Newsletter
Asienbrücke Logo 2022
Asienbrücke Logo 2022

Meldungen & Publikationen

Startseite
Artikel aus der NZZ
Chinas vage Datenregeln verunsichern ausländische Firmen. Nun ist eine angekündigte Lockerung wohl gescheitert

Chinas vage Datenregeln verunsichern ausländische Firmen. Nun ist eine angekündigte Lockerung wohl gescheitert

Die politische Führung in Peking strebt nach Kontrolle, internationale Unternehmen nach offenen Grenzen. Dieser Grundkonflikt lähmt den Datenaustausch. Ein Anwalt sieht geplante Ausnahmen am Ende.
Tesla betreibt in Schanghai neben seiner Autofabrik auch ein Datenzentrum, um dort chinesische Informationen zu speichern. (Vcg / Visual China Group)

Die politische Führung in Peking strebt nach Kontrolle, internationale Unternehmen nach offenen Grenzen. Dieser Grundkonflikt lähmt den Datenaustausch. Ein Anwalt sieht geplante Ausnahmen am Ende.

FAW-Volkswagen ist einer der grössten Autobauer in China, er ist ein typisches Joint Venture zwischen einem Staatskonzern und einer ausländischen Topmarke. Volkswagen beriet kürzlich intern, ob die chinesische Tochter noch Kunden- und Autodaten nach Wolfsburg schicken kann. «Wir hatten eine grosse Diskussion mit der Zentrale, aber sie verstehen die Sensibilität des Themas in China nicht», sagte ein beteiligter Manager an einer Podiumsdiskussion im Oktober.

Die chinesische VW-Tochter hatte diese Daten zuvor standardmässig in der Firmen-Software SAP übermittelt. Doch wegen Chinas strenger Datenregeln wurde den hiesigen Verantwortlichen der Datentransfer zu heikel. «Wie können wir beweisen, dass keine Daten mit irgendjemandem geteilt werden?», sagte der Manager. Deshalb habe die chinesische Tochter den Datentransfer nach Wolfsburg gestoppt.

Das Beispiel zeigt, welche direkten Konsequenzen Chinas harte Datenregeln haben können: Die Daten des Autobauers bleiben in China, Volkswagen in Deutschland kann sie nicht mehr nutzen. Zugleich illustriert der Fall, wie gering das Bewusstsein für die Problematik im Ausland sein kann – und wie gross das empfundene Risiko in China.

Drei Gesetze, kaum Durchführungsbestimmungen

China hat den Umgang mit Daten lange kaum gesetzlich geregelt. In den vergangenen Jahren ging es dann Schlag auf Schlag. Seit 2017 gilt das Gesetz zur Cybersicherheit, 2021 folgten Gesetze zur Datensicherheit sowie zum Schutz persönlicher Informationen. 2022 veröffentlichte die Internetbehörde Cyberspace Administration of China zudem Regeln zum Export von Daten.

Bis heute fehlen jedoch oft Durchführungsbestimmungen, wie diese Gesetze konkret anzuwenden sind. Wer ist ein Betreiber kritischer Kommunikationsinfrastruktur? Welche Daten genau gelten als «persönlich»? Welche Dienstleister dürfen die vorgeschriebenen Datenzertifizierungen ausstellen?

Vieles ist also unklar, zugleich steigen die Kosten und drohen empfindliche Strafen. Eine Datenzertifizierung kostet laut einer Übersicht der Schanghaier Anwaltskanzlei Burkardt und Partner im Jahr mindestens rund 100 000 Yuan, das sind gut 12 000 Schweizerfranken. Das Gesetz zur Datensicherheit sieht vor, dass Unternehmen bei Verstössen ihre Geschäftslizenz verlieren können und dass auch Manager persönlich finanziell haften können.

Europäische Handelskammer fordert mehr Klarheit

Die Verunsicherung durch die Datenregeln zeigte sich Mitte November in einer Mitgliederumfrage der Europäischen Handelskammer in China. Die 54 teilnehmenden Unternehmen wünschten sich klarere Regeln für den grenzüberschreitenden Datenverkehr, insbesondere Definitionen für rechtliche Schlüsselbegriffe wie «wichtige Daten». 41 Prozent der Befragten berichteten von steigendem Druck, ihre Daten lokal zu speichern oder gleich vom Ausland getrennte IT-Systeme einzurichten.

Sollte dieser Druck zunehmen, käme auf ausländische Firmen noch einiges zu. Die Analystin Tao Mengying von der Firma Sinolytics berichtete an der Podiumsdiskussion im Oktober, welche die Wirtschaftsförderung Advantage Austria in der Stadt Chengdu veranstaltete, dass sie hauptsächlich mit deutschen Mittelständlern zu tun habe. Diese hätten nur zehn bis zwanzig Prozent ihrer IT-Anwendungen und Cybersecurity-Produkte lokalisiert – der Rest seien globale Systeme.

Tao unterstrich auch, wie wichtig grenzüberschreitende Datentransfers etwa für Pharmaunternehmen sind. «Sie müssen klinische Daten für globale Forschung übertragen.» Selbst eine recht kleine Marktforschungsfirma könnte direkt betroffen sein. «Ihrer Fokusgruppe von München aus ein Video in Peking zeigen – das könnte nicht mehr funktionieren», sagte Michael Schiessl von der deutschen Firma Eye Square an der Podiumsdiskussion.

Cyberspace-Behörde macht Hoffnung

Viele ausländische Unternehmen hoffen, dass das letzte Wort noch nicht gesprochen ist und es Ausnahmen für internationale Datentransfers geben wird. Beflügelt wurden sie Ende September, als die Cyberspace Administration überraschend entsprechende Lockerungen vorschlug. Das wurde weithin als Pekinger Werben um ausländische Firmen inmitten der Wirtschaftsflaute gewertet.

Der Entwurf der Cyberspace-Behörde sieht zum Beispiel vor, dass Firmen die Daten ihrer Mitarbeiter in China problemlos an ihre Personalabteilungen im Ausland schicken können. Das wäre eine wichtige Erleichterung, denn der Versand solcher Mitarbeiterdaten ist laut der Umfrage der Europäischen Handelskammer die wichtigste Art von Datentransfer europäischer Unternehmen, darauf folgen Transfer von Kundendaten.

Doch der Schanghaier Anwalt Rainer Burkardt äusserte an der Podiumsdiskussion in Chengdu grundsätzliche Einwände gegen den Behördenentwurf: Die Cyberspace Administration habe als untergeordnete Behörde gar nicht die Kompetenz, Ausnahmen vom übergeordneten Gesetz des Nationalen Volkskongresses zum Schutz persönlicher Informationen zu bestimmen. Burkardt sagte deshalb: «Wir sind fest davon überzeugt, dass dieser Entwurf nicht durchkommen wird, jedenfalls nicht in der jetzigen Form.»

Lockerungsentwurf ist laut Anwalt am Ende

Nun geht Burkardt im Gespräch mit der NZZ noch einen Schritt weiter: Seine Kanzlei höre auf ihren Kanälen, dass der Entwurf wohl «tot» sei. Es stehe zu befürchten, dass die Cyberspace Administration ihren Entwurf nicht offiziell zurückziehe, um ihr Gesicht zu wahren.

Andere von der NZZ befragte Datenexperten haben vom vermeintlichen Ende der vorgeschlagenen Datenlockerungen nichts gehört. So oder so bleibt ausländischen Unternehmen in China vorerst kaum etwas anderes übrig, als weiterzumachen wie seit Einführung der Datengesetze 2021: erstens versuchen, den vagen Anforderungen zu genügen. Und zweitens hoffen, dass es gutgeht.

Autor: Matthias Sander, Shenzhen · Artikel aus der NZZ · Bild: Tesla betreibt in Schanghai neben seiner Autofabrik auch ein Datenzentrum, um dort chinesische Informationen zu speichern. (Vcg / Visual China Group)

Mit freundlicher Genehmigung der NZZ und auf vertraglicher Grundlage.

 

Facebook
Twitter
LinkedIn

Unser Newsletter

Bleiben Sie auf dem Laufenden und abonnieren Sie den Newsletter der Asienbrücke.

Wir nehmen den Schutz Ihrer persönlichen Daten ernst und möchten einen Missbrauch Ihrer E-Mail-Adresse vermeiden. Ihre E-Mail-Adresse wird nur zum Versand des Newsletters verarbeitet. Nach dem Absenden Ihrer Anmeldung erhalten Sie eine automatisch generierte E-Mail, die einen Link zur Bestätigung der Newsletter­bestellung enthält. Erst wenn Sie diese Seite aufrufen, wird die Bestellung wirksam. Sie können Ihre Ein­willi­gung jederzeit zurückziehen und sich wieder vom Newsletter abmelden. Der Widerruf kann insbesondere durch Klick des Abbestelllinks in den zugesandten Nachrichten erfolgen.