Schlagwort-Archiv: Daten

Bildquelle: Www.mdgadvertising.com
Bildquelle: Www.mdgadvertising.com

It’s the e…commerce, stupid! Teil 1

Innerhalb kurzer Zeit hat sich China von der Werkbank der Welt zum größten Markt der Welt entwickelt, zumindest für E-Commerce. Heerscharen von Verbrauchern, die ausländische Qualitätsprodukte zu schätzen wissen! Solche am Ende an Frau und Mann zu bringen ist allerdings weder ganz einfach noch ganz billig.

Die Welt wird zunehmend digital, auch im grenzüberschreitende Handel ist das zunehmend sichtbar. Die EU hat bereits im Jahr 2000 mit einer entsprechenden Richtlinie begonnen, E-Commerce zu regulieren. In China hängt derzeit der zweite Entwurf für ein neues E-Commerce-Gesetz in der legislativen Warteschleife. Der dritte und letzte Entwurf wird im Laufe des Jahres erwartet, die neuen Regeln könnten 2019 in Kraft treten. Darum soll es hier eigentlich nicht gehen, trotzdem zunächst ein Überblick über die angedachten Regelungen:

Das Onlinehandelsgesetz / E-Commerce-Gesetz

Das Gesetz soll für jegliche „Betreiber“ von E-Commerce gelten, also auch für private Anbieter von Webshops. Solche Betreiber müssen sich in Zukunft bei den zuständigen Verwaltungsbehörden (工商行政管理局) registrieren und regulär Steuern abführen. Behandelt werden ansonsten irreführende Werbung, der Schutz geistigen Eigentums sowie Mechanismen dazu, die Übernahme von Transportrisiken, Sanktionen und Streitbeilegung. Verbraucher- und IP-Schutz nehmen also eine wichtige Rolle ein, das gilt auch für den Schutz persönlicher Daten. Insoweit ist ein Verweis auf das Internetsicherheitsgesetz vorgesehen. Dieser Verweis bedeutet aber auch, dass Betreiber persönliche und andere Daten grundsätzlich in China speichern müssen, mit allen damit möglicherweise verbundenen Risiken. Nun aber zum eigentlichen Thema, nämlich wie funktioniert das ganze überhaupt-

Der grenzüberschreitende Onlinehandel / CBEC

China ist viel mehr als wir eine digitale Gesellschaft. Es gibt fast nichts, was sich nicht übers Smartphone erledigen ließe. Während früher die Straßenmärkte das Bild bestimmt haben, werden jetzt sogar frische Lebensmittel übers Internet gekauft und innerhalb von Stunden geliefert. Wie mehrfach berichtet erfährt auch der Import ausländischer Güter dadurch eine neue Dimension. Mit Blick auf die Chancen dieses weltweit größten Marktes wird allerdings gerne übersehen, dass er extrem gesättigt und wettbewerbsorientiert ist. Insofern stimmt zwar immer noch, dass ein Markteinstieg im Konsumgüterbereich ohne die dort ansonsten notwendige eigene Niederlassung und/oder gar Vertriebsnetzwerke relativ risikoarm und weniger aufwendig ist.

Erfolg indes stellt sich in der Regel nur mit professioneller Hilfe, einer sorgfältig ausgearbeiteten Strategie und meist nicht ganz unbeträchtlichen Investitionen ein. Dafür gibt es einige Gründe. Ein Beispiel: Anders als hierzulande stellen Suchmaschinen nicht die Knotenpunkte elektronischer Kommunikation dar. Stattdessen sind persönliche gehaltene Empfehlungen – vor allem über Wechat und gerne unterstützt von bekannten Persönlichkeiten – ein wichtiger Einstieg in den Onlineverkauf. Das will organisiert, bezahlt und gepflegt werden. Auch steuern chinesische Konsumenten die bekannten Verkaufsplattformen, Online-Malls und Hypermärkte direkt an und starten dort ihre Suche. Ein Auftritt dort hat seinen Preis. Welcher Kanal nun in welcher Phase zu welchem Produkt passt, und wie genau die jeweiligen Kanäle bespielt werden sollen, bedarf intensiver Überlegung. Hier ist professionelle Beratung unerlässlich.

Im nächsten Teil mehr zu Eintrittsstrategien und Verkaufskanälen.

Bildquelle: Www.xue.sem123.com

Sicherheit und Kontrolle im Netz – Betroffene (III)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Der Umgang mit persönlichen Daten spielt dabei eine große Rolle.

Der Schutz persönlicher Daten ist ein relativ neues Konzept im chinesischen Recht. Seit einigen Jahren gibt es jedoch durchaus Ansätze zum Thema, die zuletzt 2013 mit den Regeln zum Schutz von persönlichen Informationen von Internet- und Telekommunikationsnutzern (电信和互联网用户个人信息保护规定) einen recht umfassenden Abschluss fand. Dennoch handelt es sich bislang um untergesetzliche bereichsbezogene Einzelregulierung, die lokale Unterschiede aufweist (vgl. die entsprechende Gesetzgebung für Jiangsu, Shanghai und Henan). Die im Rang höchste Norm ist die Entscheidung von 2012 zur Stärkung des Schutzes von Internetinformationen (全国人大常委会关于加强网络信息保护的决定). In ihr ist allerdings auch festgelegt, dass Nutzer von Onlinediensten ihre wahre Identität offenlegen müssen. Das neue Internetsicherheitsgesetz enthält diesen Aspekt in Artikel 24. Dieses bereits eingangs in Teil 1 beschriebene Prinzip ist den meisten Ländern im internationalen Vergleich fremd. Besonders in Deutschland wird auf die Anonymität bei der Internetnutzung Wert gelegt. Das EU-Mitglied Irland indes hält es wie China, was nicht zuletzt mit dem EU-Hauptsitz von Facebook zu tun haben dürfte.

Das Internetsicherheitsgesetz weicht auch ansonsten nicht von den bereits vorhandenen Regelungen ab, führt aber einige neue Elemente ein, wie etwa die Löschung oder Veränderung persönlicher Daten. Der Begriff der persönlichen Daten ist in Art. 76 Abs. 5 definiert. Er ist insofern enger als der ebenfalls neu eingeführte Begriff der Nutzerdaten, als persönliche Daten immer zwingend mit der Identität einer Person verbunden sein müssen. Daten ohne eine solche Verbindung werden wohlgemerkt nicht als persönliche Daten eingestuft.

Wie in Teil 2 zum Thema kritische Infrastrukturen beschrieben, können die Regelungen insbesondere des 2. Abschnitts des Gesetzes dazu führen, dass Unternehmen, die unter diese Rubrik fallen, zur Bekanntgabe geschäftswichtiger Daten verpflichtet werden. In den Artikeln 30 und 45 ist daher ausdrücklich festgeschrieben, dass jegliche Informationen, die zuständige Abteilungen und Behörden in diesem Zusammenhang erhalten, nur zum Schutz der Netzsicherheit eingesetzt werden dürfen. Die Artikel 40 bis 44 enthalten ähnliche Missbrauchsvorschriften für Netzwerkbetreiber. Damit sollen natürlich nicht zuletzt die Bedenken ausländischer Unternehmen in China zerstreut werden, die ja ihre vor Ort generierten persönlichen und anderen wichtigen Daten grundsätzlich dort werden speichern müssen (vgl. Teil 2, Art. 37). Kann das überzeugen?

Das Prinzip der lokalen Speicherung von Daten, das im Zusammenhang mit Konzepten zum internationalem Datenverkehr als Festungsstrategie (fortress approach) bezeichnet wird, hat die VR China bereits in verschiedenen Einzelverordnungen festgelegt. Es ist also lediglich in seiner übergreifenden Anwendbarkeit neu, und wird durchaus auch von einigen anderen Staaten in dieser Form verfolgt. Nicht in der EU, die ein Weißbuch erarbeitet hat, das Länder mit vergleichbarem Datenschutzniveau aufführt, mit denen Daten problemlos ausgetauscht werden dürfen. Die VR China gehört bezeichnenderweise nicht dazu, was nun wieder zurückführt auf die oben aufgeworfene Frage, inwiefern die vorgesehenen Missbrauchsvorschriften (Art. 30, 40-45) zu überzeugen vermögen. Auch vor dem Hintergrund des staatlichen Kontrollbedürfnisses wird man das wohl verneinen müssen. Zumal zwar eine Haftung (Art. 73), nicht aber eine unabhängige Kontrolle der jeweils zuständigen staatlichen Stellen vorgesehen ist.

Die erwarteten Begleitverordnungen mögen über diese und andere offene Fragen Aufschluss geben. Insbesondere über die Definition „anderer wichtiger Daten“ und die Kriterien bei den vorgesehenen Sicherheitsüberprüfungen. Datenschutz wie in der EU, ausgestaltet als individuelles Schutzrecht, wird man trotzdem nicht erwarten können. Die Idee ist vielmehr, einen geordneten Markt herzustellen und Datenflüsse zu kontrollieren. Als Beispiel dient Artikel 24, der Netzwerkbetreiber dazu verpflichtet, die Identität seiner Nutzer zu überprüfen. Wie gesagt sind solche Pflichten bereits in zahlreichen gebietsbezogenen Einzelverordnungen enthalten. Sie betreffen Telekommunikation, Finanzen, wohnen, reisen, etc. Keineswegs überraschend in einem Polizeistaat, und auf chinesische Weise umfassend zu Ende gedacht (Big Brother lässt grüßen). Die positive Seite der Medaille besteht allerdings darin, dass man sich überall im Land einigermaßen sicher bewegen kann.

Im nächsten Teil mehr zu einzelnen Pflichten und Haftung.

Bildquelle: Www.finance.sina.com.cn

Sicherheit und Kontrolle im Netz – Verantwortliche (II)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Inhaltlich neu ist davon allerdings das wenigste.

Artikel 21 verpflichtet Netzwerkbetreiber dazu, ein mehrstufiges Sicherheitssystem einzurichten. Dabei geht es vor allem um technologische Maßnahmen zur Überwachung und Speicherung von Vorgängen und Daten, um Cyberangriffe zu verhindern. Daneben ist in Nr. 5 die Einhaltung weiterer gesetzlicher Vorgaben genannt. Dies erscheint reichlich vage, wie auch einige weitere Vorgaben nicht näher konkretisiert oder definiert sind. Auch mag man sich fragen, in welcher Rangfolge das Gesetz im Verhältnis zu den bereits bestehenden zahlreichen Regelungen steht. Hier mag es zur Beruhigung beitragen, dass sich durch das neue Gesetz keine erkennbaren Regelungswidersprüche ergeben. Es entspricht außerdem der nationalen Gesetzgebungstechnik, nach und nach bestehende Regelungen anzupassen und konkretisierende Begleitbestimmungen zu erlassen. Auf Netzwerkbetreiber und insbesondere die Betreiber kritischer Infrastrukturen kommen dennoch erhebliche Verpflichtungen zu.

Der Begriff des Netzwerkbetreibers (网络运营者) ist vergleichsweise weit gefasst. Artikel 76 Abs. 3 definiert solche als Eigentümer von Netzwerken, Manager von Netzwerken und Netzwerkdienstleister. Es handelt sich also nicht nur um klassische Telekommunikationsunternehmen, sondern es genügt bereits die Nutzung von nur zwei PCs. Sofern nämlich das Internet zur Sammlung, Speicherung und Verarbeitung von Daten benutzt wird, würden darunter auch zahlreiche weitere Branchen fallen, die dies im Zuge ihrer Dienstleistungserbringung üblicherweise tun. Neben IT-affinen Unternehmen denke man dabei etwa an so breit aufgestellte Bereiche wie die gesamte Finanzbranche. Und möglicherweise betreiben diese dann sogar sog. kritische Infrastrukturen.

Der Begriff der kritischen Infrastruktur findet sich auch im deutschen BSIG, dort definiert in Paragraph 2 Absatz 10. Im chinesischen Internetsicherheitsgesetz ist der Betriebssicherheit kritischer Infrastrukturen Abschnitt 2 gewidmet. Artikel 31 enthält eine vorläufige Definition, die vom Staatsrat genauer zu fassen sein wird. Grundsätzlich geht es um die nationale Versorgung, also etwa Wasserwerke, Energiebetreiber, Verkehr etc. Genauere Anhaltspunkte mag aber der bereits im Juni 2016 erlassene Leitfaden zur Untersuchung der Netzsicherheit (国家网络安全检查操作指南) bieten. Neben den klassischen Feldern wie der öffentlichen Versorgung sind darin zunächst alle Gefahren umfasst, die (negativen) Einfluss auf die Wirtschaft, Gesellschaft, Kultur, Umwelt etc. haben könnten. Genannt sind insbesondere Arten von Webseiten wie etwa Unternehmenswebseiten und Nachrichtenwebseiten, Arten von Plattformen wie etwa für Kurznachrichten und Shopping sowie bestimmte Industriesparten wie etwa bestimmte Bürosysteme oder Fernsehübertragungssysteme. Hier ist bereits zu erahnen, dass die Definition kritischer Infrastrukturen sehr weit gefasst sein wird und unter Umständen auch nur peripher betroffene Brachen betreffen wird.

Die Pflichten der Betreiber solch kritischer Infrastrukturnetzwerke gehen folgerichtig über die der einfachen Netzwerkbetreiber hinaus. Bemerkenswert ist, dass persönliche Daten und andere – nicht näher definierte – wichtige Informationen ausschließlich im Inland zu speichern sind (Art. 37 S.1). Nur sofern es für bestimmte Geschäftsvorgänge erforderlich sein sollte und eine entsprechende Sicherheitsüberprüfung – nach derzeit unbekannten Kriterien – nicht zu einem anderen Ergebnis gelangt, kann hiervon eine Ausnahme gemacht werden, (Art. 37 S.2).

Die nationale Abschottung von Daten ist zwar bereits verschiedentlich festgelegt (mehr dazu in Teil 3). In seiner Grundsätzlichkeit allerdings und bezogen auf den gesamten Datentransfer hat das Gesetz weitreichende Konsequenzen. Zumal Zuwiderhandlungen mit einer erheblichen Haftung belegt werden (Kapitel 6). In China tätige Unternehmen sollten daher die kommenden Begleitbestimmungen zu dem neuen Gesetz verfolgen und entsprechend reagieren. Denn die auferlegten Pflichten für Betreiber könnten durchaus dazu führen, dass etwa IP-geschützte Softwarecodes, verschlüsselte Algorithmen, Geschäftsgeheimnisse und anderes mehr gegenüber den Behörden offen zu legen sind. Missbrauch mit solch sensiblen Daten und seine Verhinderung sind Gegenstand vom nächsten Teil 3. Insbesondere Datenschutz, internationaler Datentransfer und Nutzeridentifizierung.