China verschärft Security-Gesetze
In der Diskussion um die EU-Datenschutz-Grundverordnung (DSGVO) ist untergegangen, dass auch China seine Gesetze zur Cybersecurity verschärft hat. Die neuen Regeln gelten seit 1. Juni und verunsichern viele Unternehmen, die in dem Land aktiv sind.
Wer im Reich der Mitte Geschäfte machen will, muss sich seit Anfang Juni an neue CyberSicherheitsgesetze halten. Unternehmen sollten deshalb genau prüfen, wo Daten vorgehalten und wie sie verarbeitet werden.
Nachdem Chinas Volkskongress im November vergangenen Jahres ein Gesetz zur Verschärfung der Cybersecurity verabschiedet hat, sind die neuen Regeln nun seit dem 1. Juni in Kraft. Dabei gehe es vor allem darum, Ordnung und Sicherheit des CyberRaums zu sichern, hatte vor einigen Monaten die staatliche Nachrichtenagentur Xinhua berichtet. Behörden sollten ermächtigt werden, Hacker-Angriffe und Cyber-Terrorismus effizienter zu bekämpfen. Unternehmen und Verbände kritisierten, die vagen Formulierungen ließen viel Spielraum in der Auslegung des Gesetzes zu.
Viele deutsche und europäische Unternehmen sind unsicher, inwiefern sie von der Gesetzesänderung betroffen sind und was sie tun müssen, um ihren Geschäftsbetrieb nicht zu gefährden. Bei Verstößen droht der Entzug der sogenannten Bei‘an-Lizenz, und die chinesische Website oder Datenübertragungen in China können gesperrt werden. Erschwerend kommt hinzu, dass die chinesischen Gesetzestexte weder auf Deutsch noch auf Englisch verfügbar sind, was eine korrekte Auslegung schwierig macht. Derzeit kursieren im Netz lediglich inoffizielle Übersetzungen.
„Die Unsicherheit auf der Seite der Unternehmen ist groß“, erklärt Alex Nam, Managing Director bei CDNetworks EMEA. Das Unternehmen hat sich auf Content Delivery und Cloud-Security-Lösungen spezialisiert und sieht sich als Experten für den chinesischen Markt. „Viele Unternehmen, die mit Cloudoder Infrastrukturpartnern arbeiten, wissen nicht, ob und welche Auswirkungen das neue Gesetz auf sie hat oder was sie unternehmen müssen.“CDNetworks hat deshalb die Fragen, mit denen sich Unternehmen angesichts der veränderten Situation am häufigsten konfrontiert sehen, zusammengestellt und gibt Ratschläge, welche Schritte Organisationen gehen sollten, um den neuen Gesetzen gerecht zu werden. Aber, so schränken die Verantwortlichen von CDNetworks ein: „Dies soll natürlich nicht als Auslegung der Rechtslage verstanden werden, sondern als Empfehlung rechtskonformer Maßnahmen aus der Praxis.“
Welche Änderungen ergeben sich aus dem neuen Gesetz?
Das Gesetz umfasst eine Vielzahl von Pflichten im elektronischen Geschäftsverkehr. Es definiert Leitlinien für die zukünftige Entwicklung der Netzlandschaft und die Rolle des Staates in diesem Zusammenhang. Die Cyberadministration of China (CAC) erhält maßgebliche Funktionen in der Gesetzgebung und fungiert als Prüf- und Zulassungsstelle. Eine Änderung, von der sehr viele Unternehmen betroffen sind, ist die neue Regulierung der „Datenauslieferung“in China. Laut aktuellen Auslegungen der neuen gesetzlichen Vorgaben sollen alle als sensibel beziehungsweise personenbezogen definierten Daten im Land gehostet werden und China in Zukunft auch nicht mehr verlassen dürfen (außer mit spezieller Erlaubnis der Regierung).
Aufgrund der langen Ladezeiten infolge der großen Entfernung nach China sowie der automatischen Überprüfung von Inhalten durch die sogenannte Great Firewall stellen viele Unternehmen ihre Inhalte bereits über einen Server oder Knotenpunkt in China zur Verfügung. Das geschieht häufig über einen Hoster, CloudDienstleister oder Content-Delivery-Network(CDN-)Anbieter . Auch hier ergeben sich die im Weiteren ausgeführten Konsequenzen.
Welche Unternehmen sind von dem neuen Gesetz betroffen?
Betroffen sind alle Unternehmen, die im elektronischen Geschäftsverkehr in China tätig sind. Dazu gehören natürlich Betreiber von Netzwerk- oder sogenannten Critical-InformationInfrastrukturen, aber auch jedes andere Unternehmen und jede Organisation, die Web-Inhalte (Websites, Apps etc.) in China „ausliefert“beziehungsweise dazu einen Betreiber von Netz- oder sogenannten Critical-InformationInfrastrukturen für das Hosting oder für die Auslieferung nutzt.
Ein Beispiel: Hatte ein E-Commerce-Anbieter datenverarbeitende Systeme wie Bestell-, Rechnungs- oder Warenbestandssysteme bisher außerhalb von China betrieben, diese aber über einen Dienstleister – wie zum Beispiel ein CDN – in China ausgeliefert, müssen diese Systeme nun gespiegelt werden, damit die Daten innerhalb von China verarbeitet werden. Auch bei Daten von Apps – vom Fitnessarmband bis zu Anwendungen, die Stromzähler- oder Boiler- Daten übermitteln – ist dies der Fall. Es sind also Unternehmen aller Branchen betroffen, vom Handel über IT-Service-Anbieter bis hin zu Unternehmen aus den Bereichen Industrie, Tourismus, Medien, Online-Werbung, Gaming und vielen anderen.
Nicht betroffen sind Unternehmen, die ihre Inhalte von außerhalb Chinas anbieten, wozu auch Hongkong zählt. Da Hongkong zwar zu China gehört, aber außerhalb der Great Firewall liegt, müssen diese Organisationen jedoch nach wie vor mit Ladezeiten rechnen, die die Geduld der potenziellen Nutzer oft übersteigen. Daher ist dies nicht wirklich eine Alternative.
Was sind die Konsequenzen?
Tausende Zertifizierungsbeamte sowie intelligente Algorithmen prüfen zurzeit, ob ausländische Organisationen, die entsprechende Inhalte von China aus für den chinesischen Markt anbieten, alle Bedingungen der neuen Gesetzgebung erfüllen. Wenn sie bereits mit einem Hosting-Dienstleister oder CDN-Anbieter zusammenarbeiten, wird außerdem geprüft, ob dieser die dafür benötigten Lizenzen besitzt. Ist dies nicht der Fall, kann die in China notwendige Bei‘an-Lizenz entzogen und die Website oder Web-Inhalte gesperrt werden.
Bereits jetzt erhalten Unternehmen Anrufe von Regierungsbeauftragten und werden aufgefordert, in kürzester Zeit die benötigten Änderungen einzuleiten. „Auch wir – genau wie andere Hosting-, Cloud- und CDN-Anbieter – dürfen die Websites unserer Kunden nur noch dann beschleunigen, wenn der UrsprungsServer auch in China ist. Ansonsten wird die Bei‘an-Lizenz entzogen, und wir müssen den Service abstellen“, erläutert CDNetworksManager Nam.