Cybersicherheit im großen Stil – China und das neue Cybersicherheitsgesetz

Am 4. März 2017 lief die vom Bundesministerium für Wirtschaft und Energie gesetzte Frist aus, geplante Maßnahmen der Cyberspace Administration of China (CAC) zur Umsetzung des im November 2016 verabschiedeten Cybersicherheitsgesetzes der Volksrepublik China zu kommentieren. Bei diesen geplanten Maßnahmen handelt es sich um einen Entwurf der so genannten „Measures on Security Review of Network Products and Services“, welche die gesetzlichen Vorgaben speziell für die Hersteller und Anbieter von IT-Lösungen in China konkretisieren sollen. Doch was hat es damit eigentlich genau auf sich – und warum ist dies auch für deutsche Hersteller relevant?

Ein globaler Blick auf die Regulierung von Cybersicherheit – das Jahr 2014 als "Startschuss"

Japan ist, was Cybersecurity angeht, zumindest in gesetzlicher Hinsicht einer der globalen Vorreiter, denn in dem Land wurde bereits 2014 der „Basic Act on Cybersecurity“ verabschiedet, Deutschland folgte ein Jahr später mit dem IT-Sicherheitsgesetz (IT-SiG), die Europäische Union verabschiedete erst vergangenes Jahr nach einem langwierigen Gesetzgebungsverfahren ihre Richtlinie zur Netz- und Informationssicherheit (NIS-RL); das entsprechende nationale Umsetzungsgesetz befindet sich zurzeit im Gesetzgebungsverfahren. Jüngst im Februar 2017 wurden der Europäischen Kommission von der Energy Expert Cyber Security Platform (EECSP) zudem die aktuellen Empfehlungen für eine EU-Strategie im Bereich der Cybersicherheit der Energienetze vorgestellt, die ebenso Empfehlungen für zukünftiges gesetzgeberisches Handeln in diesem Bereich umfassen. Die Beratungen um das chinesische Cybersicherheitsgesetz begannen bereits im Jahre 2015. Ziel dieses Gesetzgebungsverfahrens war es, nicht nur Regelungen für die Sicherheit der Datenverarbeitung zu schaffen, sondern gleichsam auch den Datenschutz wie auch den Schutz der Kritischen Infrastrukturen (KRITIS) mit zu berücksichtigen.

Ein Überblick über die chinesischen Regelungen

Wer einen Blick auf das neue chinesische Cybersicherheitsgesetz wirft, dem fällt schnell auf, dass dieses einen umfassenden Regulierungsansatz verfolgt, der sowohl Datenschutz wie auch Datensicherheit berücksichtigt, und sich daneben auch auf die Betriebssicherheit von wesentlichen und kritischen Dienstleistungen fokussiert. So untergliedert sich das Gesetz in sieben Abschnitte, die unter anderem allgemeine Vorgaben und Begriffsdefinitionen enthalten; Maßnahmen zur Unterstützung und Förderung der Netzwerksicherheit bestimmen; Aspekte des Monitorings, die Einrichtung eines Frühwarnsystems und Notfall-Reaktionsmaßnahmen behandeln; nicht zuletzt werden auch Fragen der rechtlichen Verantwortlichkeit für Cybersicherheitsmaßnahmen und -vorfälle geklärt.

Wichtige Einzelaspekte aus dem Cybersicherheitsgesetz – und ein Vergleich mit dem deutschen und dem EU-Recht

Verglichen mit den aktuellen deutschen und europäischen Regelungen zur Cybersicherheit finden sich für das chinesische Gesetz durchaus einige Gemeinsamkeiten, aber auch erhebliche Unterschiede. Zuvorderst auffallend ist das systematische Verständnis von Datensicherheit und Datenschutz, denn wo einerseits im deutschen wie im europäischen Recht beide Seiten einer Medaille oftmals nur zögerlich zusammengeführt werden und eine doch recht deutliche Trennung zwischen den Datenschutz- und den IT-Sicherheitsvorschriften existiert, werden im chinesischen Recht die wesentlichen Vorgaben umfassender in einem Einzelgesetz geregelt. Dem Staat kommen dabei wesentliche Koordinierungsfunktionen zu: So wird nicht nur der Bürger aktiv durch Aus- und Fortbildung einbezogen und erhält die Möglichkeit, die Netzwerksicherheit beeinträchtigende Vorgänge den zuständigen Behörden zu melden, sondern dem Staat wird durch das Gesetz ebenso die Aufgabe zugewiesen, die technische Normung im Bereich der IT-Sicherheit weiter zu entwickeln. Die Pflichten der Betreiber entsprechen im Wesentlichen denen nach deutschem bzw. europäischem Recht: Hierzu gehört zum Beispiel, technische und organisatorische Maßnahmen (TOM) zu ergreifen, um Gefahren für die Betriebssicherheit zu reduzieren. Um zu einer Reduzierung von Online-Kriminalität beizutragen, werden in Zukunft unter anderem Accessprovider verpflichtet, dem Kunden bei Vertragsunterzeichnung einen Identitätsnachweis abzuverlangen. Der inner- sowie außerstaatliche Informationsaustausch in Sachen Cybersicherheit wird behördlich koordiniert, ähnlich der Zentralstellenfunktion von BSI und ENISA. Für die Betreiber von KRITIS gelten nochmals erhöhte Anforderungen an die Cybersicherheit. Im Gesetz finden sich zudem zahlreiche datenschutzrechtliche Regelungen, die in vielerlei Hinsicht mit wichtigen deutschen und europäischen datenschutzrechtlichen Regelungsprinzipien konform sind: Benannt werden unter anderem die Erforderlichkeitsprüfung, der Zweckbindungsgrundsatz, eine „data breach“-Regelung und verschiedene Betroffenenrechte. Nicht zuletzt werden auch erhebliche Sanktionen bei Zuwiderhandlung gegen die gesetzlichen Vorschriften festgesetzt – dies mit gar persönlichen Konsequenzen für Führungskräfte und das für die IT-Sicherheit verantwortliche Personal.

Wie kann das chinesische Gesetz auch für deutsche Anbieter von IT-Lösungen relevant werden?

Wie eingangs bereits erwähnt, wird das Cybersicherheitsgesetz um einen Maßnahmenkatalog zur technischen Gewährleistung der IT-Sicherheit, den so genannten „Measures on Security Review of Network Products and Services“, ergänzt. Dieser Katalog basiert nicht nur auf dem Cybersicherheitsgesetz, sondern auch auf dem nationalen Sicherheitsgesetz der Volksrepublik China. Von zentraler Bedeutung ist in diesem Zusammenhang der nationale „Cybersecurity Review“ für kritische Netzwerk(sicherheits)produkte sowie für solche, die im KRITIS-Bereich eingesetzt werden sollen. Dieser Cybersecurity Review, der durch staatliche Behörden sowie durch das „Cybersecurity Review Committee“ koordiniert wird, scheibt umfassende Untersuchungsmaßnahmen für genannte Produktkategorien vor. Hierzu gehören unter anderem Labortests, Betriebsbegehungen und Hintergrundkontrollen. Die Überprüfung kann dabei auch durch Dritte, wie beispielsweise private Unternehmen, unterstützt werden. Solche Produkte, die nicht getestet sind oder gar den Test nicht bestanden haben und somit nicht zertifiziert wurden, sollen laut Gesetz grundsätzlich nicht mehr eingesetzt werden.

Cybersicherheit – um welchen Preis?

Die US-amerikanische Botschaft hat vor Kurzem bereits verlautbaren lassen, dass die Durchführung des Cybersecurity Reviews nach chinesischem Recht es den Herstellern auch abverlangen könnte, Samples des Quellcodes der zu exportierenden Produkte zur Verfügung zu stellen. Eine missliche Situation, wenn nicht auszuschließen ist, dass die Daten möglicherweise auch ein unmittelbar konkurrierendes Unternehmen erhält. Zwar ordnet das Gesetz auch für diese Daten eine Zweckbindungsverpflichtung an – eine jede solche Regelung steht und fällt aber mit der tatsächlichen Kontrolldichte. Demgemäß sollte sich jeder Hersteller betroffener Produkte – mit Inkrafttreten der neuen Regelungen im Juni 2017 – genauestens überlegen, welche Auswirkungen das neue chinesische Cybersicherheitsgesetz auf ihn als Exporteur hat.

---

Die detaillierte Fassung dieses Beitrags inklusive einer Kommentierung von zahlreichen Einzelvorschriften des chinesischen Cybersicherheitsgesetzes erscheint in Kürze in der MMR.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben