MERICS Press releases, China Flash header

 

Strengere Auflagen für Firmen, größere Vollmachten für den Staat

Ungeachtet massiver Kritik aus dem Ausland hat China sein umstrittenes Cybersicherheitsgesetz verabschiedet, dass im Juni 2017 in Kraft treten soll. Nach dem, was aus der dritten Lesung des Gesetzes bekannt wurde, gibt es der Regierung weitreichende Befugnisse beim Schutz und der Kontrolle von Daten zur so genannten kritischen Infrastruktur. Vage Definitionen lassen weite Auslegungsspielräume zu. Ausländische Firmen bemängeln, dass sie möglicherweise Quellcodes offenlegen müssen und verpflichtet werden können, bestimmte Daten innerhalb Chinas zu speichern. Sie fürchten dadurch mehr Industriespionage und den Diebstahl geistigen Eigentums.   


Fragen an Dr. Nabil Alsabah, Wissenschaftlicher Mitarbeiter des MERICS: 

Worum geht es im Cybersicherheitsgesetz?

Das Cybersicherheitsgesetz gehört zu einer Reihe von Gesetzen, mit denen die Regierung in den letzten zwei Jahren Sicherheitsbestimmungen, aber auch Zensur und Kontrolle verschärft hat. In dem Gesetz geht es neben Datensicherheit und Netzwerkschutz um die „Wahrung der politischen Stabilität“ sowie um den Schutz von kritischer Infrastruktur – etwa Energie und IT – vor Hackerangriffen und Cybersabotage. So gewährt das Gesetz der Regierung beispielsweise das Recht, das Internet in Krisenzeiten abzuschalten – wie etwa 2009 nach den schweren Unruhen in der Provinz Xinjiang schon einmal geschehen.

Bereits 2015 hatte der Staat mit dem Anti-Terror-Gesetz Unternehmen dazu verpflichtet, den Behörden Zugriff auf die Daten von Terrorverdächtigen zu gestatten. Mit dem ebenfalls im letzten Jahr verabschiedeten Nationalen Sicherheitsgesetz verankerte China das  Prinzip der „Cyber-Souveränität“, also das Recht Chinas, „sein“ Internet nach eigenem Gutdünken zu regulieren. Das jetzt verabschiedete Cybersicherheitsgesetz muss in diesem Kontext gesehen werden.

Was bedeutet das Cybersicherheitsgesetz für ausländische Unternehmen?

Das Gesetz betrifft ausländische Unternehmen, die Hard- und Software-Lösungen an die Betreiber kritischer Infrastruktur verkaufen. Die Betreiber dürfen künftig nur IT-Produkte kaufen,  die eine staatliche Sicherheitsüberprüfung bestanden haben. Es ist unklar, ob ausländische Unternehmen im Rahmen dieser Prüfung die Quellcodes ihrer Produkte offenlegen müssen.

Das neue Gesetz klassifiziert folgende Infrastrukturbereiche als kritisch: Kommunikationswesen, Energie, Transport, Wasserversorgung, Finanzwesen, öffentliche Versorgungsanlagen und E-Government-Dienstleistungen. Darüber werden nicht genauer definierte Bereiche genannt, die Auswirkungen auf die „nationale Sicherheit“, „das Wohlergehen der Bürger“ oder das „öffentliche Interesse“ haben. Diese vagen Formulierungen erlauben den Behörden einen großen Interpretationsspielraum.

Problematisch ist außerdem, dass die Daten, die von Betreibern kritischer Infrastruktur gesammelt werden – etwa über die Nutzer – künftig innerhalb Chinas Grenzen gespeichert werden müssen. Ausländische Unternehmen befürchten, dass die Gefahr der Industriespionage und des Diebstahls des geistigen Eigentums wächst, wenn ihre Daten auf chinesischen Servern liegen.

Ausländische Unternehmen und Verbände haben seit Monaten Kritik an dem Gesetzentwurf geübt. Wurden ihre Bedenken berücksichtigt?

Bei den größten Bedenken ausländischer Unternehmen, der lokalen Datenspeicherung und der Sicherheitsüberprüfung, hat sich der Gesetzgeber auf keine Kompromisse eingelassen. Unternehmen können aber laut Gesetz in „gut begründeten Ausnahmefällen“ von der lokalen Datenspeicherungspflicht befreit werden. Was das konkret heißt, wird sich erst noch zeigen müssen. Die Erfahrungen deutscher Unternehmen in China deuten darauf hin, dass die Erfolgsaussichten für solche Ausnahmegenehmigungen größer sind, wenn ausländische und chinesische Unternehmen gemeinsam an den Staat herantreten.

Stärke zeigen kann sich ebenfalls lohnen. So hat Apple nach eigenen Angaben die Aufforderung der chinesischen Regierung abgelehnt, Quellcodes seiner Software-Produkte offenzulegen – bis jetzt ohne negative Auswirkungen auf das Unternehmen.

Kurzfristig wurden in die dritte Lesung des Gesetzes Maßnahmen gegen ausländische Hacker aufgenommen. Warum?

Das Gesetz war in früheren Entwürfen auf Netzwerkschutz ausgelegt. Mit den Strafmaßnahmen für ausländische Organisationen bzw. Personen thematisiert es nun auch Hacker-Angriffe auf Chinas kritische Infrastruktur.  Dies könnte als Seitenhieb auf die USA interpretiert werden, die ihrerseits China immer wieder für Hackangriffe in Amerika verantwortlich machen. Beijing betont regelmäßig, dass China auch Opfer von Cyberangriffen sei. Als mögliche Strafen erwähnt das Gesetz das Einfrieren von Vermögen. Unklar ist aber, wie solche Strafen gegen Personen im Ausland durchgesetzt werden sollen. Generell bleibt es im Ermessen des Ministeriums für Öffentliche Sicherheit konkrete Strafen zu verhängen.

Wie unterscheidet sich Chinas Cybersicherheitsgesetz von ähnlichen Gesetzen anderer Länder?

Länder setzen unterschiedliche Schwerpunkte in ihrer Cyberpolitik: Die EU stellt den Datenschutz der Nutzer in den Mittelpunkt. China ist bestrebt, Gefahren für die politische Stabilität abzuwenden. In den USA ist ein möglicher Cyberkrieg Dreh- und Angelpunkt der Debatte.

Weltweit haben die Enthüllungen von Edward Snowden die Gefahren staatlich gelenkter Cyber-Spionage und -Sabotage auf die Agenda gehoben. Seitdem wird in vielen Ländern die lokale Speicherung von Daten debattiert und z.T. gesetzlich verordnet. Russlands „Föderales Gesetz Nr. 242-FZ“ schreibt seit September 2015 die lokale Speicherung aller Daten russischer Staatsbürger vor. Laut Indiens „National Data Sharing and Accessibility Policy“ müssen dort alle öffentlich finanzierten Datenbanken ihre Daten in Indien speichern. Die USA beschränken die Pflicht zur Datenlokalisierung auf Pentagon-nahe Cloud-Einrichtungen. In der EU wird über die lokale Speicherung von Daten und entsprechende gesetzliche Regelungen diskutiert.

Die nun in China beschlossene Pflicht zur lokalen Datenspeicherung ist zunächst auf kritische Infrastruktur beschränkt. Das Gesetz geht damit über die Regelung in Indien hinaus, ist aber weniger umfassend als die russischen Vorschriften. Problematisch bleiben gleichwohl die vagen Definitionen und unklaren Anforderungen an ausländische Unternehmen.

 

Sie können dieses Interview oder Auszüge gern unter Angabe der Quelle übernehmen. Bei Interviewanfragen wenden Sie sich bitte an: kommunikation@merics.de