Bleiben Sie mit kostenlosen Updates auf dem Laufenden
Melden Sie sich einfach an Chinesische Politik und Politik myFT Digest – direkt in Ihren Posteingang geliefert.
China hat seit der Einführung neuer Datensicherheitsgesetze nur etwa einem Viertel der Anträge auf Datenexport zugestimmt, was ein schwerer Schlag für Unternehmen ist, die mit einer sich verlangsamenden Wirtschaft und zunehmenden Spannungen zwischen Washington und Peking zu kämpfen haben.
Nach einem im September 2022 in Kraft getretenen Gesetz ist für grenzüberschreitende Datenübermittlungen durch Unternehmen mit mehr als 1 Million registrierten Nutzern eine staatliche Genehmigung erforderlich, was in einem Land mit mehr als 1 Milliarde Einwohnern eine niedrige Schwelle darstellt.
Die Cybersecurity Administration of China, die wichtigste Internet-Regulierungsbehörde des Landes, muss noch Tausende von Anfragen lokaler und internationaler Unternehmen genehmigen, Daten, die von der persönlichen Bonitätshistorie bis hin zu Online-Verkaufsunterlagen reichen, an ihre Partner im Ausland zu senden, sagten aktuelle und ehemalige CAC-Beamte.
Laut einem aktuellen CAC-Beamten, einem ehemaligen CAC-Beamten und dem Leiter der Datensicherheit eines chinesischen E-Commerce-Unternehmens wurde nur etwa ein Viertel aller Anträge genehmigt. Es ist unklar, wie viele Anträge insgesamt eingereicht wurden. Das CAC hat im Mai die Veröffentlichung von Zulassungszahlen eingestellt. Auf Anfragen nach Kommentaren wurde nicht reagiert.
Während die Regulierungsbehörde laut Gesetz innerhalb von 57 Arbeitstagen nach Eingang eines Antrags eine Datensicherheitsprüfung abschließen sollte, verbringen die meisten Unternehmen viele Monate damit, auf eine Rückmeldung zu warten, sagten Beamte. Das Feedback beinhaltet häufig auch Anfragen nach weiteren Informationen.
„Kein einziges Unternehmen kann die Datensicherheitsüberprüfung innerhalb des offiziell vorgeschlagenen Zeitrahmens abschließen, da das CAC sie entweder auffordern würde, die Formatierung zu korrigieren oder mehr Materialien einzureichen“, sagte ein CAC-Beamter und fügte hinzu, dass einige Unternehmen mehr als eine Änderung an ihren Anträgen vornehmen mussten Dutzende Male, um die gesetzlichen Anforderungen zu erfüllen. „Der gesamte Prozess wird sehr zeitaufwändig“, sagte der Beamte.
Analysten sagten, der Kampf des CAC um die Umsetzung der Datenexportregeln verdeutliche die Herausforderungen, vor denen Peking steht, wenn es versucht, die widersprüchlichen Ziele der Ankurbelung des Wirtschaftswachstums und der Stärkung der nationalen Sicherheit zu erreichen.
„Früher wurde implizit davon ausgegangen, dass Wachstum eine gewisse Priorität hat“, sagte Karman Lucero, Forscher an der Yale Law School. „Jetzt hat sich die Dynamik völlig verändert, da die Leute deutlicher erkennen, dass dieser Widerspruch zwischen diesen beiden Zielen besteht und die Regierung sich zunehmend für Sicherheit entscheidet, unabhängig davon, was sie sagen.“
Seit September 2022 verlangt Peking von Betreibern kritischer Informationsinfrastrukturen, Unternehmen, die Daten verarbeiten, die für die nationale Sicherheit von entscheidender Bedeutung sind, und Unternehmen mit Zugriff auf große Mengen an Benutzerinformationen, eine vom CAC durchgeführte Sicherheitsbewertung zu bestehen, bevor sie Daten ins Ausland senden.
Bis Anfang Mai hatten nur zwei Unternehmen in Shanghai, einer Drehscheibe für den internationalen Handel, die behördliche Genehmigung für die Übermittlung von Daten ins Ausland erhalten. Nach Angaben der CAC-Niederlassung in Shanghai hatten in diesem Zeitraum mehr als 400 Unternehmen eine Genehmigung beantragt. Die Provinz Zhejiang, die ebenfalls Informationen zu Genehmigungen veröffentlichte, sagte, sie habe grünes Licht für zwei der 70 bis zum 24. Mai eingegangenen Datenexportanfragen gegeben.
Während Peking im September 2023 das Gesetz lockerte und die Übermittlung einiger Daten ins Ausland ohne Prüfung erlaubte und seitdem weitere Genehmigungen erteilt wurden, sagten mehrere Anwälte für Datensicherheit, dass es mindestens sechs Monate gedauert habe, bis Unternehmen eine CAC-Prüfung bestanden hätten. „Es gibt eine lange Warteschlange, die immer größer wird“, sagte Pang Lipeng, ein Anwalt der Anwaltskanzlei Beijing Celue, der an Fällen zur Überprüfung der Datensicherheit gearbeitet hat.
Während das chinesische Recht eine Sicherheitsüberprüfung des Exports „wichtiger Daten“ vorschreibt, wurde keine Definition bereitgestellt. „Einige scheinbar triviale Daten könnten eines Tages mit der Entwicklung an Bedeutung gewinnen [of] KI-Technologie“, sagte der CAC-Beamte. „Wir können nur von Fall zu Fall entscheiden.“
Auf einer kürzlichen Datensicherheitskonferenz in Ostchina beschrieb der Leiter der Datensicherheit eines führenden Internetunternehmens ein Szenario einer Peer-Group, die sechs Monate auf die Freigabe warten musste, um Informationen über ein Dutzend Mitarbeiter der mittleren Ebene ins Ausland zu senden.
„Viele unserer Kollegen haben sich dafür entschieden, flach zu liegen“, sagte ein Manager eines führenden Herstellers von Elektrofahrzeugen und verwies auf die Tatsache, dass viele lokale Hersteller von Elektrofahrzeugen die Hoffnung aufgegeben hatten, die Datensicherheitsprüfungen zu bestehen. Einige gaben ihre Exportpläne auf, während andere beschlossen, im Ausland zu verkaufen, ohne eine Datensicherheitsfreigabe einzuholen.
Die Unvorhersehbarkeit der chinesischen Politikgestaltung bedeute, dass es zu weiteren Veränderungen kommen könne, sagte der CAC-Beamte. „Es stimmt, wir haben uns etwas gelockert“, sagte der Beamte. „Aber ich kann nicht garantieren, dass wir die Maßnahmen wieder verschärfen [in 2024] im Falle einer Eskalation der Spannungen zwischen den USA und China.“