noyb hat heute Beschwerden gegen TikTok, AliExpress, SHEIN, Temu, WeChat und Xiaomi wegen unrechtmäßiger Datentransfers nach China eingereicht. Vier der Unternehmen geben offen zu, dass sie persönliche Daten nach China schicken, der Rest spricht von undefinierten “Drittländern”. Keines der Unternehmen hat die Auskunftsersuchen der Betroffenen vollständig beantwortet. Man kann deshalb davon ausgehen, dass dies auch China inkludiert. Das EU-Recht ist jedoch eindeutig: Datentransfers in Länder außerhalb der EU sind nur dann zulässig, wenn das Zielland den Datenschutz nicht untergräbt. China ist jedoch ein autoritärer Überwachungsstaat. Unternehmen können EU-Daten daher realistischerweise nicht vor dem Zugriff durch chinesische Behörden schützen.
- Beschwerde gegen TikTok in Griechenland
- Beschwerde gegen Xiaomi in Griechenland
- Beschwerde gegen SHEIN in Italien
- Beschwerde gegen AliExpress in Belgien
- Beschwerde gegen WeChat in den Niederlanden
- Beschwerde gegen Temu in Österreich
Hintergrund: Datentransfers aus der EU nur im Ausnahmefall. Grundsätzlich dürfen Unternehmen die Daten von Europäer:innen nicht in Länder außerhalb der EU übertragen. Ist dies trotzdem notwendig, können sich Unternehmen auf eine Reihe von Ausnahmen berufen. Wollen sie die Daten allerdings auslagern, müssen sie strenge Anforderungen zum Schutz der persönlichen Daten erfüllen. Für Länder wie China greifen Unternehmen dafür z.B. auf Standardvertragsklauseln zurück. Dabei handelt es sich um einen Vertrag, in dem sich chinesische Empfänger:innen verpflichten, EU-Datenschutzvorgaben einzuhalten – auch in China.
Voraussetzung dafür ist eine Folgenabschätzung durch das Unternehmen. Diese soll sicherstellen, dass die Daten von Europäer:innen im Zielland sicher sind und die Standardvertragsklauseln nicht im Widerspruch zu nationalen Gesetzen stehen, die den Zugriff auf Daten ermöglichen. China ist jedoch ein autoritärer Überwachungsstaat. Es gibt deshalb weder einen Angemessenheitsbeschluss noch können Unternehmen den Schutz persönlicher Daten garantieren. Das chinesische Datenschutzrecht schränkt den behördlichen Zugriff auf Daten in keiner Weise ein.
Kleanthi Sardeli, Datenschutzjuristin bei noyb: “China ist ein autoritärer Überwachungsstaat. Es ist daher völlig klar, dass China nicht das gleiche Datenschutzniveau bietet wie die EU. Der Transfer persönlicher Daten von Europäer:innen ist eindeutig rechtswidrig und muss sofort eingestellt werden.”
Hohes Risiko des Datenzugriffs durch Behörden. Xiaomis Transparenzberichte bestätigen, dass chinesische Behörden in der Praxis (uneingeschränkten) Zugriff auf persönliche Daten beantragen und erhalten. Hinzu kommt, dass Xiaomi den Anfragen der chinesischen Behörden fast immer nachkommt (oder nachkommen muss). Darüber hinaus ist es für ausländische Betroffene fast unmöglich, ihre Rechte nach dem chinesischen Datenschutzrecht auszuüben. Das Land verfügt weder über eine unabhängige Datenschutzbehörde noch über eine andere Instanz, bei der man Probleme im Zusammenhang mit staatlicher Überwachung vorbringen könnte. Nicht zuletzt sind der Geltungsbereich und die Anwendung der chinesischen Gesetze unklar.
Auskunftsersuchen der Betroffenen nicht beantwortet. Umso wichtiger ist es, herauszufinden, was chinesische Tech-Unternehmen mit europäischen Daten anstellen. Die Beschwerdeführer:innen stellten daher Auskunftsersuchen nach Artikel 15 DSGVO bei den genannten Unternehmen. Dadurch wollten sie herausfinden, ob ihre Daten nach China oder andere Länder außerhalb der EU geschickt wurden. Leider stellte keines der Unternehmen die gesetzlich vorgeschriebenen Informationen über Datentransfers bereit. Wir wissen jedoch, dass AliExpress, SHEIN, TikTok und Xiaomi laut ihrer Datenschutzrichtlinie Daten nach China schicken. Temu und WeChat erwähnen Transfers in Drittländer. Laut ihrer Unternehmensstruktur umfasst dies höchstwahrscheinlich auch China.
Kleanthi Sardeli, Datenschutzjuristin bei noyb: “Chinesische Unternehmen haben keine andere Wahl, als Behörden den Zugriff auf Daten zu gewähren. Das bedeutet, dass die Daten europäischer Nutzer:innen gefährdet sind, sobald sie nach China geschickt werden. Die Datenschutzbehörden müssen jetzt schnell handeln, um die Grundrechte der Betroffenen zu schützen.”
Beschwerden in fünf Ländern eingebracht. noyb hat nun sechs DSGVO-Beschwerden in fünf europäischen Ländern eingebracht. Wir fordern einen umgehenden Stopp der Datentransfers nach China gemäß Artikel 58(2)(j), da das Land kein gleichwertiges Datenschutzniveau gemäß Artikel 44 und 46 DSGVO bietet. noyb fordert die genannten Unternehmen außerdem auf, ihre Verarbeitung mit der DSGVO in Einklang zu bringen. Um ähnliche Verstöße in der Zukunft zu verhindern, schlägt noyb den Behörden nicht zuletzt die Verhängung einer Verwaltungsstrafe vor. Eine solche Geldstrafe kann bis zu 4 % des weltweiten Jahresumsatzes betragen, was z. B. bei AliExpress 147 Millionen Euro (Jahresumsatz von 3,68 Milliarden Euro) oder bei Temu 1,35 Milliarden Euro (Jahresumsatz von 33,84 Milliarden Euro) ausmachen kann.
