Chinas neue Vorschriften zur Gesichtserkennung: Was jede Führungskraft wissen muss

Gesichtserkennung ist nicht mehr nur ein locker reguliertes Mittel zur Zugangskontrolle, Zeiterfassung oder Kundeninteraktion. Die neuen Vorschriften markieren eine deutliche Wende hin zu Nutzerautonomie, Datentransparenz und staatlich überwachter Compliance. Unternehmen, die Gesichtserkennung derzeit in irgendeiner Form nutzen, sei es zur Mitarbeiterverwaltung, Kundenidentifikation oder Servicepersonalisierung, müssen sich auf erhebliche betriebliche Anpassungen einstellen, um rechtlichen und finanziellen Konsequenzen zu entgehen.

Im Zentrum der Vorschriften steht ein klares Prinzip: Gesichtserkennung darf nur verwendet werden, wenn sie absolut notwendig ist. Der Einsatz aus Gründen der Bequemlichkeit oder Automatisierung ist nicht mehr zulässig. Unternehmen müssen zwingende, dokumentierte Gründe für den Einsatz nachweisen und immer alternative Identifikationsmethoden wie Ausweise oder PINs anbieten. Gesichtserkennung darf somit nicht mehr die Standardoption sein, noch darf sie als Zugangsvoraussetzung für Dienstleistungen oder Einrichtungen vorgeschrieben werden.

Ein besonders geschäftskritischer Aspekt der neuen Vorschriften ist die verpflichtende informierte Einwilligung. Vor der Erhebung biometrischer Gesichtsdaten müssen Unternehmen klare, schriftliche Informationen bereitstellen, die Folgendes enthalten:

• Name und Kontaktdaten des Datenverantwortlichen
• Spezifischer Zweck und Umfang der Datenerhebung
• Speicherdauer der Daten
• Wer Zugriff auf die Daten hat
• Die Rechte der betroffenen Person, einschließlich Widerruf und Löschantrag

Die Einwilligung muss dabei freiwillig, spezifisch und nachweisbar sein. Vorgehakte Checkboxen, unklare Hinweise oder gebündelte Einwilligungen sind ausdrücklich verboten. Falls Ihre Systeme nicht auf differenziertes Einwilligungsmanagement ausgelegt sind, ist jetzt der richtige Zeitpunkt für entsprechende Investitionen.

Die Vorschriften enthalten zudem strenge Vorgaben zur Datenspeicherung, die sich auf Ihre Infrastrukturstrategie auswirken können:

• Gesichtserkennungsdaten müssen lokal gespeichert werden – idealerweise direkt auf dem Gerät oder auf einem sicheren Server in China.
• Übertragungen über das Internet sind nur erlaubt, wenn sie gesetzlich gestattet oder durch dokumentierte Einwilligung der Nutzer gedeckt sind.
• Daten dürfen nur so lange wie nötig gespeichert werden und müssen nach Zweckerfüllung gelöscht werden.

Internationale Unternehmen, die auf zentrale Plattformen oder globale biometrische Authentifizierungssysteme setzen, müssen diese umstrukturieren, um die chinesischen Lokalisierungsvorgaben einzuhalten.

Wenn Ihr Unternehmen Gesichtserkennungsdaten von mehr als 100.000 Personen speichert, unterliegen Sie einer besonderen Regulierung, die die Registrierung bei der zuständigen Provinzbehörde für Cybersicherheit verlangt. Innerhalb von 30 Arbeitstagen sind detaillierte Berichte einzureichen zu Datenerfassungsmethoden, Speichersystemen, Verschlüsselungsstandards und internen Kontrollmechanismen. Wird der Einsatz von Gesichtserkennung beendet, ist eine offizielle Abmeldung und ein Nachweis über die sichere und unwiderrufliche Löschung aller biometrischen Daten erforderlich.

Diese Anforderungen bedeuten, dass große Organisationen ihre Compliance-Teams stärken oder ausbauen müssen, um Audits, interne Überwachung und Berichtspflichten bewältigen zu können.

Die finanziellen Risiken bei Verstößen sind erheblich: Bußgelder können eine Höhe von bis zu 50 Millionen RMB oder 5 % des Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist. Doch abgesehen von Geldstrafen sind Imageverlust, Betriebsunterbrechungen und sogar ein Lizenzentzug ebenfalls reale Risiken für Unternehmen, die sich auf diese Neuerungen nicht vorbereiten. Zudem besteht bei Sicherheitsverstößen im Zusammenhang mit Gesichtserkennungsdaten eine sofortige Meldepflicht (innerhalb von 24 Stunden) an die Behörden. Dies kann Unternehmen schnell dazu veranlassen, ihre Notfallpläne und Cyber-Versicherungspolicen zu überprüfen.

Gesichtserkennung wird in chinesischen Unternehmen häufig zur Zeiterfassung, Anwesenheitskontrolle oder Zugangskontrolle eingesetzt. Unter den neuen Vorschriften müssen Arbeitgeber Alternativen für Mitarbeiter anbieten, die die biometrische Erfassung ablehnen. Außerdem müssen sie offenlegen:

• Wie die Gesichtsdaten von Mitarbeitern verwendet werden
• Wer intern Zugriff auf die Daten hat
• Wie mit Lösch- oder Widerrufsanfragen umgegangen wird

HR-Abteilungen benötigen Schulungen, und IT-Systeme müssen möglicherweise so angepasst werden, dass sie biometrische und nicht-biometrische Authentifizierungswege trennen. Für kleine und mittlere Unternehmen (KMU) könnten diese Änderungen einen erheblichen Investitionsaufwand bedeuten , sowohl technisch als auch organisatorisch.

Branchen wie Einzelhandel, Finanzwesen und Gastgewerbe, die häufig Gesichtserkennung für personalisierte Dienste einsetzen, stehen vor sofortigen Herausforderungen. Einzelhändler dürfen das Verhalten oder die Mimik von Kunden nicht mehr ohne ausdrückliche und fallbezogene Einwilligung analysieren. Finanzinstitute müssen den Einsatz von Gesichtserkennung begründbar rechtfertigen und Ausweichmechanismen bereitstellen.

Technologieunternehmen, die Algorithmen zur Gesichtserkennung entwickeln, müssen ebenfalls ihre Trainingsdaten überprüfen und sicherstellen, dass nur Daten mit gültiger Einwilligung verwendet werden. Für multinationale Unternehmen wird es besonders herausfordernd, eine konsistente Betriebsweise in verschiedenen Märkten mit den neuen chinesischen Lokalitäts- und Einwilligungspflichten in Einklang zu bringen.

Darüber hinaus sind bestimmte Anwendungen jetzt explizit verboten. Dies betrifft etwa Systeme, die Emotionen interpretieren oder Menschen nach ethnischer Zugehörigkeit, Religion oder Gesundheitszustand kategorisieren. Solche Praktiken gelten nun als diskriminierend und rechtswidrig.

Angesichts der Komplexität und des möglichen Risikos sollten Geschäftsführende proaktiv handeln:

1. Führen Sie ein Audit aller aktuellen und geplanten Gesichtserkennungsanwendungen im Unternehmen durch.

1. Prüfen Sie Datenflüsse und Speicherorte auf Einhaltung der Lokalisierungsvorgaben.
2. Aktualisieren Sie Einwilligungsmechanismen, Nutzungsrichtlinien und Datenschutzerklärungen.
3. Schulen Sie interne Teams, insbesondere HR, IT und Compliance, zu den neuen Pflichten.
4. Überprüfen Sie Lieferantenverträge, insbesondere diejenigen, bei denen biometrische Systeme von Drittanbietern involviert sind.
5. Planen Sie Notfallmaßnahmen, einschließlich der Aussetzung oder Einschränkung von biometrischen Vorgängen, falls eine vollständige Einhaltung nicht rechtzeitig möglich ist.

Chinas neue Vorschriften zur Gesichtserkennung senden eine doppelte Botschaft an die Geschäftswelt: Innovation ist willkommen, aber nicht auf Kosten der Privatsphäre und Datensicherheit. Auch wenn die neuen Regeln Herausforderungen mit sich bringen, bieten sie einen klaren regulatorischen Rahmen und können das Vertrauen in biometrische Technologien stärken.

Unternehmen, die sich frühzeitig diesen Neuerungen anpassen, vermeiden nicht nur Risiken, sondern können sich auch als verantwortungsvolle Technologieführer in einem Markt positionieren, der zunehmend von ethischer Unternehmensführung geprägt ist.