Mittelständler in China: Die große Unsicherheit

Düsseldorf, Peking Die Mittelständler, die in China aktiv sind, überlegen sich meist genau, was sie sagen, wenn sie sich zu den Rahmenbedingungen in China äußern. Nun aber trifft man bei den chinesischen Dependancen deutscher Firmen auf eine Mauer des Schweigens, wenn man nach dem im Sommer in Kraft getretenen Cybersicherheitsgesetz fragt.

Offenbar ist die Furcht, dass sich kritische Aussagen negativ aufs Geschäft auswirken, ebenso groß wie die Unsicherheit über die Folgen des Cybersicherheitsgesetzes. Kein Mittelstandsunternehmen möchte sich öffentlich äußern. Noch nicht einmal anonym wollen die allermeisten zitiert werden.

Womöglich habe der chinesische Staat nun eine gesetzlich geregelte Möglichkeit gefunden, Einsicht in sensible Daten und technisches Know-how zu erhalten, lautet die Sorge. Vor allem Weltmarktführer in ihren Nischen fühlen sich bedroht, sie haben oft ein Premiumprodukt, das sie besonders schützen wollen. „Viele Unternehmen wissen noch nicht, wie sie mit den neuen Vorgaben umgehen sollen“, sagt Jost Wübbeke vom Berliner China-Thinktank Merics.

Auch der deutsche Botschafter in China, Michael Clauss, äußerte sich am vergangenen Freitag im Handelsblatt besorgt. „Der digitale Datenaustausch soll sich mehr denn je dem politischen Primat der Stabilität und Kontrolle unterordnen“, schrieb er in einem Gastbeitrag.

Die ebenfalls am vergangenen Freitag erschienene Umfrage zum Geschäftsklima der deutschen Auslandshandelskammer in China illustriert das Problem. Mehr als zwei Drittel der Befragten gaben an, dass Internetgeschwindigkeit und -zugang ihre Geschäftstätigkeiten erschweren oder gar behindern. Letztes Jahr beklagte das nur knapp die Hälfte – „ein sprunghafter Anstieg“.

Der Grund: Seit der vorigen Umfrage ist das sogenannte Cybersicherheitsgesetz in Kraft getreten. Hinzu kam die umständlich formulierte „Bestimmung für die Sicherheitseinhaltung von ins Ausland freigegebenen persönlichen Informationen und kritischen Daten“. Trotz des langen Titels der Bestimmung ist noch immer nicht klar, welche ausländischen Unternehmen eigentlich wie stark betroffen sind.

Die Auswirkungen könnten verheerend für das deutsche Geschäft sein. Zum Beispiel, wenn die Firmen wichtige Daten gegenüber der chinesischen Regierung offenlegen müssten. Das will natürlich niemand. Außerdem könnte es teuer werden, die Bestimmungen einzuhalten.

Offiziell geht es bei der Regelung darum, die Netzwerksicherheit wie auch den Datenschutz zu stärken. Sie gilt für Netzwerkbetreiber, Betreiber von kritischer Informationsstruktur sowie bestimmten Personen und Organisationen. Die offenen Fragen: Sind nur Dienste-Anbieter von Netzwerken oder sind auch Personen gemeint, die Computer benutzen, die mit mehreren Netzwerken verbunden sind? Das könnte im Zweifelsfall auf jeden Mitarbeiter zutreffen, der sich gerade außerhalb der Firma aufhält. Benutzt er ein örtliches Netzwerk und schaltet sich gleichzeitig über einen Proxy-Server ins Firmennetzwerk ein, dann könnten die Bedingungen schon erfüllt sein.

„Wir wissen auch immer noch nicht, was eigentlich eine kritische Informationsinfrastruktur“ ist und was genau Informationen sind, die „Chinas nationale Interessen berühren“, sagt Alexander Theusner. Der Rechtsanwalt bei Rödl & Partner berät und prüft deutsche Mittelständler im Südosten Chinas. Normalerweise geht es dabei um den Informationsdienst, den Transport- und den Energiesektor und die öffentlichen Dienstleistungen.

Aber wenn jedes Unternehmen, welches „das soziale und wirtschaftliche Wohlergehen“ beeinträchtigen könne, dazuzähle, dann sei der Ermessensspielraum de facto unbegrenzt. Bisher gab es auf Anfragen deutscher Interessensvertreter oder Kanzleien keine eindeutigen Antworten von chinesischer Seite. Wer nämlich als „kritisch“ eingestuft wird, der muss künftig personenbezogene Daten und „wichtige Daten“, die in China gesammelt und erzeugt werden, auch in China speichern. Und sie dürfen nur dann ins Ausland übermittelt werden, wenn sie von der nationalen Informationsbehörde überprüft und genehmigt wurden.

Was aber genau „wichtige Daten“ sind, ist ebenfalls unklar. So sagt Alexandra Voss, Leiterin der deutschen Handelskammer in China, dass der Gesetzestext keine Offenlegung von internen Firmen- und Kundendaten oder Quellcodes vorsieht. Doch Firmen müssen „gegebenenfalls damit rechnen, im Rahmen der Lizenzierung durch staatliche Behörden Einblicke in weitere Produktdetails sowie möglicherweise auch Codes zu gestatten“.

Manche vermuten, das Cybersicherheitsgesetz diene auch zur Industriespionage. Jost Wübbeke hält das aber nicht für das Ziel dieser Regelung, schließt jedoch nicht aus, „dass einzelne Behörden, die in den Besitz sensibler Unternehmensdaten gelangen, diese an chinesische Wettbewerber weitergeben“. Deshalb raten Experten wie Alexander Theusner, genau zu prüfen, welche Informationen man in China wirklich braucht und wie man seine sensiblen Daten schützt.

„Gerade für Mittelständler mit begrenzten Kapazitäten für Informationssicherheit ist es herausfordernd und kostspielig, die Bestimmungen des Gesetzes für Cybersicherheit einzuhalten“, meint Wübbeke. So müssen die betroffenen Unternehmen einen Verantwortlichen für die Internetsicherheit des Unternehmens benennen und Geld in die Hand nehmen, um sich angemessen gegen Cyberangriffe zu schützen. Sie müssen dafür externe Beratungs- und Servicedienstleistungen einkaufen. Für kleine und mittlere Unternehmen könnte sich die Niederlassung in China womöglich nicht mehr rechnen.

Die potenziellen Komplikationen und Kosten sind zwar hoch. Aber weil keiner genau weiß, was zu tun ist, haben laut Umfrage nur 14 Prozent der Unternehmen auch schon tatsächlich Vorkehrungen getroffen. Und das, obwohl 23 Prozent der Unternehmen glauben, das Cybersicherheitsgesetz werde ihr Geschäft negativ beeinträchtigen, und weit mehr als ein Drittel verunsichert ist.

Im kommenden Frühjahr soll dann die nächste Verschärfung des Gesetzes kommen. Dann sollen alle sogenannten Virtuelle-Private-Netzwerk-Dienstleister abgeschaltet werden. So genannte VPNs haben es bisher Firmen wie auch Mitarbeitern ermöglicht, auch außerhalb des chinesischen Internets zu surfen und auf Google, Facebook und zum Beispiel die „New York Times“ zuzugreifen.

Die deutsche Handelskammer glaubt, dass die „speziellen Übertragungskanäle“ zwischen Unternehmen und ihrer Zentrale nicht betroffen wären. Andere Experten rechnen jedoch damit, dass ausländische Firmen künftig dazu gezwungen werden, einen vom chinesischen Staat lizenzierten Dienst zu kaufen. Offenbar haben vage Formulierungen in China Methode. Alexander Theusner erklärt: „Zum einen kann der Staat das Gesetz immer wieder verfeinern und verbessern“, sagt er. „Zum anderen kann er es aber auch immer zu seinen Gunsten auslegen.“