Wie China seine Daten schützt

Der Schweizer Handel mit China blüht: 2020 wurden Waren im Wert von über 14 Milliarden Franken nach China exportiert – laut Swissmem, dem Schweizer Verband der Maschinen-, Elektro und Metallindustrie, sind rund 4,1 Milliarden Franken davon auf Maschinenexporte zurückzuführen. Diese Zahlen verdeutlichen: China stellt für die hiesige MEM-Industrie einen zentralen Markt dar, weshalb auch Schweizer IoT-Unternehmen vermehrt erwägen, im Reich der Mitte mit den eigenen Produkten und Services Fuss zu fassen.

Für einen erfolgreichen Markteintritt in China bedarf es allerdings viel Planung und Wissen – vor allem auch, was den grenzüberschreitenden Datenverkehr betrifft: «Die chinesische Regierung betrachtet Daten schon seit Längerem als strategische Ressource und erklärte sie im aktuellen Fünfjahresplan sogar zu einem Produktionsfaktor», erklärt Markus Herrmann Chen, Managing Director des auf China spezialisierten Beratungsunternehmens China Macro Group (CMG). «Um diese Datenökonomie zu ermöglichen, unternimmt China viele Bestrebungen im Bereich Datenschutz und -regulierung – auch über die eigenen Landesgrenzen hinaus.»

Durch dieses Verständnis, gepaart mit Chinas Vorstellung einer Cyber-Souvernität für Nationalstaaten, erliess die «Cyber Administration of China» (CAC) verschiedene Gesetze und Standards, um den Datenumgang und -verkehr im Unternehmensumfeld rechtlich zu verankern. Die wichtigsten sollen hier kurz vorgestellt werden:

Cyber Security Law (CSL), seit 2017

Das CSL stellt das grundlegende Gesetz für Cybersicherheit und Datenschutz in China dar. Betreiber von Netzwerken – und darunter versteht China auch Rechnernetze oder Websites von Unternehmen – unterliegen einem strengen Regelwerk und haften bei Nichteinhaltung. Inhaltlich befasst sich das Gesetz etwa mit dem Schutz personenbezogener Daten, Netzwerksicherheit, den Schutz kritischer Informationsinfrastruktur, der Datenlokalisierung und Risikobewertung bei Datentransfers ins Ausland sowie mit der Sicherheitsprüfung von Netzwerkprodukten und -dienstleistungen.

Data Security Law (DSL), seit 2021

Während das CSL in seinen Ausführungen eher allgemein bleibt, gibt das DSL einen übergreifenden Rahmen für Chinas nationale Datensicherheit vor. Mit dem DSL wird ein kategorisiertes Datensicherheitssystem eingeführt. Das Gesetz unterscheidet zwischen «zentralen Daten» und «wichtigen Daten»: «Zentrale Daten» unterstützen die nationale oder wirtschaftliche Sicherheit Chinas, das Wohlergehen seiner Bürger oder wichtige öffentliche Interessen. «Wichtige Daten» gelten als nächste Stufe unter den zentralen Daten. Die genauen Definitionen von zentralen Daten und wichtigen Daten bleiben allerdings schwammig.

Personal Information Protection Law (PIPL), seit 2021

Beim PIPL handelt es sich um das erste umfassende Gesetz zum Schutz personenbezogener Daten (personal information, kurz PI) in China. Es definiert den Geltungsbereich personenbezogener Daten, klärt die Rechtsgrundlagen für deren Verarbeitung, legt die Pflichten und Verantwortlichkeiten der Verarbeiter fest und stellt strenge Anforderungen an die Datenlokalisierung. So ist das PIPL für China ein wichtiges Gesetz, um seine Interessen bei der grenzüberschreitenden Übermittlung personenbezogener Daten zu wahren. Das PIPL wird oft mit der in Europa geltenden Datenschutzgrundverordnung (DSGVO) verglichen.

Die drei Gesetze CSL, PIPL und DSL stehen zuoberst in der Gesetzgebung und regeln insbesondere Cybersicherheitsfragen der Hardware sowie Datensicherheitsfragen. «Darunter gibt es ausführende Verordnungen, die verschiedene regulatorische Querschnittsthemen weiter konkretisieren, etwa das Management von Datensicherheit oder Bestimmungen für sogenannte Betreiber kritischer Informationsinfrastrukturen, kurz CIIO», führt Markus Herrmann aus. «Auf der dritten Ebene folgen die industriespezifischen Umsetzungsregulierungen. Hier werden Regulierungen für die Sektoren Industrie, Telekommunikation, Transport, Finanzen, Technologie, Rohstoffe, Bildung und Gesundheit je von industriespezifischen Regulatoren konkretisiert.»

MLPS 2.0: Sicherheitszertifizierung zwingend erforderlich

Ein besonderes Augenmerk sollten Unternehmen zudem auf die Sicherheitszertifizierung «Multi Level Protection Scheme 2.0 (MLPS 2.0)» richten, die für alle Betriebe in China – egal, ob chinesisch oder ausländisch – obligatorisch ist. Unternehmen müssen dabei anhand eines Anforderungskatalogs eine Selbsteinschätzung («self-grading») für die Sicherheit ihrer Netzwerke durchführen. Dadurch wird dargelegt, dass das eigene Netzwerk ausreichend geschützt ist, etwa gegenüber unbefugten Zugriffen durch Hacker.

Aufgrund des self-gradings werden die Netzwerke einer Stufe 1 bis 5 zugeordnet – je nachdem, wie gross der verursachte Schaden für verschiedene Rechtsgüter wie Einzelpersonen, öffentliche Ordnung oder nationale Sicherheit im Falle von Datenverlust und Netzwerkstörungen wäre. Für die Zertifizierung muss diese Einstufung schliesslich bei der lokalen Behörde des «Ministry of Public Security» (MPS) eingereicht werden. «Ab Stufe drei nimmt eine behördlich autorisierte Testagentur einen Compliance-Test vor und legt einen «Gap analysis»-Bericht vor, den das betreffende Unternehmen abarbeiten muss, um vollständige Compliance mit den MLPS-2.0-Anforderungen zu demonstrieren», hält Markus Herrmann weiter fest. «Die Anzahl der Compliance-Anforderungen steigen dabei mit jeder MLPS-2.0-Einstufung – so müssen auf dem Level 3 circa 310 Anforderungen und auf Level 4 circa 340 Anforderungen erfüllt werden.»