Chinas Cybersecurity Gesetz und Industrie 4.0

16.05.2018

Industrie 4.0 ist eines der zentralen Themen deutsch-chinesischer Zusammenarbeit. WZR gibt einen Überblick, an welchen Stellen das Chinesische Cybersecurity Gesetz einhakt und auf welche Punkte Betreiber von Produktionsstätten und Anbieter von Produkten und Services achten sollten.

 

In aller Kürze geht es im Chinesischen Cybersecurity Gesetz um drei Bereiche:

 

  1. Datenschutz: wie können personenbezogene und sogenannte wichtige Daten von Unternehmen rechtmäßig erhoben, verarbeitet und weitergegeben werden.
  2. IT-Sicherheit: wie wird die Umgebung, in der die Daten verarbeitet werden, durch technische und organisatorische Maßnahmen vor Angriffen von außen geschützt.
  3. Veröffentlichungen im Internet: was darf man im Chinesischen Internet schreiben und sagen und was nicht. 

 

Aus den ersten beiden Punkten Datenschutz und IT-Sicherheit folgen eine Vielzahl von rechtlichen Herausforderungen, denen sich Unternehmen stellen müssen, die Arbeitsprozesse nach Industrie 4.0-Verständnis etablieren wollen. Dasselbe gilt für Anbieter von Produkten oder Services für Industrie 4.0. Vom Anwendungsbereich des Gesetzes erfasste Produkte sind alle Arten von Hardware, mit denen Daten erfasst und verarbeitet werden können, z.B. in Fabriken eingesetzte Sensoren. Netzwerk-Services sind z.B. Softwarelösungen, mit denen über die Hardware erfasste Daten ausgewertet werden können.

 

Wo trifft Industrie 4.0 auf das Cybersecurity Gesetz? Anwendungsbeispiele:

 

Eine nach Industrie 4.0-Standards aufgebaute Produktionsstätte ist angesichts seiner vollständigen Vernetzung Teil eines Netzwerks im Sinne des Cybersecurity Gesetzes. Den Betreiber treffen damit alle Pflichten eines Netzwerkbetreibers nach dem Cybersecurity Gesetz (einen Überblick geben wir in unserem Update aus dem März). Insbesondere sind verantwortliche Personen für die Bereiche Datenschutz und IT-Sicherheit zu benennen. Es wird ein Konzept zur Aufrechterhaltung der IT-Sicherheit benötigt und zum Umgang mit IT-Sicherheitsfällen wie Hacker-Angriffen. Je nach Anwendungsbereich sollen sogar ganze Teams für diese Bereiche zuständig sein. So zum Beispiel festgehalten als Empfehlung im Entwurfs des Standards "Big Data Management Guide". 

 

Die Sicherheitsanforderungen sind bereits bei Planung und Aufbau einer Produktion zu berücksichtigen. Verwendete Netzwerkprodukte und Services Dritter müssen den Sicherheitsanforderungen genügen, um am Ende die Sicherheit der Gesamtstruktur zu gewährleisten. Für Betreiber von Kritischer Infrastruktur sieht das Gesetz ausdrücklich vor, dass verwendete Netzwerkprodukte und Services geprüft und zertifiziert sein müssen. Betreiber von Produktionsstätten müssen sich folglich mit den Anbietern von Netzwerkprodukten und Services auseinandersetzen und etwa die Fragen beantworten, wie die Anbieter der Produkte bei Sicherheitsüberprüfungen unterstützen, in welchem Umfang Wartungsarbeiten erfolgen und wo beispielsweise Daten automatisiert gespeichert werden. Hierfür müssen beide dann angemessene vertragliche Regelungen und Arbeitsprozesse finden.  

 

Die Verarbeitung von personenbezogenen Daten spielt insbesondere bei im Werk tätigen Arbeitnehmern eine Rolle, zum Beispiel wenn an einer Arbeitsstation fortwährend erfasst wird, ob der Arbeitnehmer die Arbeitsschritte vollständig einhält oder mit welcher Fehlerquote er arbeitet. Nach dem derzeitigen Stand der Umsetzungsvorschriften wird außerdem ein Großteil der im Rahmen von Industrie 4.0-Arbeitsprozessen erfassten Daten als „wichtige Daten“ zu qualifizieren sein, die nach derzeitigem Stand der Umsetzungsregelungen in China zu speichern sind. Unternehmen sind daher aufgefordert, zu planen wie diese Speicherpflicht erfüllt werden könnte. Dies wird vor allem eine Rolle spielen bei der Auswahl von Cloud-Anwendungen. Bei strenger Auslegung der Vorschriften müsste beispielsweise eine SaaS-Anwendung zur Auswertung von Daten in China gehostet werden bzw. es müssten technische Maßnahmen getroffen werden, um die Daten zunächst in China zwischenzuspeichern und dann an einen Service im Ausland weiterzuleiten. 

 

Die entscheidenden Punkte für ausländische Unternehmen in China

 

Mit Blick auf Industrie 4.0 sind neben den bereits hohen organisatorischen und inhaltlichen allgemeinen Anforderungen bei der Umsetzung des Cybersecurity Gesetzes die folgenden zentralen Probleme für ausländische Unternehmen zu identifizieren:

 

  • Die voraussichtlich auf Netzwerkbetreiber erweiterte Pflicht zur Speicherung von personenbezogenen und wichtigen Daten in China. Viele internationale Unternehmen speichern ihre Daten zentral außerhalb Chinas und müssten parallele IT-Strukturen in China erst aufbauen.
  • Der weit gefasste Anwendungsbereich von Netzwerkprodukten und Services, der zunächst praktisch jede Anwendung oder Hardware erfasst. Diese müssen nach Artikel 22 des Cybersecurity Gesetzes mit Blick auf datenschutzrechtliche und IT-Sicherheitsanforderungen unter anderem den zwingenden Anforderungen einschlägiger nationaler Standards entsprechen. Dies Anbieter solche Produkte und Services in China vor die Herausforderung, die Standardisierungsarbeit in China genau zu verfolgen und zu prüfen, ob neu erlassene oder überarbeitete Standards lediglich als Empfehlungen oder als verpflichtend erlassen werden. Dabei müssen sie auch beobachten ob sich die Verpflichtung „durch die Hintertür“ ergibt, weil z.B. Aufsichtsbehörden, Prüfstellen oder Kunden deren Einhaltung verlangen.
  • Erheblicher Aufwand kann sich ergeben, wenn für das Anbieten von Netzwerkprodukten die Durchführung von Sicherheitsüberprüfungen vorgesehen ist, wie z.B. für Netzwerkprodukte und Services, die in Kritischen Infrastrukturen eingesetzt werden.
  • Dies wird vor auch dadurch erschwert, dass es aufgrund vieler noch offener Umsetzungsvorschriften aktuell wenig Planungssicherheit gibt, insbesondere was Fragen zur Speicherpflicht in China, zu Datentransfers ins Ausland, den Umfang von Sicherheitsüberprüfungen oder das Verhalten von chinesischen Konzernen, die zur Kritischen Infrastruktur zählen, angeht.
  • Schließlich benötigen Unternehmen für die Bewältigung dieser Aufgaben erhebliche personelle und wirtschaftliche Ressourcen. Gerade für kleine und mittelständische Unternehmen, die ihre Prozesse im Bereich Datenschutz und IT-Sicherheit derzeit noch zentral über den Konzern steuern, ist dies nicht von heute auf morgen zu bewerkstelligen.

 

Sie benötigen Hilfe bei der Umsetzung der Pflichten des Cybersecurity Gesetzes? WZR unterstützt Sie unter anderem in folgenden Bereichen:

 

  • Feststellung der individuellen Pflichten ihres Unternehmens nach dem Cybersecurity Gesetz
  • Schulung Ihrer Mitarbeiter zu datenschutzrechtlichen Anforderungen in China
  • Beratung zur Umsetzung des Gesetzes im Unternehmen: Updates von Arbeitsverträgen, Mitarbeiterhandbüchern und internen Richtlinien
  • Prüfung von Produkten und Services auf Konformität mit dem chinesischen Cybersecurity Gesetz
  • Prüfung und Formulierung von Verträgen mit IT-Dienstleistern und Kunden
  • Formulierung von Datenschutzerklärungen für Ihre Website
  • Laufende Informationen zu aktuellen Entwicklungen rund um das Cybersecurity Gesetz

 

 

Ansprechpartner:

 

Jost Blöchl

jost.bloechl@wzr-china.com

 

Florian Kessler

florian.kessler@wzr-legal.com