E-Commerce

Neues Cybersicherheitsgesetz in China – Was deutsche Unternehmen beachten müssen

Seit Juni 2017 gilt in China das neue Cybersicherheitsgesetz. Das Gesetz wirkt sich auch auf ausländische Firmen aus, die elektronischen Geschäftsverkehr in China betreiben. So werden eine große Zahl deutscher Unternehmen die eigenen unternehmerischen Prozesse anpassen müssen, um die neuen chinesischen Vorgaben einhalten zu können. Ansonsten drohen empfindliche Sanktionen.

Deutsche Unternehmen müssen handeln – © Zerbor

Die chinesische Regierung hat zum Schutz der Wahrung der politischen Stabilität, in den letzten Jahren eine Vielzahl unterschiedlicher Gesetze erlassen, die die zukünftige Entwicklung der Internetwirtschaft beeinflussen werden und den Staat selber mit erheblichen Kontrollrechten- und Organisationsmöglichkeiten ausstatten. Das im Juni 2017 in Kraft getretene Cybersicherheitsgesetz soll nach Begründung der chinesischen Regierung vor allem eine höhere Datensicherheit garantieren, kritische Infrastrukturen besser vor Angriffen und Sabotage schützen und einen höheren Schutz der Privatsphäre chinesischer Bürger realisieren. Außerhalb Chinas wurde deutliche Kritik am Cybersicherheitsgesetz vor allem deswegen laut, weil der Kreis der betroffenen Unternehmen sehr weit gefasst ist und die wenig transparente Gesetzesformulierung dem Staat und den zuständigen Behörden bei der Gesetzesauslegung einen erheblichen Ermessensspielraum einräumt. Die Tatsache, dass das offizielle Gesetzeswerk in keiner europäischen Sprache vorliegt, erschwert den Umgang und die Auslegung zusätzlich. Klar ist: Betroffenen ausländischen Unternehmen, die sich nicht den Vorgaben des Cybersicherheitsgesetzes unterwerfen und die eigenen Unternehmensstrukturen und IT-Prozesse vollumfänglich anpassen, drohen empfindliche Sanktionen wie der Entzug der Gewerbeerlaubnis oder die behördliche Sperrung von Inhalten, Angeboten und Dienstleistungen.

Cybersicherheitsgesetz – Welche ausländischen Unternehmen sind betroffen?

Von den Regelungen des Cybersicherheitsgesetzes betroffen sind grundsätzlich alle Unternehmen, die elektronischen Geschäftsverkehr in China betreiben. Dabei richtet sich das Gesetz vor allem an Netzbetreiber, Netzwerkdienstleister und Betreiber kritischer Infrastrukturen. Als kritische Infrastrukturen gelten zunächst einmal Unternehmen, die beispielsweise im IT-, Energie-, Versorgungs-, Finanz-, Transport- oder Kommunikationswesen tätig sind. Darüber hinaus kann die chinesische Regierung weitere Unternehmen als kritische Infrastruktur bewerten und zur Einhaltung der neuen Gesetzeslage verpflichten. Diese einseitige Bestimmung ist für alle Unternehmen in Wettbewerbsmärkten möglich, die das “Wohlergehen der Bürger”, das “öffentliche Interesse” oder die “nationale Sicherheit” berühren oder beeinträchtigen können. Eine transparente Einschätzung darüber, welche Unternehmen letztlich als Adressaten des Gesetzes gelten, wird aufgrund des großen Ermessensspielraums chinesischer Behörden nicht ohne weiteres möglich. So besteht die Gefahr, dass auch Unternehmen im Bereich der produzierenden Industrie, der Forschung oder Betreiber sonstiger Internet-Anwendungen und Web-Inhalte, die in China verbreitet werden, in den Regelungsbereich einbezogen werden.

Welche Verpflichtungen bestehen für Unternehmen?

Das Cybersicherheitsgesetz sieht unterschiedliche Pflichten vor, die von Unternehmen zu erfüllen sind. Grundsätzlich wird deutlich, dass die chinesische Regierung eine größere Kontrolle über die Netzwerk- und Datensicherheit ausüben möchte, riskiert dabei aber, dass Unternehmen gläsern werden. Netzwerkbetreiber sind beispielsweise verpflichtet, die eigenen IT-Systeme ausreichend zu schützen und die Netze dauerhaft zu überwachen. Die Implementierung von Schutzmaßnahmen soll die Sicherheit der Netze gewährleisten. Die Betreiber müssen darüber hinaus Protokolldaten erheben und speichern. Nicht klar ist, welche Daten im Einzelfall gespeichert werden müssen.

Netzwerkdienste müssen eigene Sicherheitsprodukte fortlaufend warten und Kunden über Schwachstellen informieren. Sämtliche Netzwerkprodukte und sonstigen Dienste, die im Bereich kritischer Infrastrukturen genutzt werden sollen, müssen einer offiziellen behördlichen Sicherheitsüberprüfung unterzogen werden.

Die Anbieter von Telekommunikations- und wesentlichen Internetdiensten dürfen Zugang zu eigenen Produkten und Dienstleistungen nur noch dann gewähren, wenn eine zweifelsfreie Identifikation der Kunden möglich ist. Die Anbieter müssen daher entsprechende Identifikationsprüfungen vornehmen. Diese Pflicht trifft beispielsweise auch die Anbieter von Cloud-Diensten oder Blog- und Forenbetreiber.

Die größten Verpflichtungen treffen jedoch die Betreiber kritischer Infrastrukturen. Künftig müssen alle genutzten Netzwerk- und IT-Dienste vor dem Einsatz behördlich zertifiziert werden. Die Verwendung von Hard- und Softwarelösung wird erst nach einer erfolgreichen Sicherheitsüberprüfung möglich. Darüber hinaus müssen die Betreiber kritischer Infrastrukturen Teile der Belegschaft gesonderten Sicherheitsüberprüfungen unterziehen und das Personal nach entsprechenden Vorgaben fortbilden. Auch die Sicherheit der eingesetzten IT-Systeme muss fortlaufend jährlich geprüft werden. Die Überprüfung erfolgt dabei durch unabhängige Stellen.

Als besonders problematisch und risikobehaftet erweist sich die im Cybersicherheitsgesetz verankerte Regulierung der Datenauslieferung in China. Grundsätzlich müssen künftig sämtliche als sensibel bewertete personen- und unternehmensbezogene- sowie in China gehostete Daten auf chinesischen Servern gespeichert werden und dürfen das Land nicht mehr verlassen. Nur mit einer behördlichen Genehmigung sind Ausnahmen von der lokalen Speicherpflicht möglich. In welchem Ausmaß Ausnahmegenehmigungen erteilt werden, bleibt abzuwarten. Unternehmen, die bislang Daten nach China ausgeliefert oder während des Betriebs kritischer Infrastrukturen gesammelt haben, werden diese zukünftig grundsätzlich in China speichern müssen, oder mit Hosting-Dienstleistern oder CDN-Anbietern arbeiten. Dritte Dienstleister müssen dann über die notwendigen behördlichen Sicherheitszertifizierungen verfügen.

Risiken für deutsche Unternehmen

Für ausländische Unternehmen entstehen nicht zuletzt durch das am 01. Juni 2017 in Kraft getretene Cybersicherheitsgesetz differenzierte Risikopotentiale, die das Wirtschaften in China zukünftig erheblich erschweren und Rechtsunsicherheiten bergen können. Durch die neuen Regelungen des Cybersicherheitsgesetzes sehen viele deutsche Unternehmen eigenes Know-How bedroht und geistiges Eigentum in noch viel größerem Maß gefährdet. Die Pflicht zur staatlichen Zertifizierung von IT-Produkten in einzelnen Branchen, könnte deutsche Unternehmen bei dem Verkauf von Hard- und Softwarelösungen zur Offenlegung von Quellcodes verpflichten.

Bisher unklar ist, ob und wie weit dies China künftig einfordern- und mit einer möglichen Weigerung umgehen wird. Auch die grundsätzliche Pflicht zur Speicherung von sensiblen Daten auf chinesischen Servern, besorgt viele ausländische und deutsche Unternehmen. Unternehmen, die ihre Daten bisher nicht auf chinesischen Servern gespeichert haben, sondern selber oder über Dienstleister von anderen Standorten für den chinesischen Markt angeboten haben, werden diese Praxis nun ändern und Inhalte direkt aus China hosten oder entsprechend spiegeln müssen. Neben Kosten für die Verlegung von Rechenzentren oder der Implementierung neuer IT-Prozesse, fürchten viele Unternehmen den Anstieg von Industriespionage. Auch weil das Cybersicherheitsgesetz die Überprüfung der Einhaltung aller rechtlichen Voraussetzungen, grundsätzlich auch durch private Unternehmen ermöglicht, eröffnen sich erhebliche Missbrauchspotentiale. Wichtig wird sein, dass die chinesische Regierung in Bezug auf die Kontrolle durch dritte Privatunternehmen, verbindliche Regeln in Bezug auf den Umgang mit unternehmens- und personenbezogenen Daten vorgibt, um für eine ausreichende Datensicherheit und Schutz geistigen Eigentums zu sorgen.

Fazit

Die chinesische Regierung hat mit dem Cybersicherheitsgesetz einen Rechtsakt geschaffen, der unvermeidlich eine große Zahl chinesischer, aber auch ausländischer Unternehmen beeinflusst und eine starke Kontrollmöglichkeit von privatwirtschaftlichen Unternehmen ermöglicht.

Auch deutsche Unternehmen werden Prozesse ändern müssen, um die rechtlichen Anforderungen des Cybersicherheitsgesetzes erfüllen zu können. Die schwammige Formulierung des Gesetzestextes und die dadurch weitreichenden Auslegungsmöglichkeiten durch die chinesischen Verantwortlichen schaffen einen Zustand der Unsicherheit. Es ist davon auszugehen, dass die chinesische Regierung die Einhaltung der neuen gesetzlichen Regeln durch Behördenmitarbeiter und computergesteuerte IT-Prozesse intensiv prüfen und Verletzungen entsprechend harsch sanktionieren wird. Deutsche Unternehmen, die auch in China tätig sind, sollten nun sorgfältig prüfen, ob und in welchem Ausmaß das Cybersicherheitsgesetz das eigene Unternehmen berührt und welche Anpassungen der technischen und unternehmerischen Abläufe nötig sind.

nha

 


In diesem Zusammenhang ist sicherlich auch folgendes Video für Sie interessant.

Weitere aktuelle und spannende Videos rund ums Recht finden Sie auf unserem YouTube-Channel unter: https://www.youtube.com/user/KanzleiWBS

Werden Sie Abonnent unseres YouTube-Kanals. So bleiben Sie immer auf dem neuesten Stand zu wichtigen und aktuellen Rechtsthemen.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.