Chinas neues Datenschutzgesetz

News

Vorgeblich aufgrund von zahlreichen Beschwerden seiner Bürger gegen einheimische Internetkonzerne hat sich die Volksrepublik China ein neues Datenschutzgesetz gegeben. Wir wagen einen kleinen Vergleich mit der DSGVO und beleuchten die Hintergründe.

Das strengste Datenschutzgesetz der Welt

Auf einer Sitzung letzten Freitag hat der Nationale Volkskongress das neue chinesische Datenschutzgesetz verabschiedet, das am 1. November in Kraft tritt. Dabei soll es sich laut Parteipresse um das strengste Datenschutzgesetze der Welt handeln. Auch wenn diese Zuschreibung übertrieben wirkt, so finden sich doch viele Regelungen in dem Gesetz wieder, die auch einem hiesigen Datenschützer Freude bereiten dürften.

DSGVO reloaded

Die erklärte Absicht des Gesetzes ist, das Datensammeln durch Onlineriesen wie Tencent und Alibaba einzuschränken. Insoweit stimmen einige chinesische Regelungen auch mit uns aus der DSGVO wohlbekannten durchaus überein.

Nach chinesischen Angaben müssen etwa verantwortliche Stellen

„die Nutzer über die Grundsätze, Zwecke und Methoden der Erhebung und Verwendung personenbezogener Daten informieren und dürfen überdies nicht übermäßig viele Nutzerdaten sammeln.“

Auch verlange das Gesetz im Zusammenhang mit dem Ausspielen automatisierter Informationen und Marketingaktionen eine Widerspruchsmöglichkeit des Nutzers. Letztlich soll es den Nutzern ermöglicht werden selbst zu entscheiden, ob Sie ihre Daten für eine Profilbildung zur Verfügung stellen.

Für die Verarbeitung besonders „sensibler“ Daten (in etwa den besonderen Kategorien personenbezogener Daten nach Art. 9 entsprechend) soll nun die Einholung einer Einwilligung erforderlich sein.

Anwendungsbereich und andere Ähnlichkeiten

Ähnlich wie in der DSGVO knüpft der Anwendungsbereich des Gesetzes an eine geschäftliche Tätigkeit in China, bei welcher personenbezogene Daten dortiger Bürger verarbeitet werden, so dass auch europäische Unternehmen betroffen sein können. Hieraus folgt dann die Pflicht zur Stellung eines Repräsentanten vor Ort und zur Berichterstattung gegenüber den chinesischen Aufsichtsbehörden.

Ebenfalls aus der DSGVO bekannt ist die Androhung von Bußgeldern im Falle von Verstößen gegen das Gesetz. Auch in China können diese nun in die Millionen (Euro) gehen.

Einschränkungen des Datentransfers?

Das Gesetz soll zudem eine weitere Regelung enthalten, die europäischen Datenschutz-Praktikern nur allzu bekannt vorkommen muss: Ein Verbot des Transfers personenbezogener Daten chinesischer Staatsbürger in Staaten mit einem niedrigeren Standard für die Datensicherheit als in China. Schrems II lässt grüßen. Durchaus möglich, dass diese Regelung viele ausländische Unternehmen vor Probleme stellen wird. Eine Datenübermittlung in die EU sollte jedoch (angesichts des nicht ganz so geringen Datenschutzniveaus hier) ohne weiteres möglich bleiben.

Verbot von Preisdiskriminierung

Das Gesetz richtet sich ausdrücklich auch gegen das in China weitverbreitete Phänomen der Preisdiskriminierung im Onlinehandel. So hatten sich zehntausende Besitzer von iPhones bei Verbraucherschutzstellen darüber beschwert, dass ihnen für die Nutzung von Fahrdienstleistern mehr berechnet würde als Besitzern günstigerer Smartphones. Ähnliches wurde auch beim Kauf von Reisetickets beanstandet.

Hierzu ist nun im Gesetz geregelt, dass

„Anwendungen, die den Nutzern auf der Grundlage der Auswertung ihrer Konsumpräferenzen und ihres Einkommensniveaus unter Verwendung von Big Data unterschiedliche Preise anbieten, verboten werden.“

Vergleich: „Individuelle Preisdifferenzierung“ in Deutschland

Auch deutsche Verbraucher sehen sich im Internet mit Preisschwankungen (Dynamic Pricing) konfrontiert. Anders als es das subjektive Gefühl vielleicht vermuten lässt, sind diese, u.a. nach aktuellen Erkenntnissen der Verbraucherzentrale, aber kaum einmal auf eine „individuelle Preisdifferenzierung“ zurückzuführen. Das kann sich in der Zukunft mit weiter zunehmenden technischen Möglichkeiten und größer werdenden Datenmengen aber durchaus ändern.

Datenschutzrechtlich dürfte die, letztlich infolge von Profilbildungen erfolgende, „personalisierte Preisbildung“ nur schwer zu rechtfertigen sein. Regelmäßig wird es daher auf die Einholung einer Einwilligung ankommen. Ob ein Nutzer diese wirklich freiwillig erteilen würde, wenn sie eine „personalisierte Preisbildung“ umfasst, erscheint fraglich.

Kein Verbot der Preisdiskriminierung in der EU, aber…

Anders als nun das neue chinesische Datenschutzrecht kennt die DSGVO also kein ausdrückliches Verbot einer Preisdiskriminierung. Dass eine solche gleichwohl als reelle Gefahr angesehen wird, zeigt die Richtlinie (EU) 2019/2161 vom 27.11.2019, mit der u.a. die Verbraucherrechterichtlinie (2011/83/EU) angepasst wird. Nach deren Art. 4 Abs. 4 lit. a) Ziff. ii) soll der Verbraucher ggf. zukünftig auch darauf hingewiesen werden,

„dass der Preis auf der Grundlage einer automatisierten Entscheidungsfindung personalisiert worden ist.“

Feldzug gegen die Macht der Internetkonzerne

Doch zurück nach China. Das vom Nationalen Volkskongress nun erlassene Gesetz entspringt mitnichten der reinen Liebe der politischen Führung zu ihrem Volke. Vielmehr passt es in eine Zeit, in der die chinesische Regierung einen regelrechten Feldzug gegen die mächtigen Internetkonzerne des Landes führt. So soll die chinesische Führung Ende 2020 den geplanten Börsengang der Alibaba-Ausgründung Ant Financial verhindert haben. Und Anfang März diesen Jahres hatte Chinas Ministerpräsident Li Keqiang angekündigt, die boomende Fintech-Branche des Landes stärker zu regulieren. Damit solle die „unregulierte“ Expansion der Anbieter gestoppt und ein fairer Wettbewerb hergestellt werden.

Zuletzt hatte es mit Tencent gar den größten Konzern des Landes erwischt. Ein Bericht der Staatszeitung „Economic Information Daily“ hatte Videospiele als „geistiges Opium“ bezeichnet und eine grassierende Online-Sucht von Kindern und Jugendlichen angeprangert. Der Aktienkurs von Tencent, das laut dem Bericht über die Hälfte des chinesischen Videospielmarktes beherrscht, brach um bis zu 11 Prozent ein. Der Konzern sah sich daraufhin zu drastischen Schritten veranlasst: Er kündigte an, die Nutzung seiner Dienste durch Minderjährige massiv zu beschränken. U.a. sollen diese künftig nur noch maximal 1 Stunde pro Tag, am Wochenende 2 Stunden, spielen können.

Investoren verunsichert

Das Vorgehen des chinesischen Staatsapparats hat in den vergangenen Monaten branchenübergreifend Börsenwerte in Milliardenhöhe vernichtet. Neben der schon genannten Abwertung des Geschäftsmodells von Tencent, fällt einem vor allem die Causa Didi ein: Kurz nachdem der führende Fahrdienst des Landes an die New Yorker Börse gegangen war und dabei 6 Milliarden Dollar eingesammelt hatte, verbot die Cyberspace Administration of China die App. Der Aktienkurs brach daraufhin ein. Im Moment scheint die zentrale Frage nur zu sein, welche der Branchen als nächstes dran ist.

Auch nach der Verkündung des neuen Datenschutzgesetzes sanken am Freitagmorgen die Aktien von Tencent, Alibaba und weiteren Tech-Firmen.

Kein Ende des gläsernen Bürgers

Das neue Datenschutzrecht gibt zumindest den chinesischen Bürgern als Verbrauchern neue Möglichkeiten, sich vor der Datensammelei der (vor allem großen) Anbieter zu schützen. Insoweit lässt sich das chinesische Datenschutzgesetz durchaus mit der europäischen DSGVO vergleichen. Trotzdem bedeuten die neuen Regelungen keinesfalls das Ende des gläsernen Bürgers.

Denn das Gesetz richtet sich an (bzw. gegen) die Wirtschaft und insbesondere große Internetfirmen und deren Datenmissbrauch. Es ändert aber nichts an staatlich legitimierter Überwachung, wie sie u.a. über unzählige Kameras an öffentlichen Plätzen erfolgt. Und es bedeutet schon gar keine Abkehr von dem geplanten, lediglich in der Umsetzung verzögerten, Sozialkreditsystem „Social Score“, dass eine datenbasierte Belohnung oder auch Sanktionierung der eigenen Bürger vorsieht.

Dem Schutz der chinesischen Bürger wäre mit Gesetzen, die nicht die Unternehmen, sondern den Staat in seiner Datensammelwut regulieren, deutlich mehr geholfen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.