China: Neues Cybersecurity-Gesetz

PrintMailRate-it

​veröffentlicht am 18. Juli 2017
von Dr. Alexander Theusner, LL.M. und Dr. Martin Seybold

 

Am 1. Juli 2017 ist in der VR China ein neues Gesetz über die Sicherheit von Netzwerken und Daten, das Cybersecurity Law, in Kraft getreten. Dieses Gesetz bringt zahlreiche Änderungen mit sich und wird unter ausländischen Marktteilnehmern kontrovers diskutiert. Im Zentrum steht vor allem die Frage, ob und inwieweit ausländische Unternehmen zur Speicherung von Daten in China verpflichtet werden.

 

  

Das Ziel des Gesetzes ist zunächst die Gewährleistung der Netzwerksicherheit sowie eine Stärkung des Datenschutzes. Es hat einen – im internationalen Vergleich – weiten Anwendungsbereich und gilt für Netzwerkbetreiber, die Betreiber von kritischer Informationsinfrastruktur (KII) sowie für weitere bestimmte Personen und Organisationen. Das Gesetz ist zum Teil sehr vage formuliert und lässt erheblichen Spielraum für Interpretationen zu.

 

Von großer Bedeutung für ausländische Investoren ist insbesondere die Regelung, wonach personenbezogene Daten und wichtige Daten, welche die Betreiber von KII in China gesammelt oder erzeugt haben, auf dem Gebiet der VR China gespeichert werden müssen. Diese Daten dürfen nur dann in das Ausland übermittelt werden, wenn sie vorher einer Sicherheitsprüfung gemäß den Vorschriften der nationalen Internetinformationsbehörde (Cyberspace Administration) und der zuständigen Abteilungen des Staatsrates unterzogen wurden. Diese Regelung betrifft gemäß dem neuen Gesetz nur die Betreiber von KII, nicht aber sonstige Netzwerkbetreiber. Unklar ist bislang, wer konkret als KII-Betreiber angesehen wird. Dies ist laut dem neuen Gesetz noch vom Staatsrat zu bestimmen. Ebenfalls nicht klar ist, welche Daten als sonstige „wichtige Daten” den neuen Vorschriften unterfallen.

 

Vor diesem Hintergrund hat die Cyberspace Administration, die für die Koordinierung und Kontrolle der netzwerkssicherheitsbezogenen Arbeiten zuständig ist, die „Bestimmungen über die Sicherheitsprüfung bei der Übermittlung von personenbezogenen Daten und wichtigen Daten ins Ausland” entworfen und die Öffentlichkeit zur Stellungnahme aufgerufen. Diese Bestimmungen erweitern die Pflicht zur Speicherung in China auch auf solche Unternehmen, die selbst keine Betreiber von KII sind. Die Netzwerkbetreiber müssen gemäß dem Entwurf selbst eine Sicherheitsprüfung durchführen, bevor sie die in China gesammelten Daten ins Ausland senden. Betreiber von KII sollen dagegen bei der zuständigen Behörde einen Antrag auf Sicherheitsprüfung stellen. Es bleibt abzuwarten, wie die Bestimmungen konkret erlassen werden.

 

Darüber hinaus formuliert das neue Gesetz zahlreiche technische Anforderungen an die IT-Infrastruktur und deren Verwaltung, Pflichten für die Überwachung von Inhalten und Zugangsrechte für Chinesische Behörden.

 

Ausländisch investierte Unternehmen in China, die regelmäßig auf grenzüberschreitenden Datenverkehr angewiesen sind, stellt das Cybersecurity-Gesetz vor neue Herausforderungen in Bezug auf die IT-Architektur und Compliance. Auch wenn vieles noch unklar ist, muss schon jetzt eine Prüfung der Vereinbarkeit der vorhandenen IT mit den neuen Regelungen in Angriff genommen werden.

Deutschland Weltweit Search Menu