Als sich Chinas Bürger über einheimische Internetkonzerne beschwerten, reagierte die Volksrepublik und schuf ein neues Datenschutzgesetz: das Personal Information Protection Law (PIPL) tritt am 1. November 2021 in Kraft. Somit kommt der Datenschutz in China auf ein neues Level.
Für uns sind sowohl die Ähnlichkeiten zur europäische Datenschutz-Grundverordnung (DSGVO) interessant als auch die Auswirkungen auf deutsche Unternehmen.
Preisdiskriminierung
Zu den Beschwerden Chinas Bevölkerung gehörte beispielsweise, dass Besitzer von iPhones höhere Preise bezahlen müssen, als Nutzer günstiger Smartphones. Die Nutzung von Fahrdienstleistern oder der Kauf von Reisetickets war für iPhone-Besitzer teurer. Darüber beschwerten sich also Besitzer von iPhones bei Verbraucherschutzstellen. Die Volksrepublik regelte diese Ungerechtigkeit in ihrem neuen Gesetz folgendermaßen: Anwendungen, die den Nutzern auf der Grundlage der Auswertung ihrer Konsumpräferenzen und ihres Einkommensniveaus unter Verwendung von Big Data unterschiedliche Preise anbieten, sind verboten.
Umgang mit unterschiedlichen Preisen in Deutschland
In der europäischen DSGVO ist zwar kein spezielles Verbot einer Preisdiskriminierung vorgesehen, trotzdem fürchtete der Gesetzgeber das Risiko und überarbeitete die Richtlinie (EU) 2019/2161 vom 27.11.2019 an. Damit wird die Verbraucherrechterichtlinie (2011/83/EU) angepasst.
Im Art. 4 Abs. 4 lit. a) Ziff. ii) soll der Verbraucher in Zukunft darauf hingewiesen werden, dass der Preis auf der Grundlage einer automatisierten Entscheidungsfindung personalisiert worden ist.
Obwohl die Verbraucherzentrale nach aktuellen Erkenntnissen kaum individuelle Preisdifferenzierungen feststellt, fühlen sich deutsche Verbraucher nämlich Preisschwankungen (Dynamic Pricing) ausgesetzt. Steigende technische Möglichkeiten und wachsende Datenmengen können sogar zukünftig eine Preisdifferenzierung ermöglichen, eine personalisierte Preisbildung durch Profilbildungen ist rechtlich jedoch nicht haltbar.
Wichtig ist daher, dass Unternehmen regelmäßige die Einwilligung bei den Benutzern abfragen.
Wir sind gespannt, ob die Nutzer freiwillig eine Einwilligung geben, wenn sie damit einer personalisierten Preisbildung zustimmen.
Deutsche Unternehmen betroffen
Das neue chinesische Gesetz PIPL betrifft darüber hinaus auch geschäftlichen Tätigkeiten in China aus dem Ausland. Das Gesetz greift, sobald ausländische Unternehmen personenbezogene Daten chinesischer Bürger verarbeiten. Das bedeutet, dass sich auch europäische Unternehmen an das Gesetz halten müssen. Deutsche Unternehmen sind somit verpflichtet einen Repräsentanten vor Ort zu stellen, um Bericht gegenüber den chinesischen Aufsichtsbehörden zu erstatten.
Androhung von Bußgeldern
Bei Verstößen droht die Volksrepublik im Gesetz mit Bußgeldern. Die Bußgelder reichen bis in die in die Millionen Euro. Diese Regelung ist bereits aus der europäische Datenschutz-Grundverordnung (DSGVO) bekannt.
Ähnlichkeiten zum DSGVO
Die europäische Datenschutz-Grundverordnung (DSGVO) gilt bereits seit dem 25. Mai 2018. Wir kennen in Deutschland also inzwischen unsere DSGVO nicht nur sehr gur, sondern wenden sie auch schon lange an. Darum beleuchten wir die Parallelen zu Chinas Personal Information Protection Law (PIPL). Denn Chinas neues Datenschutzgesetz ähnelt der DSGVO teilweise.
Verwendungszweck angeben
So gibt China an, dass verantwortliche Stellen die Nutzer über die Grundsätze, Zwecke und Methoden der Erhebung und Verwendung personenbezogener Daten informieren müssen. Dieses Vorgehen ist bereits auch der DSGVO bekannt.
Kein extremes Datensammeln erlaubt
Die Volksrepublik hat das PIPL-Gesetz mit der Absicht ins Leben gerufen, das Sammeln von Daten durch Unternehmen zu drosseln. Unternehmen dürfen nicht übermäßig viele Nutzerdaten sammeln. Auch diese Regel kennen wir aus der DSGVO.
Widerspruch möglich
Eine weitere Verwandtschaft zur europäischen DSGVO ist folgende: der Nutzer soll die Möglichkeit haben widersprechen zu können im Zusammenhang mit dem Ausspielen automatisierter Informationen und Marketingaktionen. Das ermöglicht dem Nutzer in Zukunft selbst zu entscheiden, ob er die Daten für die Bildung eines Profils zur Verfügung stellt.
Einholung einer Einwilligung
Außerdem ist mit dem Inkrafttreten des Gesetzes für die Verarbeitung besonders sensibler Daten die Einholung einer Einwilligung erforderlich. Zu den sensiblen Daten gehören personenbezogene Daten. Diese Regel kennen wir ebenfalls aus der DSGVO. Der Gesetzgeber definiert in Art. 9 Abs. 1 DSGVO Kategorien von besonders schützenswerten personenbezogenen Daten wie beispielsweise Gesundheitsdaten, Daten über die ethnische Herkunft, politische Meinung, genetische Daten.
Datentransfer
Eine weitere Entsprechung zum europäischen Datenschutz ist das Verbot personenbezogene Daten chinesischer Staatsbürger in Staaten, mit einem niedrigeren Standard für die Datensicherheit als in China, zu transferieren. Durch diese Regelung konfrontiert China ausländische Unternehmen möglicherweise mit einem Problem.
Die EU verfügt jedoch über einen guten Datenschutzstandard. Daher wird es weiterhin möglich sein, chinesische Daten problemlos in die EU zu übermitteln.
Chinas mächtige Internetkonzerne regulieren
Auch wenn es auf den ersten Blick so aussieht, als ob die politische Führung auf sein Volk eingeht, so ist es eher so, dass sie das Gesetz mit der Absicht geschaffen hat, die mächtigen Internetkonzerne des Landes in ihre Schranken zu weisen. Chinas Ministerpräsident Li möchte nämlich die – seines Erachtens – unregulierte Expansion der Anbieter stoppen und ein fairer Wettbewerb herstellen.
Durch das Gesetz kann sich der chinesische Verbraucher vor dem Sammeln von Daten der Unternehmen schützen. Das ist zwar eine Parallele zum europäischen DSGVO, das chinesische Gesetz schützt jedoch seine Bürger nicht vor dem Sammeln von Daten der Regierung selbst. Der Staat kann weiterhin seine Bürger legal überwachen. Beispielsweise mit Kameras an öffentlichen Plätzen. Selbst das Sozialkreditsystem „Social Score“, das Bürger aufgrund ihrer Daten sanktioniert oder belohnt, verhindert das Gesetz nicht. Chinas Bürger sind also weiterhin gläserner Bürger.
Adressat des Gesetzes ist dagegen vornehmlich die Wirtschaft. Ziel sind Internetfirmen und deren Missbrauch von Daten. Schutz der Bürger – im Sinne der europäischen Orientierung – wäre jedoch den Staat strenger zu regulieren in seiner Sammlung von Daten.