Markteintritt in China

Wie China seine Daten schützt

China stellt für ausländische Firmen ein beliebtes Expansionsziel dar. Doch viele Gesetze zum Umgang mit Daten erschweren den Markteintritt. bbv gibt einen Überblick über die geltenden Bestimmungen.

11.10.2022Text: bbv0 Kommentare
Datenschutz in China: Nahaufnahme einer verschlossenen, roten Türe mit zwei alten, chinesischen Türknöpfen
Datenschutz in China: Grundlagen

Der Schweizer Handel mit China blüht: 2020 wurden Waren im Wert von über 14 Milliarden Franken nach China exportiert – laut Swissmem, dem Schweizer Verband der Maschinen-, Elektro und Metallindustrie, sind rund 4,1 Milliarden Franken davon auf Maschinenexporte zurückzuführen. Diese Zahlen verdeutlichen: China stellt für die hiesige MEM-Industrie einen zentralen Markt dar, weshalb auch Schweizer IoT-Unternehmen vermehrt erwägen, im Reich der Mitte mit den eigenen Produkten und Services Fuss zu fassen.

Für einen erfolgreichen Markteintritt in China bedarf es allerdings viel Planung und Wissen – vor allem auch, was den grenzüberschreitenden Datenverkehr betrifft: «Die chinesische Regierung betrachtet Daten schon seit Längerem als strategische Ressource und erklärte sie im aktuellen Fünfjahresplan sogar zu einem Produktionsfaktor», erklärt Markus Herrmann Chen, Managing Director des auf China spezialisierten Beratungsunternehmens China Macro Group (CMG). «Um diese Datenökonomie zu ermöglichen, unternimmt China viele Bestrebungen im Bereich Datenschutz und -regulierung – auch über die eigenen Landesgrenzen hinaus.»

Durch dieses Verständnis, gepaart mit Chinas Vorstellung einer Cyber-Souvernität für Nationalstaaten, erliess die «Cyber Administration of China» (CAC) verschiedene Gesetze und Standards, um den Datenumgang und -verkehr im Unternehmensumfeld rechtlich zu verankern. Die wichtigsten sollen hier kurz vorgestellt werden:

Cyber Security Law (CSL), seit 2017

Das CSL stellt das grundlegende Gesetz für Cybersicherheit und Datenschutz in China dar. Betreiber von Netzwerken – und darunter versteht China auch Rechnernetze oder Websites von Unternehmen – unterliegen einem strengen Regelwerk und haften bei Nichteinhaltung. Inhaltlich befasst sich das Gesetz etwa mit dem Schutz personenbezogener Daten, Netzwerksicherheit, den Schutz kritischer Informationsinfrastruktur, der Datenlokalisierung und Risikobewertung bei Datentransfers ins Ausland sowie mit der Sicherheitsprüfung von Netzwerkprodukten und -dienstleistungen.

Data Security Law (DSL), seit 2021

Während das CSL in seinen Ausführungen eher allgemein bleibt, gibt das DSL einen übergreifenden Rahmen für Chinas nationale Datensicherheit vor. Mit dem DSL wird ein kategorisiertes Datensicherheitssystem eingeführt. Das Gesetz unterscheidet zwischen «zentralen Daten» und «wichtigen Daten»: «Zentrale Daten» unterstützen die nationale oder wirtschaftliche Sicherheit Chinas, das Wohlergehen seiner Bürger oder wichtige öffentliche Interessen. «Wichtige Daten» gelten als nächste Stufe unter den zentralen Daten. Die genauen Definitionen von zentralen Daten und wichtigen Daten bleiben allerdings schwammig.

Personal Information Protection Law (PIPL), seit 2021

Beim PIPL handelt es sich um das erste umfassende Gesetz zum Schutz personenbezogener Daten (personal information, kurz PI) in China. Es definiert den Geltungsbereich personenbezogener Daten, klärt die Rechtsgrundlagen für deren Verarbeitung, legt die Pflichten und Verantwortlichkeiten der Verarbeiter fest und stellt strenge Anforderungen an die Datenlokalisierung. So ist das PIPL für China ein wichtiges Gesetz, um seine Interessen bei der grenzüberschreitenden Übermittlung personenbezogener Daten zu wahren. Das PIPL wird oft mit der in Europa geltenden Datenschutzgrundverordnung (DSGVO) verglichen.

Datenkategorisierung in China

Durch CSL, DSL und PIPL führte die chinesische Regierung ein eigenes Kategorisierungssystem für Daten ein:

– Zunächst werden personenbezogene Daten von Sachdaten unterschieden.

– Personenbezogene Daten sind dabei nicht-anonymisierte Daten zu Einzelpersonen. Weiter gibt es die Spezialkategorie der «sensitiven persönlichen Daten» – solche, deren Verlust oder illegale Verwendung die Würde einer Person beeinträchtigen oder einen Schaden verursachen.

– Bei den Sachdaten wurden neben den «gewöhnlichen Daten», deren Export aus Sicht der chinesischen Regulatoren nicht sensitiv sind, auch die Unterkategorien der «zentralen Daten» und «wichtigen Daten» geschaffen. Ursprünglich waren Exporte des ersteren Datentyps an Drittstaaten generell nicht möglich. Nach kritischen Rückmeldungen auf den ersten Regulierungsentwurf, insbesondere aus der Industrie, wurden diese strengen Bestimmungen jedoch gelockert.

 

Die drei Gesetze CSL, PIPL und DSL stehen zuoberst in der Gesetzgebung und regeln insbesondere Cybersicherheitsfragen der Hardware sowie Datensicherheitsfragen. «Darunter gibt es ausführende Verordnungen, die verschiedene regulatorische Querschnittsthemen weiter konkretisieren, etwa das Management von Datensicherheit oder Bestimmungen für sogenannte Betreiber kritischer Informationsinfrastrukturen, kurz CIIO», führt Markus Herrmann aus. «Auf der dritten Ebene folgen die industriespezifischen Umsetzungsregulierungen. Hier werden Regulierungen für die Sektoren Industrie, Telekommunikation, Transport, Finanzen, Technologie, Rohstoffe, Bildung und Gesundheit je von industriespezifischen Regulatoren konkretisiert.»

MLPS 2.0: Sicherheitszertifizierung zwingend erforderlich

Ein besonderes Augenmerk sollten Unternehmen zudem auf die Sicherheitszertifizierung «Multi Level Protection Scheme 2.0 (MLPS 2.0)» richten, die für alle Betriebe in China – egal, ob chinesisch oder ausländisch – obligatorisch ist. Unternehmen müssen dabei anhand eines Anforderungskatalogs eine Selbsteinschätzung («self-grading») für die Sicherheit ihrer Netzwerke durchführen. Dadurch wird dargelegt, dass das eigene Netzwerk ausreichend geschützt ist, etwa gegenüber unbefugten Zugriffen durch Hacker.

Aufgrund des self-gradings werden die Netzwerke einer Stufe 1 bis 5 zugeordnet – je nachdem, wie gross der verursachte Schaden für verschiedene Rechtsgüter wie Einzelpersonen, öffentliche Ordnung oder nationale Sicherheit im Falle von Datenverlust und Netzwerkstörungen wäre. Für die Zertifizierung muss diese Einstufung schliesslich bei der lokalen Behörde des «Ministry of Public Security» (MPS) eingereicht werden. «Ab Stufe drei nimmt eine behördlich autorisierte Testagentur einen Compliance-Test vor und legt einen «Gap analysis»-Bericht vor, den das betreffende Unternehmen abarbeiten muss, um vollständige Compliance mit den MLPS-2.0-Anforderungen zu demonstrieren», hält Markus Herrmann weiter fest. «Die Anzahl der Compliance-Anforderungen steigen dabei mit jeder MLPS-2.0-Einstufung – so müssen auf dem Level 3 circa 310 Anforderungen und auf Level 4 circa 340 Anforderungen erfüllt werden.»

Der Experte

Martin Egloff

Martin Egloff ist Business Area Manager in den Bereichen Medtech und Industrie. Er kennt die speziellen Entwicklungsprozesse im medizinischen Umfeld und verfügt über langjährige Erfahrung in interdisziplinären Entwicklungs- und Beratungsprojekten in den Bereichen Software, Hardware, Maschinenbau und Consulting.

Unser Wissen im Abo

Künstliche Intelligenz

KI-Training mit begrenzten Daten: Wie Sie Ihre KI-Modelle auch mit weniger Daten optimieren

AI/KI
Von Daten, Uses Cases und der Akzeptanz von KI

Daten, Daten, Daten! So gelingt der Einsatz von KI in Ihrem KMU

AI/KI
Expansion ins Reich der Mitte

Die lange Reise von der Schweiz nach China

Big Data

Attention!

Sorry, so far we got only content in English for this section.