China: Cybersicherheitsgesetz – Auswirkungen auf das Chinageschäft

Hintergrund
Die chinesische Regierung hat zur Gewährleistung einer höheren Datensicherheit und zum Schutz von kritischen Infrastrukturen vor Angriffen und Sabotage sowie zum Schutz der Privatsphäre chinesischer Bürger das Cybersicherheitsgesetz erlassen, das seit 01.06.2017 in Kraft ist. Das Gesetz enthält grundlegende Regelungen zur Netzwerksicherheit und Datenspeicherung und räumt den staatlichen Behörden weitreichende Kontroll- und Eingriffsrechte über das Internet ein, um Chinas Cybersouveränität sicherzustellen. Im Zusammenhang mit dem neuen Cybersicherheitsgesetz hat die zentrale Regulierungsbehörde, die Cyberspace Administration of China, am 11.04.2017 einen Entwurf zur Regelung der Datenübertragung ins Ausland veröffentlicht. Die „Measures on the Security Assessment for Overseas Transfer of Personal Information and Important Data“, sofern diese erlassen wird, ergänzen zukünftig das Cybersicherheitsgesetz und füllen dessen Regelungsbereiche in Teilen weiter aus. Von den neuen Cybersicherheitsregelungen betroffen sind grundsätzlich alle Unternehmen, die elektronischen Geschäftsverkehr in China betreiben. Damit wirken sich die verschärften Regelungen auch unmittelbar auf ausländische Unternehmen aus, die in China tätig sind.

Überblick über die wesentlichen Aspekte
Das Cybersicherheitsgesetz hat einen weiten Anwendungsbereich und gilt für einfache Netzwerkbetreiber, Betreiber von sogenannten Critical Information-Infrastrukturen sowie für weitere bestimmte Personen und Organisationen, wobei das Gesetz unterschiedliche Pflichten an die Adressaten stellt. Eine klare Definition des Begriffs Critical Information-Infrastrukturen enthält das Gesetz leider nicht.

Für alle Netzwerkbetreiber gilt, die Netzwerke vor Störungen, Beschädigungen oder Hackerangriffen zu schützen und Datenlecks, Diebstähle oder Verfälschung zu verhindern. Das Gesetz gibt allen Netzwerkbetreibern in diesem Zusammenhang unter anderem auf, interne Sicherheitsmanagementsysteme und Betriebsrichtlinien zu erstellen, spezialisierte Netzwerksicherheitspersonen abzustellen, sowie Netzwerkbetriebsstatus- und Netzwerksicherheitsvorfälle zu überwachen und vor allem relevante Netzwerkprotokolle für mindestens sechs Monate zu speichern.

Darüber hinaus verpflichtet das Cybersicherheitsgesetz die Betreiber von Critical Information-Infrastrukturen zur lokalen Speicherung von personenbezogenen und kritischen Daten, die in China erhoben wurden, zu schaffen. Die Auslieferung der Daten ins Ausland ist grundsätzlich verboten und darf nur nach einer Sicherheitsprüfung und mit ausdrücklicher Erlaubnis der Cyberspace Administration of China erfolgen. Nach dem Wortlaut des Cybersicherheitsgesetzes unterliegen sonstige Netzwerkbetreiber nicht diesen Einschränkungen.

Allerdings erweitern die „Measures on the Security Assessment for Overseas Transfer of Personal Information and Important Data“ die Pflicht zur lokalen Datenspeicherung auch auf Unternehmen, die selbst keine Betreiber von Critical Information-Infrastrukturen sind. Diese Netzwerkbetreiber müssen gemäß dem Entwurf selbst eine Sicherheitsprüfung durchführen, bevor sie die in China erhobenen Daten ins Ausland ausliefern. Sollte die „Measures on the Security Assessment for Overseas Transfer of Personal Information and Important Data“ in der jetzigen Entwurfsfassung tatsächlich erlassen werden, wäre dies eine wesentliche Hürde für die Geschäftstätigkeit nahezu aller ausländischen Unternehmen in China, da datenverarbeitende Systeme, wie Bestell-, Rechnungs- oder Warenbestandsysteme in China gehostet werden müssten.

Autor: Raymond Kok