China macht ernst beim Datenschutz: Hohe Geldbußen im Fall des Mobilitätanbieters Didi

Cybersicherheit und Datenschutz gewinnen im Zusammenhang mit Geschäfts­tätig­keiten in China immer mehr an Bedeutung. Mit Hochdruck arbeitet der Gesetzgeber am Erlass zahl­reicher Gesetze, Verordnungen und Regelungen. In der Praxis setzen die Behörden diese Vorschriften strikt um.

Im Juli 2021 hat die chinesische Digitalaufsicht „Cyberspace Administration of China“ (CAC) eine Cyber­sicher­heits­prü­fung gegen den Fahrdienstvermittler „Didi“ in China eingeleitet. Am 21. Juli 2022 kam die CAC zu einem ersten Ergeb­nis. Auf ihrer Website veröffentlicht die CAC ein ansehnliches Bußgeld gegen Didi: die Strafe beruht auf Gesetzen wie zum Beispiel der Cybersicherheitsgesetz (Cyber Security Law – CSL), dem Daten­sicherheitsgesetz (Data Security Law – DSL) und Gesetz zum Schutz persönlicher Daten (Personal Information Protection Law – PIPL). Gegen das Unter­neh­men Didi wurde eine Geldbuße in Höhe von RMB 8.026 Milliarden (ca. EUR 1,16 Milliarden) verhängt und gegen zwei Führungskräfte von Didi jeweils in Höhe von RMB 1 Million (ca. EUR 150.000).

Laut der Ankündigung von CAC habe Didi schwerwiegend gegen die oben genannten Gesetze verstoßen. Es wurden insgesamt 16 Gesetzesverstöße festgestellt, darunter:

• Rechtswidriges Sammeln von Screenshots auf Mobiltelefonen von Didi-Nutzern;
• Übermäßiges Sammeln von Informationen aus der Zwischenablage der Mobiltelefone von Didi-Nutzern;
• Übermäßiges Sammeln von Informationen zur Gesichtserkennung von Fahrgästen;
• Übermäßiges Sammeln von genauen Standortdaten von Fahrgästen;
• Analyse von Informationen über die Reiseabsichten von Fahrgästen, ohne diese ausdrücklich zu informieren.

Ferner hat CAC festgestellt, dass Didi durch seine Datenverarbeitungsaktivitäten die nationale Sicherheit ernsthaft beeinträchtigt habe. Die Einzelheiten wurden aber aus Gründen der nationalen Sicherheit nicht veröffentlicht.

CAC erklärte, dass bei der Festsetzung der Geldbuße verschiedene Aspekte berücksichtigt wurden, ins­be­son­dere gegen welche gesetzlichen Bestimmungen verstoßen wurde, wie lange die Verstöße dauerten, wie schwer­wiegend der Schaden ist und wie viele persönliche Daten rechtswidrig verarbeitet wurden.

Dieser Strafzettel, der gegen Didi verhängt wurde, ist für die chinesische Rechtsgeschichte im Bereich Daten­schutz als wichtigen Präzedenzfall einzustufen. In diesem komplett neuen Bereich, wo die Marktteilnehmer sehnlichst die Kon­kre­tisierung der abstrakten Gesetznormen erwarten, hat die CAC im Sommer 2022 Fakten geschaffen. Der wirt­schaft­liche Schaden für Didi wird eine Lektion und Signalwirkung auf andere Markt­teil­nehmer haben. Die Begründung der CAC sowie die Auflistung der einzelnen Verstöße und Tatbestände stellen für andere Unternehmen der chinesischen Automobilbranche, und allgemein im Bereich Datenschutz und Cybersicherheit, eine erste Orientierung für Gebot und Verbot dar. Es ist zu erwarten, dass die Behörden weiterhin die Durchsetzung der Gesetze in den Bereichen Cyber­sicherheit, Datensicherheit und Schutz persönlicher Informationen verstärken werden.

Unternehmen, die in China tätig sind, müssen die Einhaltung der relevanten Gesetze sicherstellen. Bei Gesetzes­­ver­stößen können, wie das Beispiel Didi zeigt, hohe Strafen drohen.