In der Kooperation mit chinesischen Industriepartnern sorgt ein entscheidender Aspekt bei vielen ausländischen Unternehmen immer noch für grosse Besorgnis: die Sicherheit und der Schutz ihrer im Rahmen der vernetzten Produktion generierten Daten. Vor diesem Hintergrund ist das Cybersecurity Law (CSL) der Volksrepublik China zu sehen, welches am 1. Juni 2017 in Kraft trat und mitsamt der dazugehörigen Durchführungsvorschriften, Richtlinien und technischen Standards als fortan vordergründig heranzuziehende Rechtsgrundlage für den Datenschutz im Reich der Mitte dient. Aus umfangtechnischen Gründen kann an dieser Stelle nur ein grober Überblick über die neue Rechtslage erfolgen.
Mit dem CSL und den zu ihm ergangenen Durchführungsvorschriften verfolgt China zum einen den Schutz personenbezogener Daten, zum anderen die Herstellung eines sicheren Internets. Was genauer aber staatliche Souveränität hierüber oder staatliche Kontrolle und letztlich Zensur bedeutet (in den Worten des Gesetzes: die «gesunde Entwicklung der Informatisierung von Wirtschaft und Gesellschaft»). Daraus erklären sich auch die umfangreichen Zugangs- und Kontrollrechte staatlicher Behörden und anderer zuständiger Stellen sowie entsprechende Mitwirkungspflichten für die betroffenen Unternehmen.
Letzteren werden in einem sogenannten «Mehrebenenschutzsystem» zahlreiche Pflichten auferlegt, sofern sie im Sinne des Gesetzes als «Netzwerkbetreiber» zu qualifizieren sind und «Netzwerkdaten» verarbeiten. Das Gesetz ist jedoch an vielen Stellen so weit und unbestimmt gefasst, dass wohl nur sehr selten datenverarbeitende Unternehmen nicht in seinen Anwendungsbereich fallen dürften. Denn nach dem – unvollständigen – Katalog von ausdrücklichen Begriffsbestimmungen in Art. 73 CSL sind Netzwerkbetreiber «Netzwerkinhaber, -manager sowie Netzwerkdienstleister jeder Art, die ein System verwenden, das aus Computern oder anderen Informationsterminals sowie dem dazugehörigen Equipment besteht und bestimmten Regeln und Abläufen der Informationsgewinnung, -speicherung, -übertragung, -austausch und -verarbeitung folgt. Netzwerkdaten wiederum sind alle Arten elektronischer Daten, die in Netzwerken gesammelt, gespeichert, übertragen, verarbeitet und erzeugt werden».
Das CSL unterscheidet zu diesem Zwecke zwischen «personenbezogenen Daten» einerseits und «sonstigen wichtigen Daten» andererseits. Indes hält es nur für die im Kontext der vernetzten Industrieproduktion praktisch nicht relevanten personenbezogenen Daten eine Definition bereit. Was unter «sonstige wichtigen Daten» zu verstehen ist, kann weder dem CSL selbst noch einer seiner Durchführungsvorschriften entnommen werden. Dies ist deshalb bemerkenswert, weil das CSL sämtliche Pflichten und Verantwortlichkeiten im Falle von Pflichtverstössen – neben der Behandlung von personenbezogenen Daten – an eben diesen Begriff knüpft. Ohne eine zumindest ungefähre Vorstellung seitens der Unternehmen, welche Daten als «sonstige wichtige Daten» qualifiziert werden könnten, sehen diese sich empfindlichen Sanktionen bei Nicht- oder unzureichender Befolgung der sie treffenden Pflichten ausgesetzt.
Unter den bereits angesprochenen Pflichten soll an dieser Stelle besonders die Pflicht zur Speicherung auf dem Gebiet der Volksrepublik generierter Daten hervorgehoben werden, die nur ausnahmsweise aus zwingenden betrieblichen Gründen und nach vorheriger Sicherheitsprüfung durchbrochen werden kann.
Bei Verstoss gegen die Speicherpflicht oder die Sicherheitsüberprüfung drohen Netzwerkbetreibern neben einem Bussgeld von bis zu RMB 500 000 (etwa EUR 63 000) die vorübergehende oder dauerhafte Betriebsuntersagung oder sogar der vollständige Entzug der jeweiligen Unternehmenslizenz.
Aufgrund des umfangreichen Pflichtenkatalogs sowie dieser einschneidenden Sanktionen wird es für viele ausländische Unternehmen somit wohl aus einem weiteren Grund weniger reizvoll, wirtschaftliche Aktivitäten in China zu entfalten. Auch kann die Umstellung der gesamten Netzwerkinfrastruktur gerade für kleinere Unternehmen unverhältnismässig hohe Kosten verursachen und für sie somit eine faktische Verdrängung vom Markt bewirken.
Neben den aufgezeigten negativen Tendenzen darf gleichwohl nicht übersehen werden, dass im Vergleich zur bisherigen Rechtslage nunmehr ein einziges Rahmengesetz mit den unter seinem Dach zusammengefügten, ergänzenden Normen Bezugspunkt datenschutzrechtlicher Massnahmen von Unternehmen ist. Dies ermöglicht ein besser kalkulierbares, konsistenteres Vorgehen in Sachen Datenverkehr und Datenschutz. Ausländische Unternehmen sind in jedem Fall gut beraten, die weiteren Entwicklungen in diesem Bereich genau im Auge zu behalten. Denn mit zunehmender Präzisierung und Ausdifferenzierung des durch das CSL aufgestellten Grundgerüsts bestehen für sie gute Chancen, sich rechtzeitig und vor allem kosteneffizient für die kommenden Herausforderungen zu wappnen.
Eine ausführlichere Darstellung der hier angerissenen Thematik steht unter www.technische-rundschau.ch/archiv/2018/online/grenzueberschreitender-datenverkehr-und-datenschutz-in-china/ zum Download zur Verfügung.
In der Podiumsdiskussion «Zwischen Utopien und realistischen Schritten vorwärts» um 13:20 Uhr am 23. August wird Nathan Kaiser von Eiger Law teilnehmen.
Eiger Law
CN-Schanghai 200062, Tel. +86 21 3255 22 08