Live Chat Software by Kayako |
Cybersicherheitsgesetz (Cybersecurity Law) der Volksrepublik ChinaGepostet von , zuletzt bearbeitet von Marc Füßlein an 24 April 2024 16:58
|
|
Obwohl das Cybersicherheitsgesetzes der Volksrepublik China (中华人民共和国网络安全法), häufig auch im Deutschen als Cybersecurity Law (manchmal als CSL abgekürzt) bezeichnet, bereits im Juni 2017 in Kraft getreten ist, sind viele westliche Firmen weiterhin im Ungewissen darüber, welche Bereiche des Internetsicherheitsgesetzes sie direkt beim Betreiben einer chinesischen Webseite betreffen und was es in Bezug auf Compliance zu beachten gilt. Generell setzt das chinesische Cybersicherheitsgesetz Regeln in den Bereichen Datenschutz, dem allgemeinen Verhalten im Internet sowie der IT-Sicherheit, gerade auch hinsichtlich der Netzwerk-Betriebssicherheit. Entscheidend hierbei ist, dass das Cybersicherheitsgesetzes aus China zwischen kritischer und nicht-kritischer Informationsinfrastruktur unterscheidet und viele der Regelungen und Compliance-Vorgaben des Gesetzes nur auf kritische Informationsinfrastrukturen zutreffen. Was fällt unter kritische Informationsinfrastruktur?Der Gesetzestext führt als kritische Informationsinfrastruktur konkret öffentliche Kommunikations- und Informationsdienste, Strom, Verkehr, Wasserbestände, Finanzen, öffentliche Dienste, E-Government aber auch „andere kritische Informationsinfrastrukturen“, welche im Falle einer Zerstörung, eines Funktionsverlusts oder eines Datenlecks die nationale Sicherheit, das nationale Wohlergehen, die Existenzgrundlage der Bevölkerung oder das öffentliche Interesse ernsthaft gefährden können, auf. Wie üblich bei chinesischen Gesetzen lässt die Aufführung von „anderen kritischen Informationsinfrastrukturen“ ausreichend Spielraum für Interpretationen offen. Im Allgemeinen sollte die chinesische Website von den meisten westlichen Unternehmen nicht unter diesen Punkt fallen. Dennoch hat die Erfahrung gezeigt, dass in seltenen Fällen auch (aber nicht ausschließlich) Firmen aus dem High-Tech-Bereich in diese Kategorie der Cybersecurity Law fallen können. Für den Fall, dass ein Unternehmen in diesen Bereich fällt, muss zum einen ein Sicherheitsbewertungsbericht (Safety Assessment Report bzw. 完安全评估报) im Rahmen des PSB Filings durchgeführt werden. Zum anderen gelten für kritische Informationsinfrastrukturen, wie bereits erwähnt, zusätzliche Regelungen und Compliance-Vorgaben, die für die übrigen Unternehmen nicht gelten. Die wichtigste Vorschrift ist hierbei, dass persönliche oder wichtige Daten, die innerhalb des Hoheitsgebiets der Volksrepublik China gesammelt oder erstellt werden, auch dort gespeichert werden müssen. Falls es aus geschäftlichen Gründen nötig ist, die Daten außerhalb von China bereitzustellen, so ist dies nach Artikel 37 des chinesischen Cybersicherheitsgesetzes nur nach einer Sicherheitsbewertung der staatlichen Cybersicherheits- und Informationsbehörden möglich. Diese Bestimmungen wurden 2021 durch das Datensicherheitsgesetz der Volksrepublik China konkretisiert. Entwicklung der RechtslageZum jetzigen Zeitpunkt gelten die strikteren Vorgaben der Cybersecurity Law nur für die kritischen Informationsinfrastrukturen. In der Vergangenheit gab es bereits mehrfach politische Bestrebungen dahingehend, zumindest Teile der strikteren Regelungen auf nicht-kritische Informationsinfrastrukturen auszuweiten:
Bislang sind dies lediglich Entwürfe, von denen noch keiner in Kraft getreten ist. Es zeigt jedoch mögliche gesetzliche Weiterentwicklungen in China auf. Daher sollten westliche Firmen, die nach China expandieren, aufmerksam die zukünftige Gesetzgebung in China beachten. Die relevantesten Regeln des chinesischen CybersicherheitsgesetzesNeben den speziellen Regelungen für kritische Informationsinfrastrukturen innerhalb des Internetsicherheitsgesetzes gibt es allgemeine Regelungen und Compliance-Vorgaben, die für alle Unternehmen relevant sind. Im Nachfolgenden konzentrieren wir uns auf die wichtigsten Punkte des Gesetzes im Hinblick auf den Betrieb einer Webseite oder Web-Applikation in China.
Die vage Formulierung zieht sich durch den gesamten Gesetzestext. Das gibt dem Gesetzgeber ausreichend Interpretationsmöglichkeiten, um Strafen auszusprechen, die nicht explizit im Cybersicherheitsgesetz benannt werden. So wurde beispielsweise 2018 die chinesische Webseite und die Buchungs-App der Hotel-Kette Marriott International für mehrere Tage abgeschaltet, nachdem dieser ein Verstoß gegen das chinesische Cybersicherheitsgesetz und das Werbegesetz der Volksrepublik China vorgeworfen wurde. Das Vergehen bestand darin, dass Marriott diverse Länder wie Taiwan oder Tibet in einer Online-Umfrage als eigenständige Länder aufgeführt hatte. Dies wurde wiederum von der chinesischen Regierung als ein Hinweis auf Unterstützung von Separationsbewegungen und als Bedrohung der chinesischen Souveränität und territorialen Integrität angesehen, was somit ein Verstoß gegen Artikel 12 des Cybersicherheitsgesetzes der Volksrepublik China darstellte. Deutsche Übersetzung des Cybersicherheitsgesetzes der Volksrepublik ChinaAls besonderen Service bieten wir unseren Kunden als kostenlosen Service eine von uns erstellte deutsche Übersetzung der Cybersecurity Law der Volksrepublik China an, in welcher einzelne Punkte nochmals näher und detaillierter eingesehen werden können. Dabei handelt es sich allerdings um eine freie Übersetzung, für welche weber.cloud China keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität übernimmt. Deutsche Übersetzung des Cybersicherheitsgesetzes der Volksrepublik China (PDF, 425 KB) Folgen bei MissachtungDie Sanktionen bei einem Verstoß gegen das Internetsicherheitsgesetzes bzw. den darin beschriebenen Compliance Anforderungen sind je nach Schwere des Verstoßes unterschiedlich stark ausgeprägt. So wird beispielsweise im Gesetzestext bei einem Verstoß gegen Artikel 12, welcher auch konkret im genannten Beispiel der Firma Marriott vorgeworfen wurde, eine Bestrafung „in Übereinstimmung mit den einschlägigen Gesetzen und Verwaltungsvorschriften“ festgeschrieben. Daher lässt sich bei einem solchen Verstoß nicht pauschal die damit verbundene Strafe feststellen, da diese eben abhängig von dem genauen Fall festgelegt wird. Zudem wird bei einer rechtswidrigen Handlung diese entsprechend auch in den Akten der Behörden vermerkt und darüber hinaus veröffentlicht. Bei schwereren Vergehen, wie bspw. einem Verstoß gegen Artikel 46, also dem Betrieb einer Webseite, über welche illegale Aktivitäten ermöglicht werden, werden je nach Schwere eine Abschaltung der Webseite für eine bestimmte Dauer, aber auch Geldstrafen oder das gänzliche Sperren der Seite verhängt. Unternehmen, die unter die kritischen Informationsinfrastrukturen fallen und die Ihre Daten nicht im Hoheitsgebiet der Volksrepublik China speichern, drohen zudem empfindliche Geldstrafen bis hin zu einem Entzug der Geschäftslizenz. Für Firmen ist es daher unerlässlich für den Betrieb einer chinesischen Webseite immer auch den kulturellen Kontext und die entsprechenden Regeln und Compliance Anforderungen, welche im Cybersicherheitsgesetzes der Volksrepublik China definiert werden, zu beachten. Dabei sollte zuerst evaluiert werden, ob das eigene Unternehmen unter die kritischen Informationsinfrastrukturen fällt und welche Punkte die Cybersecurity Law somit zu beachten sind. Da das chinesische Cybersicherheitsgesetz dabei oft sehr vage formuliert ist, sollten außerdem Punkte, die auch nur im Entferntesten sanktioniert werden könnten, vermieden werden. Andernfalls droht im schlimmsten Fall eine komplette Abschaltung der entsprechenden Webseite.
| |
|