Internationale OEMs und Automobilzulieferer haben die rasante Entwicklung des Datenschutzregimes der VR China, einschließlich des Entwurfs des chinesischen Personal Information Protection Law, der gerade seine "zweite Lesung" durchlaufen hat, aufmerksam miterlebt. Die bestehenden Regeln sprechen jedoch nur allgemein die Belange des Datenschutzes und der Datenexportkontrolle an, spezifische Regeln für die Automobilindustrie fehlen seit langem. Das macht es der Automobilindustrie schwer, ihre Daten-Compliance in China zu managen. Diese Situation könnte sich bald ändern, da die Cyberspace Administration der VR China (CAC) am 12. Mai 2021 ihren neuen Entwurf von Several Provisions on Car Data Security Administration (ENTWURF) der Öffentlichkeit vorgestellt hat, um Kommentare einzuholen. Sollte der ENTWURF in der jetzigen Form verkündet werden, würde dies für die gesamte Branche eine wesentliche Klärung bringen, die Dinge jedoch nicht einfacher machen. Im Folgenden finden Sie hierzu kurze Beobachtungen und erste Gedanken unserer Datenschutz- und China-Experten.
Breite Erfassung von jedem und allem
Durch die Verwendung des sehr weit gefassten Begriffs des "Betreiber" würden die Bestimmungen des ENTWURFs für nahezu alle Mitglieder der Automobillieferkette gelten, einschließlich OEMs, Komponenten- und Softwarelieferanten, Händlern, Werkstätten, Online-Car-Hailing-Dienstleister und Versicherungsunternehmen.
Soweit es sich um personenbezogene Informationen oder so genannte "wichtige Daten" handelt, würden alle Datenaktivitäten wie Erhebung, Analyse, Speicherung, Übermittlung, Suche, Nutzung, Löschung und Export erfasst werden.
Bemerkenswert ist insbesondere, dass der ENTWURF den Bereich personenbezogener Daten von "innerhalb eines Fahrzeugs" (das heißt Informationen über Fahrzeughalter:innen, Fahrer:innen, Mitfahrer:innen) auf "außerhalb eines Fahrzeugs" (das heißt Informationen über Fußgänger:innen und so weiter) sowie auf andere Informationen, die zur Identifizierung einer Person verwendet werden können oder die persönlichen Aktivitäten beschreiben, erweitert. Die "wichtigen Daten" werden durch den ENTWURF weiter präzisiert und sollen Folgendes umfassen:
- Verkehrsdaten in wichtigen und sensiblen Bereichen (zum Beispiel Militärzonen und Verteidigungs- sowie Wissenschaftseinheiten, die Staatsgeheimnisse berühren, Regierungs-/CPC-Behörden oberhalb der Kreisebene);
- Kartierungs- und Vermessungsdaten, die genauer sind als die vom Staat veröffentlichten Karten;
- Betriebsdaten von Autoladestationen und -netzwerken;
- Daten über Fahrzeugtypen und -ströme auf Straßen;
- Audio- und Videodaten von außerhalb des Fahrzeugs, die Informationen über beispielsweise Gesichter, Stimmen, Autokennzeichen enthalten; und
- andere Daten, welche nach Einstufung der CAC und anderen Ministerien die nationale Sicherheit und das öffentliche Interesse betreffen.
Gemäß dem ENTWURF darf ein Betreiber die oben genannten Daten nur für Zwecke verarbeiten, die direkt mit der Konstruktion, der Herstellung und dem Service von Autos zusammenhängen, und muss die Cybersicherheitsanforderungen erfüllen, einschließlich der Umsetzung des neuesten mehrstufigen Schutzsystems (multiple level protection scheme, MLPS). Anders als der Fokus der GDPR auf den Schutz personenbezogener Daten, stellt im Fall des ENTWURFS die Betonung der "wichtigen Daten" (die mit weiteren rechtlichen Verpflichtungen verbunden sein werden, siehe unten) eine einzigartige Herausforderung für Global Player der Automobilindustrie dar.
Datenverarbeitung: In-Car-Anforderung als Standard
OEMs und datenintensive Zulieferer müssten die folgenden, im ENTWURF eingeführten Grundsätze der Datenverarbeitung besonders beachten:
- In-Car-Verarbeitung
Die Daten sollen grundsätzlich "in a car" und nicht "out of a car" verarbeitet werden;
- anonymisierte Verarbeitung
Wenn es tatsächlich notwendig ist, Daten aus einem Auto zu liefern, sollen diese Daten anonymisiert und desensibilisiert werden;
- Mindestverweildauer
Die Dauer der Datenspeicherung richtet sich nach der Art der angebotenen Dienste/Funktionen;
- Präzision wie nötig
Abdeckung und Auflösung der Sensoren wie Kameras und Radare müssen der für die angebotenen Dienste (tatsächlich) geforderten Präzision entsprechen; und
- "Nicht-Erfassung" als Standard
standardmäßig werden keine Daten für jede Fahrt gesammelt und die Zustimmung eines/einer Fahrenden gilt nur für eine einzige Fahrt.
Der ENTWURF verfolgt einen "standardmäßig Verarbeitung in-car"-Ansatz, der den Datenschutz über die kommerziellen und betrieblichen Funktionen eines "Connected Car" stellt.
Die Verarbeitung sensibler personenbezogener Daten (zum Beispiel Fahrzeugstandort, Audio-/Videoaufnahmen von Fahrerinnen und Fahrer sowie Mitfahrerinnen und Mitfahrer, falsches oder illegales Fahrverhalten, und so weiter) aus einem Fahrzeug heraus soll verboten sein, es sei denn:
- es hat den Zweck, dem Fahrer bzw. der Fahrerin oder den Fahrgästen unmittelbar zu dienen, einschließlich der Erhöhung der Fahrsicherheit, der Unterstützung des Fahrens, der Navigation und der Unterhaltung;
- es ist standardmäßig auf "nicht sammeln" eingestellt, und für jede Fahrt ist die Zustimmung des/der Fahrenden erforderlich, die bei Fahrtende (das heißt, wenn ein Fahrer bzw. eine Fahrerin seinen/ihren Platz verlässt) automatisch ungültig wird;
- der Fahrer bzw. die Fahrerin und die Fahrgäste werden über das Display im Fahrzeug oder per Sprache darüber informiert, dass (sensible) persönliche Daten gesammelt werden;
- der Fahrer bzw. die Fahrerin kann die Datenerfassung jederzeit auf bequeme Art und Weise beenden;
- der Autobesitzer bzw. die Autobesitzerin kann die gesammelten (sensiblen) persönlichen Daten auf unkomplizierte Weise überprüfen oder auf strukturierte Art und Weise abfragen; und
- der Betreiber ist verpflichtet, die Daten auf Verlangen des/der Fahrenden innerhalb von zwei Wochen zu löschen.
Datenerfassung: Prinzip der Transparenz
Auch der allgemeine Grundsatz der Transparenz bei der Datenerhebung wird im ENTWURF konkretisiert. Ein Betreiber wäre demnach verpflichtet, eine Vielzahl von Informationen über die Datenerhebung offenzulegen (zum Beispiel Art der erhobenen Daten, Art und Zweck der Erhebung, Speicherort und Speicherdauer der Daten sowie "Recht auf Vergessenwerden"). Die Erhebung biometrischer Daten wäre nur zum Zweck der bequemen Nutzung oder aus Sicherheitsgründen erlaubt.
Berichtspflichten und Datenexport
Der ENTWURF sieht umfangreiche Meldepflichten für Betreiber vor, die "wichtige Daten" oder personenbezogene Daten von mehr als 100.000 Personen verarbeiten. In der Realität wäre dies eine ziemliche Herausforderung: Beispielsweise kann ein Betreiber kaum verhindern, dass ein Fahrer bzw. eine Fahrerin ein intelligentes Auto in einem sensiblen Bereich benutzt, und die Schwelle von 100.000 Personen kann leicht überschritten werden, wenn ein Betreiber sich im öffentlichen Verkehr engagiert oder einen hohen Absatz an intelligenten Autos hat. Die Berichtspflichten würden beinhalten, dass ein Bericht über die Namen und Kontaktdaten des Datenschutzbeauftragten und der für Datenfragen verantwortlichen Person bis zum 15. Dezember eines jeden Jahres an die CAC und (andere) relevante Behörden auf Provinzebene zu übermitteln ist sowie dass jede Verarbeitung "wichtiger Daten" vorab zu melden ist unter Angabe von Art, Ausmaß und Umfang der Daten, Speicherort, Aufbewahrungsdauer, Verwendungsmethode und Status hinsichtlich einer Weitergabe an Dritte.
Der ENTWURF schreibt weiter vor, dass (fahrzeugbezogene) personenbezogene und "wichtige Daten" innerhalb der VR China (inländisch) gespeichert werden müssen. Jeder Datenexport (der technisch auch den Zugriff auf die betreffenden Daten aus dem Ausland einschließt), falls tatsächlich erforderlich, sollte dann:
- einer von CAC organisierten Sicherheitsprüfung unterzogen werden;
- über wirksame Maßnahmen zur Regelung des Datenexports und zur Gewährleistung der Datensicherheit verfügen;
- einen Betreiber verpflichten, sich um die Beschwerden der Betroffenen zu kümmern und die gesetzliche Haftung für Schäden, die den Betroffenen oder dem "öffentlichen Interesse" durch den Datenexport entstehen, zu übernehmen; und
- der CAC (zusammen mit anderen Behörden) die Durchführung notwendiger Audits durch Bereitstellung von Klartext und einen lesbaren Zugriff ermöglichen.
Der ENTWURF befasst sich speziell mit dem Szenario, in dem ein ausländischer F&E- oder kommerzieller Partner eines Betreibers auf dessen inländisch gespeicherten Daten zugreifen muss. In diesem Fall sind wirksame Maßnahmen zu ergreifen, um die Datensicherheit zu gewährleisten und Datenverletzungen zu verhindern, während der Zugang zu "wichtigen Daten" und sensiblen persönlichen Daten streng eingeschränkt sein soll.
Was mehr
Der ENTWURF verfolgt einen recht strengen Ansatz und regelt Datenthemen in der Automobilindustrie in einem recht umfassenden und weitreichenden Sinne. Bestimmte Regelungen – wie Berichtspflichten und die Anforderung zur Speicherung von Daten im Inland – werden die meist international tätigen OEMs und Zulieferer, die sicherlich sehr von einer Aggregation ihrer globalen Daten und gleichen (Datensicherheits-) Anforderungen auf globaler Ebene profitieren würden, vor erhebliche Herausforderungen stellen. Die jüngste Ankündigung von Tesla, ein lokales Rechenzentrum in China einzurichten, ist sicherlich eine Reaktion eines internationalen OEMs auf die verschärften Daten-Compliance-Anforderungen in China, aber höchstwahrscheinlich nicht die endgültige und allumfassende Antwort darauf, wie man „compliant“ bleibt. Auch gibt es noch viele andere Aspekte, die es zu beachten gilt (zum Beispiel Fußgängerdatenschutz, et cetera). In Anbetracht der Größe des chinesischen Automobilmarktes sollten alle Teilnehmerinnen und Teilnehmer der Automobilindustrie, ob Produktion oder Service, Maßnahmen planen, um den neuen Compliance-Herausforderungen gerecht zu werden, die dieser Entwurf und weitere Vorschriften, die höchstwahrscheinlich in naher Zukunft kommen werden, mit sich bringen können.
