rechtsnews
Hiermit möchten wir Sie auf zwei bedeutende Datenschutzvorfälle in China hinweisen, die die Praxisrelevanz und Wichtigkeit der Konformität mit den lokalen Datenschutz- und Datensicherheitsvorgaben unterstreichen.
I. Datenleck bei Dior
Laut Mitteilungen von Christian Dior entdeckte das französische Luxusmodehaus am 7. Mai 2025 einen unautorisierten Zugriff auf Daten von u.a. chinesischen Kunden. Die Daten sollen unter anderem Namen, Geschlecht, Telefonnummern, E-Mail-Adressen, Postanschriften, Kaufbeträge und Einkaufspräferenzen chinesischer Dior-Kunden enthalten haben. Finanzielle Informationen wie Bankverbindungen seien nach der Mitteilung von Dior nicht kompromittiert worden.
Dior habe Maßnahmen zur Eindämmung des Vorfalls ergriffen und die betroffenen Kunden per SMS und E-Mail informiert und zu erhöhter Wachsamkeit gegenüber verdächtigen Nachrichten und Meldungen aufgerufen.
Nach Art. 27 des Datensicherheitsgesetzes der VR China („DSG“) müssen Datenverarbeiter entsprechende organisatorische und technische Maßnahmen ergreifen sowie entsprechende Datensicherheitspflichten nach der Cybersicherheits-Schutzklassifizierung (MLPS 2.0) erfüllen, um die Datensicherheit zu gewährleisten.
Art. 57 des Gesetzes der VR China zum Schutz personenbezogenen Daten („GSPD“) bestimmt, dass im Fall eines Verlustes, einer Missachtung oder einer unerlaubten Nutzung von persönlichen Informationen – oder wenn eine solche wahrscheinlich ist – Datenverarbeiter unverzüglich Maßnahmen zur Schadensbegrenzung ergreifen und sowohl die betroffenen Personen als auch die zuständigen Behörden benachrichtigen müssen.
Der vorstehend geschilderte Datenvorfall wirft u.a. die Frage auf, ob Dior seinen gesetzlichen Datenschutz- und Datensicherheitsverpflichtungen u.a. in Bezug auf Meldefristen für Datenlecks nachgekommen ist, angesichts der Tatsache, dass die Benachrichtigung der Kunden mit einer Verzögerung von mindestens fünf Tagen erfolgte.
Zum Datum dieser Nachricht haben die chinesischen Behörden noch nicht bekannt gegeben, ob u.a. wegen des Verstoßes gegen Meldefristen auf Grundlage der vorstehend genannten Datenschutz- und Sicherheitsverpflichtungen ein Verfahren gegen Dior eingeleitet wird. Wir gehen davon aus und halten Sie diesbezüglich auf dem Laufenden.
II. Bußgeld gegen BMW Automotive Finance (China)
Laut der Mitteilung der Chinesischen Volksbank vom 9. Mai 2025 wurde BMW Automotive Finance (China) mit einem Bußgeld i.H.v. CNY 901,000.- (ca. EUR 115,000.-) belegt, nach dem das Unternehmen ohne Zustimmung auf persönliche Informationen und Kreditinformationen von Kunden zugegriffen hatte.
Der verantwortliche regionale IT-Direktor wurde persönlich (!) mit einer Geldstrafe von CNY 100,000.- (ca. EUR 13,000.-) belegt, was das Risiko der persönlichen Haftung von Führungskräften im Fall von Verstößen des von ihnen geführten Unternehmens veranschaulicht.
Relevanz für Ihr Unternehmen
Die beiden vorstehenden Vorfälle zeigen, dass Datenschutz und Datensicherheit von den Behörden ernst genommen und empfindliche Geldbußen verhängt werden.
Nach dem GSPD drohen Unternehmen, die ihre Datenschutzverpflichtungen nicht erfüllen, Geldbußen in Höhe von bis zu CNY 50 Millionen (umgerechnet ca. EUR 6,3 Millionen) oder 5 % des Umsatzes des Vorjahres. In schweren Fällen droht sogar die Entziehung der Geschäftslizenz. Die verantwortlichen Personen können zu dem mit Geldstrafen und anderen Sanktionen belegt werden.
Soweit noch nicht geschehen, empfehlen wir, bestehende Datenschutzpraktiken in Ihrem Unternehmen zu prüfen, um sicherzustellen, dass diese den gesetzlichen Anforderungen entsprechen.
Sollten Sie Fragen zu den Datenschutz- oder Datensicherheitsregelungen in China haben oder Unterstützung bei der Überprüfung oder Anpassung Ihrer Datenschutzpraktiken benötigen, stehen wir Ihnen gerne für ein unverbindliches Erstgespräch zur Verfügung.
Ihr Burkardt & Partner Team