Willkommen auf den Seiten des Auswärtigen Amts

Namensartikel von Botschafter Clauß (FTChinese): Chinas Cybersicherheitsgesetz: Warum sind ausländische Unternehmen besorgt?

16.03.2018 - Artikel

Hier finden Sie eine deutsche Übersetzung des Namensartikels, das chinesische Original finden Sie unter: http://www.ftchinese.com/story/001076746

-----------------------------------------------------------------------------------------------------------------------------------

„Es gibt zwei Arten von Unternehmen: Diejenigen, die gehackt wurden und solche, die nicht wissen, dass sie gehackt worden sind“. Dieses Zitat des Cisco-Chefs John Chambers ist fast schon ein geflügeltes Wort. So wie Unternehmen sich Sorgen um ihre Firmengeheimnisse machen, fürchten Kunden um ihre persönlichen Daten. Regierungen wiederum sorgen sich um die Sicherheit ihrer internen Datennetze und vor allem um die Gefahr terroristischer Anschläge aus dem Cyberspace auf kritische Infrastrukturen wie Strom- und Wasserversorgung. Gerade erst hat ein spektakulärer Fall von Hacking gegen das Netz der deutschen Bundesregierung Schlagzeilen gemacht. Auch für China sind Cyberattacken kein unbekanntes Phänomen, wie der Ende 2017 bekannt gewordene Angriff auf die Netzwerktechnik des Unternehmens Huawei zeigt. Es ist also nicht verwunderlich, dass sich nicht nur europäische Regierungen und die USA durch gesetzliche Regelungen schützen wollen, sondern auch China. Herzstück der chinesischen Bemühungen ist das neue Cybersicherheitsgesetz, das am 1. Juni 2017 in Kraft getreten ist. Bis Ende 2018 soll es mit weiteren Durchführungsbestimmungen vervollständigt werden. Das Gesetz und der Entwurf der Vorschriften zum grenzüberschreitenden Datenverkehr haben jedoch nicht mehr Vertrauen geschaffen, sondern zu einer starken Verunsicherung bei ausländischen Unternehmen geführt. Was sind hierfür die Gründe?

Erstens sind die Gesetzestexte für viele ausländische Beobachter zu vage formuliert und zu weit gefasst. Selbst zentrale Begriffe wie „Netzwerkbetreiber“ sind so unbestimmt, dass es sein kann, dass ein Unternehmen bereits dann hohe Sicherheitsstandards erfüllen muss, wenn es nur ein Computernetzwerk betreibt oder nutzt – also fast alle. Auch die Definition für Betreiber „kritischer Informationsinfrastruktur“, für die zusätzliche und strengere Regeln gelten, ist sehr schwammig. Während das deutsche Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit klar eingrenzt, welche „kritischen Infrastrukturen“ betroffen sind – beispielsweise die öffentliche Wasser- und Stromversorgung – ist die Definition im chinesischen Gesetz so offen, dass auch hier letztlich alle Bereiche und alle Unternehmen betroffen sein könnten. Obendrein ist die Beschreibung, welche Art von Daten in den Anwendungsbereich des Gesetzes fällt, sehr weit gefasst. Die Aufzählung ist so lang, dass es einem schwerfällt zu erkennen, welche Daten eigentlich nicht erfasst werden sollen. Die Unternehmen sind folglich verunsichert, ob sie und ihre Produkte vom Anwendungsbereich des Gesetzes erfasst sind und welche rechtlichen Anforderungen sie erfüllen müssen. Gleichzeitig drohen bei Verstößen Sanktionen bis hin zur Untersagung des Geschäftsbetriebs. Eine weitere, drängende Frage kommt hinzu: was bedeuten die Regelungen für den Schutz von geistigem Eigentum und Geschäftsgeheimnissen vor dem Zugriff von Dritten? Wie kann sichergestellt werden, dass Sicherheitsüberprüfungen transparent gemacht und nicht für einen ungewollten Knowhow-Transfer missbraucht werden? Gleiches gilt für den Zwang zur lokalen Datenspeicherung, der einen massiven Eingriff in die Unternehmensabläufe darstellt. Bei Daten, die zentral auf Servern gespeichert werden müssen, ist das Risiko jedenfalls größer, dass sie abgegriffen werden oder verloren gehen als bei einer dezentralen Speicherung in der Cloud.

Zweitens wächst die Sorge über die angekündigte Vollsperrung von VPN-Verbindungen, von der nur staatlich lizenzierte Internetleitungen ausgenommen sein sollen. Auch hier herrscht große Unsicherheit. Wird private Kommunikation weiterhin geschützt möglich sein? Sind die Auswirkungen auf die Attraktivität Chinas als Standort für Unternehmen sowie für deren Mitarbeiter und Familien hinreichend bedacht worden? Welche Mehrkosten kommen auf Unternehmen zu? Kosten von bis zu 20.000 Euro monatlich für die erzwungene Anschaffung von lizenzierten Leitungen könnten das Geschäftsmodell insbesondere von Kleinen und Mittleren Unternehmen in China grundsätzlich in Frage stellen.  Kann die flächendeckende Anwendung von Industrie 4.0 gelingen, wenn VPN-Verbindungen und grenzüberschreitender Datenverkehr die hochregulierte Ausnahme und nicht die flexible Regel sind? Welche Auswirkungen wird es auf forschungsintensive Aktivitäten von Unternehmen und Universitäten haben, wenn die Wahl ihrer internetbasierten Rechercheinstrumente weiter eingeschränkt wird? Obwohl die Vollsperrung von VPN-Verbindungen angeblich schon in den nächsten Wochen greifen soll, fehlen konkrete Informationen, bis wann und wie Unternehmen und andere Nutzer diesen Regelungen technisch gerecht werden müssen.

In Anbetracht der bestehenden Rechtsunsicherheiten stellt sich drittens die Frage nach den Motiven der neuen Regelungen. Ausländische Unternehmen fragen sich, ob die fehlende Transparenz und die mangelnde Orientierung an internationalen Standards nicht auch industriepolitischen Interessen dienen sollen. Zum Beispiel richtet sich das Cybersicherheitsgesetz bei der Sicherheitszertifizierung von Hardware nach rein nationalen chinesischen Standards. Wenig überraschend wurde bisher ausschließlich Hardware von chinesischen Herstellern zertifiziert. Sollen also ausländische Unternehmen gerade in den zukunftsträchtigen internetbasierten Industriezweigen durch nicht-tarifäre Handelshemmnisse aus dem chinesischen Markt gedrängt werden? Und könnten vage formulierte Regelungen für protektionistische Einzelfallentscheidungen missbraucht werden?

Auch auf die Gefahr hin, dass der Appell erneut als „unprofessionell und unverantwortlich“ abge-kanzelt wird: Ein substantieller Dialog zwischen der deutschen und der chinesischen Seite über alle diese Fragen bleibt dringlich, wenn unsere Wirtschaftsbeziehungen nicht unnötig leiden sollen. Ansonsten wächst das Risiko, dass die Anschlussfähigkeit auch der chinesischen Industrie an globale Wertschöpfungsketten durch den starken Wunsch nach „Cybersouveränität“ – also der staatlichen Kontrolle über Datenströme – auf der Strecke bleibt. Gerade auch im Bereich Industrie 4.0, der das Fundament für eine neue Phase vertiefter deutsch-chinesischer Zusammenarbeit sein soll, ist die schnelle und reibungslose Vernetzung zwischen Unternehmen und Geräten über Grenzen hinweg eine wichtige Voraussetzung.

Was müsste nun geschehen? Die chinesische Regierung könnte einige Signale senden, dass sie die Sorgen der Unternehmen ernst nimmt. Einige ganz konkrete Maßnahmen könnten dabei helfen: Klarer formulierte und kommunizierte Durchführungsbestimmungen würden mehr Rechtssicherheit schaffen. Das würde Investitionsentscheidungen, die manche Unternehmen angesichts der unklaren Rechtslage derzeit zurückhalten, berechenbarer machen. Die eingeforderten technischen Standards könnten stärker an bereits vorhandene internationale Standards angelehnt werden, um den Vorwurf der Marktabschottung zu entkräften. Die Anwendungsbereiche könnten enger definiert und bürokratische Verfahren schlanker gestaltet werden, um sie mit der Realität in Echtzeit ablaufender grenzüberschreitender Arbeitsprozesse in Einklang zu bringen. Die deutschen Unternehmen würden sich jedenfalls wünschen, dass sie in den Gremien, die die  entsprechenden Standards und  Durchführungsbestimmungen vorbereiten, ausreichend gehört werden.

Alle hochentwickelten Industriestaaten, inklusive Deutschland, stehen vor der Herausforderung, Aktivitäten im Cyberspace verlässlich und mit Augenmaß zu regulieren. Konkret bedeutet das, eine tragbare Balance zwischen Cybersicherheit und einem freien internationalen Datenverkehr zu erreichen. Das muss nicht in jedem Land auf die exakt gleiche Weise geschehen. Aber ein zu einseitiger Fokus auf nationale „Cybersouveränität“ erhöht die Gefahr, Innovation durch übermäßige Abschottung von Wirtschaft und Gesellschaft auszubremsen. Eine riesige Chance für die weitere Modernisierung der chinesischen Industrie und für die deutsch-chinesischen Wirtschaftsbeziehungen bliebe unausgeschöpft. Je weiter die Digitalisierung der chinesischen Wirtschaft voranschreitet, desto dringender wird dieses Problem. Auf der Tagesordnung unserer bilateralen Beziehungen wird es jedenfalls ganz weit oben bleiben.

nach oben