Der Nationale Volkskongress der VR China hat am 26. Oktober das neue chinesische Verschlüsselungsgesetz (密码法) verabschiedet, das am 1. Januar 2020 in Kraft treten wird. Es kann als eine weitere Ergänzung des Cybersecuritysystems angesehen werden, das China bereits seit Jahren entwickelt und das mit dem Cybersicherheitsgesetzes an Dynamik gewonnen hat. Es soll die Nutzung und Verwaltung von Verschlüsselungstechnologien regeln und die Entwicklung von Unternehmen der Kryptographie erleichtern.
Zu diesem Zweck unterscheidet das Gesetz zwischen Kern-, Standard- und kommerzieller Kryptographie. Da Kern- und gängige Kryptographie zum Schutz von Staatsgeheimnissen verwendet werden, sind sie für die meisten ausländischen Unternehmen in China nicht relevant. Die kommerzielle Kryptographie kann von Bürgern, juristischen Personen und Organisationen rechtlich genutzt werden, um ihre Daten und Systeme zu schützen.
Neu ist, dass das neue Gesetz der Verwendung ausländischer Verschlüsselungstechnologien in China für den kommerziellen Gebrauch nicht ausdrücklich verbietet. Kommerzielle kryptographische Produkte oder Technologien, die von ausländischen Unternehmen entwickelt, verwendet, verkauft, importiert oder exportiert werden, werden jetzt genauso behandelt wie einheimische Produkte oder Technologien. Wie so oft bei der vermeintlichen Öffnung des chinesischen Marktes für ausländische Unternehmen ist aber nicht klar, ob die Kryptographie-Anbieter auf dem chinesischen Markt nun einen Fuß in die Tür bekommen können, nachdem sie bislang von diesem Markt ausgeschlossen waren.
Kryptographische Produkte, die in China verkauft und verwendet werden, müssen einem strengen Normenwerk entsprechen, das durch weitere Vorschriften näher definiert wird. Alle Unternehmen, die kommerzielle Kryptographie zum Schutz ihrer Daten einsetzen, unterliegen der Überwachung und Bewertung durch die State Cryptography Administration, die das Recht hat zu prüfen, ob Kryptographieprodukte und -technologien gesetzeskonform eingesetzt werden. Ob die SCA während dieses Verfahrens Zugang zu den Schlüsseln benötigt oder ob sie diese anfordern dürfen, ist ein gesetzlich nicht geregeltes Thema, das einen bitteren Geschmack hinterlässt.
Es wird sich zeigen, was weitere Regelungen bringen und ob sie die Unsicherheiten verringern. Eine Tatsache, die sich wahrscheinlich auch mit einer neuen Regulierung nicht ändern wird: Wenn die chinesische Regierung Daten will, hat sie immer die Möglichkeit, diese auch zu erhalten.
Bild: Pixabay / Paul Henri
China Intellectual Property Blog 