Chinesisches Cybersicherheitsgesetz: was Sie auf der digitalen Seidenstraße beachten müssen

05 August, 2020

Von Jörg Asma. Staatliche Rahmenbedingungen können helfen, dass Unternehmen ihre Daten besser schützen. In der EU hat der Gesetzgeber diesen Rahmen mit der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) und der Datenschutz-Grundverordnung (DSGVO) festgelegt. Das chinesische Pendant – das Chinese Cyber Security Law (CSL) – dient zwar ebenfalls dazu, die Internetsicherheit zu gewährleisten

und die Rechte Einzelner zu schützen, aber es bietet den Behörden der Volksrepublik auch weitreichende Rechte, den Datenverkehr mitzulesen und zu speichern. Unternehmen, die mit chinesischen Unternehmen Geschäfte machen oder im Reich der Mitte sogar Standorte betreiben, sollten sich damit unbedingt vertraut machen. Andernfalls drohen Strafen bis hin zum Geschäftsverbot.

Anfang 2018 bat eine US-amerikanische Hotelkette einige seiner chinesischen Gäste per Mail, den Service des Hauses in einem Onlineformular zu bewerten. Eigentlich ein Standardvorgang, wie er in der Hotellerie weltweit üblich ist. Allerdings hatte das Unternehmen dabei nicht nur gegen das Advertising Law, sondern auch gegen Artikel 12 des CSL verstoßen. Die Folge: Die Behörden schalteten die chinesische Website sowie die Buchungs-Apps der Hotelkette für eine Woche ab. Grund für die Strafe war, dass das Unternehmen die Gäste im Formular auch um die Angabe ihres Herkunftslandes bat und dabei von China beanspruchte Regionen wie Tibet oder Taiwan als separate Länder auswies.

Hohe Strafen für Unternehmen und Manager

Mit dem Strafmaß kam die Hotelkette noch vergleichsweise glimpflich davon. Denn für Verstöße gegen das CSL drohen Strafen bis hin zum Verlust der Geschäftslizenz. Zudem beeinflusst ein Gesetzesverstoß auch den Social Score des verantwortlichen Managers, was in der Volksrepublik zu massiven Einschränkungen im täglichen Leben sowie zu weiteren Strafen führen kann. Grund genug, sich das CSL einmal genauer anzusehen:

Das CSL ist bereits seit Juni 2017 in Kraft. Ziel des Gesetzes ist es, die Souveränität, die nationale Sicherheit und das Interesse der Öffentlichkeit und der Bürger zu schützen. Es regelt unter anderem den Schutz von Daten beim Transfer nach China und von China ins Ausland. Damit sind generell alle ausländischen Unternehmen mit Standorten in China und Unternehmen, die in irgendeiner Form mit chinesischen Unternehmen Geschäfte machen, von der Gesetzgebung betroffen. Für Betreiber von Netzwerken und kritischer Infrastruktur gelten ähnlich wie in Deutschland verschärfte Regeln.

Umfassende Speicherung von Daten

Westliche Unternehmen sollten sich vor allem Artikel 37 des CSL näher ansehen. Dieser räumt der chinesischen Regierung das Recht ein, sämtliche personenbezogenen Daten und vertrauliche Informationen, die nach China versendet wurden oder in China entstanden sind, zu sichten und zu speichern. Das ist vor allem deshalb kritisch zu sehen, weil China die Nutzung virtueller privater Netzwerke (VPNs) im Vergleich zur EU stark reglementiert. Unternehmen fehlt damit ein verschlüsselter Kommunikationskanal für den sicheren Austausch von Daten.

Auch für den Datentransfer von China ins Ausland gelten strenge Regeln: So müssen Unternehmen vor dem Transfer eine Genehmigung von der chinesischen Cyberspace Administration (CCA) einholen. Werden Daten regelmäßig zum selben Empfänger übermittelt, muss dies der CCA nicht fortlaufend zur Prüfung vorgelegt werden. Allerdings müssen Unternehmen Datentransfers, die von China ins Ausland gehen, regelmäßig dokumentieren und jährlich an die CCA melden. Die Daten sind mitsamt der Transferdokumentation für mindestens fünf Jahre vorzuhalten. Bei umfangreichen Datentransfers müssen Unternehmen der Behörde regelmäßig Meldung erstatten.  Wer dagegen verstößt, riskiert, dass die CCA künftige Transfers einschränkt oder vollständig untersagt.

Daten sichern und Compliance-Vorgaben erfüllen

Für Unternehmen stellt sich deshalb die Frage, wie sie Datentransfers von und nach China bestmöglich absichern und gleichzeitig die Compliance-Anforderungen der chinesischen Regierung erfüllen können. Hier empfiehlt es sich, die Daten vor dem Versand im ersten Schritt zu identifizieren und zu klassifizieren. Vertrauliche Daten sollten zudem vor der Übertragung verschlüsselt werden. Das kann händisch erfolgen, ist aber wenig effizient.

Wer regelmäßig Geschäfte mit Unternehmen im Reich der Mitte macht, sollte in den Aufbau eines dezentralen Compliance-Management-Systems (CMS) investieren. Dieses hilft Unternehmen dabei, sich gesetzeskonform zu verhalten und differenzieren zu können, welche Daten nach China versendet werden können. In Verbindung mit künstlicher Intelligenz (KI), Machine Learning und Kryptografie lässt sich hier ein hohes Maß an Automatisierung erreichen. PwC bietet hier zusammen mit Micro Focus eine Lösung an, die sich nahtlos in die bestehende Systemlandschaft integrieren lässt.

Fazit

Das Chinese Cybersecurity Law bietet für Unternehmen, die Geschäftsbeziehungen mit chinesischen Unternehmen pflegen, einige Fallstricke. Unternehmen müssen abwägen, welche Daten sie nach China senden und dabei standardmäßig auf Verschlüsselung setzen. Ein CMS in Verbindung mit KI hilft Unternehmen dabei, die Compliance-Vorgaben zu erfüllen und gleichzeitig die Sicherheit und Vertraulichkeit der Daten zu gewährleisten.

IT Security & Data Protection News

Dieser Artikel ist Teil des quartalsweise erscheinenden Newsletters IT Security & Data Protection. Die IT Security & Data Protection News informieren regelmäßig über aktuelle Änderungen und Entwicklungen im Bereich IT-Sicherheit und Datenschutz.

Weitere Inhalte und Artikel

Contact us

Jörg Asma

Jörg Asma

Partner Cyber Security, PwC Germany

Tel.: +49 221 2084-103

Follow us