Cybersicherheitsgesetz (Cybersecurity Law) der Volksrepublik China

Gepostet von , zuletzt bearbeitet von Marc Füßlein an 24 April 2024 16:58

Obwohl das Cybersicherheitsgesetzes der Volksrepublik China (中华人民共和国网络安全法), häufig auch im Deutschen als Cybersecurity Law (manchmal als CSL abgekürzt) bezeichnet, bereits im Juni 2017 in Kraft getreten ist, sind viele westliche Firmen weiterhin im Ungewissen darüber, welche Bereiche des Internetsicherheitsgesetzes sie direkt beim Betreiben einer chinesischen Webseite betreffen und was es in Bezug auf Compliance zu beachten gilt.

Generell setzt das chinesische Cybersicherheitsgesetz Regeln in den Bereichen Datenschutz, dem allgemeinen Verhalten im Internet sowie der IT-Sicherheit, gerade auch hinsichtlich der Netzwerk-Betriebssicherheit. Entscheidend hierbei ist, dass das Cybersicherheitsgesetzes aus China zwischen kritischer und nicht-kritischer Informationsinfrastruktur unterscheidet und viele der Regelungen und Compliance-Vorgaben des Gesetzes nur auf kritische Informationsinfrastrukturen zutreffen.

Was fällt unter kritische Informationsinfrastruktur?

Der Gesetzestext führt als kritische Informationsinfrastruktur konkret öffentliche Kommunikations- und Informationsdienste, Strom, Verkehr, Wasserbestände, Finanzen, öffentliche Dienste, E-Government aber auch „andere kritische Informationsinfrastrukturen“, welche im Falle einer Zerstörung, eines Funktionsverlusts oder eines Datenlecks die nationale Sicherheit, das nationale Wohlergehen, die Existenzgrundlage der Bevölkerung oder das öffentliche Interesse ernsthaft gefährden können, auf.

Wie üblich bei chinesischen Gesetzen lässt die Aufführung von „anderen kritischen Informationsinfrastrukturen“ ausreichend Spielraum für Interpretationen offen. Im Allgemeinen sollte die chinesische Website von den meisten westlichen Unternehmen nicht unter diesen Punkt fallen. Dennoch hat die Erfahrung gezeigt, dass in seltenen Fällen auch (aber nicht ausschließlich) Firmen aus dem High-Tech-Bereich in diese Kategorie der Cybersecurity Law fallen können. Für den Fall, dass ein Unternehmen in diesen Bereich fällt, muss zum einen ein Sicherheitsbewertungsbericht  (Safety Assessment Report bzw. 完安全评估报) im Rahmen des PSB Filings durchgeführt werden.

Zum anderen gelten für kritische Informationsinfrastrukturen, wie bereits erwähnt, zusätzliche Regelungen und Compliance-Vorgaben, die für die übrigen Unternehmen nicht gelten. Die wichtigste Vorschrift ist hierbei, dass persönliche oder wichtige Daten, die innerhalb des Hoheitsgebiets der Volksrepublik China gesammelt oder erstellt werden, auch dort gespeichert werden müssen. Falls es aus geschäftlichen Gründen nötig ist, die Daten außerhalb von China bereitzustellen, so ist dies nach Artikel 37 des chinesischen Cybersicherheitsgesetzes nur nach einer Sicherheitsbewertung der staatlichen Cybersicherheits- und Informationsbehörden möglich. Diese Bestimmungen wurden 2021 durch das Datensicherheitsgesetz der Volksrepublik China konkretisiert.

Entwicklung der Rechtslage

Zum jetzigen Zeitpunkt gelten die strikteren Vorgaben der Cybersecurity Law nur für die kritischen Informationsinfrastrukturen. In der Vergangenheit gab es bereits mehrfach politische Bestrebungen dahingehend, zumindest Teile der strikteren Regelungen auf nicht-kritische Informationsinfrastrukturen auszuweiten:

Bislang sind dies lediglich Entwürfe, von denen noch keiner in Kraft getreten ist. Es zeigt jedoch mögliche gesetzliche Weiterentwicklungen in China auf. Daher sollten westliche Firmen, die nach China expandieren, aufmerksam die zukünftige Gesetzgebung in China beachten.

Die relevantesten Regeln des chinesischen Cybersicherheitsgesetzes

Neben den speziellen Regelungen für kritische Informationsinfrastrukturen innerhalb des Internetsicherheitsgesetzes gibt es allgemeine Regelungen und Compliance-Vorgaben, die für alle Unternehmen relevant sind. Im Nachfolgenden konzentrieren wir uns auf die wichtigsten Punkte des Gesetzes im Hinblick auf den Betrieb einer Webseite oder Web-Applikation in China.

  • Das Erbringen von Diensten über ein Netzwerk muss in Übereinstimmung mit den bestehenden Gesetzen und Regelungen geschehen und muss die Integrität, die Vertraulichkeit und die Verfügbarkeit der Netzwerkdaten sicherstellen. (Artikel 10)
  • Alle Personen und Organisationen, die das Internet benutzen, müssen sich an die geltenden Gesetze halten und die öffentliche Ordnung respektieren. Im Besonderen darf das Internet nicht dazu genutzt werden, um sich bspw. an Aktivitäten zu beteiligen, welche die nationale Sicherheit oder nationale Interessen gefährden, zur Abspaltung anstiften oder die nationale Einheit untergraben, ethnische Diskriminierung fördern, gewalttätige, obszöne und pornografische Informationen verbreiten oder die Privatsphäre, die Rechte an geistigem Eigentum oder andere Rechte und Interessen anderer Personen verletzen. (Artikel 12)
  • Jede Person und Organisation ist für die eigene Nutzung des Internets verantwortlich und darf keine Webseite betreiben, welche die Herstellung oder den Verkauf von verbotenen und kontrollierten Waren ermöglicht. Andere illegale Aktivitäten über eine Webseite sind selbstverständlich ebenfalls verboten. (Artikel 46)            

Die vage Formulierung zieht sich durch den gesamten Gesetzestext. Das gibt dem Gesetzgeber ausreichend Interpretationsmöglichkeiten, um Strafen auszusprechen, die nicht explizit im Cybersicherheitsgesetz benannt werden. So wurde beispielsweise 2018 die chinesische Webseite und die Buchungs-App der Hotel-Kette Marriott International für mehrere Tage abgeschaltet, nachdem dieser ein Verstoß gegen das chinesische Cybersicherheitsgesetz und das Werbegesetz der Volksrepublik China vorgeworfen wurde. Das Vergehen bestand darin, dass Marriott diverse Länder wie Taiwan oder Tibet in einer Online-Umfrage als eigenständige Länder aufgeführt hatte. Dies wurde wiederum von der chinesischen Regierung als ein Hinweis auf Unterstützung von Separationsbewegungen und als Bedrohung der chinesischen Souveränität und territorialen Integrität angesehen, was somit ein Verstoß gegen Artikel 12 des Cybersicherheitsgesetzes der Volksrepublik China darstellte.

Deutsche Übersetzung des Cybersicherheitsgesetzes der Volksrepublik China

Als besonderen Service bieten wir unseren Kunden als kostenlosen Service eine von uns erstellte deutsche Übersetzung der Cybersecurity Law der Volksrepublik China an, in welcher einzelne Punkte nochmals näher und detaillierter eingesehen werden können. Dabei handelt es sich allerdings um eine freie Übersetzung, für welche weber.cloud China keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität übernimmt.

Deutsche Übersetzung des Cybersicherheitsgesetzes der Volksrepublik China (PDF, 425 KB)

Folgen bei Missachtung

Die Sanktionen bei einem Verstoß gegen das Internetsicherheitsgesetzes bzw. den darin beschriebenen Compliance Anforderungen sind je nach Schwere des Verstoßes unterschiedlich stark ausgeprägt. So wird beispielsweise im Gesetzestext bei einem Verstoß gegen Artikel 12, welcher auch konkret im genannten Beispiel der Firma Marriott vorgeworfen wurde, eine Bestrafung „in Übereinstimmung mit den einschlägigen Gesetzen und Verwaltungsvorschriften“ festgeschrieben. Daher lässt sich bei einem solchen Verstoß nicht pauschal die damit verbundene Strafe feststellen, da diese eben abhängig von dem genauen Fall festgelegt wird. Zudem wird bei einer rechtswidrigen Handlung diese entsprechend auch in den Akten der Behörden vermerkt und darüber hinaus veröffentlicht.

Bei schwereren Vergehen, wie bspw. einem Verstoß gegen Artikel 46, also dem Betrieb einer Webseite, über welche illegale Aktivitäten ermöglicht werden, werden je nach Schwere eine Abschaltung der Webseite für eine bestimmte Dauer, aber auch Geldstrafen oder das gänzliche Sperren der Seite verhängt.

Unternehmen, die unter die kritischen Informationsinfrastrukturen fallen und die Ihre Daten nicht im Hoheitsgebiet der Volksrepublik China speichern, drohen zudem empfindliche Geldstrafen bis hin zu einem Entzug der Geschäftslizenz.

Für Firmen ist es daher unerlässlich für den Betrieb einer chinesischen Webseite immer auch den kulturellen Kontext und die entsprechenden Regeln und Compliance Anforderungen, welche im Cybersicherheitsgesetzes der Volksrepublik China definiert werden, zu beachten. Dabei sollte zuerst evaluiert werden, ob das eigene Unternehmen unter die kritischen Informationsinfrastrukturen fällt und welche Punkte die Cybersecurity Law somit zu beachten sind. Da das chinesische Cybersicherheitsgesetz dabei oft sehr vage formuliert ist, sollten außerdem Punkte, die auch nur im Entferntesten sanktioniert werden könnten, vermieden werden. Andernfalls droht im schlimmsten Fall eine komplette Abschaltung der entsprechenden Webseite.


Weitergehende Beratung gewünscht?

Mit mehreren Jahren Erfahrung im Hosting von den verschiedensten Webseiten, Webshops und Webapplikationen in China, darunter bspw. Buchungsplattformen oder Online-Expos, hilft Ihnen weber.cloud China gerne bei Ihren offenen Fragen. Unsere Experten beraten Sie zum Betrieb Ihrer Webanwendungen in China und allen damit verbundenen Themen, wie bspw. die Bestimmungen des Cybersecurity-Gesetzes und deren Auswirkungen für Ihr Unternehmen. Bei tiefergehenden rechtlichen Fragen können wir Ihnen jederzeit einen Kontakt zu unseren deutschsprachigen Partner-Rechtsanwälten in China vermitteln. Natürlich können wir Sie darüber hinaus bei allen Fragen hinsichtlich eines Hostings in China unterstützen und Ihnen die passende Lösung anbieten, um Ihre Webseite performant nach China auszuliefern.

Klingt spannend? Dann freuen wir uns über Ihre Kontaktaufnahme.


Die Inhalte dieses Artikels wurden mit größtmöglicher Sorgfalt und nach bestem Gewissen zusammengestellt. Die weber.digital GmbH übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung unserer Wissensdatenbank entstehen, wird ausgeschlossen, soweit diese nicht auf Vorsatz oder grober Fahrlässigkeit beruhen.

Unsere Wissensdatenbank enthält externe Verlinkungen auf anderen Webseiten, auf deren Inhalt wir keinen Einfluss haben. Aus diesem Grund kann die weber.digital GmbH für diese Inhalte auch keine Gewähr übernehmen. Für die Inhalte und Richtigkeit der bereitgestellten Informationen ist der jeweilige Anbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar. Bei Bekanntwerden einer solchen Rechtsverletzung wird der Link umgehend entfernt.

(6 Stimme(n))
Hilfreich
Nicht hilfreich

Kommentare (0)
Neuen Kommentar posten
 
 
Vollständiger Name:
E-Mail:
Kommentare:
CAPTCHA Überprüfung 
 
Bitte bearbeiten Sie das untere Captcha.

© Copyright weber.digital GmbH · Anschrift & Impressum · AGB · Datenschutzerklärung