Das neue Internetsicherheitsgesetz tritt ab morgen in Kraft. Seine Bedeutung hat sich mittlerweile herumgesprochen, besonders seit den neuesten Bestimmungen vom April.
Am 11. April 2017 wurde der Entwurf neuer Begleitbestimmungen veröffentlicht, die den Datentransfer ins Ausland betreffen (个人信息和重要数据出境安全评估办法). Sie sind einschlägig für persönliche und wichtige Daten. Solche müssen fortan grundsätzlich in China gespeichert werden. In Ausnahmefällen können sie auch ins Ausland übertragen werden, betroffene Netzwerkbetreiber müssten sich aber in dem Fall vorher einer Sicherheitsüberprüfung unterziehen. Dieses Prinzip ist bereits im Internetsicherheitsgesetz verankert, galt allerdings nur für den Betrieb kritischer Intrastrukturnetzwerke. Die genannten Bestimmungen betreffen auch einfache Netzwerkbetreiber und stellen insofern eine erhebliche Verschärfung dar.
Auch hier ist noch unklar, worin genau solche Sicherheitsüberprüfungen bestehen, und was alles unter die Begriffe persönliche und wichtige Daten fällt. Immerhin die Definition persönlicher Daten erscheint bereits recht konkret. Gemeint sind nur solche elektronisch oder anderweitig aufgezeichneten Informationen, die zur Identifizierung einer natürlichen Person führen können. Als Beispiele für Identitätszuordnungen sind Name, Geburtsdatum, Personalausweisnummer, Adresse und Telefonnummer genannt. Der Begriff der wichtigen Daten erfordert einen engen Zusammenhang mit nationaler Sicherheit, wirtschaftlicher Entwicklung und öffentlichen Interessen. Zu dieser reichlich offenen Definition werden demnächst Richtlinien erwartet, die das Feld eingrenzen.
Die vorgeschriebenen Sicherheitsüberprüfungen sollen vor der Datenübertragung und entweder vom Betreiber selbst, oder von den zuständigen Behörden durchgeführt werden. In jedem Fall wird die Zustimmung der betroffenen Nutzer zur Datenübertragung verlangt, diese sind außerdem über Grund und Umfang zu informieren. Grundsätzlich wird jeder Netzwerkbetreiber für die Durchführung und das Ergebnis von Evaluierungen verantwortlich gemacht. Externe Überprüfungen sind etwa bei mehr als 500.000 betroffenen Individuen und einem Gesamtdatenvolumen von 1.000 GB durchzuführen. Die Hürden hierfür erscheinen damit nicht besonders hoch.
Angesichts dieser neuen Ausgangslage mag man stattdessen ernsthaft über ein Datenzentrum in China nachdenken. Entweder selbst betrieben, oder von einem beauftragten Dienstleister. Aber auch hier stecken die Tücken im Detail. Möchte man etwa Cloud-Dienste anbieten, darf man das nicht alleine und nicht mit Mehrheitsbeteiligung tun. In diesem Bereich unterliegt der Datenverkehr mit dem Ausland besonders strengen Kontrollen und Auflagen. Mangels genauerer Festlegung ist aber vor allem bislang nicht recht abzusehen, wie weit die behördlichen Einsichts- und Überprüfungsbefugnisse reichen werden.
Das neue Gesetz und die relevanten Begleitbestimmungen zielen neben Datenschutz sicherlich nicht zuletzt auf die Kontrolle von Datenströmen ab. Die damit möglicherweise verbundene Gefahr der Preisgabe geschäftsrelevanter IP stellt dagegen eher einen Nebeneffekt dar. Compliance und gesunder Menschenverstand sollten in dieser Hinsicht trotzdem nicht vernachlässigt werden.
