Chinesische Behörden, Unternehmen und Verbraucher haben sich seit langem mit den Auswirkungen neuer Technologien auf den Schutz personenbezogener Daten auseinandergesetzt.
Mit zunehmender gesellschaftlicher Anziehungskraft setzt die Regierung neue Maßstäbe, indem sie nationale Vorschriften vorantreibt, die erhebliche Auswirkungen auf die Privatsphäre der Verbraucher und die internationale Funktionsfähigkeit von Unternehmen im In- und Ausland haben.
Die Ära der unkontrollierten Datenerfassung in China ist vorbei und die Verbraucher setzen sich in bisher nicht gekannter Weise für ihre Rechte ein.
Die Entwicklung dieser Vorschriften fällt mit zunehmender Besorgnis hinsichtlich der Datenschutzrechte in der chinesischen Öffentlichkeit zusammen. Die Medienberichterstattung über Skandale in Übersee – zusammen mit der wachsenden Sorge um Datenlecks – hat zu einer zunehmend volatilen öffentlichen Debatte darüber geführt, wie Unternehmen mit personenbezogenen Daten chinesischer Staatsbürger umgehen.
Im vergangenen Jahr wurde der Baidu-Gründer Robin Li öffentlich aufgeschreckt, nachdem er in einem Interview angedeutet hatte, dass die Chinesen ihre Privatsphäre gegen Bequemlichkeit eintauschen würden. Der Kommentar stieß bei den Internetnutzern auf Aufruhr, und Tausende protestierten gegen Lis Haltung gegenüber der Privatsphäre der Nutzer.
Dieser Vorfall ereignete sich nur wenige Monate, nachdem eine von der Regierung unterstützte Verbraucherschutzgruppe die Suchmaschine verklagt hatte, um Benutzerdaten ohne Zustimmung zu sammeln.
In Wahrheit plagen Bedenken hinsichtlich Datenschutz und Informationssicherheit das Land seit Jahren. Persönliche Daten aller Streifen werden regelmäßig aus Unternehmens- und Regierungsdatenbanken ausgelesen. Umfragen zufolge sind 85 Prozent der chinesischen Verbraucher von Datenschutzverletzungen betroffen – dazu gehören Informationen über durchgesickerte Bankkonten, Angaben zu sozialen Medien und illegal verkaufte Telefonnummern.
Jetzt haben die politischen Entscheidungsträger in Peking die Formulierung eines landesweiten Datenschutzsystems vorangetrieben, das Auswirkungen auf Internetnutzer, Unternehmen und die Entwicklung neuer Technologien hat. Dieser Ansatz zur Datenverwaltung wird eine wichtige Rolle bei der Gestaltung der globalen Märkte und der Entwicklung von Datenschutzbestimmungen in der gesamten Region spielen.
Chinas Cybersecurity-Gesetz (CSL), das im Juni 2017 in Kraft trat, besteht aus sechs Systemen, die einen Rahmen für die Informations- und Kommunikationstechnologie im ganzen Land bilden. Dies regelt, wie Unternehmen digitale Informationen schützen sollen, und umreißt Maßnahmen zum Schutz von Internet-Systemen, -Produkten und -Diensten vor Cyberangriffen.
Im Mai 2018 wurde ein neuer Nationaler Standard im Rahmen des vierten CSL-Systems eingeführt. Die so genannte „Sicherheitsspezifikation für persönliche Informationen“ – oder einfach die „Spezifikation“ – ist das bislang umfassendste Dokument des Landes zum Schutz personenbezogener Daten und stellt einen Leitfaden für bewährte Praktiken bei der Erfassung, Verarbeitung und Weitergabe vertraulicher Informationen dar.
Organisationen müssen gültige Gründe für die Erhebung personenbezogener Daten haben und eine transparente Datenschutzrichtlinie vorlegen, in der dargelegt wird, warum und wie diese Daten verwendet werden. Unternehmen dürfen nur die erforderliche Mindestmenge an Daten erheben, diese nicht ohne Zustimmung für Nebenzwecke verwenden und sie – verschlüsselt – nur für die erforderliche Mindestzeit aufbewahren.
Die Benutzer müssen ihre Einwilligung zur Weitergabe und Verarbeitung nach Aufklärung erteilen und haben alle Rechte an ihren Daten, einschließlich der Anzeige, Korrektur und Löschung.
Unternehmen müssen einen Notfallplan für alle Sicherheitsvorfälle mit personenbezogenen Daten erstellen und zusätzliche Anforderungen für Zugriffskontrollen, Bewertungen durch Dritte, Benachrichtigungen über Benutzerbrüche und grenzüberschreitende Übertragungen erfüllen.
Im Februar 2019 haben die Beamten eine Reihe strengerer Änderungen herausgegeben, um diese bestehenden Anforderungen zu ergänzen und zu verfeinern. Diese betreffen hauptsächlich personalisierte Inhalte, Dokumentation, Benachrichtigung über Verstöße, Einwilligung und Kontrollen durch Dritte.
Die vorgeschlagenen Änderungen sehen eine Deaktivierung aller personalisierten Inhalte vor, einschließlich Nachrichten und gezielter Werbung.
Ähnlich wie in Artikel 30 der Allgemeinen Datenschutzverordnung der Europäischen Union sind Unternehmen durch die Änderungen verpflichtet, den Lebenszyklus aller Daten einschließlich der Verarbeitungsaktivitäten, -kategorien und -quellen sowie aller an der Verarbeitung beteiligten Organisationen und Personen zu erfassen.
Die Anforderungen an die Meldung von Verstößen wurden eingegrenzt, und die Definitionen von „grundlegenden“ und „erweiterten“ Produktmerkmalen, für die Unternehmen eine separate Zustimmung einholen müssen, wurden weiter verfeinert.
Es ist den Controllern untersagt, wiederholt nachzufragen, die Funktion auszusetzen oder ihren Servicelevel zu senken, um die Zustimmung von Benutzern zu ermutigen, die dies zuvor abgelehnt haben.
Die Erwartungen an die Kontrolle über Dritte werden ebenfalls verschärft – was einen vollständigen Rechtsvertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter, eine vollständige Risikobewertung und eine ständige Überwachung erfordert. Dem Controller wird empfohlen, regelmäßige Audits von Code, Skripten oder anderen Tools von Drittanbietern durchzuführen, die an der Datenverarbeitung beteiligt sind.
Schließlich erfordern die Überarbeitungen strengere Datenschutzrichtlinien, die die für die Datenverarbeitung Verantwortlichen verpflichten, ihre Erhebungspraktiken, Sicherheitskontrollen und alle Informationen zu grenzüberschreitenden Datenübertragungen offenzulegen.
Robin Li, Mitbegründer und CEO von Baidu.
Durch diese Änderungen werden zwar die den chinesischen Verbrauchern eingeräumten Rechte erweitert, es wird jedoch auch versucht, die Belastung der Unternehmen durch die Einhaltung der Vorschriften zu verringern. Im Falle einer Annahme werden die Änderungen den Standard mit einigen der strengsten Datenschutzbestimmungen der Welt in Einklang bringen, einschließlich der DSGVO und dem kalifornischen Consumer Privacy Act (CCPA).
Während sich die Spezifikation in hohem Maße auf die DSGVO als Modell stützt, gibt es einen klaren Versuch, die Politik auf die chinesische Wirtschaft zu beschränken, indem Konzepte aus anderen internationalen Vorschriften kombiniert werden. Das Ergebnis ist ein einzigartiger chinesischer Ansatz zum Datenschutz: Näher an der DSGVO als in den USA oder im APAC, aber bewusst so gestaltet, dass Hindernisse für bestimmte Branchen verringert werden.
Diese Unterschiede werden am deutlichsten beim Vergleich der Zustimmungsdefinitionen. Nach europäischen Vorschriften ist die Zustimmung ausdrücklich; in China ist es lockerer und kann sogar “impliziert” werden. Obwohl die Zustimmung ein zentrales Prinzip des chinesischen Ansatzes ist, scheinen die Verfasser versucht zu haben, diese Regeln zu mildern, um die Aussichten in datenintensiven Entwicklungsbereichen wie künstlicher Intelligenz (KI) und E-Commerce, die für die Wirtschaft Chinas von entscheidender Bedeutung sind, nicht zu beeinträchtigen.
Trotz dieser Zugeständnisse bleibt die Sprache in Chinas Nationalem Standard umfassend und enthält strengere Anforderungen als bestimmte Aspekte der DSGVO, einschließlich einer umfassenderen Definition von „sensiblen Informationen“, strengeren Anforderungen an Datenschutzhinweise und spezifischeren Verfahrenspflichten für Unternehmen .
Die Ansätze zum Datenschutz in Europa und China nähern sich jedoch nur langsam an. Die Art und Weise, in der sich diese beiden Regime kreuzen, wird für die globalen Bestrebungen chinesischer Unternehmen von größter Bedeutung sein, zumal Technologie-Giganten wie Alibaba damit beginnen, Rechenzentren in ganz Europa einzurichten.
Insgesamt ist die Datenschutzlandschaft im asiatisch-pazifischen Raum rasant gewachsen und China hat die Führung inne.
Im Gegensatz dazu haben die Vereinigten Staaten noch keine nationale Datenschutzrichtlinie eingeführt und verfügen noch nicht über ein einheitliches Konzept für die Inhaberschaft oder Zustimmung von Daten. Mit dem Beginn der globalen Gesetzgebung, die die Geschäftstätigkeit in wichtigen Märkten beeinflusst, reagieren US-Unternehmen zunehmend auf die Entwicklung von Lösungen für die Einhaltung internationaler Vorschriften.
Wenn die Untätigkeit des Bundes andauert und Washington weiterhin über die Rolle der Regierung beim Schutz der Privatsphäre seiner Bürger debattiert, werden die chinesischen Verbraucher in Kürze einen größeren Schutz vor Technologieunternehmen haben als ihre amerikanischen Kollegen.
Die Bewertung der chinesischen Vorschriften muss im Zusammenhang mit den politischen Realitäten der Geschäftstätigkeit im Land erfolgen. Dies wirft Fragen nach der Praktikabilität ihrer langfristigen Durchsetzung auf.
Auch wenn das chinesische Datenschutzregime mutig voranschreitet, besteht es nach wie vor aus einem Flickenteppich von Gesetzen und Standards, ohne dass klar ist, welche Maßnahmen obligatorisch sind und welche interpretiert werden können.
In China gibt es verschiedene offizielle Regeln, die in der Praxis häufig ignoriert werden, es sei denn, Vertreter geben ein öffentliches Beispiel. Der Cyberspace ist in der Regel ein Bereich, den die Regierung konsequent regiert. Dies zeigt sich in den jüngsten Razzien gegen die VPN-Nutzung und bei Verstößen gegen die Inhalte auf Internetplattformen.
Trotz dieser Unsicherheit fungiert die Spezifikation seit einiger Zeit als Chinas De-facto-Cybersicherheitsgesetz, das von Wirtschaftsprüfern in verschiedenen Bereichen der Durchsetzung angewendet wird, um Unternehmen zur Einhaltung zu bewegen.
Rechtliche Konsequenzen für die Verletzung der CSL können Korrekturanweisungen, Bußgelder von bis zu 1 Million Yuan und der Widerruf von Betriebsgenehmigungen sein. Personen, die direkt für Verstöße oder Undichtigkeiten oberhalb einer bestimmten Schwelle verantwortlich sind, können mit einer Freiheitsstrafe von bis zu sieben Jahren bestraft werden.
Das Haupthindernis für Pekings Regulierungsbestrebungen könnten die ungelösten Widersprüche bei der Umsetzung dieser Regeln sein, wenn man bedenkt, dass die bestehenden Gesetze widersprüchliche Richtlinien enthalten.
Während die Spezifikation vorschreibt, dass Organisationen auf Anfrage Einwilligungen einholen und Benutzerdaten löschen müssen, werden sie nach geltendem Cybersicherheitsgesetz angewiesen, diese Daten zu speichern, um Untersuchungen der nationalen Sicherheit zu unterstützen, und Behörden erhalten Zugang zu Benutzerdaten ohne ordnungsgemäße rechtliche Schritte.
Diese Unklarheiten lassen Raum für eine selektive Durchsetzung auf der Grundlage der Laune verschiedener Akteure im chinesischen System.
Die Regierung scheint in einem separaten Rahmen zu operieren, in dem die Bestimmungen zur Terrorismusbekämpfung und zur Cybersicherheit den Zugang zu personenbezogenen Daten ausweiten, auch wenn der kommerzielle Zugang schrumpft. Da Unternehmen bei der Erfassung und Weitergabe personenbezogener Daten größeren Einschränkungen ausgesetzt sind, erhält die Regierung neue Befugnisse und Instrumente, um dies zu tun, und hebt eine akute Diskrepanz zwischen den Konzepten des kommerziellen und des institutionellen Datenschutzes hervor.
Aber China lässt nicht zu, dass eine mangelnde Lösung dieser Probleme seine Pläne behindert. Das ultimative Ziel ist es, ein Modell zu entwickeln, das eindeutig der bestehenden Regierungsdynamik entspricht: Ein Modell, das das Vertrauen der Nutzer in eine ansonsten prosperierende digitale Wirtschaft fördert, jedoch nicht die Fähigkeit der Regierung untergräbt, die soziale Kontrolle beizubehalten und durchzusetzen.
In Wahrheit ist China nicht das einzige Land, in dem es um Fragen der Privatsphäre geht. Doppelte Standards bei den Datenschutzbestimmungen sind weltweit zu finden: Der Oberste Gerichtshof der USA bietet einen relativ starken Schutz vor der Erhebung staatlicher Daten, bietet jedoch nur wenig in Bezug auf Verbraucherschutzgesetze. Diese Dynamik kehrt sich in Europa um, mit festen Beschränkungen für Unternehmen und vergleichsweise nachgiebigen Vorschriften für die Regierungstätigkeit.
In Großbritannien traten die Bestimmungen der DSGVO gleichzeitig mit dem Investigatory Powers Act in Kraft: Sie verschärften die Regierungsgewalt der Unternehmen und statten die Regierung mit umfassenden und nahezu beispiellosen Überwachungsmöglichkeiten aus.
Diese Dynamik spiegelt eine wachsende konzeptionelle Doppelmoral in der digitalen Politik auf der ganzen Welt wider, in der Regierungen große Unternehmen für Verstöße zur Verantwortung ziehen, die im Vergleich zu ihren eigenen blass sind. Dies wirft wichtige Fragen zur Subjektivität unserer digitalen Freiheiten auf, da das Recht auf Privatsphäre von der Art des Eindringlings abhängt.
Unabhängig von ihren Beweggründen ist es klar, dass die chinesische Regierung versucht, Unternehmen für den Missbrauch personenbezogener Daten im privaten Sektor stärker zur Rechenschaft zu ziehen.
Diese Vorschriften werden wahrscheinlich einen Präzedenzfall schaffen, der die internationale Gesetzgebung in den kommenden Jahren prägen wird und Regierungen auf der ganzen Welt dazu motiviert, die Schrauben ihres eigenen Schutzes weiter anzuziehen.
Da die Verarbeitung personenbezogener Daten im Zuge der Entstehung von KI, Big Data und Smart Cities rasant zunimmt, kann ein strengerer Rahmen für das Datenmanagement nur begrüßt werden.
Dieser Artikel wurde ursprünglich auf Channel News Asia veröffentlicht.
-
Online-Zensur ist in der heutigen hyper-vernetzten Welt ein zunehmend kontroverses Thema, und das Thema ist…read more -
Der Prozess gegen Lu Wei begann am Freitag, einem ehemaligen Leiter der Cyberspace Administration of…read more -
Die Cyberspace Administration of China (CAC), die ultimative Zensurbehörde des Landes, hat einen ersten Entwurf…read more