Noyb-Beschwerde über Datenexport nach China
Der Umgang mit personenbezogenen Daten ist in der Europäischen Union (EU) durch die Datenschutzgrundverordnung (DSGVO) streng geregelt. Besonders kritisch wird es, wenn Daten europäischer Nutzer in Länder außerhalb der EU transferiert werden, die kein angemessenes Datenschutzniveau bieten. Genau dies geschieht laut einer Beschwerde von noyb jedoch bei einigen großen chinesischen Tech-Unternehmen wie TikTok, AliExpress, SHEIN, Temu, WeChat und Xiaomi. Die Noyb-Beschwerde über den Datenexport nach China vom 16.01.2025 wirft diesen Firmen vor, systematisch gegen die DSGVO zu verstoßen, indem sie Daten nach China übermitteln – ein Land, das als autoritärer Überwachungsstaat gilt.
Datentransfers nach China: Rechtslage und Problemfelder
Die DSGVO stellt hohe Anforderungen an die Übermittlung personenbezogener Daten in Drittländer. Grundsätzlich sind solche Transfers nur dann erlaubt, wenn ein angemessenes Datenschutzniveau garantiert ist. Ein Angemessenheitsbeschluss, der dies bestätigt, liegt allerdings für Datentransfers nach China nicht vor. Zudem handelt es sich laut der Datenschutzorganisation noyb bei dem Land um einen „autoritären Überwachungsstaat“, der nicht über unabhängige Kontrollinstanzen verfügt, die den Zugriff durch Behörden effektiv beschränken könnten. Das chinesische Datenschutzgesetz ist zwar gegen Datenschutzverletzung von Privatunternehmen recht effektiv, einen vergleichbaren Schutz gegen staatliche Eingriffe bietet es jedoch nicht.
Standardvertragsklauseln reichen nicht aus
Um Daten dennoch übertragen zu dürfen, können europäische Unternehmen mit ihren chinesischen Geschäftspartnern beispielsweise Standardvertragsklauseln (SCCs) schließen. Diese verpflichten die Empfänger, europäische Datenschutzstandards zu beachten. Allerdings müssen Unternehmen vorab eine umfassende Folgenabschätzung durchführen, um sicherzustellen, dass diese Verpflichtungen in der Praxis auch umsetzbar sind.
In autoritären Staaten wie China, wo es rechtlich keinen Schutz gegen staatliche Zugriffe gibt, sei dies unrealistisch. Ein Transparenzberichte von Xiaomi zeige, „dass chinesische Behörden in der Praxis (uneingeschränkten) Zugriff auf persönliche Daten beantragen“ und auch bekommen. Hinzu komme, dass es für europäische Betroffene nahezu unmöglich sei, ihre Datenschutzrechte in China durchzusetzen, da es keine unabhängige Datenschutzbehörden gibt.
Offenlegungspflichten gemäß Artikel 15 DSGVO
Ein weiteres zentrales Problem sei die mangelnde Transparenz. Betroffene haben gemäß Art. 15 DSGVO das Recht, von Unternehmen Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten, insbesondere über deren Weitergabe in Drittländer. Im aktuellen Fall haben die sechs Unternehmen diese Auskunftsersuchen laut der Pressemitteilung von noyb nicht vollständig beantwortet. Jedenfalls hätten vier Unternehmen eingestanden, personenbezogenen Daten nach China zu senden. Die anderen zwei Länder verwiesen hingegen lediglich in ihren Datenschutzrichtlinien auf „Drittländer“. Aufgrund der „Unternehmensstruktur“ geht noyb davon aus, dass auch diese Konzerne Daten an China übermitteln.
Datenschutzbeschwerde durch noyb
Kleanthi Sardeli, Datenschutzjuristin bei noyb, stuft die Datenübertragung als „eindeutig rechtswidrig“ ein. Noyb hat deshalb eine Datenschutzbeschwerde gegen TikTok und Xiaomi in Griechenland, SHEIN in Italien, AliExpress in Belgien, WeChat in den Niederlanden und Temu in Österreich eingereicht. Noyb fordert die zuständigen europäischen Datenschutzbehörden auf, schnell aktiv zu werden. Diese sollen den Transfer personenbezogener Daten gemäß Art. 58 DSGVO untersagen und dafür sorgen, dass die Datenverarbeitung datenschutzkonform abläuft. Zudem empfiehlt noyb die Verhängung von Geldbußen. Auf eine Anfrage von heise online habe Xiaomi angegeben, die Vorwürfe zu prüfen und mit den nationalen Aufsichtsbehörden bei entsprechender Kontaktaufnahme zu kooperieren.
Fazit
Die Noyb-Beschwerde über den Datenexport macht erneut die Gefahren von Datentransfers nach China deutlich. Nun bleibt zunächst abzuwarten, was die Ermittlungen der europäischen Datenschutzbehörden über die einzelnen Beschwerden ergeben werden. Der Fall sollte aber auch schon jetzt für datenschutzrechtlich Verantwortlich ein Weckruf sein. Unternehmen sind stets verpflichtet, das Schutzniveau personenbezogener Daten zu gewährleisten und Transparenz gegenüber Betroffenen zu schaffen. Wenn eine Zusammenarbeit mit chinesischen Unternehmen gewünscht oder notwendig ist, sollten Unternehmen zunächst eine sorgfältige Überprüfung der Datenschutzlage vornehmen, bevor personenbezogene Daten übertragen werden. Als Externe Datenschutzbeauftragte helfen wir Ihnen hierbei gerne weiter.
