Die chinesische Regierung übt eine rigide Kontrolle über das Internet aus. Was bedeutet das für deutsche Unternehmen vor Ort?
Für deutsche Unternehmen mit Standorten in China wird der Datenaustausch immer problematischer. Das wurde bei dem Workshop "Datenübertragung und Datenschutz in China" deutlich, zu dem das Chinaforum Bayern und die IHK Nürnberg für Mittelfranken eingeladen hatten. Die Digitalisierung führt zu einem stetig wachsenden Datentransfer zwischen den beiden Ländern, der allerdings immer stärkeren Regulierungen unterliegt. Die Staatsführung hat dafür den Begriff "Cybersouveränität" geprägt. Das Thema sei "hoch politisch", warnte Rechtsanwalt Michael Tan, Partner der Beratungsgesellschaft Taylor Wessing in Shanghai, mit Blick auf das geplante chinesische Gesetz zur Datenexportkontrolle (Data Export Control), das alle Daten betrifft, die China verlassen. Es dürfe von den Unternehmen nicht vorrangig als technische Frage betrachtet werden, sondern müsse Chefsache sein.
China denkt beim Internet strategisch: Bereits 2013 wurde die Behörde Cyberspace Administration of China (CAC) gegründet, im Jahr 2015 das Nationale Sicherheitsgesetz (National Security Law) verabschiedet und 2017 ist das Cybersicherheitsgesetz (Cyber Security Law CSL) in Kraft getreten. Es legt fest, dass wichtige Technologien, Infrastruktur und Informationssysteme "sicher und kontrollierbar" sein müssen, wobei aus Sicht deutscher Juristen aber klar formulierte Bedingungen fehlen. Laut Tan werden immer wieder Gesetze und Verordnungen verabschiedet, ohne dass diese oder einzelne Regelungen daraus gleich durch Strafverfolgungsbehörden und Gerichte geahndet werden. Noch immer warten Unternehmen und Netzwerkbetreiber darauf, dass die gesetzlichen Regelungen zur Datenexportkontrolle präzisiert und verabschiedet werden. Die bisherigen Gesetzentwürfe zur Kontrolle der Datenexporte beschreiben beispielsweise, welche Branchen unter spezieller Beobachtung stehen, etwa öffentliche Kommunikation, Energie, Transport und Finanzen. Zugleich sind aber auch weitere Bereiche einbezogen, die im Fall von Ausfall, Zerstörung oder Datenverlust "ernste Schäden" für die nationale Sicherheit, die Wirtschaft, die Sicherheit der Bevölkerung oder das Gemeinwohl nach sich ziehen würden. Das könnte im Prinzip alles sein, warnte Tan. Außerdem dürfen bestimmte Daten das Land nicht ohne amtliche Genehmigung verlassen. Dazu zählen personenbezogene Daten, die nicht für den Export relevant sind oder die Risiken etwa für das öffentliche Interesse Chinas bergen.
Die Verantwortung für die künftige Einhaltung der Regelungen beim Datenexport liegt beim Netzwerkbetreiber. Als Netzwerkbetreiber gilt laut Gesetzentwurf der Eigentümer des Netzwerks; das kann beispielsweise der deutsche Firmenchef sein, der oberste Firmenvertreter in China, aber auch der Netzwerk-Administrator oder der Service-Provider.
Die drohenden Strafen sind empfindlich und reichen von Geldstrafen bis zu Gefängnisstrafen von bis zu drei Jahren – egal, ob man in China arbeitet oder in Deutschland. Beispiel: Das Unternehmen ermöglicht seinen Mitarbeitern in China den Zugriff auf das deutsche Netzwerk. Sie nutzen diese Möglichkeit, um so in das Internet zu gehen und beispielsweise auf Youtube einen chinakritischen Spot zu "liken". Dann muss das Unternehmen laut Tan nachweisen, dass es technisch alles unternommen hat, um den Zugang zum Internet zu blockieren. Eine unterschriebene Erklärung durch Mitarbeiter reicht nicht aus. Ungemütlich kann es auch werden, wenn auf der Firmen-Homepage Taiwan genannt wird, das aus Sicht der Volksrepublik als abtrünnige Provinz gilt.
Der Datenaustausch aus China heraus darf mittlerweile nur noch über die Server der großen drei Telekommunikationskonzerne China Mobil, China Telekom und China Unicom laufen. Damit steht die VPN-Technik (Virtual Private Network), die von Unternehmen vielfach für die geschützte grenzüberschreitende Kommunikation oder zur Verbindung von Datenbanken genutzt wird, erheblich unter Druck. Genutzt werden dürfen jetzt nur noch VPN-Anbieter, die in China akkreditiert sind. Auf diese Weise soll etwa eine Umgehung der staatlichen Internet-Zensur in China verhindert werden. Grundsätzlich blockiert sind Social-Media-Anbieter wie Google, Facebook, Twitter und Whatsapp. Lediglich für den internen Datenaustausch internationaler Unternehmen ist der VPN-Einsatz gestattet. Allerdings weist das Auswärtige Amt darauf hin, dass eine dauerhafte Sperrung der kommerziellen, auch nicht-chinesischen VPN-Anbieter bisher noch nicht erfolgt ist.
"Great Firewall of China"
Die "Great Firewall of China" wird also immer höher gezogen. Die chinesische Regierung sieht die digitale Abschottung und Internet-Kontrolle "als Schlüssel für Stabilität" an, so Niels-Uwe Behrens, Inhaber der IT-Firma IBB in Shanghai. Über die Logik und Methodik, mit der Inhalte gefiltert oder blockiert werden, gebe es keine offiziellen Angaben. Man könne lediglich ausprobieren, auf welche Inhalte der Zugriff möglich ist. So ließen sich einige Internet-Seiten von seinem Büro aus nicht aufrufen, vom Internet-Café zwei Stockwerke tiefer allerdings schon. Außerdem haben es deutsche Unternehmen mit ständig wechselnden Regelungen zu tun sowie mit unklaren und unkonkreten Aussagen der Behörden, was nun genau erlaubt ist und was nicht.
Für schützenswerte Daten empfiehlt Behrens eine sogenannte MPLS-Verbindung (Multiprotocol Label Switching) – eine gemietete Leitung mit garantierter Bandbreite, die nicht das öffentliche Internet nutzt. Die MPLS-Lösung ermöglicht zwar einen sicheren Datenaustausch, bietet aber nur eine geringe Bandbreite zu einem hohen Preis. Eine andere Lösung ist eine Hybridcloud, die Daten teils lokal in China und teils in der Cloud sichert. Andere Möglichkeiten sind komplett lokal gehostete Daten und Services oder in China verfügbare, internationale Cloud-Lösungen sowie chinesische Cloud-Lösungen. Eine solche bietet Behrens über die von ihm gegründete Firma IBB Nihaocloud an.
