China entdeckt den Datenschutz

Was ist die Ausgangslage?

Internetgiganten wie Alibaba oder Tencent sind in datenschutzrechtlicher Hinsicht jahrelang unreguliert gewachsen. So ist es nicht verwunderlich, dass die Konzerne fragliche Geschäftspraktiken entwickelt haben. Beispielsweise ist die Preisdiskriminierung basierend auf der Einkaufshistorie der Kunden dort ein weitverbreitetes Phänomen: Bucht man ein Flugticket oder eine Taxifahrt mit einem teuren Smartphone, wird der Preis höher.

Mit dem neuen Datenschutzgesetz beabsichtigt China, die Vorratssammlung von Personendaten durch diese Unternehmen einzuschränken. Unter anderem sollen das Erstellen von Nutzerprofilen und die personalisierte Preisgestaltung erschwert werden.

Was ist der Anwendungsbereich des chinesischen Datenschutzgesetzes?

Das chinesische Datenschutzgesetz zielt auf private Unternehmen ab und sieht – anders als etwa die DSGVO oder das schweizerische Datenschutzgesetz – keine Grenzen für die Überwachungs- und Bearbeitungstätigkeit der chinesischen Behörden vor. Auf der Basis des nationalen Sicherheitsgesetzes erhalten sie weiterhin Zugriff auf die persönlichen Daten ihrer Bürger/innen.

Was müssen schweizerische KMU bei ihrer Geschäftstätigkeit in China beachten?

Auch das chinesische Datenschutzgesetz sieht ein Sanktionssystem mit hohen Geldstrafen vor. Deshalb tun hiesige Unternehmen, die in China eine Geschäftstätigkeit ausführen, gut daran, sich mit dem chinesischen Datenschutzgesetz auseinanderzusetzen.

Das chinesische Datenschutzgesetz sieht, wie die DSGVO, eine Informationspflicht gegenüber den betroffenen Personen vor.

Das chinesische Datenschutzgesetz enthält ausserdem eine explizite Regelung zur Videoüberwachung durch Private. Beobachtungskameras und vergleichbare Geräte, die Personenbilder etwa für die automatisierte Gesichtserkennung erfassen, dürfen nur noch zum Aufrechterhalten der Sicherheit in öffentlichen Räumen aufgestellt werden.

Was sind unsere Empfehlungen*?

1. Prüfe den Anwendungsbereich: Bearbeitest Du Daten von chinesischen Staatsbürger/innen?

2. Wenn ja: Prüfe, ob Du einen Vertreter in China bestellen musst, der die Koordination mit den chinesischen Aufsichtsbehörden übernimmt (ähnlich wie nach Art. 27 DSGVO).

3. Prüfe, ob Du für die Erhebung der Daten eine Einwilligung der betroffenen Personen benötigst. Wenn ja, dokumentiere sie.

4. Limitiere Deine Datenerhebung auf das Notwendige.

5. Informiere Dich darüber, welche Rechte die betroffenen Personen haben. Arbeite im Zweifelsfall mit lokalen Rechtsvertretern zusammen.

6. Erstelle eine Datenschutzerklärung, in der Du die betroffenen Personen mindestens über die Identität des Bearbeiters, Bearbeitungszwecke, Bearbeitungsmethoden, Verwendung der Daten, Speicherdauer, deren Rechte und die Weitergabe von Daten informierst.

7. Prüfe, ob Du Daten von chinesischen Staatsbürger/innen exportierst – je nach Zielland musst Du weitere Sorgfaltsmassnahmen ergreifen.

8. Prüfe Deine Preisgestaltung: Die Preisfestlegung aufgrund eines Profilings oder Big Data Auswertungen wird verboten.

9. Überprüfe Deine Marketingmassnahmen: Künftig musst Du auch in China eine Opt-Out Möglichkeit vorsehen und den betroffenen die Möglichkeit bieten, personalisierte Werbung abzulehnen.

_{*Unsere Empfehlungen basieren nicht auf dem definitiven Gesetzestext, da dieser noch nicht publiziert wurde. Sobald eine definitive Fassung veröffentlicht ist und eine Übersetzung vorliegt, werden wir detaillierte Empfehlungen abgeben.}

Quellen:

• https://www.dataprotectionreport.com/2021/08/china-passes-the-personal-information-protection-law/

• https://iapp.org/news/a/china-adopts-national-privacy-law/

• https://www.dr-datenschutz.de/chinas-neues-datenschutzgesetz/?utm_source=mailpoet&utm_medium=email&utm_campaign=+%20/