Chinese Cybersecurity Law

Der mühsame Weg über die digitale Seidenstraße

Dennis-Kenji Kipker arbeitet als Professor für IT-Sicherheitsrecht an der Hochschule Bremen an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz. Dabei kommt bei ihm auch die Praxis nicht zu kurz: So ist er außerdem als Legal Advisor des VDE, CERT@VDE tätig und prägt im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin die zukünftige europäische und deutsche Cyber-Politik maßgeblich mit. Als Geschäftsführer des Beratungsunternehmens Certavo in Bremen setzt er sich überdies für die Entwicklung und Umsetzung pragmatischer Lösungen zur digitalen Compliance-Konformität von Unternehmen ein.“
Laufend werden im Reich der Mitte neue IT-Gesetze geschaffen, darunter auch das Chinese Cybersecurity Law, das für Unternehmen hierzulande besonders relevant ist.
Die Chinesen nehmen Cybersecurity ernst. Zuwiderhandlungen gegen das chinesische Cyber-Sicherheitsgesetz können mit teils drakonischen Sanktionen geahndet werden.
Die Chinesen nehmen Cybersecurity ernst. Zuwiderhandlungen gegen das chinesische Cyber-Sicherheitsgesetz können mit teils drakonischen Sanktionen geahndet werden.
Foto: BeeBright - shutterstock.com

Seit der Verabschiedung des chinesischen Cyber-Sicherheitsgesetzes (Chinese Cybersecurity Law, CSL) im Jahr 2016, das im Juni 2017 in Kraft trat, wird eine ausländische gesetzliche Regelung auch hierzulande immer wieder umfassend durch Politik, Wirtschaft und Medien aufgegriffen und diskutiert. Zurückzuführen ist dies auf die Tatsache, dass die deutsche Wirtschaft in vielerlei Hinsicht eng mit dem Reich der Mitte verzahnt ist, sodass gesetzliche Vorgaben, die dort den Markt bestimmen, auch in Deutschland zumindest faktische Relevanz entfalten, indem transnational operierende Unternehmen betroffen sind.

Vor allem aber gilt dies für den Hochtechnologiebereich, der eine vernetzte Datenkommunikation über Landesgrenzen hinweg erfordert. Seit 2017 war Gegenstand der medialen Berichterstattung deshalb vor allem die Regulierung von VPN-Verbindungen in die Volksrepublik. Augenmerk ist außerdem auf das zurzeit noch laufende Gesetzgebungsverfahren für das Cryptography Law of the People’s Republic of China zu legen, das die Datenübermittlung von und nach China in einem erheblichen Maße verändern und beeinflussen wird.

Cybersecurity in China – kein einfaches Geschäft

Charakteristisch für chinesische Gesetze ist, dass sie nicht – wie beispielsweise in Deutschland – möglichst detaillierte und damit anwenderfreundliche Regelungen treffen, sondern eher im Sinne einer allgemein gefassten politischen Strategie zu verstehen sind. Die chinesische Gesetzgebung zur Cyber-Sicherheit wird deshalb ganz erheblich durch die technische Normung und Standardisierung ergänzt und beeinflusst.

An dieser Stelle ist vor allem – aber nicht ausschließlich – das Chinesische Nationale Normungskomitee zur technischen Standardisierung der Informationstechnologie (TC 260), das unmittelbar der Chinesischen Cyber-Sicherheitsbehörde CAC untersteht, zuständig. Das Komitee legt laufend neue Normungsentwürfe zur öffentlichen Kommentierung vor, und dies zu den unterschiedlichsten Themen: kritische Infrastrukturen, IoT, Smart Car, Kryptografie, Smartphone-Security, digitale Signaturen, Malware Prevention, Secure Coding, Bluetooth, RFID, NFC oder zum Umgang mit biometrischen Daten.

Die jüngsten Vorgaben zur Konkretisierung des CSL wurden im Juni und Juli veröffentlicht, zu den Themen Datenlokalisierung, also ob z.B. Unternehmen in China Daten in das Ausland übermitteln dürfen, zum Datensicherheitsmanagement und zur Cybersecurity-ZertifizierungCybersecurity-Zertifizierung ausländischer Produkte, die in die Volksrepublik eingeführt werden. Dieses Rechtsverständnis hat zur Folge, dass viele ausländische Unternehmen Schwierigkeiten haben, die für sie gültigen Compliance-Pflichten zu bestimmen. Die Sprachbarriere erschwert dies zusätzlich. Alles zu Security auf CIO.de

EU DSGVO – auch in China keine unbekannte Buchstabenkombination

Darüber hinaus enthält das CSL erstmals in der Geschichte der chinesischen Gesetzgebung umfassende Regelungen für den sicheren Umgang mit personenbezogenen Daten und die Legitimation zu deren Verarbeitung, also zum DatenschutzDatenschutz. Interessant ist vor allem auch die Tatsache, dass zahlreiche Regelungsprinzipien aus der Datenschutz-Grundverordnung in das chinesische Recht übernommen wurden, so z.B. der wichtige Erforderlichkeits- und der Zweckbindungsgrundsatz. Alles zu Datenschutz auf CIO.de

Ganz zentral ist in China für die Legitimation einer Datenverarbeitung die Einwilligung der betroffenen Person. Die damit einhergehende Frage ist natürlich, ob das aktuelle chinesische Datenschutzniveau dem Maßstab der EU entspricht. Das wird man aber sicher nicht ohne Weiteres bejahen können, denn zum einen kommt es für einen hohen Datenschutzstandard nicht allein auf gesetzliche Regelungen, sondern auch auf deren behördliche Kontrolle und Durchsetzung an – und gerade hierzu sind bisher noch keine genauen Vorgaben bekannt.

Zum anderen ist China zumindest momentan noch kein so genanntes "sicheres Drittland", für das die EU-Kommission einen Angemessenheitsbeschluss gefasst hat. Das bedeutet, dass der personenbezogene Datentransfer aus der EU nach China so oder so rechtlich noch nicht privilegiert ist.

Was wurde und wird zum Thema CSL hierzulande aktuell diskutiert?

Einige der Herausforderungen, die zurzeit nicht nur in Deutschland zum CSL diskutiert werden, sind bereits angeklungen, so beispielsweise die Datenlokalisierung und die Zertifizierung von ausländischen IT-Produkten auf dem chinesischen Markt. Besonderes Augenmerk soll an dieser Stelle aber nochmals auf das Thema VPN-Verbindungen von und nach China gelegt werden. Eine VPN-Verbindung ermöglicht als eigenständiger, verschlüsselter Kommunikationskanal einen gesicherten Datenaustausch.

Dabei werden derlei Verbindungen nicht nur von Privatpersonen genutzt, um auf in China durch die "Great Chinese Firewall" blockierte Internetdienste zuzugreifen, sondern insbesondere auch von transnational agierenden Unternehmen zum Schutz der übermittelten Informationen.

Das CSL eröffnet dem Staat Befugnisse, Maßnahmen zum Umgang mit Netzwerksicherheitsrisiken im In- und Ausland zu ergreifen und die Netzwerkkommunikation aus wichtigen öffentlichen Interessen heraus zu beschränken, sodass damit theoretisch auch VPN-Tunnel unterbrochen werden können. Die letzte "Frist" in diesem Zusammenhang ist Ende März verstrichen – zumindest momentan gibt es aber noch keine Erkenntnis darüber, dass sich dadurch faktisch etwas an der unternehmerischen Nutzung von transnationalen VPN geändert hätte.

Quo vadis, China?

Die Chinesen nehmen Cybersecurity ernst. Zuwiderhandlungen gegen das chinesische Cyber-Sicherheitsgesetz können mit teils drakonischen Sanktionen geahndet werden, so ist von Betriebsschließungen, dem Entzug von Gewerbe-Erlaubnissen, dem Einfrieren von Vermögenswerten und in bestimmten Fällen gar von lebenslangen Berufsverboten die Rede, soweit eine IT-Straftat begangen wurde.

Dennoch ist das noch lange kein Grund, sich hierzulande ernsthaft Sorgen zu machen, denn auch dem chinesischen Gesetzgeber und den dortigen Behörden ist bewusst, dass für eine gesunde wirtschaftliche Entwicklung transparente und faire Gesetze vonnöten sind. Erkennbar ist dies auch daran, dass sich die spürbaren Auswirkungen des CSL zurzeit noch in Grenzen halten, und mit ganz erheblichen Ressourcen von chinesischer Seite an der Konkretisierung der allgemein gefassten gesetzlichen Vorschriften gearbeitet wird.

Betroffenen Unternehmen ist daher nicht nur zu empfehlen, sich laufend über die IT-rechtlichen und normungsbezogenen Aktivitäten in China zu informieren, sondern auch, gleichgesinnte Partner mit ähnlichen Unternehmensprofilen auf dem chinesischen Markt zu finden, um gemeinsam Best Practices zum Umgang mit dem CSL zu entwickeln und auszutauschen.

Zur Startseite