Schlagwort-Archiv: Internetsicherheitsgesetz

Sicherheit und Kontrolle im Netz – Update (V)

Das neue Internetsicherheitsgesetz tritt ab morgen in Kraft. Seine Bedeutung hat sich mittlerweile herumgesprochen, besonders seit den neuesten Bestimmungen vom April.

Am 11. April 2017 wurde der Entwurf neuer Begleitbestimmungen veröffentlicht, die den Datentransfer ins Ausland betreffen (个人信息和重要数据出境安全评估办法). Sie sind einschlägig für persönliche und wichtige Daten. Solche müssen fortan grundsätzlich in China gespeichert werden. In Ausnahmefällen können sie auch ins Ausland übertragen werden, betroffene Netzwerkbetreiber müssten sich aber in dem Fall vorher einer Sicherheitsüberprüfung unterziehen. Dieses Prinzip ist bereits im Internetsicherheitsgesetz verankert, galt allerdings nur für den Betrieb kritischer Intrastrukturnetzwerke. Die genannten Bestimmungen betreffen auch einfache Netzwerkbetreiber und stellen insofern eine erhebliche Verschärfung dar.

Auch hier ist noch unklar, worin genau solche Sicherheitsüberprüfungen bestehen, und was alles unter die Begriffe persönliche und wichtige Daten fällt. Immerhin die Definition persönlicher Daten erscheint bereits recht konkret. Gemeint sind nur solche elektronisch oder anderweitig aufgezeichneten Informationen, die zur Identifizierung einer natürlichen Person führen können. Als Beispiele für Identitätszuordnungen sind Name, Geburtsdatum, Personalausweisnummer, Adresse und Telefonnummer genannt. Der Begriff der wichtigen Daten erfordert einen engen Zusammenhang mit nationaler Sicherheit, wirtschaftlicher Entwicklung und öffentlichen Interessen. Zu dieser reichlich offenen Definition werden demnächst Richtlinien erwartet, die das Feld eingrenzen.

Die vorgeschriebenen Sicherheitsüberprüfungen sollen vor der Datenübertragung und entweder vom Betreiber selbst, oder von den zuständigen Behörden durchgeführt werden. In jedem Fall wird die Zustimmung der betroffenen Nutzer zur Datenübertragung verlangt, diese sind außerdem über Grund und Umfang zu informieren. Grundsätzlich wird jeder Netzwerkbetreiber für die Durchführung und das Ergebnis von Evaluierungen verantwortlich gemacht. Externe Überprüfungen sind etwa bei mehr als 500.000 betroffenen Individuen und einem Gesamtdatenvolumen von 1.000 GB durchzuführen. Die Hürden hierfür erscheinen damit nicht besonders hoch.

Angesichts dieser neuen Ausgangslage mag man stattdessen ernsthaft über ein Datenzentrum in China nachdenken. Entweder selbst betrieben, oder von einem beauftragten Dienstleister. Aber auch hier stecken die Tücken im Detail. Möchte man etwa Cloud-Dienste anbieten, darf man das nicht alleine und nicht mit Mehrheitsbeteiligung tun. In diesem Bereich unterliegt der Datenverkehr mit dem Ausland besonders strengen Kontrollen und Auflagen. Mangels genauerer Festlegung ist aber vor allem bislang nicht recht abzusehen, wie weit die behördlichen Einsichts- und Überprüfungsbefugnisse reichen werden.

Das neue Gesetz und die relevanten Begleitbestimmungen zielen neben Datenschutz sicherlich nicht zuletzt auf die Kontrolle von Datenströmen ab. Die damit möglicherweise verbundene Gefahr der Preisgabe geschäftsrelevanter IP stellt dagegen eher einen Nebeneffekt dar. Compliance und gesunder Menschenverstand sollten in dieser Hinsicht trotzdem nicht vernachlässigt werden.

Bildquelle: www.ftchinese.com

Sicherheit und Kontrolle im Netz – Hintergrund (I)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Inhaltlich neu ist davon allerdings das wenigste.

Während in der EU noch das Für und Wider einer Vorratsdatenspeicherung diskutiert wird, hat die VR China in den letzten Jahren eine Reihe von Sicherheitsgesetzen erlassen, die sich nicht an solchen vermeintlichen Kleinigkeiten aufhalten. Wer in China ankommt, wird zunächst einmal fotografiert, das Foto mit Datum etc. einer Datenbank zugeführt. Das nächste Foto gibt es dann beim Erwerb einer SIM-Karte, natürlich auch mit sämtlichen Daten, denn der Ausweis ist ebenfalls zu abzufotografieren. Für die Buchung eines jeden Transportmittels, also etwa auch für eine kurze Zugfahrt, sind für Inländer Automaten vorgesehen, die zwingend das einscannen des Ausweises verlangen. Ausländer haben hier das Nachsehen, sie müssen sich mühsam anstellen. Die dann folgenden Sicherheitskontrollen unterscheiden sich nicht wesentlich von denen an einem Flughafen – was in Zeiten des Terrorismus durchaus nicht abwegig erscheint.

Neben der logistischen Bewältigung der gewaltigen Menschenmassen geht es bei den genannten Beispielen natürlich auch um staatliche Kontrolle. Und genau dies ruft im Ausland zunehmend Unbehagen hervor. Denn es betrifft natürlich auch ausländische Unternehmen und Individuen, die sich vor Ort aufhalten. Das jüngste Internetsicherheitsgesetz (网络安全法) ist dabei keine Ausnahme. Anlass genug für eine kurze Bestandsaufnahme.

Die meisten Industriestaaten verfügen bereits seit längerem über ähnliche Regelwerke, in Deutschland beispielsweise ist seit 2009 das BSI-Gesetz einschlägig. Auch in China ist das Gesetz nicht das erste und einzige seiner Art. Bereits 1994 gab es Regelungen zur Sicherheit von Computersystemen (中华人民共和国计算机信息系统安全保护条例), es folgten zahlreiche weitere Normen bis hin zu diesbezüglichen Änderungen des Strafgesetzbuches. Im gegenwärtigen System der sicherheitsrelevanten Gesetze und Normen sind vor allem zu nennen das Landessicherheitsgesetz (国家安全法), das Antiterrorgesetz (反恐怖主义法), das Strafgesetzbuch (刑法), das Geheimhaltungsgesetz (保密法), das Gesetz über Strafen für Vergehen gegen die öffentliche Sicherheit und Ordnung (治安管理处罚法), die Entscheidung zur Stärkung des Schutzes von Internetinformationen (关于加强网络信息保护的决定), die Entscheidung zum Schutz der Internetsicherheit (关于维护互联网安全的决定), die Regeln zum Schutz der Sicherheit von Computersystemen (计算机信息系统安全保护条例) sowie der Erlass über die Verwaltung von Internetdienstleistungen (互联网信息服务管理办法).

Eine Menge Regeln, wobei auch erwähnenswert ist, dass bereits zur Frühzeit des Internets eine beachtliche Anzahl von „Internetpolizisten“ zur Netzüberwachung eingesetzt worden sind. Die persönliche Überwachung ist nun seltener nötig, nachdem die IT-Systeme weltweit und besonders in China sehr viel fortgeschrittener und verfeinerter geworden sind. So ist es neben den USA vor allem China, das im Bereich der künstlichen Intelligenz (AI) führend ist. Jedoch auch ohne AI lassen sich bestimmte Inhalte automatisch aussondern und blockieren, ohne dass ein persönliches Eingreifen erforderlich wäre.

Wer bestimmte ausländische Websites oder etwa die Dienste von Google und facebook in Anspruch nehmen möchte, ist auf dem Festland auf ein virtuelles privates Netzwerk (VPN) mit Servern im Ausland angewiesen. Ansonsten ist China auch in dieser Hinsicht eine Welt für sich, in der sämtliche Konzepte der modernen Kommunikation bis hin zu sozialen Netzwerken leicht abgewandelt kopiert wurden und natürlich der Kontrolle des Staates unterstehen. Baidu (百度) ersetzt Google, Weibo (微博) ersetzt Facebook, Wechat (微信) ersetzt Whatsapp etc. Ausnahmen gelten etwa für die Suchmaschine Bing oder für das Berufsnetzwerk LinkedIn, beide dem Microsoft-Konzern zugehörig. Diese sind jedoch nur deshalb in China zugelassen, weil sie sich dort ebenfalls der vorgenannten Filter bedienen und daher ungewollte Inhalte von vorneherein aussondern.

Fairerweise muss man übrigens auch sagen, dass sich manche der chinesischen Anwendungen mittlerweile durch eigenständige Innovationen auszeichnen, hinter denen die westlichen Originale zurückbleiben. Zu denken ist dabei etwa an die Möglichkeit, überall mit Wechat zu bezahlen, oder der dort schon lange übliche Videochat. Zuletzt auch interessant ist eine andere inoffizielle Schätzung, nämlich hinsichtlich der jährlichen Ausgaben für die innere Sicherheit: 6 Prozent des BIP sollen dafür aufgewendet werden.

Nun zum Gesetz selbst: Es gilt für die Errichtung, den Betrieb, die Wartung und die Nutzung von Netzwerken innerhalb des Territoriums der VR China sowie für die Gefahrenabwehr von außerhalb. Es hat 79 Artikel unterteilt in 7 Abschnitte. Der nächste Beitrag beschäftigt sich mit dem vorgesehenen Sicherheitssystem und den dafür Verantwortlichen. Der dritte Teil behandelt dann die Betroffenen, also die Nutzer und ihre Daten.