Schlagwort-Archiv: internationaler Datenverkehr

Bildquelle: Www.xue.sem123.com

Sicherheit und Kontrolle im Netz – Betroffene (III)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Der Umgang mit persönlichen Daten spielt dabei eine große Rolle.

Der Schutz persönlicher Daten ist ein relativ neues Konzept im chinesischen Recht. Seit einigen Jahren gibt es jedoch durchaus Ansätze zum Thema, die zuletzt 2013 mit den Regeln zum Schutz von persönlichen Informationen von Internet- und Telekommunikationsnutzern (电信和互联网用户个人信息保护规定) einen recht umfassenden Abschluss fand. Dennoch handelt es sich bislang um untergesetzliche bereichsbezogene Einzelregulierung, die lokale Unterschiede aufweist (vgl. die entsprechende Gesetzgebung für Jiangsu, Shanghai und Henan). Die im Rang höchste Norm ist die Entscheidung von 2012 zur Stärkung des Schutzes von Internetinformationen (全国人大常委会关于加强网络信息保护的决定). In ihr ist allerdings auch festgelegt, dass Nutzer von Onlinediensten ihre wahre Identität offenlegen müssen. Das neue Internetsicherheitsgesetz enthält diesen Aspekt in Artikel 24. Dieses bereits eingangs in Teil 1 beschriebene Prinzip ist den meisten Ländern im internationalen Vergleich fremd. Besonders in Deutschland wird auf die Anonymität bei der Internetnutzung Wert gelegt. Das EU-Mitglied Irland indes hält es wie China, was nicht zuletzt mit dem EU-Hauptsitz von Facebook zu tun haben dürfte.

Das Internetsicherheitsgesetz weicht auch ansonsten nicht von den bereits vorhandenen Regelungen ab, führt aber einige neue Elemente ein, wie etwa die Löschung oder Veränderung persönlicher Daten. Der Begriff der persönlichen Daten ist in Art. 76 Abs. 5 definiert. Er ist insofern enger als der ebenfalls neu eingeführte Begriff der Nutzerdaten, als persönliche Daten immer zwingend mit der Identität einer Person verbunden sein müssen. Daten ohne eine solche Verbindung werden wohlgemerkt nicht als persönliche Daten eingestuft.

Wie in Teil 2 zum Thema kritische Infrastrukturen beschrieben, können die Regelungen insbesondere des 2. Abschnitts des Gesetzes dazu führen, dass Unternehmen, die unter diese Rubrik fallen, zur Bekanntgabe geschäftswichtiger Daten verpflichtet werden. In den Artikeln 30 und 45 ist daher ausdrücklich festgeschrieben, dass jegliche Informationen, die zuständige Abteilungen und Behörden in diesem Zusammenhang erhalten, nur zum Schutz der Netzsicherheit eingesetzt werden dürfen. Die Artikel 40 bis 44 enthalten ähnliche Missbrauchsvorschriften für Netzwerkbetreiber. Damit sollen natürlich nicht zuletzt die Bedenken ausländischer Unternehmen in China zerstreut werden, die ja ihre vor Ort generierten persönlichen und anderen wichtigen Daten grundsätzlich dort werden speichern müssen (vgl. Teil 2, Art. 37). Kann das überzeugen?

Das Prinzip der lokalen Speicherung von Daten, das im Zusammenhang mit Konzepten zum internationalem Datenverkehr als Festungsstrategie (fortress approach) bezeichnet wird, hat die VR China bereits in verschiedenen Einzelverordnungen festgelegt. Es ist also lediglich in seiner übergreifenden Anwendbarkeit neu, und wird durchaus auch von einigen anderen Staaten in dieser Form verfolgt. Nicht in der EU, die ein Weißbuch erarbeitet hat, das Länder mit vergleichbarem Datenschutzniveau aufführt, mit denen Daten problemlos ausgetauscht werden dürfen. Die VR China gehört bezeichnenderweise nicht dazu, was nun wieder zurückführt auf die oben aufgeworfene Frage, inwiefern die vorgesehenen Missbrauchsvorschriften (Art. 30, 40-45) zu überzeugen vermögen. Auch vor dem Hintergrund des staatlichen Kontrollbedürfnisses wird man das wohl verneinen müssen. Zumal zwar eine Haftung (Art. 73), nicht aber eine unabhängige Kontrolle der jeweils zuständigen staatlichen Stellen vorgesehen ist.

Die erwarteten Begleitverordnungen mögen über diese und andere offene Fragen Aufschluss geben. Insbesondere über die Definition „anderer wichtiger Daten“ und die Kriterien bei den vorgesehenen Sicherheitsüberprüfungen. Datenschutz wie in der EU, ausgestaltet als individuelles Schutzrecht, wird man trotzdem nicht erwarten können. Die Idee ist vielmehr, einen geordneten Markt herzustellen und Datenflüsse zu kontrollieren. Als Beispiel dient Artikel 24, der Netzwerkbetreiber dazu verpflichtet, die Identität seiner Nutzer zu überprüfen. Wie gesagt sind solche Pflichten bereits in zahlreichen gebietsbezogenen Einzelverordnungen enthalten. Sie betreffen Telekommunikation, Finanzen, wohnen, reisen, etc. Keineswegs überraschend in einem Polizeistaat, und auf chinesische Weise umfassend zu Ende gedacht (Big Brother lässt grüßen). Die positive Seite der Medaille besteht allerdings darin, dass man sich überall im Land einigermaßen sicher bewegen kann.

Im nächsten Teil mehr zu einzelnen Pflichten und Haftung.

Bildquelle: Www.finance.sina.com.cn

Sicherheit und Kontrolle im Netz – Verantwortliche (II)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Inhaltlich neu ist davon allerdings das wenigste.

Artikel 21 verpflichtet Netzwerkbetreiber dazu, ein mehrstufiges Sicherheitssystem einzurichten. Dabei geht es vor allem um technologische Maßnahmen zur Überwachung und Speicherung von Vorgängen und Daten, um Cyberangriffe zu verhindern. Daneben ist in Nr. 5 die Einhaltung weiterer gesetzlicher Vorgaben genannt. Dies erscheint reichlich vage, wie auch einige weitere Vorgaben nicht näher konkretisiert oder definiert sind. Auch mag man sich fragen, in welcher Rangfolge das Gesetz im Verhältnis zu den bereits bestehenden zahlreichen Regelungen steht. Hier mag es zur Beruhigung beitragen, dass sich durch das neue Gesetz keine erkennbaren Regelungswidersprüche ergeben. Es entspricht außerdem der nationalen Gesetzgebungstechnik, nach und nach bestehende Regelungen anzupassen und konkretisierende Begleitbestimmungen zu erlassen. Auf Netzwerkbetreiber und insbesondere die Betreiber kritischer Infrastrukturen kommen dennoch erhebliche Verpflichtungen zu.

Der Begriff des Netzwerkbetreibers (网络运营者) ist vergleichsweise weit gefasst. Artikel 76 Abs. 3 definiert solche als Eigentümer von Netzwerken, Manager von Netzwerken und Netzwerkdienstleister. Es handelt sich also nicht nur um klassische Telekommunikationsunternehmen, sondern es genügt bereits die Nutzung von nur zwei PCs. Sofern nämlich das Internet zur Sammlung, Speicherung und Verarbeitung von Daten benutzt wird, würden darunter auch zahlreiche weitere Branchen fallen, die dies im Zuge ihrer Dienstleistungserbringung üblicherweise tun. Neben IT-affinen Unternehmen denke man dabei etwa an so breit aufgestellte Bereiche wie die gesamte Finanzbranche. Und möglicherweise betreiben diese dann sogar sog. kritische Infrastrukturen.

Der Begriff der kritischen Infrastruktur findet sich auch im deutschen BSIG, dort definiert in Paragraph 2 Absatz 10. Im chinesischen Internetsicherheitsgesetz ist der Betriebssicherheit kritischer Infrastrukturen Abschnitt 2 gewidmet. Artikel 31 enthält eine vorläufige Definition, die vom Staatsrat genauer zu fassen sein wird. Grundsätzlich geht es um die nationale Versorgung, also etwa Wasserwerke, Energiebetreiber, Verkehr etc. Genauere Anhaltspunkte mag aber der bereits im Juni 2016 erlassene Leitfaden zur Untersuchung der Netzsicherheit (国家网络安全检查操作指南) bieten. Neben den klassischen Feldern wie der öffentlichen Versorgung sind darin zunächst alle Gefahren umfasst, die (negativen) Einfluss auf die Wirtschaft, Gesellschaft, Kultur, Umwelt etc. haben könnten. Genannt sind insbesondere Arten von Webseiten wie etwa Unternehmenswebseiten und Nachrichtenwebseiten, Arten von Plattformen wie etwa für Kurznachrichten und Shopping sowie bestimmte Industriesparten wie etwa bestimmte Bürosysteme oder Fernsehübertragungssysteme. Hier ist bereits zu erahnen, dass die Definition kritischer Infrastrukturen sehr weit gefasst sein wird und unter Umständen auch nur peripher betroffene Brachen betreffen wird.

Die Pflichten der Betreiber solch kritischer Infrastrukturnetzwerke gehen folgerichtig über die der einfachen Netzwerkbetreiber hinaus. Bemerkenswert ist, dass persönliche Daten und andere – nicht näher definierte – wichtige Informationen ausschließlich im Inland zu speichern sind (Art. 37 S.1). Nur sofern es für bestimmte Geschäftsvorgänge erforderlich sein sollte und eine entsprechende Sicherheitsüberprüfung – nach derzeit unbekannten Kriterien – nicht zu einem anderen Ergebnis gelangt, kann hiervon eine Ausnahme gemacht werden, (Art. 37 S.2).

Die nationale Abschottung von Daten ist zwar bereits verschiedentlich festgelegt (mehr dazu in Teil 3). In seiner Grundsätzlichkeit allerdings und bezogen auf den gesamten Datentransfer hat das Gesetz weitreichende Konsequenzen. Zumal Zuwiderhandlungen mit einer erheblichen Haftung belegt werden (Kapitel 6). In China tätige Unternehmen sollten daher die kommenden Begleitbestimmungen zu dem neuen Gesetz verfolgen und entsprechend reagieren. Denn die auferlegten Pflichten für Betreiber könnten durchaus dazu führen, dass etwa IP-geschützte Softwarecodes, verschlüsselte Algorithmen, Geschäftsgeheimnisse und anderes mehr gegenüber den Behörden offen zu legen sind. Missbrauch mit solch sensiblen Daten und seine Verhinderung sind Gegenstand vom nächsten Teil 3. Insbesondere Datenschutz, internationaler Datentransfer und Nutzeridentifizierung.