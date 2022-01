18. Januar 2022

Gefahren des neuen Datenschutzgesetzes

von Henrique Schneider

Ein Bit bedeutet „Binary Digit“ und stellt dabei die kleinste elektronische Speichereinheit dar. Mit dem neuen Datensicherheitsgesetz Chinas wird jedes Bit reguliert – zum Vorteil der Kommunistischen Partei.

Derzeit veröffentlichen chinesische Behörden fast im Wochentakt neue Regeln zum Umgang mit Daten. Mitte 2021 trat in der Volksrepublik das Gesetz zum Schutz Persönlicher Daten (PIPL) in Kraft. Erstmals gibt es damit ein umfassendes Regelwerk, das die persönlichen Daten von Menschen in China schützen soll – allerdings nur mit Blick auf Unternehmen, nicht auf den Staat. Der hat weiterhin unbegrenzten Zugriff auf Daten.

Bereits vor PIPL gab es „Datenschutz“ in China. Wobei hier eine andere Idee im Mittelpunkt steht. Im Reich der Mitte werden Personendaten als Allgemeingut angesehen. Und da der Staat das Allgemeingut verwaltet, ist es an ihm, Zugang zu den Daten zu haben. Groß- und Hightech-Unternehmen mussten schon seit Langem Daten mit dem Staat teilen. Mit PIPL werden diese Pflichten ausgeweitet.

Weite Datendefinition

PIPL sieht vor, dass die chinesische Zentralregierung ein hierarchisches Datenkategorisierungs- und -klassifizierungssystem einführt, das die Daten entsprechend ihrer Bedeutung für die chinesische Wirtschaft, die nationale Sicherheit sowie öffentliche und private Interessen regelt. Im Gesetz werden Daten sehr weit definiert als „jede Aufzeichnung von Informationen auf elektronischem oder anderem Wege“. Überspitzt gesagt: jedes Bit.

Auf der Grundlage dieser Definition und der Datenkategorisierung wird der Staat auf nationaler Ebene einen Katalog „wichtiger Daten“ formulieren. Dieser Katalog wird dann konkretisiert – und wohl auch erweitert – auf der Stufe der einzelnen Ministerien und Provinzregierungen. Die Kommunistische Partei kann auch jederzeit „wichtige Daten“ definieren und einfordern. Über den Umsetzungsweg werden Partei und Staat auf allen Ebenen immer mehr „wichtige Daten“ definieren.

Umfangreiche Pflichten

PIPL erlegt Unternehmen und Einzelpersonen, die mit der Datenverarbeitung befasst sind, umfangreiche Pflichten auf. Auf der einen Seite müssen die Unternehmen ihr Datenmanagement organisieren, das heißt, sie müssen Schulungen, Stellen und Prozesse sicherstellen, die sich mit Datensicherheit befassen. Alle Daten müssen lokal gespeichert und gesichert werden. Freilich werden diese Einrichtungen regelmäßig vom Staat auditiert. Es ist nur eine Frage der Zeit, bis sie dem Staat direkt unterstellt werden.

Auf der anderen Seite müssen Firmen – auch nicht chinesische – Daten mit dem Staat teilen. Vor allem dürfen keine „wichtige Daten“ ans Ausland mitgeteilt werden, ohne dass der Staat dies erlaubt hätte. Gerade hier kommt die weite Definition der „wichtigen Daten“ ins Spiel. Eine Definition, die ausschließlich in der Hand des Staates liegt. Bei Nichteinhaltung drohen Strafen von bis zu 1,3 Millionen Euro für das Unternehmen; deren Vertreter müssen unter Umständen mit strafrechtlicher Verfolgung rechnen.

Weitreichende Auswirkungen

Das neue Datenschutzgesetz Chinas hat weitreichende Auswirkungen. Einige bedeuten nur wenig, etwa der Kostensprung für Unternehmen und die zunehmende Überwachung durch den Staat. Sie bedeuten wenig, weil in diesen Fällen PIPL nur eine bereits existierende Tendenz fortschreibt. Viel bedeutender sind die übergeordneten Auswirkungen des Ansinnens hinter PIPL.

Verschiedene Regierungen liebäugeln seit Langem mit der Idee, Daten als Allgemeingut zu behandeln. Indien hat sich schon so positioniert und die Europäische Kommission hat sie schon verschiedentlich diskutiert. Wie in China sehen sich die indische Regierung und die Kommission als natürliche Verwalter dieser Allmende. Die Gefahr von PIPL ist, dass es funktioniert und von anderen übernommen wird. Die Gefahr ist real.