“Deutsche Unternehmen in China brauchen eine Datenstrategie”

Geschäfte in China zu betreiben, war für westliche Unternehmen eigentlich schon immer mit Herausforderungen verbunden. In den letzten Jahren sind neue hinzu gekommen, wie das Cyber Security Law und das Data Security Law. Im Interview erläutert Mareike Seeßelberg (Foto), Managerin und Prokuristin der CHINABRAND IP CONSULTING GmbH, was westliche Unternehmen beim Datenaustausch zu beachten haben und warum die Entwicklung einer Datenstrategie geboten ist. 

  • Frau Seeßelberg, was genau macht Chinabrand und womit beschäftigen Sie sich schwerpunktmäßig bei Ihrer Arbeit?

Mareike Seeßelberg, Managerin und Prokuristin der CHINABRAND IP CONSULTING GmbH

Chinabrand ist eine deutsche Unternehmensberatung. Seit 18 Jahren beraten wir deutsche und internationale Unternehmen dazu, wie sie ihr geistiges Eigentum in China schützen können. Seit 2017 ist ein weiterer Geschäftszweig hinzugekommen: Cybersicherheit, bzw. IT Compliance und Datenschutz. Grund hierfür war das Cyber Security Law, das 2017 zu einem erhöhten Beratungsbedarf in diesem Bereich bei in China tätigen westlichen Unternehmen geführt hat. Seit 2018 bin ich für diesen Geschäftsbereich zuständig und betreue unsere diesbezüglichen Projekte von Roll-Out einer Software nach China über Datenschutz-Konzepte bis zur Begleitung bei der Umsetzung der gesetzlichen Anforderungen an die IT-Infrastruktur.

  • Mit welchen Maßnahmen versucht die chinesische Regierung, Einfluss auf den Datenaustausch zwischen westlichen und chinesischen Unternehmen auszuüben?

Seit dem in Kraft treten des Cyber Security Law ist viel passiert. Das Data Security Law und das Personal Information Protection Law sind dazugekommen. Zusätzlich haben verschiedene Ministerien und Standardisierungsgremien Verordnungen erlassen und Standards erstellt, welche die detaillierte Umsetzung dieser Gesetze regeln sollen. Diese gesetzlichen Vorgaben enthalten verschiedene Aspekte, die den Datenaustausch behindern oder in Zukunft behindern können. Einerseits gibt es Vorgaben zur IT-Sicherheit, die teilweise von internationalen Standards abweichen und so zur Segmentierung der IT von internationalen Unternehmen führen. Andererseits gibt es auch direkte Einschränkung der Datenströme. So dürfen personenbezogenen Daten ab einer bestimmten Menge und wichtige Daten das Land nicht mehr verlassen, ohne dass zuvor weitere Maßnahmen ergriffen werden, beispielsweise das Einholen einer Genehmigung oder Sicherheitsüberprüfungen.

Auch im Bereich Clouds und Verschlüsselungstechnologien sehen wir Einschränkungen, die den Datenaustausch zwischen westlichen und chinesischen Unternehmen behindern. So dürfen gemäß dem Encryption Law zwar theoretisch ausländische Verschlüsselungstechnologien genutzt werden, faktisch wird dies jedoch für IT-Systeme mit einem erhöhten Sicherheitsbedarf gemäß des Multi-Level Protection Schemes wieder eingeschränkt.

  • Welche langfristige Strategie verfolgt die chinesische Regierung – steht dahinter eine dominierende Fraktion oder gibt es auch hier Gegenströmungen?

Die KPCh[1]Kommunistische Partei Chinas ist keine einheitliche Gruppe mit einheitlicher Meinung, auch hier gibt es liberalere und weniger liberale Fraktionen. Der Tenor der neunen Gesetzgebung ist das Ziel der Nationalen Sicherheit. Diese beinhaltet viele Facetten wie wirtschaftliche und gesellschaftliche Sicherheit (Stabilität), Sicherheit der KPCh und auch die Sicherheit der chinesischen Bürger. Die Meinungen darüber, welche dieser Faktoren wichtiger sind und auch wie man die verschiedenen Facetten der Sicherheit erreichen kann, gehen auch innerhalb der Partei bzw. Regierung auseinander. Gut beobachten kann man das an den Entwürfen zu neuen Gesetzen und Verordnungen. Es ist nicht selten, dass sich die Entwürfe verschiedener Ministerien zu bestimmten Themen widersprechen oder unterschiedliche Maßnahmen vorgeben.

Ein wichtiger Faktor, um diese Sicherheit zu erreichen – und darauf hat sich die chinesische Regierung in den letzten Jahren festgelegt und arbeitet intensiv an der Umsetzung – ist langfristig jedoch die Datenhoheit: die Kontrolle über Daten, die in China entstehen bzw. erhoben werden. Kontrolle heißt nicht, dass in Zukunft Daten China nicht mehr verlassen dürfen. Kontrolle bedeutet, dass China den Überblick darüber behält, welche Daten von wem erhoben werden und wohin sie übertragen werden und damit auch den Abfluss von Daten flexibel stoppen kann, wenn es das für notwendig hält.

  • Was raten Sie Unternehmen, die in China weiter im Geschäft bleiben wollen, ohne dabei zu gläsern zu werden?

Das Risiko, komplett gläsern zu werden, sehen wir im Moment nicht. Es geht der chinesischen Regierung im Moment um einen Überblick über Datenströme und nicht darum, alle Daten der Unternehmen vor Ort selbst zu analysieren. Die Kontrolle von Daten, die nicht personenbezogen sind, ist noch nicht sehr weit ausgereift. Bisher richtet sich der Fokus der Behörden bei der Durchsetzung der gesetzlichen Vorgaben auf große Internetplattformen, die große Mengen an personenbezogenen Daten verarbeiten. Grundsätzlich ist es daher für Unternehmen sinnvoll, nicht auffällig zu werden, nur Daten zu sammeln, die auch wirklich benötigt werden und diese nur wenn wirklich notwendig ins Ausland zu übertragen. So kann vermieden werden, die Aufmerksamkeit der Behörden auf sich zu ziehen.

Wir empfehlen Unternehmen in China, eine Datenstrategie zu erarbeiten. Welche Daten müssen erhoben werden? In welcher Art werden diese mit der Zentrale außerhalb Chinas geteilt? Ist das notwendig, oder gibt es hierfür andere Lösungen wie die Verarbeitung und Speicherung in China? Die Entwicklung gewagter Geschäftsmodelle, deren Kerngeschäft sich um die Analyse und Nutzung von Daten dreht und für die ein grenzüberschreitender Datenverkehr notwendig ist, sind daher im Moment ein Risiko.

  • Ist ein Verbleib in China auf Dauer, angesichts der Autarkie-Bestrebungen Chinas, nicht hochriskant?

Das kann nicht pauschal für alle Unternehmen gesagt werden. Viele europäische Unternehmen machen einen Großteil ihres Umsatzes in China. Für solche Unternehmen ist es keine Option, China zu verlassen. Es müssen Wege gefunden werden, mit den Begebenheiten und Risiken vor Ort zu leben. Eine komplette Autarkie Chinas wird es nicht von heute auf morgen geben, wahrscheinlich wird es sie auch niemals geben. Das Land ist wirtschaftlich viel zu sehr mit der Welt verflochten.

Ein chinesisches Sprichwort heißt „nach den Steinen tastend den Fluss überqueren“, also Schritt für Schritt, ohne den exakten Weg zu kennen. Diese Taktik wird für westliche Unternehmen, die sich in China halten wollen, notwendig sei, da noch nicht absehbar ist, wie das Datenregime in China aussehen wird. Es ist daher wichtig, sich gut vorzubereiten und flexibel zu bleiben. Es muss möglich sein, kurzfristig angemessen auf Änderungen zu reagieren. Eine solche Taktik erfordert es auch, den chinesischen Niederlassungen in bestimmten Bereichen mehr Freiheit zu geben. Angesichts der aktuellen Konflikte, die anhalten werden, ist aber ein Recoupling der Niederlassungen durch eine kontrollierte Lokalisierung angesagt. Die Konflikte sind global und müssen von der Zentrale bearbeitet werden.

Firmen, die bisher nicht in China sind, sollten sich vor dem Markteintritt sorgfältig überlegen, was das bedeutet und bereit sein, in separate IT-Infrastruktur zu investieren. Nur bereits bestehende IT-Lösungen auf China auszurollen, ist in einigen Bereichen unter Einhaltung aller gesetzlichen Vorgaben bereits jetzt nicht möglich.

  • Welche Strategie sollte Ihrer Ansicht nach die EU verfolgen, um nicht in eine Abhängigkeit von China zu geraten – u.a. auch mit Blick auf die Neue Seidenstraße?

Gerade im Bereich der Daten hat China einen großen Vorteil vor Europa. Durch seine schiere Größe und Bevölkerungszahl, aber auch durch das bereitwilligere Teilen von Daten durch die Bevölkerung können in China weit größere Datenmengen erzeugt werden als in Europa. Gerade in Hinblick auf Trends wie Big Data und KI sowie die Bewertungen von Daten als das neue Erdöl gibt das natürlich zu denken. Aber das reine Erheben und Sammeln von Daten bringt noch keinen Mehrwert. Lange Zeit war Qualität das Merkmal, das europäische Produkte in China so beliebt und erfolgreich gemacht hat. Vielleicht ist es möglich, diese Strategie erneut zu nutzen: hochqualitative westliche Datensätze im Gegensatz zu riesigen ungeordneten chinesischen Datenmengen. Diesen Trend erkennen wir bereits im Bereich Industrie 4.0. Das Gleiche gilt für die Seidenstrasse, bei der China einen deutlichen Kurswechsel hin zur Qualität eingeleitet hat.

  • Worin bestehen die wesentlichen Unterschiede zwischen den USA, der EU und China beim Thema Datenaustausch?

Die Grundlage für die Datenschutzregime ist unterschiedlich. In den USA wird viel aus der Perspektive der Unternehmen gedacht, aber auch dort geht es wie in Europa beim Datenschutz um personenbezogene Daten. In Europa ist der Grundgedanke hinter dem Datenschutz der Schutz der einzelnen Person und ihrer personenbezogenen Daten. In China ist die Nationale Sicherheit und damit das Kollektiv die Grundlage. Auch personenbezogenen Daten werden geschützt, quasi als Beiprodukt der Cyber-Sicherheitsbemühungen, aber bei vielen der in China getroffenen Maßnahmen geht es darum, die Macht von Internetplattformen zu begrenzen und die Datenhoheit zu behalten – gegenüber den chinesischen Privatunternehmen, aber auch gegenüber dem Ausland.

Mit dem Data Security Law ist China Vorreiter in der Regulierung von Datenströme nicht personenbezogener Daten. Es bleibt zu beobachten, wie weit China bereit ist, in seinen Datenhoheitsbestrebungen Einschränkungen in der Wirtschaft hinzunehmen. Vor allem unter dem Aspekt, dass das stetige Wirtschaftswachstum und die damit einhergehende Verbesserung der Lebensbedingungen der chinesischen Bürger einer der wichtigsten Legitimationsfaktoren der KPCh  ist. Fraglich ist auch, ob die EU und die USA mit Regelungen zu nicht personenbezogenen Daten nachziehen.

  • Wird die geopolitische Bedeutung des Datenaustauschs noch weiter zunehmen – und wie können sich die Unternehmen darauf vorbereiten?

Wir sind im Moment in einer Phase, in der das Pendel zu Gunsten des Datenschutzes sehr weit ausschlägt, teilweise auch auf Kosten der Wirtschaft. Geopolitische Absichten werden vor allem in China deutlich. Sollten auch die EU und die USA beginnen, Datenschutz, oder besser Datenkontrolle, als Waffe im geopolitischen Gerangel einzusetzen, hätte das dramatische Auswirkungen auf die weltweite Wirtschaft. Im Sinne der Weltwirtschaft bleibt also zu hoffen, dass sich der Datenschutz auf ein angemessenes Niveau einpendelt und nicht als Waffe für geopolitische Auseinandersetzungen instrumentalisiert wird.

Unternehmen sollten im Moment vor allem daran arbeiten, detailliert alle Datenströme, auch die Ströme nicht personenbezogener Daten, zu analysieren, um schnell und gezielt auf Änderungen im Datenschutzregime reagieren zu können. Sie sollten außerdem dafür sorgen, dass sie sich andeutende Änderungen schnell erkennen und so rechtzeitig an Lösungen arbeiten können.

  • Frau Seeßelberg, besten Dank für das Gespräch!

References

References
1 Kommunistische Partei Chinas
Beitrag teilen
Dieser Beitrag wurde unter Datenaustausch, Interviews abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.