Impulse aus Fernost – Digitale Souveränität und Cybersicherheit in der Volksrepublik China – ein Überblick über den aktuellen Rechtsrahmen
Politik und Unternehmen werden zunehmend auf die Digitalgesetzgebung im Ausland aufmerksam, die vielfach – analog etwa zur DSGVO – eine sogenannte „extraterritoriale Wirkung“ entfaltet, indem sie auch Akteure außerhalb der eigenen Rechtsordnung betrifft. Ein prominentes Beispiel hierfür ist die Volksrepublik China, die ihre eigene digitale Souveränität in einer zunehmenden Zahl verschiedener Vorschriften und Standards absteckt, die in ihrer Gesamtheit ein hochkomplexes und auf den ersten Blick unübersichtliches Regelwerkbilden. Der vorliegende Beitrag liefert daher – in aller gebotenen Kürze – einen Überblick über den aktuellen chinesischen Rechtsrahmen zur Datensouveränität mit einem Schwerpunkt auf Cybersecurity und beleuchtet die wesentlichen Probleme und Fragestellungen.
Von Dennis-Kenji Kipker, Bremen
Genauso wenig, wie es in Deutschland oder der EU eine einzelne kodifizierte Regelung zur Cybersicherheit gibt, existiert in China ein einzelnes Gesetz hierfür. Zu komplex ist das Thema und zu vielfältig sind die möglichen Anknüpfungspunkte, die sowohl Anforderungen für Private als auch Befugnisse für öffentliche Stellen über unterschiedlichste Sektoren und Branchen hinweg umfassen können. Die Volksrepublik China betreibt jedoch bereits seit Jahrzehnten eine Gesetzgebung zur Datensouveränität mit unterschiedlichen Schwerpunkten und in den letzten fünf Jahren verstärkt auch zur Sicherheit der
Verarbeitung von (personenbezogenen) Daten.
Relevanz und Systematik
Die erste IT-sicherheitsrelevante Regulierung im Reich der Mitte wurde schon 1994 mit den „Computer Information System Security Protection Regulations of the People’s Republic of China“ vorgestellt. Die chinesische IT-Gesetzgebung erfolgte für eine geraume Zeit nahezu völlig vom Westen losgelöst und ist erst in den letzten Jahren verstärkt in den Fokus politischer, wirtschaftlicher und regulatorischer Wahrnehmung gelangt.
Die Gründe für diese Entwicklung sind offenkundig: Einerseits expandieren immer mehr chinesische Unternehmen in Richtung EU und andererseits unterhalten mehr und mehr europäische Unternehmen Geschäftskontakte nach China oder betreiben dort Auslandsniederlassungen. Die Herausforderungen, denen Firmen in der Regulierungsstruktur vor Ort begegnen, sind vielfältig und reichen von einer komplizierten Behörden- und Zuständigkeitsstruktur, die über mehrere Verwaltungsebenen verteilt ist, über das Problem auslegungsbedürftiger, generalklauselartiger Gesetze bis hin zur intensiven Verschränkung der Rechtsvorschriften mit untergesetzlichen Vorgaben und technischen Standards.
So ist zu unterscheiden zwischen:
- Gesetzen des Nationalen Volkskongresses und seines Ständigen Ausschusses
- Verwaltungsvorschriften des Staatsrats
- lokalen Verordnungen, Verordnungen der autonomen Regionen und gesonderten Verordnungen der Volkskongresse oder ihrer ständigen Ausschüsse der Provinzen, autonomen Regionen und zentral verwalteten Gemeinden
- Vorschriften der Ministerien und Kommissionen des Staatsrats, der Chinesischen Volksbank, der Staatlichen Rechnungsprüfungsbehörde sowie der anderen mit Verwaltungsaufgaben betrauten Organe, die direkt dem Staatsrat unterstehen
- Vorschriften der Volksregierungen der Provinzen, autonomen Regionen, zentral verwalteten Gemeinden und der in Bezirke unterteilten Städte oder autonomen Präfekturen.
Mit Blick auf die Regulierung von IT-Sicherheit sind dabei zurzeit vor allem die folgenden chinesischen Gesetze von Interesse:
- das Chinese Cybersecurity Law (CSL, Inkrafttreten zum 1. Juni 2017)
- das Chinese Cryptography Law (Inkrafttreten zum 1. Januar 2020)
- das Chinese Data Security Law (DSL, Inkrafttreten zum 1. September 2021)
- das Chinese Personal Information Protection Law (PIPL, Inkrafttreten zum 1. November 2021).
Neben diesen vier Kernvorschriften sind aber je nach Tätigkeitsfeld eines Unternehmens weitere chinesische Gesetze zu beachten, wie zum Beispiel das Export Control Law (ECL, Inkrafttreten zum 1. Dez. 2020), das Criminal Law, das Tort Liability Law, das Law on the Protection of Consumer Rights and Interests oder die Measures for the Management of Scientific Data (SDM, Inkrafttreten zum 17. März 2018). Darüber hinaus existieren – wie in Deutschland – für eine Vielzahl von Sachverhalten anwendbare und nicht weiter bereichsspezifisch aufgeschlüsselte Rechtsvorschriften wie die allgemeinen zivilrechtlichen Vorschriften der Volksrepublik China (General Provisions of the Civil Law of the People’s Republic of China, www.npc.gov.cn/englishnpc/lawsoftheprc/202001/c983fc8d3782438fa775a9d67d6e82d8.shtml), die ebenfalls Sorgfaltspflichten enthalten können, welche für die IT-Sicherheit relevant sind.
Besonderheiten
Spätestens seit dem CSL wurden infolge seiner extraterritorialen Wirkung auch ausländische Unternehmen mit viel Rechtsunsicherheit konfrontiert – dabei zielt die Volksrepublik aber vor allem auf die Regulierung der Tech-Branche im eigenen Land ab, deren Rechte und Möglichkeiten zunehmend politisch und gesetzlich beschnitten werden.
Bei der Gewährleistung rechtskonformer IT-Compliance in China ist nicht nur der offen formulierte Charakter der Gesetze eine Besonderheit – zumal bei vielen neuen Rechtsvorschriften zurzeit noch keine entsprechenden Durchführungsbestimmungen erlassen wurden oder nur als Entwurf vorliegen. Wichtiger ist vielmehr noch, dass die verschiedenen Gesetze stets in der Gesamtheit ihres Regelungshorizonts zu sehen sind, da sie jeweils unterschiedliche Schwerpunkte haben, sich ergänzen und inhaltlich aufeinander verweisen.
Das bedeutet für die Cybersecurity-Compliance beispielsweise, dass allein der Blick auf das CSL nicht ausreichend sein kann, sondern auch die Vorgaben des DSL oder gar des PIPL einzubeziehen sind. Dies erklärt in Teilen auch, weshalb es in China keine kodifizierte Regelung für Cybersicherheit und Datenschutz gibt, denn es geht politisch gesehen nicht darum, einzelne Teilbereiche losgelöst voneinander zu regulieren, sondern darum, durch eine gesetzliche Grundlage die digitale Souveränität in Form der Kontrollierbarkeit digitaler Datenströme herzustellen. Das hat zur Folge, dass unter anderem Datenlokalisierungspflichten festgesetzt werden und bestimmte technische Komponenten für Systeme und Netze nur bei auf dem chinesischen Markt geprüften und zugelassenen Lieferanten beschafft werden können. Bei all dem gilt es aber zu beachten, dass politische und behördliche Ankündigungen in China nicht mit der tatsächlichen Durchführung gesetzlicher Maßnahmen zu verwechseln sind.
Diese Erkenntnisse helfen dabei, den chinesischen Ansatz der Erlangung von Datenhoheit durch Regulierung, Kontrolle und Verbote besser zu verstehen, denn vielfach sieht man in China den Schutz der nationalen Sicherheit durch zunehmende (unkontrollierte) internationale Datenexporte gefährdet.
Und auch die extraterritoriale Wirkung chinesischer Rechtsvorschriften ist zumindest juristisch gesehen nichts Neues und keine Eigenheit des Reichs der Mitte: Im globalen Vergleich regulieren beispielsweise auch Indien, die USA, die Russische Föderation sowie auch Deutschland und die EU mit dem IT-SiG 2.0 und der DSGVO ausländische Unternehmen, die auf den eigenen Märkten tätig werden. So gesehen wird die Datenregulierung weltweit zunehmend zu einem geopolitischen Machtinstrument, und Cybersicherheit und Datenschutz lassen sich auf diese Weise immer weniger trennscharf voneinander abgrenzen.
Ganz gleich, welchen rechtspolitischen Hintergrund die chinesischen Gesetze aber auch haben mögen: Vielen von ihnen ist gemein, dass Unternehmen als Regelungsadressat zunächst einmal angehalten sind, sich firmenintern einen Überblick über die eigene Datenverarbeitung zu verschaffen und zu ermitteln, welche Datenbestände wo verarbeitet, gespeichert und wohin übermittelt werden. Die folgenden Abschnitte geben einen Überblick über die wichtigsten chinesischen Compliance-Vorgaben mit Blick auf die Cybersecurity.
Chinese Cryptography Law
Den Anfang macht das Chinese Cryptography Law, das im Oktober 2019 verabschiedet wurde: Das gesetzgeberische Ziel dieser Vorschrift ist die Entwicklung neuer kryptografischer Verfahren, Dienste und Produkte in China, womit die Vorschrift mittelbar auch eine Stärkung der IT-Sicherheit bezweckt. Im Gleichlauf mit dem CSL liegt ein wesentlicher Fokus des Gesetzes auf den öffentlichen und nationalen chinesischen Sicherheitsinteressen. Das Kryptografiegesetz zeichnet sich ebenfalls durch die generelle Flexibilität und Anpassungsoffenheit als Schlüsselelemente neuer chinesischer Kryptografiegesetzgebung aus.
Recht Chinesisches Cybersicherheits-Gesetz
Regulierungsschwerpunkt des Gesetzes ist die Unterscheidung zwischen verschiedenen kryptografischen Verfahren mit gestuften, unterschiedlichen Nutzungsanforderungen: Core Cryptography und Common Cryptography dienen dem Schutz von Staatsgeheimnissen und werden damit gesetzlich selbst als Staatsgeheimnis eingestuft. Die sogenannte Commercial Cryptography bezweckt im Umkehrschluss den Schutz jeglicher Information, die kein Staatsgeheimnis ist, und gilt damit für sämtliche sonstigen Daten und damit der IT-Sicherheit von Unternehmen und Privatpersonen. Dementsprechend sind Bürger, juristische Personen und andere Organisationen grundsätzlich befugt, Commercial Cryptography zu Zwecken des Geheimnisschutzes einzusetzen.
Das Gesetz stellt aber auch fest, dass die Entwicklung und Anwendung von kryptografischen Verfahren den Schutz vor Kompromittierung erfordert – dementsprechend werden entsprechende Zertifizierungsanforderungen für den chinesischen Marktzugang festgeschrieben.
Chinese Cybersecurity Law (CSL)
Das bereits 2016 verabschiedete CSL adressiert IT-Sicherheit und Datenschutz gleichermaßen. Unter diesem Gesichtspunkt war es auch eines der ersten Gesetze Chinas, das explizit datenschutzrechtliche Anforderungen enthält, die stellenweise den Vorgaben der DSGVO ähneln – insoweit hat es auch den Weg für das PIPL als Grundpfeiler des neuen chinesischen Datenschutzrechts geebnet. Auch hier zeigt sich der ganzheitliche Regulierungsansatz zur digitalen Souveränität, den der chinesische Gesetzgeber verfolgt, indem er feststellt, dass Datensicherheit und Datenschutz im Zusammenhang zu sehen sind, da es ohne Datensicherheit auch keinen Datenschutz geben kann.
Hierzulande erlangte das CSL Bekanntheit vor allem aufgrund seiner Möglichkeiten zur Regulierung von VPNs, der Produktzulassung und Datenlokalisierung. Die politischen Hauptziele des Gesetzes sind:
- Sicherstellen der Netzwerksicherheit (= IT-Sicherheit)
- Aufrechterhaltung der chinesischen Souveränität im Cyberspace
- Schutz der nationalen Sicherheit und des öffentlichen Interesses Chinas
- Schutz der Rechte und Interessen von Bürgern, Rechtspersonen und sonstigen Einrichtungen
- Förderung der wirtschaftlichen und sozialen Entwicklung der chinesischen Gesellschaft
Anwendbar ist das CSL auf alle sogenannten Netzwerkbetreiber – im weitesten Sinne definiert als Eigentümer, Betreiber und Verwalter eines angeschlossenen Informationssystems sowie als Anbieter von Netzdiensten. Das CSL gilt damit auch für alle Organisationen, die Dienste über ein Netz (einschließlich des Internets) anbieten. Im Ergebnis hat diese umfassende Definition zur Folge, dass das Gesetz grundsätzlich für alle Unternehmen gilt, die eine chinesische Website betreiben, über chinesische Netze Geschäfte abwickeln oder Onlinedienste für Kunden in China anbieten.
Multi-Level Protection System (MLPS)
Ein wesentlicher Bestandteil des CSL ist die Einrichtung des sogenannten Multi-Level Protection System (MLPS). Danach müssen Netzbetreiber die nachfolgend aufgeführten Aufgaben erfüllen, um sicherzustellen, dass das Netz frei von Störungen, Schäden oder unbefugtem Zugriff ist, und um Data Breaches, Datendiebstahl oder Datenfälschungen im Netz zu verhindern:
- Erarbeitung eines internen Sicherheitsmanagementsystems und von Betriebsvorschriften, Bestimmung einer für die Cybersicherheit verantwortlichen Person und Umsetzung der Verantwortung für den Schutz der Cybersicherheit
- Ergreifen technischer Maßnahmen zur Abwehr von Computerviren, Cyberangriffen, Eindringen in das Netzwerk und anderen Handlungen, welche die Cybersicherheit gefährden
- Ergreifen technischer Maßnahmen zur Überwachung und Aufzeichnung des Betriebsstatus des Netzwerks und von Vorfällen im Bereich der Cybersicherheit sowie Einhaltung der Bestimmungen zur Aufbewahrung von Netzwerkprotokollen für mindestens sechs Monate
- Ergreifen von Maßnahmen wie Datenklassifizierung, Sicherung wichtiger Daten sowie Verschlüsselung
- sonstige durch Gesetz oder Verwaltungsvorschriften festgelegte Verpflichtungen
Das MLPS wurde in den Jahren 2018 und 2019 weiterentwickelt und ist jetzt allgemein als MLPS 2.0 bekannt. Hiernach werden Unternehmensnetzwerke auf einer Skala aufsteigend von 1 bis 5 eingestuft. Kriterien für die Einstufung sind beispielsweise die Funktion des Netzwerks, die Art der verarbeiteten Daten und der potenzielle Schaden, der durch einen Sicherheitsvorfall entstehen könnte, sowie besonders auch die Auswirkungen auf die nationale Sicherheit und nationale wirtschaftliche Interessen.
An die jeweilige Einstufung sind unterschiedliche technisch-organisatorische Voraussetzungen geknüpft: So müssen Unternehmen, die nach einer Selbstbewertung der Stufe 2 oder höher unterfallen, dem chinesischen „Ministerium für Öffentliche Sicherheit“ (MPS) gemeldet sein und für die Einhaltung von MLPS 2.0 zertifiziert werden. Netzwerke auf Stufe 3 oder höher sind von einer qualifizierten Cybersicherheitseinrichtung zu zertifizieren und unterliegen zusätzlichen Sicherheitsverpflichtungen sowie der Überwachung durch das MPS und anderen Verwaltungsbehörden, einschließlich einer jährlichen Prüfung.
Zu den zusätzlichen Verpflichtungen gehört die Vorgabe, proaktive Maßnahmen zur Überwachung und Erkennung von Cyber-Bedrohungen zu ergreifen, eine spezielle Plattform für das Management des Cybersicherheitsschutzes sowie einen Plan für die Reaktion auf Vorfälle zu entwickeln, Vorfälle dem MPS zu melden und regelmäßig Übungen zur Reaktion auf Cybersicherheitsnotfälle durchzuführen.
Das National Information Security Standardisation Technical Committee of China hat im April 2020 einen Leitfaden für die Einstufung von MLPS veröffentlicht (TC260). Der rechtliche und technische Rahmen des MLPS 2.0 wird proaktiv durch die Kooperation verschiedener chinesischer Behörden durchgesetzt, hierzu können neben Verwaltungsbehörden und Regulierungsstellen auch die lokalen Polizeibehörden gehören.
Wichtige Daten
Das CSL enthält zahlreiche Definitionen zur Datenverarbeitung und bestimmt datenschutzrechtliche Verarbeitungsprinzipien, die mit denen der DSGVO vergleichbar sind. Dies betrifft auch die Datenverarbeitung mittels einer Einwilligung als Rechtsgrundlage und entsprechende Ausnahmen für Fälle, in denen keine Einwilligung notwendig ist – diese sind in der sogenannten Personal Information Specification gelistet und betreffen beispielsweise eine Datenverarbeitung zu Zwecken der nationalen Sicherheit oder des öffentlichen Wohls.
Unter den im CSL verwendeten Begriffen ist zudem derjenige des „wichtigen Datums“ besonders hervorzuheben: Hierunter sind generell Daten zu verstehen, die sich, wenn sie offengelegt werden, direkt auf die nationale und wirtschaftliche Sicherheit, soziale Stabilität und öffentliche Gesundheit und Sicherheit auswirken können – zum Beispiel unveröffentlichte Regierungsinformationen, Daten von großflächigen Bevölkerungsteilen, genetische Daten, geografische Daten oder Daten über Rohstoffressourcen.
Das CSL selbst enthält jedoch keine Definition für ein wichtiges Datum, was die rechtssichere Begriffsbestimmung erschwert. Keinesfalls müssen wichtige Daten aber zwingend ein Staatsgeheimnis darstellen, sondern können zum Beispiel auch statistische und aggregierte Datensätze mit Wirtschaftsinformationen umfassen. Zu den wichtigen Daten gehören in der Regel ebenfalls keine Informationen über die Produktion und den Betrieb von Unternehmen, interne Managementinformationen und grundsätzlich auch keine personenbezogenen Daten. Jedoch wird festgestellt, dass persönliche Informationen von mehr als 100.000 Betroffenen wiederum doch wichtige Daten sind.
Somit ist nach wie vor keine zweifelsfreie und rechtssichere Begriffsbestimmung des „wichtigen Datums“ möglich, auch wenn Art. 21 DSL festschreibt, dass die chinesische Zentralregierung ein hierarchisches Datenklassifizierungssystem entwickeln wird, aus dem sich eine konkretere Zuordnung ergeben könnte. Man muss aber wohl davon ausgehen, dass zumindest Organisationen und Einrichtungen, die (auch) in Bereichen der nationalen Sicherheit, Wirtschaftsentwicklung und der Wahrnehmung öffentlicher Interessen arbeiten, mit der Verarbeitung von wichtigen Daten konfrontiert werden und daher besondere Sicherheitsmaßnahmen zu ergreifen haben. Hierzu gehört beispielsweise die Pflicht, einen für die Datensicherheit Verantwortlichen zu benennen, regelmäßige Risikobewertungen durchzuführen und den Behörden entsprechende Berichte vorzulegen.
CIIO und Datenlokalisierung
Sowohl im CSL als auch im DSL findet sich überdies die Anforderung an Critical Information Infrastructure Operators (CIIO), wichtige Daten und personenbezogene Informationen grundsätzlich lokal in der Volksrepublik China zu speichern (sogenannte Datenlokalisierung). Zu den CIIO gehören Infrastrukturen, welche im Falle einer Beschädigung, eines Funktionsausfalls oder eines Datenlecks die nationale Sicherheit, das nationale Wohlergehen oder den Lebensunterhalt der Bevölkerung oder das öffentliche Interesse ernsthaft gefährden.
Die Übermittlung entsprechender Daten ins Ausland unterliegt einer Risikobewertung und behördlichen Genehmigungspflicht. Übergeordnet zuständig sind in diesem Zusammenhang das MPS, die Cyberspace Administration of China (CAC) und das Ministry of State Security (MSS).
Fazit und Ausblick
Die neuen chinesischen Gesetze zur Datensouveränität betreffen nicht nur die IT-Abteilungen in Unternehmen, sondern ebenso zahlreiche weitere Bereiche wie Entwicklung, Human Resources, Compliance und Recht sowie Vertrieb und Außendienst. Obwohl die chinesischen Gesetze ein komplexes Regelwerk darstellen, sind die in Unternehmen umzusetzenden Vorgaben in Grundzügen durchaus mit denen des europäischen Rechts vergleichbar, in dem klare Mitarbeiterzuständigkeiten und Verantwortungsbereiche zu definieren sind und die Compliancekonformität der umgesetzten Maßnahmen fortwährend überprüft werden muss.
In technisch-organisatorischer Hinsicht ist regelmäßig Klarheit über Datenverarbeitungsvorgänge und Datenflüsse herzustellen – Mechanismen zur Risikobewertung sind zu implementieren und die Datensicherheit ist zu gewährleisten. Geschäftspartner und neue Mitarbeiter sind ebenfalls von Beginn an in die zusätzlichen Maßnahmen einzubinden. Mittelfristig sollten außerdem Ansprechpartner und Zuständigkeiten vor Ort für die IT-Compliance in China bestimmt werden, damit chinesische Behörden klare Kommunikationswege vorfinden. Im Zweifelsfall ist es nämlich die staatliche Stelle, die mit Blick auf die Umsetzung der Regularien den Kontakt zu den vor Ort ansässigen Unternehmen sucht.
Wichtig zu wissen ist ebenso, dass auch in China „nur mit Wasser gekocht“ wird: So hat sich in der Vergangenheit immer wieder gezeigt, dass sich die Umsetzung neuer Rechtsvorschriften regelmäßig verzögert und übermäßige Sorgen vor sofortigen Sanktionsmaßnahmen chinesischer Behörden bei Nichtkonformität vielfach unbegründet waren. Zurzeit liegt der Fokus behördlicher Aktivitäten in China vor allem auf heimischen Tech-Firmen – und nach wie vor ist die chinesische Wirtschaft auf ausländische Innovation und Investition angewiesen.
Dennoch sollte man das Thema chinesische Compliancekonformität nicht auf die lange Bank schieben, da es sehr wahrscheinlich ist, dass sich das regulatorische Framework zur Datensouveränität weiter ausweiten und verkomplizieren wird. Schon jetzt adressiert es bereichsübergreifend IT-Sicherheit, Datensicherheit, Datenschutz und Technologiesouveränität unter dem Dach nationalstaatlicher Interessen.
Auch jenseits chinesischer Regulierungsinteressen ist es überdies sinnvoll, dass sich Unternehmen einen Überblick über die transnationalen Datenflüsse und Serverstandorte verschaffen, da davon auszugehen ist, dass in naher Zukunft weitere Staaten weltweit mit ähnlichen Regelungen aufwarten werden.
Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für ITSicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Geschäftsführer der Certavo-Beratungsgesellschaft in Bremen (https://denniskenjikipker.de/).
Literatur
[1] Matthias Fischer, Dennis-Kenji Kipker, Friederike Voskamp, Chinesisches Cyber-Sicherheitsrecht, in: Kipker (Hrsg.), Rechtshandbuch Cybersecurity, S. 527 ff., C.H.Beck, April 2020, ISBN 978-3-406-73011-5
[2] Jihong Chen, Lu Han, Dennis-Kenji Kipker, An Introduction into the New Chinese Data Protection Legal Framework, Datenschutz und Datensicherheit (DuD) 1/2020 (44), S. 52
[3] Jihong Chen, Regulation and deregulation: understanding the evolution of the Chinese cryptography legal regime from the newly released Cryptography Law of China, International Cybersecurity Law Review (ICLR) 1-2/2020 (1), S. 73
[4] Jihong Chen, Jiawei Wu, Yang Liu, Commentary on newly released measures for cyber security review of China, International Cybersecurity Law Review (ICLR) 1-2/2020 (1), S. 87
[5] Yanqing Hong, The institutional logic of security assessment of cross-border data transfers in China: context and progress, International Cybersecurity Law Review (ICLR) 1-2/2020 (1), S. 93
[6] Lei Wang, Global network security governance trend and China‘s practice, International Cybersecurity Law Review (ICLR) 1/2021 (2), S. 93
[7] Jiabin Sun, Understanding the Chinese Data Security Law, International Cybersecurity Law Review (ICLR) 2/2021 (2), erscheint nach Redaktionsschluss dieser <kes>, online verfügbar über https://link.springer.com/article/10.1365/s43439-021-00038-3