Wer in China Geschäfte machen will oder anderweitig zu arbeiten hat, wird sich auf ein gänzlich anderes Digitalwesen einstellen müssen. Zumindest, wenn man aus einem Land mit mehr oder weniger freien Internet- und IT-Strukturen kommt. Denn die Regierung Chinas will ihre bereits strenge Kontrolle auf den Cyberraum noch einmal verschärfen. Dafür wurden unlängst neue Regeln verabschiedet, im Juni tritt ein zugehöriges Gesetz in Kraft. 2014 erst hatte Chinas Staats- und Parteichef Xi Jinping die Cybersicherheit zu einer Frage der nationalen Sicherheit erklärt. Seither hat ein regelrechter Regulierungsmarathon eingesetzt.

 

Von Sozialen Medien und Online-publikationen bis hin zu IT-Geschäftsmodellen und Cloud-Rechenzentren – Peking hat die Kontrolle über alles Digitale noch einmal angezogen. Zugleich wirbt man im Ausland um Akzeptanz des chinesischen Prinzips der Cybersouveränität (网络主权). Demnach soll jedes Land das Recht haben, das Internet innerhalb der nationalen Grenzen nach eigenem Gutdünken zu regulieren. 

Pekings Kontrollwut hat Auswirkungen auf eine Vielzahl von Akteuren. Darunter sind Internetnutzer ebenso wie Unternehmen und staatliche Behörden. Besonders bei ausländischen Unternehmen wächst die Sorge. Der Grund: Unternehmen können ihre Daten in China nicht mehr wie bisher speichern, verschlüsseln und austauschen und müssen mitunter empfindliche und teure technische Anpassungen vornehmen, um die staatlichen Vorgaben zu erfüllen.

Mit Blick auf die bislang veröffentlichten Regulierungen lassen sich vier konkrete Herausforderungen für ausländische Unternehmen in China ausmachen.

Erstens müssen laut dem Cybersicherheitsgesetz von 2016 IT-Produkte für Betreiber der sogenannten Kritischen Infrastrukturen (关键信息基础设施) eine staatliche Sicherheitsprüfung bestehen. Wie weit die Prüfung gehen wird, ist derzeit unklar. Ausländische Unternehmen könnten gezwungen sein, ihre Quellcodes offenzulegen.

Viel Misstrauen seit Snowden-Enthüllungen

Das neue Gesetz klassifiziert folgende Infrastrukturbereiche als kritisch: Kommunikationswesen, Energie, Transport, Wasserversorgung, Finanzwesen sowie E-Government-Dienstleistungen. Darüber hinaus werden nicht genauer definierte Bereiche genannt, die Auswirkungen auf die "nationale Sicherheit", "das Wohlergehen der Bürger" oder das "öffentliche Interesse" haben. Diese vagen Formulierungen erlauben es den Behörden, weitere Bereiche als "kritisch" einzustufen.

Die Sicherheitsanforderungen gelten für alle Produkte, die mit digitalen Daten zu tun haben. Darunter fallen Programme zur Textverarbeitung, ebenso wie Router oder Autos, die heute alle mit den sogenannten eingebetteten Systemen ausgestattet sind. Ausländische Technologien werden besonders kritisch betrachtet. Insbesondere seitdem Enthüllungen des ehemaligen US-Geheimdienstmitarbeiters Edward Snowden die Praktiken staatlich sanktionierten Hackings offenlegten, ist auf chinesischer Seite das Misstrauen gegenüber ausländischen IT-Technologien gewachsen.

Zweitens müssen Unternehmen bestimmte Daten in Zukunft lokal speichern. (Nutzer-)Daten, die von Betreibern Kritischer Infrastrukturen gesammelt werden, müssen nach dem Cybersicherheitsgesetz innerhalb Chinas gespeichert werden. Ausländische Unternehmen befürchten dadurch mehr Industriespionage und den Diebstahl geistigen Eigentums. Hinzu kommen die Kosten für das Verlagern von Rechenzentren nach China. Zwar erlaubt das Gesetz in bestimmten Fällen Ausnahmen von der lokalen Datenspeicherungspflicht. Was das konkret heißt, ist aber noch unklar.