Neue Gesetze und Regelungen in China Cyber Security und Datensicherheit im Chinageschäft

Autor / Redakteur: Mareike Seeßelberg* / Peter Schmitz

Im Bereich Cybersicherheit und Datenschutz nimmt der Druck auf ausländische Unternehmen, die in China tätig sind oder mit China Geschäfte machen, weiter zu: eine Flut neuer Gesetze und Regelungen schränkt den Umgang mit Daten zunehmend ein und begrenzt den unternehmerisch ohnehin engen Handlungsspielraum noch mehr.

Firmen zum Thema

Die Gesetzgebung zur Cybersicherheit und zum Datenschutz hat in China an Bedeutung gewonnen, 2019 und 2020 wurden viele neue Vorschriften und Standards eingeführt.
Die Gesetzgebung zur Cybersicherheit und zum Datenschutz hat in China an Bedeutung gewonnen, 2019 und 2020 wurden viele neue Vorschriften und Standards eingeführt.
(© BirgitKorber - stock.adobe.com)

Der Grund für die vielen Änderungen liegt in den wachsenden geopolitischen Spannungen. China fühlt sich in seiner nationalen Sicherheit bedroht und möchte vom Ausland unabhängiger werden. Dazu entkoppelt die chinesische Regierung nicht nur gezielt Lieferketten, Technologien, F&E und Standards, sie schränkt auch die Datenflüsse ein – innerhalb Chinas und grenzüberschreitend.

Digitale Technologien und Daten spielen bei diesem politischen Kurswechsel, der im 14. Fünfjahresplan festgeschrieben ist, eine Schlüsselrolle. So hat die chinesische Regierung in Hochtechnologie-Sektoren wie 5G-Infrastruktur, Datenzentren, Förderung digitaler Plattformen und Digitalwährung zahlreiche datenrelevante Stimulus-Maßnahmen etabliert.

Das Cyber Security Law (CSL) ist das grundlegende Gesetz für Cybersicherheit und Datenschutz in China.
Das Cyber Security Law (CSL) ist das grundlegende Gesetz für Cybersicherheit und Datenschutz in China.
(Bild: Chinabrand)

Dadurch hat die Gesetzgebung zur Cybersicherheit und zum Datenschutz an Bedeutung gewonnen, allein in den Jahren 2019 und 2020 wurden viele neue Vorschriften und Standards eingeführt. Nicht alle fügen sich in ein harmonisches Gesamtbild ein, da für diesen Themenkomplex gleich drei verschiedene Ministerien zuständig sind: die Cyberspace Administration of China (CAC), das Ministerium für Industrie und Informationstechnologie (MIIT) sowie das Ministerium für Öffentliche Sicherheit (MPS). Entsprechend verwirrend sind die vielfältigen neuen Bestimmungen für Unternehmen. Die größten Herausforderungen bringen das Cyber Security Law (CSL), das Data Security Law (DSL) und das Personal Information Protection Law (PIPL) mit sich. Sie schränken den Umgang mit und die Verwendung von Daten stark ein und zwingen Unternehmen, mit dem obligatorischen Multi-Level Protection Scheme 2.0 (MLPS 2.0) eine Sicherheitszertifizierung durchführen zu lassen.

Cyber Security Law (CSL)

Das grundlegende Gesetz für Cybersicherheit und Datenschutz in China ist das Cyber Security Law, das bereits am 1. Juni 2017 in Kraft getreten ist und das jetzt mit Nachdruck umgesetzt wird. Netzwerkbetreiber und Betreiber kritischer Infrastruktur unterliegen einem strengen Regelwerk und haften bei Nichteinhaltung. Netzwerke sind danach jegliche Systeme aus Computern oder anderen Informationsterminals, die Informationen sammeln, speichern, übertragen, tauschen und verarbeiten. Das bedeutet, dass jedes Unternehmen in China, das ein Rechnernetz oder auch nur eine Website betreibt, ein Netzwerkbetreiber im Sinne des CSL ist.

Inhaltlich deckt das Gesetz unter anderem die Themenbereiche Schutz personenbezogener Daten, Netzwerksicherheit, Schutz kritischer Informationsinfrastruktur, Datenlokalisierung und Risikobewertung bei Datentransfer ins Ausland sowie Sicherheitsüberprüfung von Netzwerkprodukten und Dienstleistungen ab.

Unternehmen müssen sich besonders mit den Vorschriften zum Schutz personenbezogener Daten, dem Einsatz von Netzwerkprodukten und den Verschlüsselungstechnologien sowie der Umsetzung des MLPS 2.0 auseinandersetzen.

Multi-Level Protection Scheme 2.0 (MLPS 2.0)

Die Sicherheitsprüfung für das MLPS 2.0 Zertifikat gliedert sich in fünf Schritte.
Die Sicherheitsprüfung für das MLPS 2.0 Zertifikat gliedert sich in fünf Schritte.
(Bild: Chinabrand)

Das MLPS 2.0 ist für alle Betriebe in China – chinesische und ausländische – obligatorisch. Dabei muss das Unternehmen durch eine Sicherheitsprüfung darlegen, dass das eigene Netzwerk ausreichend geschützt ist, beispielsweise gegenüber möglichem unbefugtem Zugriff durch Hacker. Nach der abgeschlossenen Prüfung erhält das Unternehmen eine von den lokalen Behörden ausgestellte Sicherheitsurkunde. Die vorgegebenen Schritte zur Erlangung dieses Zertifikats gliedern sich in fünf Schritte.

Zunächst wird das Sicherheitslevel (1 bis 5) der relevanten Systeme des Unternehmens bestimmt: welche Informationssysteme beinhalten wichtige Daten, welche personenbezogene Daten? Handelt es sich um interne Systeme oder gibt es unternehmensexterne Zugriffsmöglichkeiten? Das ermittelte Sicherheitslevel muss durch die Behörde für öffentliche Sicherheit bestätigt werden.

Anschließend werden die Sicherheitsmaßnahmen für die IT-Systeme, gemäß den gesetzlichen Anforderungen für das ermittelte Sicherheitslevel, angepasst. Das MLPS 2.0 enthält beispielsweise für Level 2 Systeme ca. 200 Anforderungen, für Level 3 Systeme sind es bereits ca. 310 Anforderungen. Danach findet eine weitere Überprüfung durch ein zertifiziertes Testzentrum statt, das einen Testbericht ausstellt. Dieser muss im letzten Schritt bei der Behörde für öffentliche Sicherheit eingereicht werden, die ihn prüft und abschließend das Sicherheitszertifikat ausstellt.

Hält sich ein Unternehmer in China nicht an die Vorgaben des MLPS 2.0 oder schiebt die Sicherheitsprüfung auf die lange Bank, drohen empfindliche Geldstrafen, eine öffentliche Schwarzlistung im Corporate Social Credit System oder – in schweren Fällen – sogar der Entzug der Geschäftslizenz.

Weitere neue Gesetze

Das am 1. Januar 2020 in Kraft getretene Encryption Law (Kryptographiegesetz) regelt die Nutzung und Verwaltung von Verschlüsselungstechnologien in China. Im Bereich der kommerziellen Kryptographie gibt es eine wichtige Änderung: der Gebrauch ausländischer Verschlüsselungstechnologien ist nicht mehr ausdrücklich verboten. Kommerzielle kryptographische Produkte oder Technologien, die von ausländischen Unternehmen entwickelt, verwendet, verkauft, importiert oder exportiert werden, stehen nun auf einer Stufe mit einheimischen Produkten oder Technologien – es sei denn sie sind in der Liste kritischer Netzwerkausrüstung aufgeführt.

Auch das Data Security Law, das am 1. September 2021 in Kraft treten wird, soll die Datensicherheit in China erhöhen. Datenverarbeitende Unternehmen sind danach verpflichtet, ein Datensicherheits-Managementsystem einzurichten und dieses regelmäßig an geltende Vorschriften anzupassen. Das System muss technische und operative Maßnahmen beinhalten, um Datensicherheit zu gewährleisten. Unternehmen, die sogenannte wichtige Daten verarbeiten, müssen einen Datenschutzverantwortlichen benennen und regelmäßige Datenschutz-Folgeabschätzungen der Verarbeitungsaktivitäten durchführen. Die Ergebnisse müssen an die verantwortliche Behörde gemeldet werden.

Explizite Vorgaben zur Handhabung personenbezogener Daten spezifiziert der im Oktober 2020 veröffentlichte Entwurf des Personal Information Protection Law (PIPL). Ausländische Unternehmen müssen besonders die extraterritorialen Auswirkungen dieses Gesetzes und die Regelungen zum grenzüberschreitenden Transfer personenbezogener Daten beachten. Das PIPL gilt nach in Kraft treten nicht nur für den Umgang mit personenbezogenen Daten innerhalb Chinas, sondern auch für bestimmte Aktivitäten außerhalb des Landes.

Ausländische Unternehmen, deren Verarbeitung von in China erhobenen personenbezogenen Daten außerhalb Chinas tatsächlich oder vermeintlich die Interessen chinesischer Bürger verletzt oder sogar die nationale Sicherheit Chinas gefährdet, können auf eine schwarze Liste gesetzt oder sanktioniert werden. Darüber hinaus würde die weitere Übertragung von Daten an dieses Unternehmen eingeschränkt oder komplett verboten werden.

Unternehmen müssen genau hinschauen

Die größte Herausforderung für europäische Unternehmen, die in China tätig sind, stellt derzeit das im CSL verankerte MLPS 2.0 dar. Seine Umsetzung hat für die chinesische Regierung eine hohe Priorität. Jedes Unternehmen sollte die eigenen IT-Systeme sorgfältig beurteilen und registrieren, um hohe Bußgelder und eine negative Bewertung im Corporate Social Credit System zu vermeiden. Auch die neuen Vorgaben durch das Kryptographiegesetz, das Datensicherheitsgesetz und das Gesetz zum Schutz persönlicher Informationen müssen Unternehmen beim Umgang mit personenbezogenen Daten unbedingt beachten.

* Die Autorin Mareike Seeßelberg ist Senior Consultant bei der Chinabrand IP Consulting in München.

(ID:47496029)