheitsüberprüfungen nicht oder nur zögerlich durchgeführt, z.B. weil es keine Umsetzungsstrategie gibt, droht der Verlust zukünftiger Aufträge. Vor Kurzem warnte ein amerikanischer Thinktank, dass China eine verstärkte Anwendung der Cybersecurity- Standards als weiteres Mittel im Handelsstreit einsetzen und so für eine Marktabschottung sorgen könnte.

Weitblick

Die Erfüllung der gesetzlichen Mindestanforderungen an Datenschutz und IT-Sicherheit wird für alle Unternehmen in China zu einer regelmäßigen Aufgabe werden. Mit Ausnahme der möglichen Pflicht zur Datenspeicherung in China sind die Anforderungen angesichts der Parallelen zur Rechtslage in Europa für die meisten Unternehmen mit verhältnismäßigem Aufwand handelbar.

Schwerwiegend scheinen die langfristigen Auswirkungen für Unternehmen, die technologiebasiert arbeiten. Diese sollten die weitere Entwicklung der Standards verfolgen und sich soweit möglich an der Erstellung beteiligen, z.B. durch Mitarbeit in internationalen Arbeitsgruppen oder durch Kommentierung von Regelungsentwürfen in China. Anlaufstellen sind z.B. die GIZ oder die Europäische Handelskammer in China. Mit Behörden, Prüfstellen und Kunden, vor allem Betreibern Kritischer Infrastrukturen, ist laufend zu kommunizieren, in welchem Umfang die empfohlenen Regelungen der Standards zwingend werden. Der Aufbau von Expertise und die Schaffung erfolgreicher Strategien zum Umgang mit dem CSG und seinen Umsetzungsvorschriften sind für deutsche Unternehmen ein wesentlicher Baustein für Erhalt und Ausbau der Wettbewerbsfähigkeit auf dem chinesischen Markt.