Welche Daten von Unternehmen sind wichtig? Künftig will der chinesische Staat ein Mitspracherecht in Sicherheitsfragen haben.
Welche Daten von Unternehmen sind wichtig? Künftig will der chinesische Staat ein Mitspracherecht in Sicherheitsfragen haben.

Globale Infrastruktur von Unternehmen versus Datenlokalisierung: Wie wirkt sich das chinesische Netzwerksicherheitsgesetz auf deutsche Unternehmen und ihre Tochtergesellschaften in China mit weltweit vernetzten Produktionen und Personalverwaltungen aus?

Das Netzwerksicherheitsgesetz (NSG) oder Cybersecurity Law hat mit seinen vagen Formulierungen und scharfen Strafen schon vor seinem Inkrafttreten im Juli 2017 hohe Wellen geschlagen.


Viele weitere Gesetzes- und Verordnungsentwürfe, die sich auf das NSG beziehen, haben zusätzlich zur Verwirrung von Unternehmensvertretern in China beigetragen.

Dem NSG nähert man sich vorzugsweise über dessen Zweckbestimmung, nämlich den Schutz von Netzwerken und insbesondere sogenannter „kritischer Informationsinfrastruktur“ (KII). Vorschriften zur Datenlokalisierung, mit denen sich dieser Artikel befasst, sind nur Ausfluss dieses Zweckes.

So wundert es nicht, dass das NSG nur eine einzige Regelung zum Thema Datenlokalisierung enthält. Es gibt zwar weitere Regelungen außerhalb des NSG, diese betreffen jedoch Spezialgebiete wie etwa Banken, Kliniken oder geografische Daten und sollen daher hier unberücksichtigt bleiben.

Pflicht zur lokalen Datenspeicherung

Die oben genannte Regelung im NSG besagt, dass „persönliche Informationen“ und „wichtige Daten“, die von KII „gesammelt“ werden, in China gespeichert werden müssen (Pflicht zur lokalen Datenspeicherung). Dort, wo es aufgrund von „Geschäftserfordernissen notwendig ist“, solche Daten ins Ausland zu übertragen, muss eine Sicherheitsprüfung durchgeführt werden.

Die Pflicht zur lokalen Datenspeicherung wirft jedoch mehrere Fragen auf.

Zuvorderst stellt sich die Frage, wer Adressat dieser Pflicht, also „KII-Betreiber“ ist.

Das NSG enthält keine Definition von KII, sondern nur Beispiele wie Infrastrukturen zur Energieversorgung oder solche, welche die nationale Sicherheit betreffen. Interpretationsspielraum bietet die Nennung von Netzwerken, die im Falle von Zwischenfällen das „öffentliche Leben“ und das „öffentliche Interesse“ gefährden.

KII lässt sich jedoch über eine Richtlinie für Behörden zur nationalen Sicherheitsprüfung konkretisieren. Diese enthält eine Tabelle, welche die Identifikation von KII in bestimmten Industrien und Industriesektoren erleichtert.