China macht ernst beim Datenschutz: Hohe Geldbußen im Fall des Mobilitätanbieters Didi

veröffentlicht am 9. August 2022 | Lesedauer ca. 2 Minuten

Cybersicherheit und Datenschutz gewinnen im Zusammenhang mit Geschäftstätigkeiten in China immer mehr an Bedeutung. Mit Hochdruck arbeitet der Gesetzgeber am Erlass zahlreicher Gesetze, Verordnungen und Regelungen. In der Praxis setzen die Behörden diese Vorschriften strikt um.

Im Juli 2021 hat die chinesische Digitalaufsicht „Cyberspace Administration of China“ (CAC) eine Cybersicherheitsprüfung gegen den Fahrdienstvermittler „Didi“ in China eingeleitet. Am 21. Juli 2022 kam die CAC zu einem ersten Ergebnis. Auf ihrer Website veröffentlicht die CAC ein ansehnliches Bußgeld gegen Didi: die Strafe beruht auf Gesetzen wie zum Beispiel der Cybersicherheitsgesetz (Cyber Security Law – CSL), dem Datensicherheitsgesetz (Data Security Law – DSL) und Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law – PIPL). Gegen das Unternehmen Didi wurde eine Geldbuße in Höhe von RMB 8.026 Milliarden (ca. EUR 1,16 Milliarden) verhängt und gegen zwei Führungskräfte von Didi jeweils in Höhe von RMB 1 Million (ca. EUR 150.000).

Laut der Ankündigung von CAC habe Didi schwerwiegend gegen die oben genannten Gesetze verstoßen. Es wurden insgesamt 16 Gesetzesverstöße festgestellt, darunter:

Rechtswidriges Sammeln von Screenshots auf Mobiltelefonen von Didi-Nutzern;
Übermäßiges Sammeln von Informationen aus der Zwischenablage der Mobiltelefone von Didi-Nutzern;
Übermäßiges Sammeln von Informationen zur Gesichtserkennung von Fahrgästen;
Übermäßiges Sammeln von genauen Standortdaten von Fahrgästen;
Analyse von Informationen über die Reiseabsichten von Fahrgästen, ohne diese ausdrücklich zu informieren.

Ferner hat CAC festgestellt, dass Didi durch seine Datenverarbeitungsaktivitäten die nationale Sicherheit ernsthaft beeinträchtigt habe. Die Einzelheiten wurden aber aus Gründen der nationalen Sicherheit nicht veröffentlicht.

CAC erklärte, dass bei der Festsetzung der Geldbuße verschiedene Aspekte berücksichtigt wurden, insbesondere gegen welche gesetzlichen Bestimmungen verstoßen wurde, wie lange die Verstöße dauerten, wie schwerwiegend der Schaden ist und wie viele persönliche Daten rechtswidrig verarbeitet wurden.

Dieser Strafzettel, der gegen Didi verhängt wurde, ist für die chinesische Rechtsgeschichte im Bereich Datenschutz als wichtigen Präzedenzfall einzustufen. In diesem komplett neuen Bereich, wo die Marktteilnehmer sehnlichst die Konkretisierung der abstrakten Gesetznormen erwarten, hat die CAC im Sommer 2022 Fakten geschaffen. Der wirtschaftliche Schaden für Didi wird eine Lektion und Signalwirkung auf andere Marktteilnehmer haben. Die Begründung der CAC sowie die Auflistung der einzelnen Verstöße und Tatbestände stellen für andere Unternehmen der chinesischen Automobilbranche, und allgemein im Bereich Datenschutz und Cybersicherheit, eine erste Orientierung für Gebot und Verbot dar. Es ist zu erwarten, dass die Behörden weiterhin die Durchsetzung der Gesetze in den Bereichen Cybersicherheit, Datensicherheit und Schutz persönlicher Informationen verstärken werden.

Unternehmen, die in China tätig sind, müssen die Einhaltung der relevanten Gesetze sicherstellen. Bei Gesetzesverstößen können, wie das Beispiel Didi zeigt, hohe Strafen drohen.