Internationale OEMs und Automobilzulieferer haben die rasante Entwicklung des Datenschutzregimes der VR China, einschließlich des Entwurfs des chinesischen Personal Information Protection Law, der gerade seine "zweite Lesung" durchlaufen hat, aufmerksam miterlebt. Die bestehenden Regeln sprechen jedoch nur allgemein die Belange des Datenschutzes und der Datenexportkontrolle an, spezifische Regeln für die Automobilindustrie fehlen seit langem. Das macht es der Automobilindustrie schwer, ihre Daten-Compliance in China zu managen. Diese Situation könnte sich bald ändern, da die Cyberspace Administration der VR China (CAC) am 12. Mai 2021 ihren neuen Entwurf von Several Provisions on Car Data Security Administration (ENTWURF) der Öffentlichkeit vorgestellt hat, um Kommentare einzuholen. Sollte der ENTWURF in der jetzigen Form verkündet werden, würde dies für die gesamte Branche eine wesentliche Klärung bringen, die Dinge jedoch nicht einfacher machen. Im Folgenden finden Sie hierzu kurze Beobachtungen und erste Gedanken unserer Datenschutz- und China-Experten.
Durch die Verwendung des sehr weit gefassten Begriffs des "Betreiber" würden die Bestimmungen des ENTWURFs für nahezu alle Mitglieder der Automobillieferkette gelten, einschließlich OEMs, Komponenten- und Softwarelieferanten, Händlern, Werkstätten, Online-Car-Hailing-Dienstleister und Versicherungsunternehmen. Soweit es sich um personenbezogene Informationen oder so genannte "wichtige Daten" handelt, würden alle Datenaktivitäten wie Erhebung, Analyse, Speicherung, Übermittlung, Suche, Nutzung, Löschung und Export erfasst werden. Bemerkenswert ist insbesondere, dass der ENTWURF den Bereich personenbezogener Daten von "innerhalb eines Fahrzeugs" (das heißt Informationen über Fahrzeughalter:innen, Fahrer:innen, Mitfahrer:innen) auf "außerhalb eines Fahrzeugs" (das heißt Informationen über Fußgänger:innen und so weiter) sowie auf andere Informationen, die zur Identifizierung einer Person verwendet werden können oder die persönlichen Aktivitäten beschreiben, erweitert. Die "wichtigen Daten" werden durch den ENTWURF weiter präzisiert und sollen Folgendes umfassen:
Gemäß dem ENTWURF darf ein Betreiber die oben genannten Daten nur für Zwecke verarbeiten, die direkt mit der Konstruktion, der Herstellung und dem Service von Autos zusammenhängen, und muss die Cybersicherheitsanforderungen erfüllen, einschließlich der Umsetzung des neuesten mehrstufigen Schutzsystems (multiple level protection scheme, MLPS). Anders als der Fokus der GDPR auf den Schutz personenbezogener Daten, stellt im Fall des ENTWURFS die Betonung der "wichtigen Daten" (die mit weiteren rechtlichen Verpflichtungen verbunden sein werden, siehe unten) eine einzigartige Herausforderung für Global Player der Automobilindustrie dar.
OEMs und datenintensive Zulieferer müssten die folgenden, im ENTWURF eingeführten Grundsätze der Datenverarbeitung besonders beachten:
Der ENTWURF verfolgt einen "standardmäßig Verarbeitung in-car"-Ansatz, der den Datenschutz über die kommerziellen und betrieblichen Funktionen eines "Connected Car" stellt. Die Verarbeitung sensibler personenbezogener Daten (zum Beispiel Fahrzeugstandort, Audio-/Videoaufnahmen von Fahrerinnen und Fahrer sowie Mitfahrerinnen und Mitfahrer, falsches oder illegales Fahrverhalten, und so weiter) aus einem Fahrzeug heraus soll verboten sein, es sei denn:
Auch der allgemeine Grundsatz der Transparenz bei der Datenerhebung wird im ENTWURF konkretisiert. Ein Betreiber wäre demnach verpflichtet, eine Vielzahl von Informationen über die Datenerhebung offenzulegen (zum Beispiel Art der erhobenen Daten, Art und Zweck der Erhebung, Speicherort und Speicherdauer der Daten sowie "Recht auf Vergessenwerden"). Die Erhebung biometrischer Daten wäre nur zum Zweck der bequemen Nutzung oder aus Sicherheitsgründen erlaubt.
Der ENTWURF sieht umfangreiche Meldepflichten für Betreiber vor, die "wichtige Daten" oder personenbezogene Daten von mehr als 100.000 Personen verarbeiten. In der Realität wäre dies eine ziemliche Herausforderung: Beispielsweise kann ein Betreiber kaum verhindern, dass ein Fahrer bzw. eine Fahrerin ein intelligentes Auto in einem sensiblen Bereich benutzt, und die Schwelle von 100.000 Personen kann leicht überschritten werden, wenn ein Betreiber sich im öffentlichen Verkehr engagiert oder einen hohen Absatz an intelligenten Autos hat. Die Berichtspflichten würden beinhalten, dass ein Bericht über die Namen und Kontaktdaten des Datenschutzbeauftragten und der für Datenfragen verantwortlichen Person bis zum 15. Dezember eines jeden Jahres an die CAC und (andere) relevante Behörden auf Provinzebene zu übermitteln ist sowie dass jede Verarbeitung "wichtiger Daten" vorab zu melden ist unter Angabe von Art, Ausmaß und Umfang der Daten, Speicherort, Aufbewahrungsdauer, Verwendungsmethode und Status hinsichtlich einer Weitergabe an Dritte. Der ENTWURF schreibt weiter vor, dass (fahrzeugbezogene) personenbezogene und "wichtige Daten" innerhalb der VR China (inländisch) gespeichert werden müssen. Jeder Datenexport (der technisch auch den Zugriff auf die betreffenden Daten aus dem Ausland einschließt), falls tatsächlich erforderlich, sollte dann:
Der ENTWURF befasst sich speziell mit dem Szenario, in dem ein ausländischer F&E- oder kommerzieller Partner eines Betreibers auf dessen inländisch gespeicherten Daten zugreifen muss. In diesem Fall sind wirksame Maßnahmen zu ergreifen, um die Datensicherheit zu gewährleisten und Datenverletzungen zu verhindern, während der Zugang zu "wichtigen Daten" und sensiblen persönlichen Daten streng eingeschränkt sein soll.
Der ENTWURF verfolgt einen recht strengen Ansatz und regelt Datenthemen in der Automobilindustrie in einem recht umfassenden und weitreichenden Sinne. Bestimmte Regelungen – wie Berichtspflichten und die Anforderung zur Speicherung von Daten im Inland – werden die meist international tätigen OEMs und Zulieferer, die sicherlich sehr von einer Aggregation ihrer globalen Daten und gleichen (Datensicherheits-) Anforderungen auf globaler Ebene profitieren würden, vor erhebliche Herausforderungen stellen. Die jüngste Ankündigung von Tesla, ein lokales Rechenzentrum in China einzurichten, ist sicherlich eine Reaktion eines internationalen OEMs auf die verschärften Daten-Compliance-Anforderungen in China, aber höchstwahrscheinlich nicht die endgültige und allumfassende Antwort darauf, wie man „compliant“ bleibt. Auch gibt es noch viele andere Aspekte, die es zu beachten gilt (zum Beispiel Fußgängerdatenschutz, et cetera). In Anbetracht der Größe des chinesischen Automobilmarktes sollten alle Teilnehmerinnen und Teilnehmer der Automobilindustrie, ob Produktion oder Service, Maßnahmen planen, um den neuen Compliance-Herausforderungen gerecht zu werden, die dieser Entwurf und weitere Vorschriften, die höchstwahrscheinlich in naher Zukunft kommen werden, mit sich bringen können.
5 zentrale Erkenntnisse für OEMs und Mobilitätsdienstleister
1 von 6 Insights
2 von 6 Insights
3 von 6 Insights
4 von 6 Insights
6 von 6 Insights
Zurück zur