Schränkt China den grenzüberschreitenden Datenverkehr ein?

Globale Infrastruktur von Unternehmen versus Datenlokalisierung: Wie wirkt sich das chinesische Netzwerksicherheitsgesetz auf deutsche Unternehmen und ihre Tochtergesellschaften in China mit weltweit vernetzten Produktionen und Personalverwaltungen aus?

So werden im Rahmen der industriellen Produktion „intelligente Produktionssysteme“ als möglicher Industriesektor für KII aufgezählt. Eine intelligente Produktion wird unter anderem dann als KII klassifiziert, wenn ein „Ereignis“ fünf Tote oder mehr als 50 Schwerverletzte verursachen kann.

Hierbei ist zu bedenken, dass sich KII nicht auf Unternehmen, sondern auf Netzwerke bezieht. KII kann daher einzelne Unternehmsteile oder aber  ganze Unternehmensgruppen umfassen.

Die Konsequenz für KII-Betreiber ist aber immer die gleiche: Sie müssen „persönliche Informationen“ oder „wichtige Daten“ in China speichern.

Was sind persönliche Informationen?

Persönliche Informationen sind im NSG definiert als Daten, die entweder alleine oder in Kombination mit anderen Daten genutzt werden können, um eine natürliche Person zu identifizieren.

Diese Definition erlaubt zwar bei offensichtlich persönlichen Daten wie zum Beispiel dem Namen oder der Ausweisnummer eine klare Abgrenzung. In Zweifelsfällen hilft sie jedoch nicht weiter. So stellt sich beispielsweise die Frage, ob Unternehmenskontaktdaten, bei denen der Name und die Position des Mitarbeiters angegeben werden, als „persönliche Informationen“ gelten. Denn auch diese Daten können genutzt werden, um eine Person zu identifizieren. Diese und ähnliche Fragen sind derzeit noch nicht abschließend geklärt. Im Zweifel sollten aber alle Daten, die genutzt werden können, um eine Person zu identifizieren, als persönliche Informationen im Sinne des NSG behandelt werden.

Zu wichtigen Daten enthält das NSG keine Definition. Hierauf lassen nur Gesetzesentwürfe Rückschlüsse zu.

Gemäß diesen Entwürfen handelt es sich bei „wichtigen Daten“ um Daten, die eng mit der nationalen Sicherheit, der wirtschaftlichen Entwicklung und dem möglichen gesellschaftlichen und öffentlichen Interesse Chinas in Verbindung stehen.

Auch diese Beschreibung ist jedoch so vage, dass die Behörden grundsätzlich alle Daten, die sie für wichtig erachten, als „wichtige Daten“ erfassen können.

In Ausnahmefällen dürfen persönliche Informationen oder wichtige Daten exportiert werden, etwa wenn dies zu Geschäftszwecken notwendig ist und eine Sicherheitsprüfung durchgeführt wird.

Was als „zu Geschäftszwecken notwendig“ gilt, liegt im freien Ermessen der Behörden.

Auch wie die Sicherheitsprüfung genau aussehen soll, ergibt sich nicht aus dem NSG. Jedoch gibt es auch hier Gesetzesentwürfe, die Rückschlüsse zulassen.