Jost richtet für uns den Expertenblick auf das Cybersecurity-Gesetz, das in China seit dem 1. Juni 2017 gilt. Soviel schon vorab: Das Gesetz umfasst alles von Regelungen zu Datenschutz, IT-Sicherheit bis hin zum Verhalten des Einzelnen im Internet – und wird das digitale Leben der Zukunft in China prägen.
Beim ersten Blick auf das neue Cybersecurity-Gesetz fällt es schwer, dessen Ausmaß zu erfassen. Mit insgesamt 79 Artikeln ist das Gesetz eher kurz. Die europäische Datenschutzgrundverordnung kommt auf 99 Artikel, obwohl sie sich im Kern nur mit einem rechtlichen Komplex befasst, den das Cybersecurity-Gesetz abdeckt. Viele der Regelungen des chinesischen Cybersecurity-Gesetzes sind „auslegungsbedürftig“ wie Juristen sagen, sie enthalten also Begriffe, die nicht eindeutig zu verstehen und dadurch erst durch Verwaltungspraxis, Rechtsprechung oder den Erlass weiterer Vorschriften konkretisiert werden müssen. Gerade für ausländische Unternehmen in China ist dies einer der Kern-Kritikpunkte an dem Gesetz. Mittlerweile vermitteln mehrere Dutzend Umsetzungsvorschriften ein etwas klareres, wenngleich immer noch nicht abschließendes Bild zu den Anforderungen.
Catch them all? Ein gesetzlicher Rundumschlag
Auch dieses Handy wird erfasst
Inhaltlich ist das Cybersecurity-Gesetz ein Mix aus verschiedenen Themen: ein Regulierungs-Rundumschlag für das Internet und alles Digitale. Es umfasst datenschutzrechtliche Aspekte, also die Frage, welche Daten man unter welchen Umständen erheben kann, wann und wie lange man diese speichern und auf welche Weise man sie nutzen darf. Das Gesetz spricht dabei von zwei Kategorien von Daten: personenbezogene Daten wie Namen, Geburtsdaten oder E-Mail-Adressen; und von „wichtigen Daten“, die nach Auffassung der chinesischen Regierung relevant für die nationale Sicherheit sind.
Für ausländische Unternehmen kommt es vor allem darauf an, unter welchen Voraussetzungen sie Daten zwischen China und ihren anderen Unternehmen im Rest der Welt austauschen können. Das Cybersecurity-Gesetz sieht nach aktuellem Stand eine Speicherpflicht in China für sogenannte Schlüsselinfrastrukturen vor. Schlüsselinfrastrukturen sind vergleichbar mit Kritischen Infrastrukturen nach europäischem Verständnis, wobei die chinesische Auslegung im Ergebnis wohl etwas weiter gefasst sein wird. Alle weiteren „Netzwerkbetreiber“, also Unternehmen, die in irgendeiner Art und Weise Daten erfassen und austauschen, müssen zumindest interne Sicherheitsüberprüfungen vornehmen und diese gegenüber chinesischen Aufsichtsbehörden nachweisen können.
Das Gesetz enthält außerdem Anforderungen zur IT-Sicherheit, also zur Frage, wie Informationen von Diebstahl oder Manipulation geschützt sein müssen. Konkrete Anwendungsbereiche können etwa Notfallpläne für den Fall von Datenverlusten oder Schulungen von Mitarbeitern sein, die durch Verschlüsselung, Backups oder organisatorische Maßnahmen gesichert werden.
Die Details sind in beiden Bereichen noch strittig. Dies liegt in erster Linie daran, dass etliche der Umsetzungsvorschriften, aus denen sich klare Anforderungen ergeben sollen, noch nicht in Kraft sind, sondern nur als Entwürfe vorliegen.
Wir können jedoch bereits zwei Dinge festhalten: Erstens ist es im Grundsatz eine gute Entwicklung, dass es in China erstmalig eine koordinierte Gesetzgebung zu den Themen Datenschutz und IT-Sicherheit gibt. Viele der mittlerweile vorliegenden Umsetzungsvorschriften bzw. deren Entwürfe orientieren sich an internationalen Standards und können das Sicherheitsniveau in chinesischen Unternehmen stärken. Zweitens sind etliche der Vorschriften noch nicht „ausgegoren“ und bedeuten gerade für kleinere Unternehmen in China einen enormen Aufwand, etwa bei den Sicherheitstests für den Versand von Daten ins Ausland.
Was hat sich der Staat dabei gedacht
Während die ersten beiden Regelungsbereiche in erster Linie Auswirkungen auf die Unternehmen haben, die sie zukünftig einhalten müssen, werden sich andere Teile des Gesetzes spürbar auf das Leben Einzelner auswirken. Wie sich die chinesischen Gesetzgeber das Internet der Zukunft vorstellen, zeigt beispielsweise Artikel 6:
„The State advocates network practices in a good-faith, trustworthy and civilized manner, promotes dissemination of core socialist values, and adopts measures to raise social awareness of cybersecurity in order to create a sound environment for the promotion of cybersecurity with the participation of the public.”
Oder Artikel 12 (2):
“Individuals and organizations using the network shall comply with the Constitution and laws, follow the public order, and show respect for social moralities, and shall neither impair cybersecurity nor engage in activities, by making use of the network, that endanger national security, honor and interests, incite subversion of the state power or overthrow of the socialist system, incite splitting of the country, undermine national unity, advocate terrorism and extremism, ethnic hatred and discrimination, spread violent and pornographic information, fabricate and disseminate false information to disrupt economic and social orders, or infringe upon the reputation, privacy, intellectual property and other legitimate rights and interests of others.”
Inhaltlich geht es in diesen Regelungen um das, was wir im europäischen Rechtsraum als Äußerungsrecht kennen: die beinahe tägliche Auseinandersetzung darüber, was man im Internet veröffentlichen darf und was nicht. Während einige der hier genannten Kriterien auch für uns bekannt sind, sei es aus den AGB von Facebook oder aus einem Gerichtsurteil, so zeugen die Verweise auf „core socialist values“ oder „respect for social moralities“ von einem anderen Internet chinesischer Prägung.
Fühlst du dich beobachtet?
Generell ermöglichen es solche allgemein gehaltenen Regelungen, das Recht in die jeweils gewünschte Richtung zu biegen, wie das auch bei einigen deutschen Gesetzen der Fall sein kann. Denn wer bestimmt darüber, wie man ausreichenden Respekt für die Sozialmoral zeigt oder was genau subversives Verhalten ist? Mit Augenmaß ausgeübt und ausreichend kontrolliert kann ein Gesetz rechtsstaatlich angewandt werden. Das identische Gesetz kann aber auch Machtinstrument eines einzelnen Richters oder einer Behörde sein.
Dein Beitrag ist mir nicht sozialistisch genug
Was das Gesetz für die digitale Zukunft Chinas bedeutet, liegt damit zuallererst in den Händen derer, die das Gesetz direkt anwenden. Also chinesische Behörden wie die Cyberspace Administration of China. Einen Vorgeschmack gab es bereits wenige Tage nach Inkrafttreten des Gesetzes, als etliche WeChat-Kanäle unter Verweis auf das neue Gesetz und Verstöße gegen „Socialist core values“ geschlossen wurden, unter anderem das Fashion-Magazin Harper’s Bazar.
Daneben etabliert das Gesetz ein massives Selbstüberwachungs-system, indem es Netzwerkbetreiber verpflichtet, Informationen, die über ihre Kanäle verbreitet werden, zu überwachen, rechtsverletzende Inhalte zu löschen, die Beweise zu sichern und an die Behörden weiterzugeben (Art. 47). Das erinnert sehr deutlich an die Diskussionen zum „Facebook-Gesetz“ und die Frage, ob so etwas in Deutschland noch verfassungsgemäß wäre. Betroffene Unternehmen in China, darunter auch Weibo, reagieren mittlerweile mit der Einführung von Programmen, in denen Nutzer Preise dafür gewinnen können, illegale Inhalte zu melden.
Ebenfalls im zeitlichen Zusammenhang mit der Einführung des Gesetzes steht ein verstärktes Vorgehen gegen VPN-Services, das in westlichen Nachrichten vor allem wegen des Verhaltens von Apple zur Kenntnis genommen wurde. Ziel des Ganzen ist in erster Linie, die Bürger von der Nutzung von VPNs abzuhalten und Unternehmen zur Nutzung offiziell zugelassener Services zu drängen.
Das Internet chinesischer Prägung kommt
Wohin führt der digitale Weg Chinas? Wer das Positive sehen möchte, kann langfristig tatsächlich auf eine Verbesserung des Datenschutzes und der IT-Sicherheit hoffen. Wenn man beispielsweise bedenkt, wie schnell man verschiedene Marketingfirmen an der Strippe hat, nachdem man irgendwo seine Telefonnummer eingegeben hat, wäre das ein massiver Fortschritt.
Ein bisschen Licht und reichlich Schatten in Chinas Cybersicherheit
Für viele Unternehmen, gleich ob chinesische oder ausländische, wird der Weg dorthin vermutlich teuer und aufwändig. Viele der gesetzlichen Anforderungen sind nach wie vor nicht genau definiert. Trotzdem müssen die Unternehmen bereits jetzt den Anforderungen entsprechen. Der daraus folgende Umsetzungsaufwand ist eine Folge eines für China recht typischen Ansatzes, zunächst mit einem Projekt zu starten und dann auf dem Weg immer wieder Anpassungen vorzunehmen, bis man zu einer endgültigen Lösung kommt.
Was den Einzelnen betrifft, ist ein stärkeres Maß an Zensur zu erwarten und, angesichts des Systems der Selbstüberwachung, möglicherweise auch eine Verringerung von offenen Meinungsäußerungen im Netz. Dies gilt umso mehr, als die Daten, die nunmehr von Unternehmen erfasst werden, auch dazu genutzt werden können, eine Bewertung von Internetnutzern im Rahmen des geplanten Social-Credit-Systems vorzunehmen.
Wie bei so vielen Themen in China bleiben einige der Schlussfolgerungen Mutmaßungen. Auslegungsbedürftige Gesetze haben den Vorteil, dass man sie auch weniger restriktiv nutzen kann. Wir werden mit Spannung und auch ein bisschen Sorge verfolgen, wie das digitale China der Zukunft aussehen wird.
Alle Bilder © Jasmin Oertel für sinonerds.
