E-Commerce und Datenschutz in China

Das am 31. August 2018 verabschiedete E-Commerce Law trat am 1. Januar 2019 in Kraft.

Es reguliert E-Commerce-basierte Transaktionen und Dienstleistungen und formuliert Verbraucherschutzvorgaben. Es ist einschlägig, wenn eine chinesische Partei beteiligt ist (Crossborder E-Commerce/CBEC). Das Gesetz gibt Standards für Sammlung und Nutzung der im Rahmen von E-Commerce generierten Daten vor (Art. 23 ff. E-Commerce Law).

Hinsichtlich der erforderlichen Lizenzen ist bei dem Vertriebskanal zu unterscheiden, ob der Vertrieb aus dem Ausland erfolgt und über eine eigene Online-Plattform. Bei B2C-Geschäften ist zwischen dem Vertrieb mittels eines Webshops über einen Dritten (platform) oder dem Verkauf über eine selbst betriebene Webseite (operator) abzugrenzen. Die chinesischen E-Commerce-Anbieter als Pendant zu Amazon (beispielsweise Taobao, Tmall) verfügen über eine sehr hohe Marktstellung und bieten für Verkäufer eigene Stores in verschiedenen Formaten an.

Verbraucher haben gemäß Art. 24 des Verbraucherschutzgesetzes ein siebentägiges Rückgaberecht, ohne Gründe angeben zu müssen. Weitere Regelungen des E-Commerce Law betreffen den elektronischen Zahlungsverkehr und die Zustellung, die Haftungsregelungen des Verkäufers entsprechend den üblichen Bestimmungen.

Seit dem 1. Mai 2018 ist der „National Standard of Information Security Technology – Personal Information Security Specification" (GB/T 35273-2017) in Kraft, der Parallelen zu EU-, und OECD- Richtlinien aufweist. Es wird zwischen sensiblen persönlichen Daten, bei deren Verletzung wesentliche Nachteile entstehen (ID, Biometrik, Anschauungen, Ethnie, Gesundheit, Finanzen) und generellen persönlichen Daten unterschieden. Geregelt werden Erhebung, Speicherung, Weitergabe von Daten und das Informationsrecht der Nutzer. Ist die Datenverarbeitung das Hauptgeschäft, sind mehr als 200 Mitarbeiter angestellt und werden über 500.000 individuelle Datensätze verarbeitet, ist ein Datenschutzbeauftragter zu benennen. Eine neue Fassung dieser Specification (GB/T 35273-2020) wird am 1. Oktober 2020 in Kraft treten. Darin wird die Anzahl der verarbeiteten personenbezogenen Datensätze auf 1 Million Personen angehoben (Ziffer 11.1).  

Für Unternehmen generell zu beachten ist das im Juni 2017 in Kraft getretene Cybersicherheitsgesetz (Cybersecurity Law). Um von den Bestimmungen erfasst und als Netzwerkbetreiber definiert zu werden, reicht bereits der Betrieb eines Servers in China aus. Dann müssen alle erhobenen Kundendaten sowie wichtige Geschäftsinformationen in China gespeichert werden. Diese Daten dürfen nur in besonderen Fällen außer Landes exportiert werden. 

In Bezug auf das Cybersecurity Law gibt es inzwischen einige Regulations und Measures, zum Teil liegen sie als Entwurf vor. Die sogenannten „Measures for Cybersecurity Review“  vom 27. April 2020 traten am 1. Juni 2020 in Kraft. Die Schaffung eines solchen Systems zur Überprüfung der nationalen Sicherheit hinsichtlich Betreibern kritischer Informationsinfrastrukturen bei deren Kauf von Netzwerkprodukten oder –dienstleistungen mit möglicher Auswirkung auf die nationale Sicherheit ist in Art. 35 Cybersecurity Law vorgesehen.

Das am 26. Oktober 2019 verabschiedete Kryptografiegesetz (Encryption Law oder auch Cryptography Law) ist seit dem 1. Januar 2020 in Kraft, es betrifft insbesondere die kommerzielle Verschlüsselung. 

Anfang Juli 2020 wurde ein Entwurf eines Data Security Law zur Kommentierung bis zum 16. August 2020 veröffentlicht. 

Stand des Berichtes: 9. Juli 2020

• Recht kompakt China
• Digitale Geschäftspraxis für China – Virtuell nah am Kunden