Schlagwort-Archiv: Internetsicherheit

Bildquelle: Www.xue.sem123.com

Sicherheit und Kontrolle im Netz – Betroffene (III)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Der Umgang mit persönlichen Daten spielt dabei eine große Rolle.

Der Schutz persönlicher Daten ist ein relativ neues Konzept im chinesischen Recht. Seit einigen Jahren gibt es jedoch durchaus Ansätze zum Thema, die zuletzt 2013 mit den Regeln zum Schutz von persönlichen Informationen von Internet- und Telekommunikationsnutzern (电信和互联网用户个人信息保护规定) einen recht umfassenden Abschluss fand. Dennoch handelt es sich bislang um untergesetzliche bereichsbezogene Einzelregulierung, die lokale Unterschiede aufweist (vgl. die entsprechende Gesetzgebung für Jiangsu, Shanghai und Henan). Die im Rang höchste Norm ist die Entscheidung von 2012 zur Stärkung des Schutzes von Internetinformationen (全国人大常委会关于加强网络信息保护的决定). In ihr ist allerdings auch festgelegt, dass Nutzer von Onlinediensten ihre wahre Identität offenlegen müssen. Das neue Internetsicherheitsgesetz enthält diesen Aspekt in Artikel 24. Dieses bereits eingangs in Teil 1 beschriebene Prinzip ist den meisten Ländern im internationalen Vergleich fremd. Besonders in Deutschland wird auf die Anonymität bei der Internetnutzung Wert gelegt. Das EU-Mitglied Irland indes hält es wie China, was nicht zuletzt mit dem EU-Hauptsitz von Facebook zu tun haben dürfte.

Das Internetsicherheitsgesetz weicht auch ansonsten nicht von den bereits vorhandenen Regelungen ab, führt aber einige neue Elemente ein, wie etwa die Löschung oder Veränderung persönlicher Daten. Der Begriff der persönlichen Daten ist in Art. 76 Abs. 5 definiert. Er ist insofern enger als der ebenfalls neu eingeführte Begriff der Nutzerdaten, als persönliche Daten immer zwingend mit der Identität einer Person verbunden sein müssen. Daten ohne eine solche Verbindung werden wohlgemerkt nicht als persönliche Daten eingestuft.

Wie in Teil 2 zum Thema kritische Infrastrukturen beschrieben, können die Regelungen insbesondere des 2. Abschnitts des Gesetzes dazu führen, dass Unternehmen, die unter diese Rubrik fallen, zur Bekanntgabe geschäftswichtiger Daten verpflichtet werden. In den Artikeln 30 und 45 ist daher ausdrücklich festgeschrieben, dass jegliche Informationen, die zuständige Abteilungen und Behörden in diesem Zusammenhang erhalten, nur zum Schutz der Netzsicherheit eingesetzt werden dürfen. Die Artikel 40 bis 44 enthalten ähnliche Missbrauchsvorschriften für Netzwerkbetreiber. Damit sollen natürlich nicht zuletzt die Bedenken ausländischer Unternehmen in China zerstreut werden, die ja ihre vor Ort generierten persönlichen und anderen wichtigen Daten grundsätzlich dort werden speichern müssen (vgl. Teil 2, Art. 37). Kann das überzeugen?

Das Prinzip der lokalen Speicherung von Daten, das im Zusammenhang mit Konzepten zum internationalem Datenverkehr als Festungsstrategie (fortress approach) bezeichnet wird, hat die VR China bereits in verschiedenen Einzelverordnungen festgelegt. Es ist also lediglich in seiner übergreifenden Anwendbarkeit neu, und wird durchaus auch von einigen anderen Staaten in dieser Form verfolgt. Nicht in der EU, die ein Weißbuch erarbeitet hat, das Länder mit vergleichbarem Datenschutzniveau aufführt, mit denen Daten problemlos ausgetauscht werden dürfen. Die VR China gehört bezeichnenderweise nicht dazu, was nun wieder zurückführt auf die oben aufgeworfene Frage, inwiefern die vorgesehenen Missbrauchsvorschriften (Art. 30, 40-45) zu überzeugen vermögen. Auch vor dem Hintergrund des staatlichen Kontrollbedürfnisses wird man das wohl verneinen müssen. Zumal zwar eine Haftung (Art. 73), nicht aber eine unabhängige Kontrolle der jeweils zuständigen staatlichen Stellen vorgesehen ist.

Die erwarteten Begleitverordnungen mögen über diese und andere offene Fragen Aufschluss geben. Insbesondere über die Definition „anderer wichtiger Daten“ und die Kriterien bei den vorgesehenen Sicherheitsüberprüfungen. Datenschutz wie in der EU, ausgestaltet als individuelles Schutzrecht, wird man trotzdem nicht erwarten können. Die Idee ist vielmehr, einen geordneten Markt herzustellen und Datenflüsse zu kontrollieren. Als Beispiel dient Artikel 24, der Netzwerkbetreiber dazu verpflichtet, die Identität seiner Nutzer zu überprüfen. Wie gesagt sind solche Pflichten bereits in zahlreichen gebietsbezogenen Einzelverordnungen enthalten. Sie betreffen Telekommunikation, Finanzen, wohnen, reisen, etc. Keineswegs überraschend in einem Polizeistaat, und auf chinesische Weise umfassend zu Ende gedacht (Big Brother lässt grüßen). Die positive Seite der Medaille besteht allerdings darin, dass man sich überall im Land einigermaßen sicher bewegen kann.

Im nächsten Teil mehr zu einzelnen Pflichten und Haftung.

Bildquelle: www.ftchinese.com

Sicherheit und Kontrolle im Netz – Hintergrund (I)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Inhaltlich neu ist davon allerdings das wenigste.

Während in der EU noch das Für und Wider einer Vorratsdatenspeicherung diskutiert wird, hat die VR China in den letzten Jahren eine Reihe von Sicherheitsgesetzen erlassen, die sich nicht an solchen vermeintlichen Kleinigkeiten aufhalten. Wer in China ankommt, wird zunächst einmal fotografiert, das Foto mit Datum etc. einer Datenbank zugeführt. Das nächste Foto gibt es dann beim Erwerb einer SIM-Karte, natürlich auch mit sämtlichen Daten, denn der Ausweis ist ebenfalls zu abzufotografieren. Für die Buchung eines jeden Transportmittels, also etwa auch für eine kurze Zugfahrt, sind für Inländer Automaten vorgesehen, die zwingend das einscannen des Ausweises verlangen. Ausländer haben hier das Nachsehen, sie müssen sich mühsam anstellen. Die dann folgenden Sicherheitskontrollen unterscheiden sich nicht wesentlich von denen an einem Flughafen – was in Zeiten des Terrorismus durchaus nicht abwegig erscheint.

Neben der logistischen Bewältigung der gewaltigen Menschenmassen geht es bei den genannten Beispielen natürlich auch um staatliche Kontrolle. Und genau dies ruft im Ausland zunehmend Unbehagen hervor. Denn es betrifft natürlich auch ausländische Unternehmen und Individuen, die sich vor Ort aufhalten. Das jüngste Internetsicherheitsgesetz (网络安全法) ist dabei keine Ausnahme. Anlass genug für eine kurze Bestandsaufnahme.

Die meisten Industriestaaten verfügen bereits seit längerem über ähnliche Regelwerke, in Deutschland beispielsweise ist seit 2009 das BSI-Gesetz einschlägig. Auch in China ist das Gesetz nicht das erste und einzige seiner Art. Bereits 1994 gab es Regelungen zur Sicherheit von Computersystemen (中华人民共和国计算机信息系统安全保护条例), es folgten zahlreiche weitere Normen bis hin zu diesbezüglichen Änderungen des Strafgesetzbuches. Im gegenwärtigen System der sicherheitsrelevanten Gesetze und Normen sind vor allem zu nennen das Landessicherheitsgesetz (国家安全法), das Antiterrorgesetz (反恐怖主义法), das Strafgesetzbuch (刑法), das Geheimhaltungsgesetz (保密法), das Gesetz über Strafen für Vergehen gegen die öffentliche Sicherheit und Ordnung (治安管理处罚法), die Entscheidung zur Stärkung des Schutzes von Internetinformationen (关于加强网络信息保护的决定), die Entscheidung zum Schutz der Internetsicherheit (关于维护互联网安全的决定), die Regeln zum Schutz der Sicherheit von Computersystemen (计算机信息系统安全保护条例) sowie der Erlass über die Verwaltung von Internetdienstleistungen (互联网信息服务管理办法).

Eine Menge Regeln, wobei auch erwähnenswert ist, dass bereits zur Frühzeit des Internets eine beachtliche Anzahl von „Internetpolizisten“ zur Netzüberwachung eingesetzt worden sind. Die persönliche Überwachung ist nun seltener nötig, nachdem die IT-Systeme weltweit und besonders in China sehr viel fortgeschrittener und verfeinerter geworden sind. So ist es neben den USA vor allem China, das im Bereich der künstlichen Intelligenz (AI) führend ist. Jedoch auch ohne AI lassen sich bestimmte Inhalte automatisch aussondern und blockieren, ohne dass ein persönliches Eingreifen erforderlich wäre.

Wer bestimmte ausländische Websites oder etwa die Dienste von Google und facebook in Anspruch nehmen möchte, ist auf dem Festland auf ein virtuelles privates Netzwerk (VPN) mit Servern im Ausland angewiesen. Ansonsten ist China auch in dieser Hinsicht eine Welt für sich, in der sämtliche Konzepte der modernen Kommunikation bis hin zu sozialen Netzwerken leicht abgewandelt kopiert wurden und natürlich der Kontrolle des Staates unterstehen. Baidu (百度) ersetzt Google, Weibo (微博) ersetzt Facebook, Wechat (微信) ersetzt Whatsapp etc. Ausnahmen gelten etwa für die Suchmaschine Bing oder für das Berufsnetzwerk LinkedIn, beide dem Microsoft-Konzern zugehörig. Diese sind jedoch nur deshalb in China zugelassen, weil sie sich dort ebenfalls der vorgenannten Filter bedienen und daher ungewollte Inhalte von vorneherein aussondern.

Fairerweise muss man übrigens auch sagen, dass sich manche der chinesischen Anwendungen mittlerweile durch eigenständige Innovationen auszeichnen, hinter denen die westlichen Originale zurückbleiben. Zu denken ist dabei etwa an die Möglichkeit, überall mit Wechat zu bezahlen, oder der dort schon lange übliche Videochat. Zuletzt auch interessant ist eine andere inoffizielle Schätzung, nämlich hinsichtlich der jährlichen Ausgaben für die innere Sicherheit: 6 Prozent des BIP sollen dafür aufgewendet werden.

Nun zum Gesetz selbst: Es gilt für die Errichtung, den Betrieb, die Wartung und die Nutzung von Netzwerken innerhalb des Territoriums der VR China sowie für die Gefahrenabwehr von außerhalb. Es hat 79 Artikel unterteilt in 7 Abschnitte. Der nächste Beitrag beschäftigt sich mit dem vorgesehenen Sicherheitssystem und den dafür Verantwortlichen. Der dritte Teil behandelt dann die Betroffenen, also die Nutzer und ihre Daten.