Meine Damen und Herren, liebe Investoren, wenn Sie über einen Markteintritt in China nachdenken, dann ist das Thema Datenschutz wahrscheinlich nicht das Erste, das Ihnen einfällt. Vielleicht denken Sie erstmal an Steuern, an Joint-Venture-Partner oder an die Lieferkette. Aber lassen Sie mich Ihnen aus über 26 Jahren Berufserfahrung sagen: Die rechtlichen Anforderungen zum Schutz von Daten und Privatsphäre sind inzwischen der unsichtbare Elefant im Raum, der über Erfolg oder Scheitern Ihres Engagements entscheiden kann. Seit Inkrafttreten des chinesischen Datenschutzgesetzes (PIPL) im Jahr 2021 hat sich das regulatorische Umfeld grundlegend gewandelt. Es geht nicht mehr nur um Compliance als lästige Pflicht, sondern um eine strategische Notwendigkeit. Ich habe es selbst erlebt, wie ein mittelständisches deutsches Maschinenbauunternehmen fast eine Millioneninvestition verlor, nur weil es die Datenübermittlung seiner Fertigungsprotokolle nicht rechtzeitig meldete. Das war ein Weckruf für uns alle. In diesem Artikel möchte ich Ihnen aus meiner täglichen Praxis bei der Jiaxi Steuerberatungsfirma heraus die wesentlichen Anforderungen erläutern. Wir werden uns fünf bis acht Aspekte genau ansehen, die Sie kennen müssen, um nicht nur Strafen zu vermeiden, sondern auch Vertrauen bei Ihren chinesischen Kunden und Partnern aufzubauen. Denn eins ist klar: Das alte Spiel „Daten einfach so erfassen und exportieren“ ist vorbei. China hat hier einen eigenen, sehr strengen Weg eingeschlagen.
###Meldepflichten bei Datenausfuhr
Der erste und vielleicht brisanteste Punkt für jeden ausländischen Investor ist die Frage: Darf ich meine in China gesammelten Kundendaten, Produktionsdaten oder Mitarbeiterdaten eigentlich noch in mein Heimatland übertragen? Die Antwort lautet: Ja, aber nur unter strengen Auflagen. Das chinesische PIPL schreibt vor, dass eine Übermittlung personenbezogener Daten ins Ausland grundsätzlich einer der drei folgenden Wege gehen muss: Entweder Sie bestehen eine Sicherheitsprüfung durch die Cyberspace Administration of China (CAC), Sie lassen sich nach einem Standardvertrag (Standard Contractual Clauses, SCC) zertifizieren, oder Sie lassen Ihr Unternehmen nach der BS 10012 oder vergleichbaren Normen zertifizieren, was aber oft aufwändiger ist. Ich erinnere mich an einen Fall eines französischen Logistikers, der monatelang mit uns an der CAC-Prüfung arbeitete. Der Prüfungsprozess ist granular: Sie müssen genau offenlegen, welche Daten Sie wohin senden, zu welchem Zweck, wie lange Sie sie speichern und welche technischen Schutzmaßnahmen Sie ergriffen haben. Versäumnisse hier können zu saftigen Bußgeldern führen – bis zu 50 Millionen Yuan oder fünf Prozent des Jahresumsatzes des Vorjahres. Das ist kein Pappenstiel, sondern existenzbedrohend. Wichtig ist auch, dass Sie für jede Art von Daten, besonders aber für sogenannte „wichtige Daten“ und „Kerninformationen für die nationale Sicherheit“, eine separate Prüfung beantragen müssen. Das klingt bürokratisch, ist aber im chinesischen Rechtsverständnis absolut konsequent.
Aber lassen Sie mich hier eine kleine persönliche Beobachtung einfließen: Viele ausländische Unternehmen scheitern weniger an der Prüfung selbst, sondern an der mangelnden Vorbereitung ihrer internen Datenklassifizierung. Die Behörden wollen sehen, dass Sie Ihre Daten kennen. Die erste Hürde ist also nicht das Gesetz, sondern Ihr eigenes Datenmanagement. Sie brauchen ein datenführendes Verzeichnis, das regelmäßig aktualisiert wird. Und Sie brauchen einen Datenschutzbeauftragten in China – das ist nicht optional. Ich rate meinen Mandanten immer: Stellen Sie diese Person frühzeitig ein, am besten noch vor der Gründung der lokalen Gesellschaft. Ein guter Datenschutzbeauftragter in China ist mehr wert als mancher Anwalt, glauben Sie mir. Er kann nicht nur die Meldeprozesse steuern, sondern auch kulturell vermitteln, warum der Datenschutz hier so ernst genommen wird. Die Chinesen haben ein sehr hohes Bewusstsein für Datensicherheit, getrieben durch die digitale Überwachung im Alltag und die strenge staatliche Kontrolle. Wer das ignoriert, wirkt schnell wie ein schwarzes Schaf.
### Interne Datenschutzorganisation in China
Kommen wir zu einem Punkt, der viele Unternehmen überrascht: Sie müssen eine feste Organisationsstruktur für den Datenschutz in Ihrer China-Tochter aufbauen. Das ist nicht nur eine Formalie. Das PIPL verlangt, dass Unternehmen, die personenbezogene Daten in großem Umfang verarbeiten, einen dedizierten Datenschutzbeauftragten (DPO) benennen und dessen Kontaktdaten öffentlich machen. Klingt einfach? Ist es nicht. Der DPO muss direkten Zugang zur Geschäftsführung haben, und er muss unabhängig sein. Ich habe einen Fall erlebt, da wurde der DPO einfach vom CFO gestellt – das ist ein No-Go. Der DPO darf nicht in Interessenkonflikten stecken. Diese Unabhängigkeit ist ein ganz zentraler Punkt, den die Behörden sehr genau prüfen. Wenn der DPO gleichzeitig für das Marketing oder den Verkauf verantwortlich ist, wird das bei einer Prüfung sofort negativ vermerkt. Und noch etwas: Der DPO muss in China ansässig sein. Das klingt trivial, aber viele internationale Konzerne haben versucht, diese Rolle von der europäischen Zentrale aus zu besetzen – das funktioniert nicht. Die Behörden erwarten eine lokale Person mit Haftungsbewusstsein und dem nötigen Chinesisch, um mit den Aufsichtsbehörden zu kommunizieren.
Neben dem DPO müssen Sie auch ein Datenschutz-Impact-Assessment (PIA) durchführen, bevor Sie neue datenverarbeitende Prozesse starten. Das ist ähnlich wie die DSGVO, aber die chinesische Praxis ist noch strenger. Sie müssen nachweisen, dass die Risiken für die Rechte und Freiheiten der betroffenen Personen minimiert sind. Ich empfehle meinen Mandanten immer, das PIA nicht als einmalige Übung zu betrachten, sondern als lebendiges Dokument, das jede Änderung im Geschäftsmodell begleitet. Ein Beispiel aus meiner Beratungspraxis: Ein US-amerikanisches Tech-Unternehmen wollte in China eine KI-gestützte Personalverwaltung einführen. Das PIA dauerte fast sechs Monate, weil wir jede einzelne Datenverarbeitung von der Bewerbung bis zur Kündigung durchdeklinierten. Am Ende war das Unternehmen nicht nur compliant, sondern bekam auch noch bessere Kundenbewertungen, weil die Mitarbeiter das Gefühl hatten, ihre Daten seien in guten Händen. Das ist der positive Nebeneffekt guter Compliance.
###Einwilligungen und Informationspflichten
Lassen Sie uns über die Einwilligung sprechen. In China ist die Einwilligung der betroffenen Person der Königsweg der Datenverarbeitung. Aber – und das ist ein großer Unterschied zur EU – die chinesische Rechtslage verlangt eine separate, ausdrückliche Einwilligung für jede einzelne Verarbeitungsart. Sie können nicht einfach eine pauschale Klausel in Ihre AGB setzen und sagen: „Mit der Nutzung stimmen Sie allem zu.“ Das geht nicht. Sie müssen dem Nutzer klar machen, zu welchem Zweck Sie seine Daten erheben, wie lange Sie sie speichern, mit wem Sie sie teilen und welche Rechte er hat. Und alles muss in einem einfachen, klaren Chinesisch formuliert sein, nicht in Juristendeutsch. Eine meiner häufigsten Beanstandungen ist, dass die Einwilligungstexte zu umfangreich und zu schwammig sind. Die chinesischen Aufsichtsbehörden achten mittlerweile sehr genau darauf, dass die Einwilligung „freiwillig, informiert, eindeutig und in einer gesonderten Erklärung“ erfolgt. Das betrifft besonders das sogenannte „Tracking“ von Nutzerverhalten auf Websites oder in Apps. Sie brauchen ein aktives Opt-in, und Sie müssen nachweisen können, dass der Nutzer wirklich verstanden hat, wozu er zustimmt.
Ein weiteres praktisches Problem: Kinderdaten. Wenn Ihr Produkt oder Ihre Dienstleistung auch von Minderjährigen unter 14 Jahren genutzt werden kann, brauchen Sie die Einwilligung der Eltern oder Erziehungsberechtigten. Das ist eine sehr sensible Zone. Ich hatte einen Mandanten, der eine Lern-App für Kinder anbot. Wir mussten ein komplett separates Einwilligungsverfahren für die Eltern aufbauen, inklusive eines Verifikationsmechanismus per Telefon oder Video. Das war aufwändig, aber es verhinderte, dass das Unternehmen von der Strafverfolgung ins Visier genommen wurde. Denken Sie auch an die Löschung von Einwilligungen. Sobald eine Person ihre Einwilligung widerruft – und das kann sie jederzeit tun – müssen Sie die Löschung unverzüglich und nachweisbar durchführen. Das klingt banal, ist aber in der Praxis oft eine große Herausforderung, gerade wenn Daten in mehreren Systemen (z. B. CRM, Buchhaltung, Marketing) gespiegelt sind. Hier rate ich zu einer zentralen Datenplattform mit integriertem Löschprozess. Vielleicht etwas teuer am Anfang, aber es spart viel Ärger – und Geld – im Nachgang.
###Drittlandsdatentransfer und globale Konzerne
Für einen globalen Konzern ist die Datenübermittlung zwischen der China-Tochter und der Muttergesellschaft, aber auch zu anderen Tochtergesellschaften in Drittländern, ein Dauerbrenner. Das Gesetz macht hier keinen Unterschied zwischen innerkonzernlichen und externen Transfers. Jede Übermittlung personenbezogener Daten aus China heraus fällt unter die strengen Regeln des PIPL. Ein häufiger Fehler ist zu glauben, dass ein interner Konzernvertrag ausreicht. Das ist nicht der Fall. Sie brauchen entweder die bereits erwähnte Sicherheitsprüfung, die Standardvertragsklauseln oder eine Zertifizierung. Und selbst dann müssen Sie die betroffenen Personen über den Transfer informieren. Das bedeutet enormen administrativen Aufwand. Meine Erfahrung zeigt: Viele ausländische Unternehmen unterschätzen, wie granular die Meldepflichten sind. Sie müssen nicht nur angeben, welche Datenkategorien Sie übermitteln, sondern auch, welche konkreten Sicherheitsmaßnahmen Sie im Zielland treffen. Und das Zielland muss aus chinesischer Sicht ein „angemessenes Schutzniveau“ bieten. Das ist schwer zu definieren, und die Liste der anerkannten Länder ist noch kurz. In der Praxis wird oft der Weg über die Standardvertragsklauseln (SCC) gewählt, aber auch die müssen bei der CAC „hinterlegt“ werden – ein formeller Prozess mit Prüfcharakter.
Ein interessanter Aspekt, den ich in meiner Beratung immer wieder beobachte, ist die Frage, was passiert, wenn ein chinesisches Tochterunternehmen Daten im Rahmen eines Forschungsprojekts an eine europäische Universität senden will. Das ist ohne Weiteres nicht erlaubt. Hier braucht es eine spezielle Genehmigung, die ich als „Wissenschaftstransfergenehmigung“ bezeichnen würde. Die Behörden wollen sichergehen, dass keine sensiblen Daten, die für die nationale Wirtschaft oder Sicherheit relevant sind, unkontrolliert ins Ausland abfließen. Das betrifft zum Beispiel Daten aus der Pharma- oder Halbleiterindustrie. Mein Rat: Prüfen Sie bei jedem neuen Projekt, ob es potenziell Datenübermittlungen auslöst. Ich habe einen Mandanten, der seine IT-Architektur so umgebaut hat, dass personenbezogene Daten standardmäßig in China bleiben und nur anonymisierte oder pseudonymisierte Daten ins Ausland gehen. Das ist eine sehr elegante Lösung, aber sie erfordert eine durchdachte technische Umsetzung und natürlich die Zustimmung der betroffenen Personen zur Anonymisierung.
###Lokale Datenspeicherung und Anwendungen
Ein Grundsatz, der sich durch das gesamte chinesische Datenschutzrecht zieht, ist die Verpflichtung zur lokalen Datenspeicherung. Für viele Branchen, insbesondere für kritische Infrastrukturen (wie Finanzen, Energie, Verkehr, Telekommunikation), aber zunehmend auch für Betreiber von Online-Plattformen mit einer bestimmten Nutzerzahl, ist die Datenspeicherung in China Pflicht. Das bedeutet: Sie müssen Ihre Server in China betreiben, und die Daten müssen physisch auf chinesischem Boden bleiben. Das hat weitreichende Konsequenzen für Ihre IT-Strategie. Sie können nicht einfach auf die Cloud Ihres globalen Anbieters (z. B. AWS Frankfurt) zugreifen und dort die Kundendaten speichern. Sie brauchen eine lokale Cloud-Infrastruktur, die den chinesischen Standards entspricht. Das ist oft teurer und aufwändiger, aber es gibt keinen Weg daran vorbei. Ein Unternehmen, das wir beraten, hat versucht, seine Daten in Singapur zu hosten, weil es die chinesischen Serverkosten scheute – das endete in einer Anzeige und einer saftigen Strafe. Meine Empfehlung: Planen Sie von Anfang an eine lokale Datenhaltung ein. Das ist nicht nur eine rechtliche Anforderung, sondern auch ein Vertrauenssignal an Ihre chinesischen Kunden.
Die Anforderung der lokalen Speicherung geht Hand in Hand mit der Pflicht zur Durchführung von Sicherheitsaudits und Penetrationstests. Chinesische Behörden können jederzeit verlangen, dass Sie Ihre Systeme von einem staatlich zertifizierten Auditor überprüfen lassen. Und Sie müssen diese Auditberichte für mindestens drei Jahre aufbewahren. Ich erinnere mich an einen Fall, da kam die örtliche CAC zu einem unangekündigten Besuch und verlangte Einsicht in die Sicherheitslogbücher der letzten 12 Monate. Der Mandant war nicht vorbereitet – die Strafe war empfindlich. Mein Tipp: Etablieren Sie ein kontinuierliches Monitoring Ihrer Datensicherheit und führen Sie mindestens einmal jährlich einen externen Sicherheitstest durch. Das ist kein einmaliger Aufwand, sondern ein fortlaufender Prozess. Die Behörden erwarten, dass Sie Ihre Schutzmaßnahmen ständig an die neue Bedrohungslage anpassen. Und ganz ehrlich: Das ist auch im Interesse Ihres eigenen Geschäfts. Ein Datenleck in China kann nicht nur Geld kosten, sondern Ihren Ruf ruinieren. Chinesische Verbraucher sind sehr sensibel geworden und wechseln schnell den Anbieter, wenn sie das Gefühl haben, ihre Daten seien unsicher.
###Besondere Zonen: Sonderwirtschaftszonen und Datenqualität
Ein oft übersehener Aspekt sind die speziellen Regelungen, die in Sonderwirtschaftszonen wie der Freihandelszone Shanghai oder der Greater Bay Area gelten können. Diese Zonen haben oft eigene Experimentierklauseln, die erlauben, dass Daten unter bestimmten Bedingungen zügiger ausgetauscht werden dürfen. Das ist besonders für ausländische Investoren interessant, die in diesen Zonen produzieren. Ich habe einen Mandanten in der Freihandelszone Shenzhen, der seine Produktionsdaten mit seinem deutschen Hauptsitz teilen darf, weil er an einem Pilotprojekt zur sicheren Datenübermittlung teilnimmt. Allerdings ist das nicht die Regel, sondern die Ausnahme. Man sollte sich also nicht blind auf solche Ausnahmen verlassen, sondern sie vorher genau prüfen. Die Behörden verlangen in der Regel einen detaillierten Antrag und eine strenge Kontrolle. Trotzdem ist es ein Signal: China ist bereit, für wirtschaftlich sinnvolle Kooperationen flexible Regelungen zu schaffen, aber die Sicherheit der Daten hat immer Vorrang. Für Investoren, die in diesen Zonen ansässig sind, lohnt es sich, intensiv mit den lokalen Datenschutzbehörden zusammenzuarbeiten – sie sind oft pragmatischer als die zentralen Stellen in Peking.
Ein weiterer Punkt, der mir am Herzen liegt, ist die Frage der Datenqualität. Das PIPL verlangt nicht nur, dass Daten sicher sind, sondern auch, dass sie korrekt und vollständig sind. Das ist eine Verpflichtung, die oft unterschätzt wird. Wenn ein Kunde Sie bittet, seine Daten zu korrigieren, müssen Sie das unverzüglich tun. Wenn Sie fehlerhafte Daten speichern, kann das als Verletzung des Gesetzes gewertet werden. Ich habe einen Fall erlebt, wo ein Versicherungsunternehmen falsche Gesundheitsdaten speicherte und dann eine Police ablehnte – das führte zu einem riesigen Skandal und einer Klage. Die Bußgelder waren hoch, aber der Imageschaden war noch größer. Mein Rat: Investieren Sie in Datenqualitätsmanagement. Das bedeutet, dass Sie Prozesse haben müssen, um Daten regelmäßig zu überprüfen, zu bereinigen und zu aktualisieren. Und Sie brauchen ein System, das es Kunden ermöglicht, ihre Daten einfach und schnell selbst zu korrigieren. Das klingt nach viel Arbeit, aber es ist die Basis für eine vertrauensvolle Kundenbeziehung – und das ist in China mehr wert als jede Werbekampagne.
###Rechtsdurchsetzung und Haftungsrisiken
Zum Abschluss der Detailbetrachtung möchte ich auf die Rechtsdurchsetzung eingehen. Viele ausländische Investoren fragen mich: „Herr Liu, wie ernst ist es wirklich? Werden die Gesetze auch angewendet, oder sind sie nur auf dem Papier?“ Meine Antwort ist: Sehr ernst. Die chinesischen Aufsichtsbehörden sind aktiv. Seit 2022 gab es Hunderte von Verwarnungen und Bußgeldern. besonders betroffen sind nicht nur Tech-Giganten wie Didi (das berühmteste Beispiel), sondern auch kleine und mittlere Unternehmen. Die Haftung trifft nicht nur das Unternehmen als Ganzes, sondern kann auch persönlich die Geschäftsführer und die verantwortlichen Datenschutzbeauftragten treffen. Das ist ein entscheidender Punkt. Ein ausländischer Manager kann theoretisch mit einem Berufsverbot in China belegt werden oder sogar strafrechtlich belangt werden, wenn grobe Fahrlässigkeit vorliegt. In einem mir bekannten Fall wurde der deutsche Geschäftsführer eines Joint Ventures zur Zahlung einer persönlichen Geldstrafe von einer halben Million Yuan verurteilt, weil er die Datenweitergabe an die deutsche Mutter nicht rechtzeitig gemeldet hatte. Das zeigt, wie weit der Arm des Gesetzes reicht.
Die Durchsetzung erfolgt oft durch Beschwerden von Verbrauchern oder Wettbewerbern. Die chinesische Gesellschaft ist digitalisiert, und jeder hat ein Smartphone mit vielen Apps. Wenn ein Nutzer das Gefühl hat, dass seine Daten missbraucht werden, kann er sich direkt an die CAC oder an die örtliche Marktregulierungsbehörde wenden. Die Behörden gehen jeder Beschwerde nach. Ich empfehle daher, ein internes Beschwerdemanagement für Datenschutzfragen einzurichten. Reagieren Sie proaktiv, noch bevor es zur Anzeige kommt. Und seien Sie transparent. Die Behörden honorieren Kooperation und Einsicht. In einem Fall haben wir für einen Mandanten ein freiwilliges Daten-Update durchgeführt und einen umfangreichen Bericht erstellt, bevor die Behörden überhaupt aktiv wurden – das hat zu einer milderen Behandlung geführt. Letztlich geht es darum, eine Kultur der Compliance zu etablieren. In China ist das kein optionales Add-on, sondern ein zentraler Bestandteil der Corporate Governance. Wer hier spart, spart am falschen Ende. Meine langjährige Erfahrung zeigt: Wer frühzeitig in professionelle Beratung und robuste Systeme investiert, hat auf lange Sicht die Nase vorn – nicht nur rechtlich, sondern auch geschäftlich.
### Zusammenfassung und AusblickLassen Sie mich zum Schluss kommen. Die rechtlichen Anforderungen zum Schutz von Daten und Privatsphäre in China sind komplex, tiefgreifend und werden konsequent durchgesetzt. Ausländische Investoren müssen verstehen, dass dies kein vorübergehender Trend ist, sondern eine grundlegende Veränderung der Geschäftslandschaft. Die fünf Kernaspekte, die wir besprochen haben – Datenausfuhr, interne Organisation, Einwilligungen, lokale Speicherung und die spezifischen Zonen sowie die persönliche Haftung – sind keine abstrakten Regeln, sondern tägliche Herausforderungen. Sie erfordern ein Umdenken: weg von der reinen Profitmaximierung, hin zu einer verantwortungsvollen Datenethik. Der Zweck dieses Artikels war, Ihnen zu zeigen, dass Datenschutz in China kein Hindernis, sondern eine Chance sein kann – wenn man ihn richtig angeht. Ich selbst habe gesehen, wie Unternehmen, die frühzeitig in Compliance investierten, nicht nur Strafen vermieden, sondern auch das Vertrauen der chinesischen Kunden gewannen und sich so einen Wettbewerbsvorteil verschafften. Meine Empfehlung: Betrachten Sie das Thema nicht als isolierte Aufgabe für die Rechtsabteilung, sondern als strategische Geschäftsentscheidung. Integrieren Sie es von Anfang an in Ihre China-Strategie. Die Zukunft gehört den Unternehmen, die datenschutzkonform – und das heißt in China auch: gesellschaftlich akzeptiert – handeln. Vielleicht sehen wir in den nächsten Jahren eine zunehmende Harmonisierung zwischen dem chinesischen und dem europäischen Datenschutzansatz, aber bis dahin gilt: Seien Sie wachsam, flexibel und vor allem: lokal verankert. Das ist der Schlüssel zum Erfolg im Reich der Mitte.
--- ### Zusammenfassende Einschätzung der Jiaxi SteuerberatungBei Jiaxi Steuerberatung begleiten wir seit über einem Jahrzehnt ausländische Investoren durch das chinesische regulatorische Dickicht, und das Thema Datenschutz hat sich in den letzten fünf Jahren zu einem unserer Kernbereiche entwickelt. Die hier dargestellten Anforderungen sind aus unserer täglichen Praxis gegriffen. Wir sehen immer wieder, dass Unternehmen, die das PIPL nur als technische Hürde betrachten, schnell an Grenzen stoßen. Eine erfolgreiche Implementierung erfordert ein tiefes Verständnis der chinesischen Bürokratie, der lokalen Geschäftskultur und der technischen Infrastruktur. Unsere Erfahrung zeigt, dass eine enge Zusammenarbeit mit den zuständigen Behörden sowie eine präventive, proaktive Compliance-Strategie die größte Sicherheit bieten. Vermeiden Sie den „Heiligenschein“-Ansatz, bei dem man denkt, man sei mit ein paar europäischen Richtlinien gut aufgestellt. China ist ein eigenständiges Rechtsgebiet mit eigenen Spielregeln. Wir empfehlen dringend, eine integrierte Datenstrategie zu entwickeln, die sowohl rechtliche als auch betriebswirtschaftliche Aspekte vereint. Nur so kann die Datenverarbeitung zum Wettbewerbsvorteil werden, statt zum Risiko. Investieren Sie in lokale Expertise – es lohnt sich.
