Mehr zu:
ChinaDigitale Wirtschaft / Datenschutz, Datensicherheit
Wirtschaftsumfeld
Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?
Wirtschaftsumfeld | China | Datenschutz
Dr. Dennis-Kenji Kipker, wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) der Universität Bremen, erklärt, worauf es bei Datensicherheit in China ankommt.
05.01.2021
Von Katharina Viklenko | Bonn
Was sind die wichtigsten Trends bei Datenschutz und Datensicherheit in China?
Datensicherheit und ihre Regulierung spielen in China schon seit geraumer Zeit eine Rolle. Die entsprechende Gesetzgebung ist deutlich jünger. Es kristallisiert sich immer stärker heraus, dass die Volksrepublik Datenschutz anhand von Schlüsseltechnologien reguliert, die besondere Rahmenbedingungen erfordern. Hierzu gehören zuvorderst Kryptografie und künstliche Intelligenz (KI). China beabsichtigt, bis 2030 die globale Vorherrschaft für KI zu erlangen, sowohl wirtschaftlich als auch politisch. Damit sind umfassende Regelungen verbunden, um die sichere Entwicklung und Nutzung zu gewährleisten.
Zwei Aspekte beschleunigen zurzeit die Entwicklung des chinesischen Datenschutzes: der Handel mit Drittstaaten, die ein höheres Datenschutzniveau besitzen, und die Bekämpfung des Missbrauchs von personenbezogenen Daten im eigenen Land. In der Vergangenheit wurde das Thema nicht immer großgeschrieben. Das soll und wird sich in den nächsten Jahren vermutlich ändern. Gleichwohl hat China gegenwärtig noch kein Datenschutzniveau, das mit den jahrzehntelang gewachsenen und immer wieder fortentwickelten Maßstäben der Europäischen Union (EU) vergleichbar wäre.
Welche Unterschiede sehen Sie zum Datenschutz und der Datensicherheit in der EU?
Im aktuellen chinesischen Recht zur Nutzung von personenbezogenen Daten finden sich zahlreiche Regelungsprinzipien wieder, die schon aus der EU-Datenschutz-Grundverordnung bekannt sind. Hierzu gehören die Einwilligung, aber auch die Wahrnehmung von Betroffenenrechten und technisch-organisatorische Anforderungen an die Datensicherheit. Die Sanktionen bei Verstößen sind teilweise gravierend. Dennoch gestattet das geltende chinesische Recht umfangreiche Datenverarbeitungsbefugnisse zu Zwecken der staatlichen Sicherheit, zur Aufrechterhaltung der öffentlichen Ordnung oder aus Gründen des Gemeinwohls. Die EU-Regelungen sind eher in separate Gesetze gefasst, wohingegen in der Volksrepublik nicht immer eine klare Trennung vorgenommen wird.
Einer der zentralsten Unterschiede zwischen China und der EU dürfte im unterschiedlichen Verständnis des Datenschutzes liegen.
Die EU und insbesondere Deutschland gehen vom Wert des Einzelnen und der sogenannten "informationellen Selbstbestimmung" aus, während Datenschutz in China – wie in vielen anderen ostasiatischen Staaten – eine größere Rolle für die Aufrechterhaltung des gemeinsamen Zusammenlebens spielt.
Das Bundesamt für Verfassungsschutz empfahl Firmen kürzlich aufgrund von Sicherheitsbedenken für Reisen nach China einen Reiselaptop und ein "Wegwerfhandy" (Prepaid) zu verwenden und diese nach der Rückkehr zu entsorgen. Wie schätzen Sie die Datenschutzrisiken vor diesem Hintergrund ein?
Chinesische Gesetze erlauben aufgrund der inhaltlichen Weite eine Vielzahl von Überwachungs- und Kontrollmaßnahmen durch Behörden zu unterschiedlichen Zwecken.
Die Bedenken sind daher nicht unbegründet. In den Medien liest man zudem immer wieder von staatlicher Spionagetätigkeit und von Fällen der Industriespionage. Die chinesische Regierung hat in der Vergangenheit eine Vielzahl von Maßnahmen mit Blick auf sichere IT-Nutzung und die Sicherung der Übertragungswege angekündigt, ohne dass anschließend einschneidende Maßnahmen folgten.
Die Volksrepublik ist sich des Wertes der transnationalen wirtschaftlichen Zusammenarbeit jedoch durchaus bewusst, und ist daher bemüht, einen Ausgleich zwischen Restriktionen und Freiheiten zu finden. Das zeigt sich an verschiedenen Leuchtturmprojekten im Bereich Digitalisierung. Dazu zählen "Free Trade Areas", die für verschiedene Städte wie Hainan, Shanghai, Beijing und Zhejiang geplant sind. Neben der Marktliberalisierung sehen sie die Vereinfachung von grenzüberschreitenden, transnationalen Datenflüssen vor. Dennoch ist Vorsicht angeraten, aber dies gilt auch für zahlreiche andere Staaten der Welt.
China drängt mit seinen Firmen im Rahmen der Digitalen Seidenstraße immer stärker auf internationale Märkte vor und setzt dort technologische Standards der Zukunft. Sehen Sie dies auch im Hinblick auf Datenschutz und wenn ja, inwiefern?
Hier muss man differenzieren. Chinesische Tech-Unternehmen verfügen über ein ganz erhebliches Innovationspotenzial. Andernfalls würden wir in der EU keine politischen Debatten über die digitale Souveränität führen. Gleichwohl ist meine Meinung, dass viele dieser Technologien, die neu entwickelt werden, nicht unbedingt zu mehr Datensicherheit oder Datenschutz beitragen müssen. Ganz im Gegenteil: Die zunehmende Auswertung von personenbezogenen Daten ist in den letzten Jahren im Allgemeinen immer lukrativer geworden und wird durch neue Technologien wie Big Data und Data Mining, KI und Internet of Things mit Blick auf Verbraucherdaten sogar noch gefördert.
Das ist aber generell kein chinesisches Problem, sondern auch eines, das für EU- und US-Unternehmen gilt. Problematisch wird es in der Praxis dann, wenn teils sensible personenbezogene Daten in der Cloud nach China übertragen werden. Denn die Volksrepublik gilt im Sinne des EU-Datenschutzrechts nach wie vor nicht als sicher anerkanntes Drittland.
Die Nachverfolgung von Covid-19-Infektionsketten wurde in China mithilfe von Gesichtserkennungssoftware und mit Datensammlungen über WeChat intensiviert. Wie schätzen Sie die Entwicklung des Datenschutzes vor dem Hintergrund der Coronapandemie ein?
China stellt bei der Bekämpfung von Corona keine Ausnahme dar, denn auch andere Staaten wie Südkorea oder Singapur bedienten sich umfassender Datensätze und verknüpften diese miteinander. Geschuldet ist dies vor allem dem abweichenden Verständnis von Datenschutz und Gemeinwohl in Fernost. Insoweit glaube ich nicht, dass die Nutzung von Überwachungstechnologien in China in Zusammenhang mit der Coronapandemie etwas an der generellen politischen Tendenz beim Datenschutz ändern wird. Vielmehr bestätigt es das bereits bestehende Verständnis, das sich nun in konkreten Maßnahmen manifestiert.
Mit welchen Aspekten sollten sich ausländische Unternehmen in China im Bereich Datenschutz vertraut machen?
Das kommt vor allem auf das Geschäftsfeld an, in dem sie tätig werden wollen. Gerade für die Technologieregulierung gilt, dass es ein hochkomplexes Netzwerk an Gesetzen, untergesetzlichen Vorschriften und technischen Standards gibt, die zur Auslegung des Rechts genutzt werden können.
Firmen, die auf den chinesischen Markt streben, sollten sich zunächst einmal mit den Basics vertraut machen.
Das fängt schon mit der Frage an, ob ich nur meine Waren vermarkten will oder eine feste Niederlassung betreibe, ob ich eigene Server vor Ort aufsetze oder im Austausch mit EU-Servern stehe, ob ich kryptografische Produkte verwende und welche Art von Daten in China generiert werden. Für viele dieser Fragen lassen sich tatsächlich recht verlässliche Antworten finden, weil es vielfach Standardprobleme sind.
Wie können sich deutsche Firmen für Herausforderungen beim Datenschutz in der Arbeit mit China wappnen?
Das Wichtigste ist, die eigenen Mitarbeiter im Umgang mit IT zu schulen. Das fängt damit an, dass man nicht versuchen sollte, privat über das Firmennetz gesperrte ausländische Seiten aufzurufen, weil dies das ganze Firmennetz lahmlegen kann. Umsichtig sein und Awareness schaffen, ist hier ganz zentral. Das gilt aber letztlich auch für jede andere fremde Rechtsordnung, in der sich das Unternehmen niederlässt.
Gesetze zur Datensicherheit in China stellen an Unternehmen hohe Anforderungen, insbesondere das Cybersecurity Law in Bezug auf Datenlokalisierung und Datensicherheitsmanagement. Können KMU diese überhaupt einhalten?
Das Problem liegt hier nicht an den hohen Anforderungen, die das chinesische Recht auferlegt, sondern daran, dass es sich um eine fremde Rechtsordnung mit einer komplett anderen Behördenzuständigkeit und einer sprachlichen Barriere handelt. Auch in der EU bestehen hohe Anforderungen an Datenschutz, sofern personenbezogene Daten verarbeitet werden. KMU müssen diese Vorgaben hierzulande ebenfalls beachten, was in der Vergangenheit weitestgehend möglich war. Das Problem für KMU liegt beim ausländischen Marktzugang darin, überhaupt erst zu ermitteln, welche Compliance-Vorgaben gelten und wie diese konkret umgesetzt werden können.
Welche Vorgehensweise empfehlen Sie deutschen Firmen, die chinesische Software für ihr Geschäft verwenden?
Generell sollte sichergestellt werden, dass ausländische IT-Produkte, denen man nicht hundertprozentig vertraut, nicht in kritischen Bereichen eingesetzt werden.
Zudem sollten sie keinen Zugriff auf kritische Informationsressourcen haben. Ferner ist vorab zu untersuchen, ob die Software Daten ins Ausland leitet. Für personenbezogene Daten ist dies nämlich nicht ohne Weiteres zulässig. Vorsicht ist auch bei der Datenspeicherung in ausländischen Clouds geboten, da vielfach nicht bekannt ist, welche staatlichen Zugriffsmöglichkeiten hier bestehen. Bestes Beispiel sind leider die USA, die eine extensive Überwachungspraxis pflegen.
Dieser Beitrag gehört zu: