Sicherheit und Kontrolle im Netz – Betroffene (III)

Bildquelle: Www.xue.sem123.com

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Der Umgang mit persönlichen Daten spielt dabei eine große Rolle.

Der Schutz persönlicher Daten ist ein relativ neues Konzept im chinesischen Recht. Seit einigen Jahren gibt es jedoch durchaus Ansätze zum Thema, die zuletzt 2013 mit den Regeln zum Schutz von persönlichen Informationen von Internet- und Telekommunikationsnutzern (电信和互联网用户个人信息保护规定) einen recht umfassenden Abschluss fand. Dennoch handelt es sich bislang um untergesetzliche bereichsbezogene Einzelregulierung, die lokale Unterschiede aufweist (vgl. die entsprechende Gesetzgebung für Jiangsu, Shanghai und Henan). Die im Rang höchste Norm ist die Entscheidung von 2012 zur Stärkung des Schutzes von Internetinformationen (全国人大常委会关于加强网络信息保护的决定). In ihr ist allerdings auch festgelegt, dass Nutzer von Onlinediensten ihre wahre Identität offenlegen müssen. Das neue Internetsicherheitsgesetz enthält diesen Aspekt in Artikel 24. Dieses bereits eingangs in Teil 1 beschriebene Prinzip ist den meisten Ländern im internationalen Vergleich fremd. Besonders in Deutschland wird auf die Anonymität bei der Internetnutzung Wert gelegt. Das EU-Mitglied Irland indes hält es wie China, was nicht zuletzt mit dem EU-Hauptsitz von Facebook zu tun haben dürfte.

Das Internetsicherheitsgesetz weicht auch ansonsten nicht von den bereits vorhandenen Regelungen ab, führt aber einige neue Elemente ein, wie etwa die Löschung oder Veränderung persönlicher Daten. Der Begriff der persönlichen Daten ist in Art. 76 Abs. 5 definiert. Er ist insofern enger als der ebenfalls neu eingeführte Begriff der Nutzerdaten, als persönliche Daten immer zwingend mit der Identität einer Person verbunden sein müssen. Daten ohne eine solche Verbindung werden wohlgemerkt nicht als persönliche Daten eingestuft.

Wie in Teil 2 zum Thema kritische Infrastrukturen beschrieben, können die Regelungen insbesondere des 2. Abschnitts des Gesetzes dazu führen, dass Unternehmen, die unter diese Rubrik fallen, zur Bekanntgabe geschäftswichtiger Daten verpflichtet werden. In den Artikeln 30 und 45 ist daher ausdrücklich festgeschrieben, dass jegliche Informationen, die zuständige Abteilungen und Behörden in diesem Zusammenhang erhalten, nur zum Schutz der Netzsicherheit eingesetzt werden dürfen. Die Artikel 40 bis 44 enthalten ähnliche Missbrauchsvorschriften für Netzwerkbetreiber. Damit sollen natürlich nicht zuletzt die Bedenken ausländischer Unternehmen in China zerstreut werden, die ja ihre vor Ort generierten persönlichen und anderen wichtigen Daten grundsätzlich dort werden speichern müssen (vgl. Teil 2, Art. 37). Kann das überzeugen?

Das Prinzip der lokalen Speicherung von Daten, das im Zusammenhang mit Konzepten zum internationalem Datenverkehr als Festungsstrategie (fortress approach) bezeichnet wird, hat die VR China bereits in verschiedenen Einzelverordnungen festgelegt. Es ist also lediglich in seiner übergreifenden Anwendbarkeit neu, und wird durchaus auch von einigen anderen Staaten in dieser Form verfolgt. Nicht in der EU, die ein Weißbuch erarbeitet hat, das Länder mit vergleichbarem Datenschutzniveau aufführt, mit denen Daten problemlos ausgetauscht werden dürfen. Die VR China gehört bezeichnenderweise nicht dazu, was nun wieder zurückführt auf die oben aufgeworfene Frage, inwiefern die vorgesehenen Missbrauchsvorschriften (Art. 30, 40-45) zu überzeugen vermögen. Auch vor dem Hintergrund des staatlichen Kontrollbedürfnisses wird man das wohl verneinen müssen. Zumal zwar eine Haftung (Art. 73), nicht aber eine unabhängige Kontrolle der jeweils zuständigen staatlichen Stellen vorgesehen ist.

Die erwarteten Begleitverordnungen mögen über diese und andere offene Fragen Aufschluss geben. Insbesondere über die Definition „anderer wichtiger Daten“ und die Kriterien bei den vorgesehenen Sicherheitsüberprüfungen. Datenschutz wie in der EU, ausgestaltet als individuelles Schutzrecht, wird man trotzdem nicht erwarten können. Die Idee ist vielmehr, einen geordneten Markt herzustellen und Datenflüsse zu kontrollieren. Als Beispiel dient Artikel 24, der Netzwerkbetreiber dazu verpflichtet, die Identität seiner Nutzer zu überprüfen. Wie gesagt sind solche Pflichten bereits in zahlreichen gebietsbezogenen Einzelverordnungen enthalten. Sie betreffen Telekommunikation, Finanzen, wohnen, reisen, etc. Keineswegs überraschend in einem Polizeistaat, und auf chinesische Weise umfassend zu Ende gedacht (Big Brother lässt grüßen). Die positive Seite der Medaille besteht allerdings darin, dass man sich überall im Land einigermaßen sicher bewegen kann.

Im nächsten Teil mehr zu einzelnen Pflichten und Haftung.