Einleitung: Der neue Kompass für den globalen Datenverkehr
Liebe Leserinnen und Leser, insbesondere die geschätzten Investoren mit China-Bezug, die gewohnt sind, Fachinformationen auf Deutsch zu verarbeiten. Stellen Sie sich vor, Sie haben jahrelang erfolgreich ein Joint Venture in China geführt, die Produktionsdaten laufen reibungslos zur europäischen Zentrale, und die Personalinformationen Ihrer lokalen Mitarbeiter werden in einer Cloud in Singapur verarbeitet. Plötzlich ändern sich die Rahmenbedingungen grundlegend. Seit der Verabschiedung des „Gesetzes der Volksrepublik China zum Schutz persönlicher Daten“ (PIPL) im Jahr 2021 und den darauffolgenden detaillierten Durchführungsbestimmungen hat China einen klaren und strengen Rechtsrahmen für grenzüberschreitende Datenübertragungen geschaffen. Für internationale Unternehmen ist dies kein bloßer bürokratischer Akt, sondern ein fundamentaler Paradigmenwechsel, der direkte Auswirkungen auf Geschäftsmodelle, Compliance-Kosten und letztlich auf den Unternehmenswert haben kann. Der Kern dieses neuen Systems bilden zwei zentrale Pfade: die Sicherheitsbewertung und die Standardvertragsklauseln. Wer diese Pfade nicht kennt oder ignoriert, riskiert nicht nur hohe Geldstrafen, sondern im schlimmsten Fall den Abbruch essentieller Datenflüsse – das Geschäftslebenader eines modernen Unternehmens. In meiner über 14-jährigen Praxis bei Jiaxi in der Registrierungsabwicklung und der Betreuung ausländischer Unternehmen habe ich erlebt, wie Unsicherheit hier zu erheblichen Investitionszögern führen kann. Dieser Artikel soll Ihnen als erfahrenem Investor eine fundierte Landkarte an die Hand geben.
Die drei Auslöser der Sicherheitsbewertung
Nicht jedes Unternehmen muss den aufwändigen Weg der behördlichen Sicherheitsbewertung gehen. Der Gesetzgeber hat hier klare Schwellenwerte definiert, die ich gerne als die „Big Three“ der Auslöser bezeichne. Der erste und wichtigste Auslöser betrifft Betreiber kritischer Informationsinfrastruktur (CII). Die Definition, was genau eine CII ist, wird in speziellen Katalogen festgelegt, umfasst aber typischerweise Schlüsselsektoren wie Energie, Verkehr, Finanzen oder öffentliche Dienste. Wenn Ihr Unternehmen in einem solchen Sektor tätig ist, ist die Sicherheitsbewertung durch die Cyberspace Administration of China (CAC) zwingend erforderlich, und zwar unabhängig vom Datenvolumen.
Der zweite wesentliche Auslöser ist die Menge der verarbeiteten personenbezogenen Daten. Hier gilt eine konkrete quantitative Schwelle: Überträgt ein Datenverarbeiter die personenbezogenen Daten von mehr als einer Million Personen ins Ausland, muss er eine Sicherheitsbewertung beantragen. Für viele mittelständische Unternehmen mag diese Zahl hoch erscheinen, doch in der Praxis sammeln sich solche Mengen schneller an als gedacht – denken Sie nur an Kunden- oder Nutzerdatenbanken, Mitarbeiterinformationen in großen Produktionsstätten oder Verbraucherdaten im E-Commerce. Ein Klient von uns, ein deutscher Hersteller von Konsumgütern, stand plötzlich vor diesem Problem, nachdem er seine Online-Marketingaktivitäten massiv ausgeweitet und dabei Daten gesammelt hatte. Die retrospektive Aufarbeitung war ein enormer Aufwand.
Der dritte Auslöser ist kumulativer Natur und betrifft die Übermittlung „sensibler“ personenbezogener Daten. Hier geht es nicht primär um die Masse, sondern um die Art der Daten. Die PIPL definiert sensible Daten sehr klar: biometrische Daten, religiöse Überzeugungen, spezielle soziale Status, Gesundheitsinformationen, Finanzkonten, Standortverläufe sowie Daten von Minderjährigen unter 14 Jahren. Werden solche sensiblen Daten ab einem bestimmten Volumen – aktuell sind es 10.000 Personen – ins Ausland übermittelt, löst auch dies die Pflicht zur Sicherheitsbewertung aus. In der Praxis ist hier besondere Vorsicht geboten, denn oft werden solche Daten ohne böse Absicht, aber aus betrieblicher Notwendigkeit verarbeitet, beispielsweise Gesundheitsdaten für betriebsärztliche Untersuchungen in globalen Konzernen.
Der komplexe Ablauf der Bewertung
Hat man festgestellt, dass eine Sicherheitsbewertung notwendig ist, beginnt ein mehrstufiger, zeitintensiver Prozess, den man nicht unterschätzen sollte. Der erste Schritt ist eine interne Selbstbewertung durch das Unternehmen selbst. Hier muss detailliert dokumentiert werden: Welche Datenarten werden übertragen? Zu welchem Zweck? In welches Land? Welche Vertragspartner dort empfangen die Daten? Und vor allem: Welche technischen und organisatorischen Maßnahmen schützen diese Daten auf dem gesamten Transferweg? Diese Selbstbewertung ist kein Formsache, sondern erfordert eine tiefgehende Bestandsaufnahme aller Datenflüsse, eine Lücke, die ich in vielen Unternehmen sehe.
Im Anschluss muss die Selbstbewertung durch eine Prüfung durch einen gesetzlich vorgeschriebenen „Personal Information Protection Officer“ (PIPO) oder ein spezielles Gremium im Unternehmen gehen. Dieser Schritt institutionalisiert die Verantwortung. Danach folgt der kritische Moment: die Einreichung aller Unterlagen bei der zuständigen Provinz- oder Landesbehörde der Cyberspace Administration of China (CAC). Die Behörde prüft dann, ob der Antrag vollständig ist und leitet die inhaltliche Prüfung ein. Diese kann Nachfragen enthalten, auf die innerhalb kurzer Frist reagiert werden muss. Die gesetzliche Prüffrist beträgt theoretisch 45 Arbeitstage, in der Praxis muss man aufgrund von Rückfragen und Nachbesserungen mit deutlich mehr Zeit rechnen. Ein positiver Bescheid ist dann drei Jahre gültig, muss aber bei wesentlichen Änderungen der Datenverarbeitungspraxis neu beantragt werden. Dieser ganze Prozess erfordert Geduld, präzise Vorbereitung und oft auch direkten Dialog mit den Behörden – hier zahlt sich Erfahrung aus.
Standardvertrag: Der alternative Weg
Für die vielen Unternehmen, die die hohen Schwellenwerte der Sicherheitsbewertung nicht erreichen, bietet der Gesetzgeber mit den Standardvertragsklauseln (Standard Contractual Clauses, SCCs) einen alternativen, aber nicht weniger verbindlichen Compliance-Pfad an. Die CAC hat hierfür einen mustergültigen Vertragstext veröffentlicht, der nicht verhandelbar ist. Man kann ihn sich als ein „Take-it-or-leave-it“-Paket vorstellen. Die Unterzeichnung dieses Vertrags zwischen dem datenexportierenden Unternehmen in China und dem datenimportierenden Unternehmen im Ausland ist eine zentrale rechtliche Voraussetzung für den Datenfluss.
Der Knackpunkt dabei: Diese Standardverträge sind keineswegs eine einfache Abhak-Übung. Sie verlangen vom Exporteur in China, dass er vor der Unterzeichnung eine „Auswirkungsbewertung zum Schutz persönlicher Daten“ (Personal Information Protection Impact Assessment, PIPIA) für den geplanten Transfer durchführt. Diese Bewertung muss Risiken für die Rechte und Freiheiten der betroffenen Personen identifizieren und die Angemessenheit der Schutzmaßnahmen im Zielland bewerten. Besonders heikel ist die Klausel, die den ausländischen Datenempfänger verpflichtet, sich den gerichtlichen Zuständigkeiten und den Durchsetzungsmechanismen der chinesischen Behörden zu unterwerfen – ein Punkt, der bei europäischen oder amerikanischen Partnern oft auf rechtliche Bedenken stößt und intensive Vertragsverhandlungen im Gesamtkontext nach sich ziehen kann. Es ist also kein reiner „China-interner“ Papierkram, sondern hat unmittelbare Auswirkungen auf Ihre globalen Vertragsbeziehungen.
Die Crux mit den „wichtigen Daten“
Ein besonderes und oft unterschätztes Kapitel sind die sogenannten „wichtigen Daten“ (important data). Diese Kategorie ist von personenbezogenen Daten zu unterscheiden und umfasst Daten, die im Falle ihrer Verletzung die nationale Sicherheit, das Wirtschaftsleben, öffentliche Interessen oder die öffentliche Gesundheit beeinträchtigen könnten. Typische Beispiele sind Daten aus dem verarbeitenden Gewerbe, die Produktionsgeheimnisse oder Lieferketteninformationen betreffen, oder geografische, demografische und genetische Datenmengen. Die genaue Klassifizierung, welche Daten in einem bestimmten Sektor als „wichtig“ gelten, obliegt den jeweiligen Branchenregulierern.
Die große Herausforderung für Unternehmen liegt genau hier: Es gibt (noch) keinen umfassenden, öffentlichen und detaillierten Katalog. Die Identifikation von „wichtigen Daten“ erfordert daher eine proaktive Risikoanalyse in Abstimmung mit Branchenverbänden und oft auch konsultativ mit Behörden. Die Grenzüberschreitung solcher Daten unterliegt strengsten Regeln und erfordert in der Regel immer eine Sicherheitsbewertung. Für Investoren bedeutet dies: Bei Due-Diligence-Prüfungen für Übernahmen oder Joint Ventures in datenintensiven Sektoren muss die Klassifizierung der verarbeiteten Daten als „wichtig“ ein zentraler Prüfpunkt sein, da sie die künftige Geschäftsflexibilität massiv einschränken kann.
Rechte der betroffenen Personen
Das chinesische Recht stellt die Rechte der betroffenen Personen, also derjenigen, über die Daten gesammelt werden, stark in den Vordergrund. Das hat direkte Konsequenzen für grenzüberschreitende Transfers. Bevor personenbezogene Daten ins Ausland übermittelt werden, muss der Datenverarbeiter die betroffene Person über eine Reihe von Punkten in klarer und verständlicher Sprache informieren. Dazu gehören der Name und die Kontaktdaten des ausländischen Empfängers, der Verarbeitungszweck und die -methoden, die Arten der übertragenen Daten sowie die Möglichkeit und der Weg, wie die betroffene Person ihre Rechte gegenüber dem ausländischen Empfänger geltend machen kann.
Darüber hinaus muss die betroffene Person ihre ausdrückliche, separate Einwilligung zu diesem spezifischen Transfer erteilen. Eine pauschale Einwilligung in die Datenschutzerklärung, wie sie im Westen oft üblich ist, reicht hier nicht aus. Das stellt Unternehmen vor enorme praktische Herausforderungen in der Kundenkommunikation und Prozessgestaltung. Verstöße gegen diese Informations- und Einwilligungspflichten können nicht nur die Rechtmäßigkeit des gesamten Transfers untergraben, sondern auch separate Sanktionen nach sich ziehen. In der Praxis erlebe ich, dass viele internationale Unternehmen ihre globalen Einwilligungsmechanismen für den chinesischen Markt anpassen müssen, was nicht selten zu Spannungen zwischen der globalen Rechtsabteilung und dem lokalen Management führt.
Durchsetzung und Sanktionen
Ein Gesetz ist nur so stark wie seine Durchsetzung. Der chinesische Gesetzgeber hat hier ein beeindruckendes Arsenal an Sanktionsmöglichkeiten geschaffen. Die Aufsichtsbehörden, angeführt von der CAC, können korrigierende Anordnungen erlassen, die den Datenfluss vorübergehend oder dauerhaft unterbinden. Sie können Geldbußen verhängen, die für Unternehmen bis zu 50 Millionen RMB oder 5% des weltweiten Jahresumsatzes des Vorjahres betragen können – was schnell existenzbedrohende Dimensionen annimmt.
Noch gravierender können die reputativen und operativen Sanktionen sein. Verstöße können dazu führen, dass das Unternehmen auf eine „Schwarze Liste“ gesetzt wird, was die öffentliche Beschaffung und Geschäftsbeziehungen erheblich erschwert. Verantwortliche Direktoren und leitende Manager können persönlich haftbar gemacht werden und mit Geldstrafen bis zu 1 Million RMB belegt werden. In schwerwiegenden Fällen droht sogar der Widerruf von Geschäftslizenzen. Diese Sanktionen sind keine theoretische Drohung. Seit dem Inkrafttreten der PIPL gab es bereits eine Reihe von Durchsetzungsfällen, auch gegen internationale Namen, die klar signalisieren, dass die Behörden ernst machen. Für Investoren ist die Compliance in diesem Bereich daher ein zentraler Bestandteil des Risikomanagements ihrer China-Investitionen.
Herausforderungen für internationale Konzerne
Die größte praktische Hürde für multinationale Unternehmen mit China-Operationen ist die Fragmentierung der globalen Datenstrategie. Viele Konzerne sind gewohnt, Daten relativ frei zwischen ihren globalen Standorten und Cloud-Infrastrukturen zu bewegen, um Skaleneffekte in Analytics, IT-Sicherheit oder Personalverwaltung zu nutzen. Das neue chinesische Recht zwingt dazu, China als eine eigene, hochregulierte Datenjurisdiktion zu behandeln. Das erfordert oft technische Maßnahmen wie Data Localization (die Speicherung von Daten auf Servern in China) oder zumindest die Einrichtung von „chinesischen Datenperimetern“ mit streng kontrollierten Exportpunkten.
Hinzu kommt die Komplexität der Lieferketten. Ein Automobilzulieferer muss nicht nur seine eigenen Datenflüsse zur deutschen Zentrale regeln, sondern auch sicherstellen, dass seine lokalen chinesischen Subunternehmer, die vielleicht Teile der Datenverarbeitung übernehmen, ebenfalls konform handeln. Das erfordert eine Due Diligence und vertragliche Absicherung entlang der gesamten Wertschöpfungskette. Aus meiner Erfahrung ist dies ein Punkt, der in der Hektik des Tagesgeschäfts oft vernachlässigt wird, aber im Falle einer Überprüfung durch Behörden schnell zum dominierenden Problem werden kann. Die Lösung liegt in einer klaren, von der Konzernspitze mandatierten China-Datenstrategie, die mit ausreichenden Ressourcen und Kompetenzen vor Ort ausgestattet ist.
Zusammenfassung und Ausblick
Zusammenfassend lässt sich sagen, dass das chinesische Regime für grenzüberschreitende Datenübertragungen mit den beiden Säulen Sicherheitsbewertung und Standardvertrag ein ausgereiftes, strenges und durchsetzungsstarkes System darstellt. Es verfolgt das klare Ziel, die nationale Sicherheit und die persönlichen Daten chinesischer Bürger zu schützen, und stellt dabei internationale Unternehmen vor erhebliche operative und compliance-technische Herausforderungen. Die korrekte Einordnung der eigenen Daten, die Wahl des richtigen Transfermechanismus und die proaktive Einbindung aller Beteiligten, inklusive der betroffenen Personen, sind keine optionalen Aufgaben mehr, sondern essentielle Bestandteile einer verantwortungsvollen China-Strategie.
Als persönliche Einschätzung und vorausschauende Überlegung möchte ich hinzufügen: Die Dynamik in diesem Bereich ist noch nicht zu Ende. Wir sehen eine zunehmende Konvergenz, aber auch Reibungspunkte mit anderen regulatorischen Regimen wie der europäischen DSGVO. Zukünftige Entwicklungen wie die mögliche gegenseitige Anerkennung von Angemessenheitsbeschlüssen oder standardisierten Vertragsklauseln zwischen China und anderen Jurisdiktionen werden den Rahmen weiter verändern. Für Investoren bedeutet dies, dass sie bei ihren China-Engagements nicht nur auf die aktuellen Regeln, sondern auch auf die Agilität und Anpassungsfähigkeit des Managementteams an zukünftige Veränderungen achten müssen. Wer heute eine solide, dokumentierte und prinzipientreue Daten-Compliance aufbaut, ist für die Herausforderungen von morgen bestens gewappnet.
Einschätzung der Jiaxi Steuerberatung
Aus der Perspektive von Jiaxi Steuerberatung, mit unserer langjährigen Begleitung ausländischer Unternehmen in China, betrachten wir die Themen Sicherheitsbewertung und Standardvertragsanforderungen nicht als isolierte Compliance-Hürde, sondern als integralen Bestandteil der gesamten Unternehmensführung und Wertschöpfung vor Ort. Eine solide Daten-Compliance ist heute ein wesentlicher Werttreiber und Risikopuffer. Sie schützt nicht nur vor Sanktionen, sondern stärkt das Vertrauen von Geschäftspartnern, Verbrauchern und letztlich auch der Behörden. In unserer Beratungspraxis setzen wir auf einen dreistufigen Ansatz: Zuerst eine umfassende Diagnose der bestehenden Datenflüsse und eine klare Klassifizierung nach PIPL-Kriterien. Dann die
