Wie funktionieren in China Datenschutz, VPNs, Online-Auftritte? Gibt es Anonymität im chinesischen Web? Theresa Stewart, China Business Director von Storymaker, sprach mit IT-Sicherheits- und Datenschutzexperte Dr. Dennis-Kenji Kipker.
Das Thema Datenschutz kocht weltweit stetig und vermehrt hoch. Die ersten „Datenschutz-Sorgenfalten“ im Gesicht deutscher Unternehmen in China dürften sich spätestens 2017 gebildet haben, nachdem das Chinese Cyber Security Law in Kraft trat. Bedenken wurden laut, dass schlagartig VPNs nicht mehr funktionieren könnten, die maßgeblich relevant sind für die interne Kommunikation mit Deutschland. B2B und B2C Unternehmen, die ihr Chinageschäft auf- oder ausbauen möchten, konsultieren uns immer häufiger zu datenschutzrelevanten Fragen: Angefangen von chinesischem Datenschutz im Allgemeinen, über Gefahren ausgehend von VPNs, chinesischen Webseiten und WeChat bis hin zu der Bitte um Einschätzung, wo die Entwicklung die nächsten Jahre hingehen wird und wie man sich langfristig gut – und gesetzeskonform – aufstellen kann. Dr. Dennis-Kenji Kipker ist Jurist mit einer Passion für China und kümmert sich als Geschäftsführer von Certavo gleichermaßen um die IT-Sicherheit und den Datenschutz.
Eine der häufigsten Fragen an Dr. Kipker dreht sich um Unterschiede zu den hier bekannten Verarbeitungsregeln personenbezogener Daten. „Viel einfacher ist es, die Gemeinsamkeiten zu benennen“, schmunzelt er. Zahlreiche chinesische Gesetze regeln den Datenschutz. Zentrale Voraussetzung zur Datenverarbeitung ist – ähnlich wie bei der DSGVO – die Einwilligung des Nutzers in die Nutzung der Daten für Werbung, Marketing u.ä. Zudem werde momentan ein Entwurf zum neuen Chinese Data Security Law erstellt, das künftig legale Möglichkeiten zur Verarbeitung personenbezogener Daten regelt.
Auch das chinesische Zivilgesetzbuch bekomme zurzeit ein kleines Update in Sachen Datenschutz. Allerdings gleicht die chinesische Gesetzgebung eher breit gefassten Rahmenbedingungen, die landesweit gelten. Je nach Provinz und Zuständigkeit können diese Bedingungen unterschiedlich konkretisiert und durchgesetzt werden. So kann Dennis Kipker die Bedenken und Sorgen deutscher Unternehmer nachvollziehen, die unsicher sind, wie die lokalen Stellen den gegebenen gesetzlichen Rahmen auslegen und daraus handfeste Vorschriften machen.
Auch Rückfragen zur Zulässigkeit und Sicherheit von VPN-Verbindungen erhält der IT-Jurist häufig. Drei Jahre ist die Verabschiedung des Chinese Cyber Security Laws nun schon her – und die VPN-Verbindungen funktionieren im Wesentlichen noch immer einwandfrei, außer an chinesischen Volkskongresstagungen. Vor allem liege das daran, dass der Umgang mit VPNs nicht konkret im chinesischen Gesetz behandelt wird. So spreche erstmal generell nichts gegen die VPN-Nutzung, solange damit keine illegalen Zwecke verfolgt werden, wie z.B. der Aufruf zu Protesten. VPNs, die also unternehmensintern zur geschützten Informationsübermittlung nach Deutschland genutzt werden, sind kein Problem – gleichwohl müssen spezielle Regularien beachtet werden, sollten diese eingerichtet werden. Problematisch wird es jedoch vor allem dann, wenn mittels VPN auf Social Media Plattformen und westliche Medien (sogar tagesschau.de ist in China gesperrt) zugegriffen wird, die durch die chinesische Firewall gesperrt sind. Es kommt also eher auf den Zweck und weniger auf die VPN-Nutzung an sich an. Keinesfalls sollte der Zugriff über ein Firmen-VPN laufen, da man ansonsten riskiert, dieses außerhalb chinesischer gesetzlicher Rahmenbedingungen zu betreiben.
Die Probleme sind weithin bekannt: Wenn sich die Seite überhaupt öffnet, ist die Ladezeit bis dahin viel zu langsam. So muss also eine chinesisch gehostete Webseite her. Konkrete Gefahren oder Fettnäpfchen hierbei sind Dennis Kipker noch nicht untergekommen. „Solange die aufgeführten Informationen nicht gegen geltendes chinesisches Recht verstoßen, gibt es keinen Anlass zur Sorge – das sollte man im Zweifelsfall aber vorher abklären lassen,“ so Kipker. Bedenken, die den Datenzugriff durch den chinesischen Staat betreffen, sind aber durchaus berechtigt. Den Behörden werden vom Staat deutlich mehr Möglichkeiten zur Informationsbeschaffung überlassen; auf der anderen Seite ist auf der Webseite nur verfügbar, woran die Öffentlichkeit sowieso teilhaben soll.
„Ja, ich habe WeChat auf dem Smartphone,“ bekennt Kipker. Er kann allerdings auch kritische Stimmen verstehen. WeChat ist eine effiziente Universallösung, die das berufliche wie private Leben seiner chinesischen Nutzer abdeckt. Es sichert und regelt damit das Wirtschaftsleben innerhalb Chinas. Der chinesische Staat ist allerdings ebenso fokussiert auf die Teilhabe am weltweiten Wirtschaftsgeschehen, weswegen er sich auch an westliche Datenschutz Standards und Normen halten wird.
Kipker selbst trennt Berufliches und Privates streng. So könne er unbesorgt WeChat auf seinem beruflichen Handy nutzen, da er dort ohnehin nur Kontakte hat, die ebenso auf WeChat unterwegs sind. Wer sich bei WeChat sorgt, sollte jedoch genauso bedenken, dass man bei der Nutzung von Facebook und Google ebenfalls Gefahr läuft, Daten und Kontakte preiszugeben, nur halt an die USA statt China. Weniger liegen also Datenschutzlücken nur an WeChat, sondern an der Speicherung und Verarbeitung privater Daten auf digitalen Plattformen im Allgemeinen, die personenbezogene Daten in das Nicht-EU-Ausland übermitteln.
Als einen Vorteil führt Kipker die erschwerte Möglichkeit zum Anlegen von Fake Profilen in chinesischen Social Media an. In Deutschland können problemlos anonyme Accounts angelegt werden, die keine Rückverfolgung auf eine Person ermöglichen – kriminelle Machenschaften online sind so ein Leichtes. In China braucht man zur Anmeldung eines privaten Profils seine Handynummer, die mit der eigenen Person nachweisbar verknüpft ist. Für Unternehmensaccounts ist eine Identifizierung mittels Business Lizenz notwendig. Die einen mögen hier einen Eingriff in die Privatsphäre sehen, doch bringt die fehlende Anonymität auch einige Vorteile mit sich: Die Verbreitung von Fake News, Hetze oder Beleidigungen ist leichter auf eine Person zurückzuführen als in Deutschland, wo jeder seine anonyme Identität in den sozialen Netzwerken aufbauen und darüber kommunizieren kann. So ist die Verbreitung von Fake News und Hass-Speeches bei weitem nicht so heiß diskutiert wie hierzulande. Fälle von Cybermobbing habe es in der Vergangenheit bereits gegeben – diese werden strafrechtlich verfolgt. Natürlich spielen dabei in China stets auch aktuelle politische Themen und Interessen eine Rolle, aber mehr und mehr ist es der chinesischen Regierung auch ein generelles Anliegen, Cybermobbing gesellschaftlich anzugehen.
Storymaker berät Kunden bei der Eröffnung und dem Betrieb von WeChat-Accounts. Hierbei handelt es sich um Business Accounts, sogenannten „Official Accounts“. Dabei gibt es eine Reihe von Verpflichtungen zu unterzeichnen, die sich auf die Produkthaftung beziehen. Generell werden WeChat Official Accounts für Marketing und Vertrieb genutzt und beinhalten keine vertraulichen Informationen, sodass deutsche Unternehmen, die einen WeChat-Account pflegen, keinen Missbrauch durch chinesische Behörden befürchten müssen.
In Zukunft gilt es verstärkt Entwicklungen zu beobachten, inwieweit personenbezogene Daten chinesischer Bürger, die z.B. über den WeChat Official Account eines deutschen Unternehmens gesammelt werden, noch in Deutschland gespeichert und verarbeitet werden dürfen oder ob die Speicherung z.B. auf einer chinesischen Cloud geschehen muss. „Meist sitzen die E-Mail- und Webseitenserver deutscher Unternehmen ja nicht in China, sondern eben in Deutschland,“ so Kipker. Sollte auf der chinesischen Webseite also ein Kontaktformular inkludiert sein, dessen Information nach Deutschland transferiert wird, ist das momentan kein Problem, könnte allerdings in Zukunft aufgrund von Pflichten zur Datenlokalisierung eingeschränkt werden. Zudem ist auch die Gesetzesentwicklung in China so rasant wie vieles andere dort.
Kipker selbst pflegt, wie er sagt, eine „Love-Hate-Relationship“ zum Thema Datenschutz und IT-Sicherheit in China. Einerseits sei es mühsam, sich durch einen Stapel chinesischer Unterlagen zu arbeiten, geschweige denn, erst einmal an zuverlässige Informationen zu gelangen. Am Ende überwiegt allerdings die Passion: „Das Thema ist höchstrelevant für zahlreiche deutsche Unternehmen. Als Jurist ist es für mich auch spannend zu verfolgen, wie sich das Land hier weiterentwickelt.“ Berater in Deutschland können hier immer unterstützen und quasi „Erste Hilfe“ anbieten. Am Ende sei es zu empfehlen, eine chinesische Kanzlei zu konsultieren. Diese kennen nicht nur das chinesisch geltende Recht, sondern insbesondere auch die provinzspezifische Rechtsetzung und Verfahrensweisen und können verschiedene Fälle daher individuell genauer bewerten.
