Branchenzugehörigkeit und nationale Relevanz
Das primäre und gewichtigste Kriterium ist die Branche, in der Ihr Unternehmen tätig ist. Die Behörden definieren Schlüsselsektoren, in denen ein Ausfall oder eine Sicherheitsverletzung erhebliche Schäden für die nationale Sicherheit, die Volkswirtschaft, den Lebensstandard oder das öffentliche Interesse verursachen könnte. Konkret gehören dazu Sektoren wie Telekommunikation, Energie, Finanzen, Verkehr, öffentliche Dienste sowie wichtige Industrie- und Fertigungsbereiche. Wenn Ihr Unternehmen beispielsweise ein deutsches Automobilzulieferunternehmen ist, das vernetzte Fahrzeugdaten in Echtzeit verarbeitet, oder ein europäischer Anbieter von Steuerungssystemen für Energieverteilnetze, stehen die Chancen hoch, dass Sie in den Fokus der KII-Bewertung rücken.
In meiner Praxis habe ich erlebt, wie ein mittelständischer deutscher Maschinenbauer, der hochpräzise Steuerungssysteme für Wasserkraftwerke lieferte, zunächst dachte, sein relativ kleiner China-Umsatz würde ihn nicht betreffen. Doch die **nationale Relevanz** der Infrastruktur, die seine Systeme steuerten, war der entscheidende Faktor. Es ging nicht um die Größe des Unternehmens, sondern um die kritische Funktion seiner Technologie für die Grundversorgung. Die Behörden prüfen hier mit einer Art "Risiko-Controlling-Logik": Welche systemischen Folgen hätte ein Versagen?
Die Einstufung erfolgt oft in enger Abstimmung zwischen den branchenspezifischen Aufsichtsbehörden (z.B. der Kommission für die Verwaltung der Cyberspace-Angelegenheiten, CAC, und dem Ministerium für Industrie und Informationstechnologie, MIIT) und den Branchenverbänden. Ein offizielles, öffentlich einsehbares "Schwarzes Brett" mit allen betroffenen Unternehmen gibt es nicht; die Benachrichtigung erfolgt in der Regel direkt durch die zuständige Behörde. Daher ist es für ausländische Investoren unerlässlich, frühzeitig den Dialog mit ihren branchenspezifischen Regulierern zu suchen und nicht abzuwarten, bis eine offizielle Anfrage eintrifft.
Geografische Verbreitung und Versorgungsbereich
Ein weiterer, oft unterschätzter Faktor ist der geografische Wirkungsradius Ihrer IT-Infrastruktur. Betreiben Sie ein zentrales Rechenzentrum in Shanghai, das nur die lokale Produktionsstätte versorgt? Oder steuern und verarbeiten Sie Daten für ein landesweites Vertriebs- und Servicenetzwerk, das von Harbin bis Shenzhen reicht? Die **räumliche Ausdehnung** ist ein klares Indiz für die Kritikalität. Infrastrukturen, die regionale oder sogar nationale Prozesse unterstützen, werden mit größerer Wahrscheinlichkeit als KII eingestuft als solche mit rein lokaler Bedeutung.
Ich erinnere mich an den Fall eines europäischen Logistikdienstleisters. Seine IT-Systeme für das Tracking und Management von Containerbewegungen waren zunächst nur auf den Hafen von Tianjin beschränkt. Nach der Expansion und Vernetzung mit den nationalen Logistik-Hubs in Chengdu und Zhengzhou änderte sich die Lage schlagartig. Plötzlich war sein System nicht mehr nur ein internes Tool, sondern ein Knotenpunkt in der nationalen Lieferkette. Diese Eskalation des Versorgungsbereichs löste eine Neubewertung durch die Behörden aus. Die Moral von der Geschicht': Planen Sie Ihre IT-Architektur in China von Anfang an mit Blick auf mögliche Skalierung und die daraus resultierenden regulatorischen Implikationen.
Die Behörden bewerten hier das Potenzial für "Kaskadeneffekte". Ein Ausfall in einem regionalen Knotenpunkt kann Störungen in anderen, scheinbar unabhängigen Sektoren auslösen. Wenn Ihr IT-System also eine solche Scharnierfunktion einnimmt, sollten Sie intern bereits die Standards einer KII anlegen – unabhängig davon, ob die offizielle Einstufung bereits erfolgt ist oder nicht. Das ist präventives Risikomanagement im besten Sinne.
Abhängigkeit und Alternativlosigkeit der Dienstleistung
Wie einzigartig und unersetzlich ist der von Ihrem Unternehmen erbrachte Dienst? Dieses Kriterium fragt nach der **Marktstellung und der Verfügbarkeit von Alternativen**. Stellen Sie sich vor, Ihr Unternehmen stellt eine spezielle Cloud-Software für die Risikomodellierung in chinesischen Regionalbanken bereit. Wenn diese Software ausfällt und es keine vergleichbare inländische oder ausländische Alternative gibt, die kurzfristig einspringen kann, dann ist die Abhängigkeit der Banken von Ihrer Lösung extrem hoch. Diese "Alternativlosigkeit" ist ein starkes Signal für eine KII-Einstufung.
In der Beratungspraxis begegnet uns das oft bei Nischenanbietern von hochspezialisierter Industrie-Software oder Steuerungshardware. Ein Klient, ein Hersteller von Software für die Simulation von Stromnetzlasten, stand genau vor diesem Dilemma. Seine Technologie war so speziell, dass ein Wechsel für die Energieversorger mit monatelangen Umstellungsprojekten verbunden gewesen wäre. Diese Abhängigkeit machte seine Infrastruktur in den Augen der Aufseher kritisch. Die Lösung bestand nicht darin, die Technologie weniger gut zu machen, sondern gemeinsam mit dem Kunden Redundanzen und Notfallpläne zu entwickeln, die die systemische Abhängigkeit verringern – ein aufwendiger, aber notwendiger Prozess.
Für Investoren bedeutet das: Bei Due-Diligence-Prüfungen von Technologieunternehmen in China sollte nicht nur die Finanzkraft, sondern auch der "Kritikalitätsgrad" der angebotenen Lösung bewertet werden. Eine monopolähnliche Stellung in einer Nische bringt zwar hohe Margen, aber auch eine völlig andere Ebene regulatorischer Aufmerksamkeit und Compliance-Kosten mit sich.
Art und Sensibilität der verarbeiteten Daten
Dies ist vielleicht der naheliegendste Punkt: Welche Daten fließen durch Ihre Systeme? Die **Datenklassifizierung** ist entscheidend. Verarbeiten Sie lediglich öffentliche Marketingdaten oder handeln Sie mit sensiblen personenbezogenen Daten im großen Stil, Geschäftsgeheimnissen, oder gar Daten mit Bezug zur nationalen Sicherheit? Die "Data Security Law" und der "Personal Information Protection Law" (PIPL) haben hier klare Rahmen gesetzt. Die Verarbeitung von "wichtigen Daten" – ein Begriff, der branchenspezifisch weiter definiert wird – ist ein direkter Treiber für die KII-Einstufung.
Ein anschauliches Beispiel aus meiner Arbeit: Ein internationaler Anbieter von Gesundheits-Apps für Fitness-Tracking geriet in die Bewertung, nachdem er eine Partnerschaft mit mehreren chinesischen Krankenkassen einging, um anonymisierte Daten für Public-Health-Studien zu nutzen. Obwohl die Daten anonymisiert waren, betrafen sie den sensiblen Gesundheitssektor und wurden in großem Umfang verarbeitet. Das reichte aus, um eine vertiefte Prüfung auszulösen. Der Knackpunkt war die Kombination aus **Mengenfaktor und Kontext**. Es geht nicht immer nur um Staatsgeheimnisse; oft reicht die aggregierte Masse an "normalen" Daten in einem sensiblen Umfeld aus.
Mein Rat an Geschäftsführer: Führen Sie ein rigoroses Data-Mapping durch. Verstehen Sie genau, welche Daten wo erhoben, übertragen und gespeichert werden. Klassifizieren Sie diese Daten nach chinesischem Recht, nicht nur nach EU-DSGVO. Diese interne Übung ist nicht nur für die KII-Frage Gold wert, sondern bildet auch die Grundlage für die Compliance mit PIPL und anderen Vorschriften. Hier zahlt sich Vorarbeit doppelt und dreifach aus.
Vernetzungsgrad mit anderen kritischen Systemen
Isoliert sich Ihr IT-System schön in seiner eigenen Welt, oder ist es tief verwoben mit den Systemen anderer, potenziell kritischer Infrastrukturen? Der **Integrationsgrad** ist ein technisches, aber hochpolitisches Kriterium. Stellen Sie sich ein ausländisches Unternehmen vor, das Predictive-Maintenance-Software für Hochgeschwindigkeitszüge anbietet. Diese Software ist direkt mit den betrieblichen Steuerungssystemen der Bahngesellschaft verbunden, um Echtzeitdaten zu erhalten. Allein durch diese Schnittstelle und die tiefe Integration wird Ihr eigenes System zum Teil eines größeren, kritischen Ökosystems.
Ich habe einen Klienten beraten, der Sensoren für Umweltüberwachung in Industrieanlagen lieferte. Die Sensordaten flossen zunächst nur in interne Berichte. Als der chinesische Partner jedoch beschloss, diese Daten live in das nationale Umweltüberwachungsportal der Provinz einzuspeisen, änderte sich der Status schlagartig. Plötzlich war die Datenpipeline des ausländischen Unternehmens ein Eingangskanal für amtlich genutzte Informationen. Diese "Aufwärtsintegration" in staatliche Monitoringsysteme ist ein fast sicheres Kriterium für erhöhte Aufmerksamkeit.
Daher muss bei jeder Vertragsverhandlung oder technischen Integration die Frage gestellt werden: "Mit wem oder was verbinden wir uns hier?" Die rechtlichen und sicherheitstechnischen Implikationen dieser Verbindung müssen verstanden und vertraglich abgesichert werden. Oft wird diese Frage in der Betriebsebene unterschätzt, bis es zu spät ist. Ein guter IT-Rechtsanwalt und ein erfahrener Berater, der die regulatorische Landschaft kennt, sind hier unverzichtbar.
Fazit und strategische Empfehlungen
Die Festlegung, ob die Informationsinfrastruktur eines ausländischen Unternehmens in China als "kritisch" gilt, ist kein binärer, automatischer Prozess, sondern das Ergebnis einer multifaktoriellen Risikobewertung durch die zuständigen Behörden. Wie wir gesehen haben, spielen die Branchenzugehörigkeit, der geografische Versorgungsradius, der Grad der Abhängigkeit seitens der Kunden, die Sensibilität der verarbeiteten Daten und die Tiefe der Vernetzung mit anderen Systemen die Hauptrollen in diesem Bewertungsdrama.
Für Investoren und Geschäftsführer bedeutet dies: **Proaktivität ist der Schlüssel.** Warten Sie nicht auf den Brief der Behörde. Führen Sie eine interne Selbsteinschätzung anhand dieser Kriterien durch. Bauen Sie frühzeitig vertrauensvolle Kommunikationskanäle zu den relevanten branchenspezifischen Aufsichtsbehörden auf. Verstehen Sie, dass Cybersicherheit in China nicht nur ein technisches, sondern ein governance- und compliance-getriebenes Thema ist, das direkt in der Geschäftsführung verankert sein muss.
Meine persönliche Einsicht nach all den Jahren: Die Regulierung wird nicht lockerer, sondern präziser und vernetzter. Der Trend geht hin zu einer **ganzheitlichen Betrachtung von operativer Resilienz**. Unternehmen, die ihre IT- und Datensicherheitsstrategie von vornherein robust und transparent aufbauen, werden nicht nur weniger Probleme mit der KII-Einstufung haben, sondern auch das Vertrauen von Kunden und Partnern in China gewinnen. In der Zukunft wird die Fähigkeit, diese Compliance-Anforderungen effizient in das Geschäftsmodell zu integrieren, zu einem echten Wettbewerbsvorteil werden – das ist meine feste Überzeugung.
Einschätzung der Jiaxi Steuer- und Finanzberatung
Aus unserer langjährigen Begleitung hunderter ausländischer Unternehmen in China betrachtet Jiaxi die Thematik der Kritischen Informationsinfrastruktur vor allem als eine strategische Management- und Planungsaufgabe, nicht als bloßes IT-Problem. Die Kriterien der Behörden folgen einer klaren Logik der systemischen Risikominimierung für die Volkswirtschaft. Unsere Erfahrung zeigt, dass Unternehmen, die diese Logik verinnerlichen und in ihrer China-Strategie antizipieren, deutlich weniger operative Überraschungen erleben. Ein häufiger Fehler ist die isolierte Betrachtung des China-Geschäfts. Die KII-Frage macht deutlich, dass die IT-Architektur und Datenflüsse zwischen der globalen Zentrale und der China-Entität von Anfang an mitgedacht werden müssen – Stichwort "Data Localization" und "Cross-Border Data Transfer". Wir raten unseren Klienten stets zu einem dreistufigen Vorgehen: Erstens, eine interne Gap-Analysis basierend auf den publizierten Gesetzen und Branchenrichtlinien. Zweitens, den Aufbau eines dokumentierten Compliance-Rahmenwerks für Cybersicherheit, auch wenn die offizielle Einstufung noch aussteht. Und drittens, die Einbindung lokaler Experten, die sowohl die technischen als auch die behördlichen Prozesse verstehen. Letztlich ist eine als KII eingestufte Infrastruktur keine "Strafe", sondern kann bei richtiger Handhabe auch ein Vertrauenssignal gegenüber dem Markt und den Partnern sein. Jiaxi unterstützt hier durch ein Netzwerk von spezialisierten Rechtsanwälten, IT-Sicherheitsexperten und dem stetigen Dialog mit den Behörden, um für unsere Klienten planbare und sichere Rahmenbedingungen zu schaffen.