Schränkt China den grenzüberschreitenden Datenverkehr ein?

Globale Infrastruktur von Unternehmen versus Datenlokalisierung: Wie wirkt sich das chinesische Netzwerksicherheitsgesetz auf deutsche Unternehmen und ihre Tochtergesellschaften in China mit weltweit vernetzten Produktionen und Personalverwaltungen aus?

Diese Entwürfe sehen unter anderem vor, dass bestimmte Daten nicht exportiert werden dürfen, so beispielsweise persönliche Informationen ohne die Zustimmung des Dateninhabers.

Diese Regelung könnte insbesondere solchen Unternehmen Probleme bereiten, die Lieferanten-, Kunden- oder Personaldaten aus China ins unternehmenseigene ERP-System im Ausland übertragen möchten. Denn hierfür müsste die Zustimmung aller Dateninhaber vorliegen.

Des Weiteren verweisen die Entwürfe darauf, dass die Sicherheitsprüfung grundsätzlich als Selbstprüfung, die den Behörden vorgelegt werden muss, ausgestaltet werden soll.

Schwellenwerte sind nicht klar definiert

Eine Prüfung durch die Behörden soll nur dann notwendig sein, wenn bestimmte Datenmengen beziehungsweise eine bestimmte Anzahl von Personen überschritten werden. Wo diese Schwellenwerte liegen, ist derzeit noch unklar. Auch wird der Export von sicherheitsrelevanten Daten oder Informationen über Sicherheitslücken in Netzwerken möglicherweise einer behördlichen Prüfung bedürfen. Eine solche Prüfung muss entweder vor jeder einzelnen Datenübertragung oder, bei dauerhafter Datensynchronisation, zumindest jährlich durchgeführt werden.

Die Handhabung persönlicher Informationen wird mittlerweile in einem freiwilligen Standard geklärt. Auch wenn diese Standards unverbindlich sind, werden sie in der Praxis von chinesischen Behörden als Richtlinien angelegt.

Es gibt in einigen Entwürfen Hinweise darauf, dass die Datenlokalisierungspflicht in Zukunft auch andere Netzwerkbetreiber erfassen könnte. Netzwerkbetreiber ist jeder, der zwei Geräte oder mehr vernetzt hat. Ob und wieweit die Pflicht zur Datenlokalisierung Netzwerkbetreiber tatsächlich erfassen wird, ist derzeit noch unklar. Unseres Erachtens ist es jedoch wahrscheinlich, dass Netzwerkbetreiber künftig entweder auch der Datenlokalisierungspflicht oder einer ähnlichen Pflicht unterliegen werden. Dies ergibt sich aus dem Schutzzweck des NSG, denn KII-Daten können auch bei anderen Netzwerkbetreibern lagern, die keine KII sind. Würde nun eine Übertragung von KII-Daten ins Ausland nicht auch für Netzwerkbetreiber eingeschränkt, so wäre dies eine Sicherheitslücke für KII. Auch kann es nicht gewollt sein, dass persönliche Informationen nur im Rahmen von KII geschützt werden sollen.

Fazit

Es erscheint also im Ergebnis nicht so, dass es, wie vielfach befürchtet, Unternehmen bald unmöglich gemacht werden soll, ihre Daten aus China heraus zu transferieren.

Der Staat möchte sich aber ein Mitspracherecht bei Sicherheitsfragen und den persönlichen Daten der Bürger einräumen. Deswegen sind auch in Zukunft neue Standards und Definitionen zu erwarten, die einen Datentransfer zu wirtschaftlichen Zwecken regeln.

Allerdings wird der Staat vom KII-Betreiber erwarten, dass dieser über Transfer und Inhalt von Daten jederzeit Auskunft geben kann und die Sicherheit der Daten gewährleistet wird.

Ziel von Unternehmen sollte deswegen sein, sich schon jetzt möglichst umfassend auf Informationspflichten gegenüber dem Staat vorzubereiten sowie sicherzustellen, dass die Erlaubnis der Dateninhaber zum Transfer der Daten gegeben ist.


Zu den Personen

Rainer Burkardt arbeitet und lebt bereits seit 21 Jahren in China und berät vornehmlich Unternehmen aus dem deutschsprachigen Raum bei deren Geschäften in China.

Jan Michael Hähnel arbeitet und lebt seit fünf Jahren in China und unterstützt Mandanten unter anderem im IT- und Datenschutzrecht.

Burkardt & Partner ist eine Rechtsanwaltskanzlei, die vorwiegend mittelständische Unternehmen, aber auch Unternehmensgruppen und internationale Industriekonzerne aus Deutschland, der Schweiz und Österreich bei ihren Investitionen in der Volksrepublik China berät.

www.bktlegal.com.