Die meisten etablierten europäischen und amerikanischen Unternehmen, die in oder mit China Geschäfte machen, haben bereits einiges getan, um die Allgemeine Datenschutzverordnung der EU (GDPR) und vielleicht sogar den California Consumer Privacy Act (CCPA) einzuhalten. Sie haben wahrscheinlich neue Datenschutzrichtlinien ausgearbeitet, ihre Websites neu gestaltet und mehr interne Kontrollen eingeführt, um die Datenverarbeitung zu verbessern.
Wenn sie nach China gehen, wird sich vieles davon ändern müssen.
Einer der allgemeinen Trends bei neuen Datenschutzgesetzen auf der ganzen Welt ist das Konzept, dass die Person, die die Daten einer Person sammelt oder kontrolliert, im Allgemeinen einen legalen, rechtfertigenden Grund dafür haben muss. Jede staatliche Stelle, die eine Datenschutzregelung erlassen hat, hat diese Gründe geändert, und in vielen Fällen ist es nicht rechtmäßig, wenn Daten aus einem Grund erhoben oder verwendet werden, der nicht auf der Liste steht.
Länder mit strengeren Datenschutzgesetzen (z. B. in der EU) gehen mehr und mehr zur zustimmungsbasierten Verarbeitung über, d. h. Unternehmen müssen die Nutzer darüber informieren , warum sie Nutzerdaten verarbeiten , und ihre Zustimmung einholen. Diese Länder verlangen in der Regel nicht für jede Verarbeitung eine Einwilligung. In der Regel gibt es aufgezählte Ausnahmen von der Einwilligung oder es werden einfach andere Gründe für die Verarbeitung genannt. In Bezug auf die DSGVO sind zwei der wichtigsten Gründe für die Verarbeitung ohne Einwilligung: (1) die Verarbeitung ist zur Erfüllung eines Vertrags zwischen den Parteien erforderlich, und (2) die Verarbeitung liegt im berechtigten Interesse des für die Verarbeitung Verantwortlichen (in der Regel das Unternehmen) und verletzt nicht die Grundrechte der betroffenen Person.
Der Grund für die Vertragserfüllung gibt dem Unternehmen, das die Nutzerdaten kontrolliert, Flexibilität bei der Verwendung von Kundendaten, wenn es einen Vertrag mit einer Partei abschließt. Unternehmen wissen möglicherweise nicht immer, wie genau sie die Daten verwenden werden, um ihre Verpflichtungen gegenüber einem Kunden zu erfüllen, und es könnte zu kompliziert sein, dem Kunden alles zu erklären, was sie zu tun beabsichtigen.
Der Grund des berechtigten Interesses ist eher ein Auffangtatbestand, der es Unternehmen erlaubt, Daten auch ohne ausdrückliche Einwilligung zu verarbeiten. Er erfordert eine sorgfältige Abwägung zwischen den Interessen des für die Verarbeitung Verantwortlichen und den Rechten der betroffenen Person, erlaubt aber in vielen Fällen die Verarbeitung der Daten auch ohne deren Einwilligung.
Von all den vielen Verpflichtungen, die die Datenschutz-Grundverordnung den Unternehmen auferlegt, verschaffen diese Ausnahmen von der Einwilligung den EU-Unternehmen zumindest etwas Spielraum. In China sieht die Sache ganz anders aus.
Chinas Spezifikation für die Sicherheit personenbezogener Daten ist Chinas nationaler Standard für die Erhebung und Verarbeitung personenbezogener Daten. Eine englischsprachige Version der Spezifikation vom Mai 2018 finden Sie hier. Vor kurzem hat China Änderungen an der Spezifikation vom Mai 2018 vorgeschlagen.
Die Spezifikation vom Mai 2018 stellt klar, dass die Einwilligung die bevorzugte Grundlage für die Datenerhebung ist. Es gibt einige Ausnahmen von der Einwilligung, die in Abschnitt 5.4 aufgezählt werden, einschließlich für die Erfüllung eines Vertrags, aber unter Ausschluss von berechtigten Interessen. In den vorgeschlagenen Änderungen wird jedoch die Vertragserfüllung gestrichen. Mit anderen Worten: Zwei der wichtigsten Gründe für die Verarbeitung nach der DSGVO (außer der Einwilligung) sind in China nicht zulässig.
Ich kann gar nicht genug betonen, wie wichtig diese Unterschiede zur Datenschutz-Grundverordnung sind. Wenn Ihr Unternehmen in China irgendetwas tut, das mit der Erfassung von Daten zu tun hat, werden Sie bald nicht nur die GDPR-Vorschriften einhalten müssen (die gegenüber ausländischen - insbesondere US-amerikanischen - Unternehmen sehr streng durchgesetzt werden), sondern Sie müssen auch Ihre US- oder EU-zentrierten Datenschutzrichtlinien und (wahrscheinlich) Websites komplett überarbeiten, um ausdrücklich die Zustimmung einzuholen. Das wird eine Menge Arbeit sein.
Unternehmen aus den USA oder der EU, die in China Geschäfte machen, können sich nicht mehr darauf verlassen, dass sie mit chinesischen Bürgern Verträge über die Verarbeitung ihrer Daten abgeschlossen haben. Sie müssen nun alle Arten der Datennutzung sorgfältig erläutern und die Zustimmung dazu einholen, es sei denn, es gilt eine der wenigen anderen, sehr engen Ausnahmen. Wenn Sie die Art und Weise, wie Sie Daten verarbeiten, ändern wollen, nachdem Sie sie gesammelt und eine Einwilligung eingeholt haben, ist das in den meisten Fällen einfach zu schade - es sei denn, es gibt eine andere Ausnahme. Dann müssen Sie zurückgehen und eine neue Einwilligung einholen. Mit anderen Worten: Was Sie getan haben, um die DSGVO und die US-amerikanischen/kalifornischen Datenschutzgesetze einzuhalten, nützt Ihnen in China nicht viel oder gar nichts, wie uns viele unserer Kunden immer wieder bestätigen. Sie müssen für die Einhaltung der Vorschriften in China eine völlig separate und andere Arbeit leisten.
Natürlich sind unsere Kunden darüber nicht glücklich, und viele weisen zu Recht auf den erhöhten Aufwand an Ärger, Kosten und Zeit hin, den dies mit sich bringen wird. Einige von ihnen erwähnen nicht gerade subtil, wie lächerlich das alles ist und wie "das niemandem außer den chinesischen Datenschutzanwälten zu nützen scheint." Wir stimmen dem zu und weisen darauf hin, dass China bei so ziemlich allem, was mit dem Internet zu tun hat, schon immer seinen eigenen Weg gegangen ist, weil seine Ziele im Zusammenhang mit dem Internet in keiner Weise mit denen des Westens übereinstimmen. Einer unserer Anwälte für Datenschutz in China sagt oft, dass man bei den Datenschutzzielen der EU/GDPR an den Schutz der Privatsphäre und bei den Datenschutzgesetzen der USA an den Schutz des Gewinns denken sollte. Wenn Sie über die Datenschutzgesetze in China nachdenken, denken Sie an das Ziel der chinesischen Regierung, ihr Internet vor ausländischen Unternehmen zu schützen und privaten Unternehmen nicht zu viele Informationen über die inneren Abläufe in China zu geben.
Und damit Sie nicht denken, dass dies alles für Sie nicht gilt, weil Sie kein Unternehmen in China oder Europa haben, liegen Sie wahrscheinlich falsch. Sowohl die chinesischen Datenschutzgesetze als auch die GDPR haben eine globale Reichweite. Unternehmen, die weder in der EU noch in China vertreten sind, müssen die umfangreichen und komplexen Datenschutzgesetze dieser Länder einhalten. Sogar Unternehmen, die nur in den USA vertreten sind und dort nur Waren verkaufen, können der DSGVO unterliegen, und dasselbe gilt für China.
Wenn etwas klar ist, dann ist es, dass Chinas neue Datenschutzgesetze ausländischen Unternehmen Kopfzerbrechen bereiten werden und ihre Einhaltung selbst für Unternehmen, die der GDPR- und/oder CCPA-Kurve voraus sind, schwierig sein wird.
Entschuldigung.
