Wie Unternehmen in China eine datenschutzkonforme Richtlinie und Verfahren für den Datenschutz erstellen
Sehr geehrte Investoren, die Sie sich für den chinesischen Markt interessieren, ich bin Lehrer Liu. In meinen über 26 Berufsjahren, davon 12 Jahre in der Betreuung ausländischer Unternehmen bei der Jiaxi Steuerberatungsfirma und 14 Jahre in der Registrierungsabwicklung, habe ich einen tiefgreifenden Wandel miterlebt: War früher die Geschäftslizenz der heilige Gral, so ist es heute zunehmend der nachweislich konforme Umgang mit Daten. Die Frage, wie man in China eine tragfähige Datenschutzrichtlinie und entsprechende Verfahren aufbaut, ist nicht länger nur eine Frage der IT-Compliance, sondern ein zentraler strategischer Hebel für Marktzugang, Reputation und langfristigen Geschäftserfolg. Der chinesische Rechtsrahmen, angeführt vom Gesetz zum Schutz persönlicher Informationen (PIPL), der Cybersicherheits- und der Datensicherheitsgesetzgebung, hat klare Spielregeln definiert. Für ausländische Investoren und Unternehmen bedeutet dies: Ein „Copy-Paste“ der europäischen DSGVO-Strategie greift hier zu kurz. Dieser Artikel soll Ihnen als erfahrenem Leser eine detaillierte Roadmap an die Hand geben, wie Sie in diesem komplexen, aber hochgradig strukturierten Umfeld eine robuste Datenschutz-Governance aufbauen – und damit nicht nur Risiken minimieren, sondern auch Vertrauen bei Partnern und Katen aufbauen.
Verstehen des Rechtsrahmens
Der erste und entscheidende Schritt ist ein tiefes Verständnis des spezifischen chinesischen Rechtsrahmens. Viele meiner internationalen Klienten kommen mit der Annahme, dass globale Standards ausreichen. Das ist ein gefährlicher Trugschluss. Das chinesische System basiert auf einer Triade von Gesetzen: dem Cybersicherheitsgesetz (CSL), dem Datensicherheitsgesetz (DSL) und dem Gesetz zum Schutz persönlicher Informationen (PIPL). Diese wirken zusammen und haben jeweils eigene Schwerpunkte. Das PIPL zum Beispiel legt sehr konkrete Anforderungen an die Einwilligung (consent), die Zweckbindung und die Datenminimierung fest. Ein Punkt, der oft unterschätzt wird, ist die Klassifizierung von Daten. Das DSL verlangt eine Einstufung von Daten nach ihrer Bedeutung für die nationale Sicherheit und das öffentliche Interesse. Für ein produzierendes Unternehmen können beispielsweise Daten zur Lieferkette oder zu kritischen Infrastrukturen plötzlich als „wichtig“ oder sogar „kern“ eingestuft werden, was völlig andere Speicher- und Transferbedingungen nach sich zieht. Hier ist eine reine juristische Beratung nicht genug; es braucht betriebswirtschaftliches Verständnis, um die Geschäftsprozesse mit den rechtlichen Kategorien in Einklang zu bringen.
In der Praxis erlebe ich oft, dass Unternehmen versuchen, mit einer globalen, „one-size-fits-all“-Richtlinie durchzukommen. Das endet meist in langwierigen Nachbesserungen durch die Behörden. Ein konkretes Beispiel: Ein europäischer Einzelhändler wollte sein Customer-Relationship-Management-System (CRM) in China einführen. Die globale Richtlinie sah eine pauschale Einwilligung für Marketingzwecke vor. Nach chinesischem PIPL muss die Einwilligung jedoch freiwillig, explizit und für den jeweiligen spezifischen Verarbeitungszweck erteilt werden. Wir mussten das gesamte Anmeldeformular überarbeiten, klare Checkboxen für separate Zwecke (Service, Marketing, Profiling) implementieren und einen leicht zugänglichen Widerrufsmechanismus schaffen. Diese Anpassung auf granularer Ebene ist typisch für die chinesische Herangehensweise und muss in der Grundarchitektur der Richtlinie verankert sein.
Datenklassifizierung und Bestandsaufnahme
Bevor Sie eine Zeile Ihrer Richtlinie schreiben, müssen Sie wissen, womit Sie es überhaupt zu tun haben. Eine umfassende Datenbestandsaufnahme (Data Inventory oder Data Mapping) ist die unverzichtbare Grundlage. Das klingt banal, ist in der Praxis aber eine der aufwändigsten Aufgaben. Welche personenbezogenen Daten erheben Sie? Wo fließen sie hin (Abteilungen, Drittanbieter, Cloud-Server)? Wie lange werden sie gespeichert? Besonders kritisch ist die Frage nach dem Standort der Server. Daten, die in China erhoben werden, unterliegen strengen Localisierungspflichten, wenn sie eine bestimmte Menge oder Sensibilität erreichen. Ich erinnere mich an einen Fall eines deutschen Medizintechnikherstellers. Bei der Inventur stellte sich heraus, dass die Wartungsdaten der Geräte in deutschen Krankenhäusern zwar in Europa blieben, die Daten der Geräte in chinesischen Krankenhäusern aber aus „technischer Bequemlichkeit“ zunächst auf einem globalen Server in Singapur zwischengespeichert wurden – ein klarer Verstoß gegen die Datenlocalisierungsvorgaben für kritische Industriesektoren.
Die Klassifizierung erfolgt dann anhand der gesetzlichen Vorgaben und der unternehmensinternen Risikobewertung. Wir arbeiten oft mit einer mehrdimensionalen Matrix: Sensitivität (von öffentlich bis streng geheim), Rechtsgrundlage (Einwilligung, Vertragserfüllung, berechtigtes Interesse) und betroffene Personengruppen (Kunden, Mitarbeiter, Lieferanten). Diese Arbeit ist kleinteilig, aber sie schafft Transparenz und ist der einzige Weg, um später eine risikobasierte Steuerung zu implementieren. Ohne diese Grundlage ist jede Richtlinie ein Papiertiger.
Rollen und Verantwortlichkeiten definieren
Ein häufiger Fehler ist es, den Datenschutz als reine Aufgabe der Rechtsabteilung oder der IT zu sehen. Eine konforme Richtlinie muss klare Verantwortlichkeiten im gesamten Unternehmen verankern. Die PIPL verlangt explizit die Benennung eines Verantwortlichen für den Schutz persönlicher Informationen. Diese Person muss über entsprechende Autorität und Ressourcen verfügen. In der Praxis hat es sich bewährt, ein dreistufiges Modell aufzubauen: Eine zentrale Datenschutzleitung (oft im Compliance- oder Rechtsbereich), die die Strategie und Richtlinie verantwortet; Datenschutzkoordinatoren in jeder Fachabteilung (Vertrieb, HR, Marketing), die als erste Ansprechpartner vor Ort agieren; und schließlich die operativen Prozessverantwortlichen, die in ihren täglichen Abläufen (z.B. im Kundenservice) die Vorgaben umsetzen.
In meiner Beratungspraxis setze ich großen Wert auf praktische Übungen. Wir entwickeln nicht nur Organigramme, sondern konkrete Eskalationsmatrizen. Was passiert, wenn ein Mitarbeiter einen Datenverlust meldet? Wer informiert innerhalb von 72 Stunden die Behörden? Wer kommuniziert mit den betroffenen Personen? Ein lebendiges Beispiel: Bei einem unserer Klienten aus der Konsumgüterbranche löste ein falsch adressierter Marketing-Newsletter eine Kette von Ereignissen aus. Weil die Rollen vorher klar definiert und trainiert waren, konnte der Datenschutzkoordinator im Marketing sofort die Versendung stoppen, die IT die betroffenen Datensätze isolieren und die Rechtsabteilung eine transparente Kommunikation an die betroffenen Kunden vorbereiten – alles innerhalb eines Werktags. Diese Handlungssicherheit ist das Ergebnis einer in die Unternehmensprozesse integrierten Richtlinie, nicht eines losen Blattes Papier.
Technische und organisatorische Maßnahmen
Die Richtlinie beschreibt das „Was“, die Verfahren und Maßnahmen definieren das „Wie“. Hier kommt die Technik (Technische Maßnahmen, TOMs) ins Spiel. Dazu gehören Zugangskontrollen, Verschlüsselung, Anonymisierungstechniken und Systeme zur Erkennung von Datenlecks. Wichtig ist, dass diese Maßnahmen nicht im luftleeren Raum geplant werden, sondern sich direkt aus der Risikoanalyse der Datenbestandsaufnahme ableiten. Die Speicherung hochsensitiver Gesundheitsdaten erfordert andere technische Vorkehrungen als die Verarbeitung einer Geschäfts-E-Mail-Adresse.
Fast noch wichtiger sind die organisatorischen Maßnahmen. Dazu zählen verbindliche Schulungsprogramme für alle Mitarbeiter, regelmäßige interne Audits und ein klar geregeltes Verfahren für die Zusammenarbeit mit Datenverarbeitern (Drittanbietern). Ein zentrales Instrument ist die Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA). Bevor ein neues Produkt eingeführt oder ein neuer IT-Dienstleister engagiert wird, muss systematisch geprüft werden, welche Datenschutzrisiken dies birgt. Ich rate meinen Kunden immer, diese PIAs nicht als lästige Pflicht, sondern als wertvolles Frühwarnsystem zu sehen. Sie zwingen die Produktentwicklung und das Marketing schon in einer frühen Phase, über Datensparsamkeit und Privacy by Design nachzudenken – das spart später immense Nachbesserungskosten und Reputationsrisiken.
Umgang mit Datenübertragungen
Für international tätige Unternehmen ist dies einer der heikelsten Punkte: der grenzüberschreitende Datentransfer. Die chinesischen Gesetze stellen hier hohe Hürden auf. Eine Übermittlung personenbezogener Daten aus China ins Ausland ist nur unter bestimmten Bedingungen erlaubt: nach Durchführung einer Sicherheitsbewertung durch die Cyberspace-Verwaltung, Erhalt einer Zertifizierung durch eine anerkannte Institution oder Abschluss von Standardvertragsklauseln, die von den chinesischen Behörden genehmigt wurden. Der Prozess ist bürokratisch und zeitintensiv.
Meine praktische Empfehlung lautet daher oft: Prüfen Sie sehr kritisch, ob die Datenübertragung wirklich notwendig ist. Kann die Datenverarbeitung für den chinesischen Markt lokalisiert werden? Viele Cloud-Anbieter bieten inzwischen Rechenzentren in China an, die strikt von ihren globalen Infrastrukturen getrennt sind. Für unvermeidbare Transfers, etwa innerhalb eines globalen Konzerns für consolidated reporting, muss das Verfahren wasserdicht sein. Wir haben für einen Automobilzulieferer ein mehrstufiges Transfer-Framework entwickelt, das für jede Datenkategorie (Personal-, Produktions-, Forschungsdaten) den zulässigen Transferweg, die erforderlichen Vertragsergänzungen und die Dokumentationspflichten festlegt. Diese Vorarbeit ist mühsam, aber sie verhindert, dass plötzlich ganze Datenströme und damit Geschäftsprozesse zum Erliegen kommen, weil eine Behördenprüfung ansteht.
Reaktion auf Vorfalls- und Dokumentation
Trotz aller Vorsicht kann es zu Sicherheitsvorfällen kommen. Ihre Richtlinie muss ein klares Incident-Response-Protokoll enthalten. Die PIPL schreibt vor, dass Betreiber im Falle eines Datenlecks umgehend Abhilfemaßnahmen ergreifen, die betroffenen Personen und die zuständigen Behörden benachrichtigen müssen. „Umgend“ wird oft als innerhalb von 72 Stunden interpretiert. In der Hektik eines Sicherheitsvorfalls ist keine Zeit, erst nach dem richtigen Prozess zu suchen. Daher sind regelmäßige Table-Top-Übungen unerlässlich, in denen genau dieses Szenario durchgespielt wird.
Ein oft vernachlässigter, aber für die Beweisführung gegenüber Behörden entscheidender Aspekt ist die lückenlose Dokumentation. Jede Einwilligung, jede Datenfreigabe, jedes Sicherheitsaudit, jede Schulung muss nachvollziehbar dokumentiert werden. Im chinesischen Rechtsverständnis liegt die Beweislast oft beim Unternehmen. Können Sie nicht nachweisen, dass Sie eine informierte Einwilligung eingeholt haben, gilt diese als nicht erteilt. Wir empfehlen die Einführung eines zentralen Datenschutz-Management-Tools, das nicht nur Prozesse steuert, sondern automatisch Protokolle erstellt. Diese Dokumentation ist Ihr Schutzschild bei regulatorischen Anfragen oder Untersuchungen.
Fazit und Ausblick
Die Erstellung einer datenschutzkonformen Richtlinie in China ist kein einmaliges Projekt, sondern der Startpunkt einer kontinuierlichen Reise der Anpassung und Verbesserung. Es geht nicht darum, einen regulatorischen Checkpoint abzuhaken, sondern eine Kultur des verantwortungsvollen Umgangs mit Daten im Unternehmen zu etablieren. Die Gesetze werden sich weiter entwickeln, die Technologien auch, und die Aufsichtsbehörden werden in ihrer Durchsetzungspraxis erfahrener werden.
Als abschließende persönliche Einschätzung: Ich sehe den Datenschutz zunehmend als einen Wettbewerbsvorteil. Investoren, die in Unternehmen mit einem robusten, in China verankerten Datenschutzframework investieren, investieren in geringere regulatorische Risiken, eine höhere Resilienz und ein stärkeres Vertrauensverhältnis mit chinesischen Verbrauchern und Behörden. Diejenigen, die das Thema stiefmütterlich behandeln, werden in den kommenden Jahren nicht nur mit Bußgeldern, sondern mit operativen Lähmungen zu kämpfen haben. Der Aufbau einer konformen Richtlinie ist daher keine Kostenstelle, sondern eine strategische Investition in die Zukunft Ihres Engagements im chinesischen Markt.
Zusammenfassende Einschätzung der Jiaxi Steuerberatung
Aus der Perspektive von Jiaxi Steuerberatung, mit unserer langjährigen Begleitung internationaler Unternehmen in China, betrachten wir die Erstellung einer datenschutzkonformen Richtlinie als eine der zentralen unternehmerischen Grundaufgaben für den Markteintritt und -betrieb. Es handelt sich hierbei um ein interdisziplinäres Projekt, das tiefes Rechtsverständnis, betriebswirtschaftliche Prozesskenntnis und technologisches Verständnis vereinen muss. Ein rein auf Steuer- oder Gesellschaftsrecht fokussierter Ansatz greift zu kurz. Erfolgreich ist, wer die Datenschutz-Compliance von Anfang an in die Geschäftsstrategie und alle operativen Abläufe integriert – von der Personalgewinnung über das Marketing bis zum Kundenservice. Unser Ansatz ist dabei stets pragmatisch und risikobasiert: Wir helfen unseren Mandanten, die begrenzten Ressourcen dort einzusetzen, wo das regulatorische und geschäftliche Risiko am größten ist. Die Erfahrung zeigt, dass Unternehmen, die diese Aufgabe proaktiv und strukturiert angehen, nicht nur weniger Konflikte mit Behörden erleben, sondern auch bei Due-Diligence-Prüfungen potenzieller Partner oder Investoren deutlich besser dastehen. In einer zunehmend datengetriebenen Wirtschaft ist eine solide Datenschutz-Governance kein Nice-to-have, sondern ein fundamentaler Baustein für unternehmerische Legitimität und nachhaltigen Erfolg in China.