1. Rechtsrahmen als Grundlage
Der wichtigste rechtliche Rahmen für die Datensicherung in China ist das „Datensicherheitsgesetz der Volksrepublik China“ (Datensicherheitsgesetz) sowie das „Personenbezogene-Datenschutz-Gesetz der Volksrepublik China“ (PIPL). Diese beiden Gesetze, in Kraft getreten 2021, bilden das Fundament. Sie legen fest, dass alle Unternehmen, die personenbezogene oder wichtige Daten von Personen in China verarbeiten, strenge Sicherheitspflichten haben. Stellen Sie sich das wie eine Hausordnung vor: Jeder muss sie kennen, sonst gibt es Ärger.
Insbesondere ausländische Unternehmen müssen verstehen, dass Daten, die innerhalb Chinas erhoben werden, auch grundsätzlich innerhalb Chinas gespeichert und verarbeitet werden müssen. Dieses Prinzip der Datenlokalisierung ist eine der größten Hürden für viele internationale Firmen. Ich erinnere mich an einen Kunden aus der Automobilbranche, der seine Kundendaten ursprünglich auf einem Server in Singapur speicherte. Nachdem wir ihnen die Rechtslage erklärt hatten, mussten sie innerhalb von sechs Monaten einen lokalen Server in Shanghai einrichten. Das war ein teurer und zeitaufwändiger Prozess, aber notwendig.
Darüber hinaus gibt es das „Kryptographiegesetz der Volksrepublik China“, das die Verwendung von Verschlüsselungstechnologien regelt. Das klingt technisch, aber in der Praxis bedeutet es, dass Unternehmen sicherstellen müssen, dass die von ihnen verwendeten Verschlüsselungsprodukte den nationalen Standards entsprechen. Für ausländische Unternehmen, die oft auf eigene globale Verschlüsselungslösungen setzen, kann dies eine zusätzliche Kompatibilitätsprüfung erfordern. Ein chinesischer Anbieter, der die entsprechenden Zertifikate vorweisen kann, ist hier oft die sicherere Wahl.
2. Datenlokalisierung konkret
Die Datenlokalisierung ist kein neues Konzept, aber in Shanghai, als eine der Pilotzonen, wird sie besonders streng überwacht. Sie besagt, dass bestimmte Kategorien von Daten – insbesondere personenbezogene Daten von chinesischen Bürgern und „wichtige Daten“ – innerhalb des Landes gespeichert werden müssen. „Wichtige Daten“ sind ein schwammiger Begriff, der je nach Branche variiert. Für ein Fintech-Unternehmen können Transaktionsaufzeichnungen dazu gehören, für ein Gesundheitsunternehmen Patientendaten.
Eine häufige Frage, die mir gestellt wird: „Muss ich dann alle meine Daten nach China bringen?“ Die Antwort ist nein. Nur die Daten, die in China erhoben werden, sind betroffen. Wenn Ihr Produkt also nur für den europäischen Markt bestimmt ist und in Europa entwickelt wird, müssen Sie keine chinesischen Server nutzen. Aber sobald Sie Daten von chinesischen Kunden, Mitarbeitern oder Partnern sammeln, greift die Lokalisierungspflicht. Wir haben einem britischen Ingenieurdienstleister geholfen, der seine Projektmanagement-Daten in Shanghai hostete, während die Marketingdaten weiterhin in Europa blieben – eine klare Trennung der Datenströme.
Die praktische Umsetzung erfordert oft eine detaillierte Dateninventur. Wir empfehlen unseren Kunden, eine „Data Mapping“-Übung durchzuführen: Listen Sie genau auf, welche Daten Sie sammeln, woher sie kommen, wohin sie fließen und wer sie verarbeitet. Erst dann können Sie entscheiden, welche Daten lokal bleiben müssen und welche grenzüberschreitend übermittelt werden dürfen. Das klingt nach viel Arbeit, ist aber die halbe Miete für die Compliance.
Ein weiterer Aspekt: Die Lokalisierungspflicht gilt auch für Kopien. Selbst wenn Sie die Originaldaten in China speichern, aber ein Backup im Ausland haben, kann das problematisch sein. Ein Kunde aus der Logistikbranche lernte dies auf die harte Tour, als sein US-Hauptsitz eine Sicherungskopie in den USA anlegte. Die lokalen Behörden beanstandeten dies, weil die Daten „tatsächlich“ im Ausland verfügbar waren. Also: Lokalisierung bedeutet, dass die Daten physisch innerhalb der chinesischen Grenzen bleiben müssen.
3. Übermittlung personenbezogener Daten
Wenn Ihr Unternehmen personenbezogene Daten von China ins Ausland senden muss – etwa für die globale Gehaltsabrechnung oder zentrale Kundenverwaltung –, greifen strenge Regeln. Nach dem PIPL müssen Sie eine Sicherheitsbewertung durch die Cyberspace Administration of China (CAC) durchführen lassen, wenn Sie eine bestimmte Menge an Daten übermitteln. Die Schwelle liegt bei der Verarbeitung von Daten von mehr als 1 Million Personen oder der Übermittlung von Daten von mehr als 100.000 Personen pro Jahr.
Diese Bewertung ist kein Formalakt. Das CAC prüft, ob die Datenschutzpraktiken des Empfängerlandes (also Ihres Heimatlandes) mit chinesischen Standards vergleichbar sind. Für die EU gibt es hier einen gewissen Fortschritt durch die gegenseitige Anerkennung, aber für Länder wie die USA oder Indien ist das oft schwieriger. Ein Kunde aus der Pharmabranche musste monatelang auf die Genehmigung warten, weil das CAC Bedenken bezüglich des US-amerikanischen Cloud Act hatte.
Alternativ können Sie standardisierte Vertragsklauseln (SCCs) mit Ihrem ausländischen Partner abschließen. Diese ähneln den EU-SCCs, sind aber an chinesische Anforderungen angepasst. Sie müssen jedoch beim lokalen CAC registriert werden. Ein Tipp aus der Praxis: Formulieren Sie die Klauseln nicht zu allgemein. Das CAC mag spezifische Verpflichtungen, wie etwa die Benachrichtigung des Betroffenen bei Datenpannen. Wir haben einem japanischen Händler geholfen, der seine SCCs viermal überarbeiten musste, bis sie akzeptiert wurden.
Ein weiterer Weg ist die Einwilligung des Betroffenen. Für jede Übermittlung personenbezogener Daten ins Ausland benötigen Sie die ausdrückliche Zustimmung des Kunden oder Mitarbeiters. Aber Vorsicht: Eine pauschale Einwilligung in den AGB reicht nicht. Sie müssen konkret erklären, welche Daten wohin gehen und warum. Viele Unternehmen haben hier Probleme, weil ihre Kunden das ablehnen. Wir empfehlen, die Einwilligung in den Onboarding-Prozess zu integrieren und transparent zu machen.
4. Sicherheitsmaßnahmen im Betrieb
Die Gesetze verlangen von Unternehmen, „angemessene“ technische und organisatorische Maßnahmen zu ergreifen, um Datensicherheitsvorfälle zu verhindern. Das ist ein dehnbarer Begriff, aber in der Praxis bedeutet das: Sie brauchen eine Datensicherheitsstrategie, die in Ihren Geschäftsablauf integriert ist. Dazu gehören Zugriffskontrollen, Verschlüsselung, regelmäßige Sicherheitsaudits und ein Notfallplan für Datenpannen.
Ein häufiges Problem ausländischer Unternehmen ist die Nutzung von globalen Cloud-Diensten wie AWS oder Azure. Grundsätzlich sind diese in China erlaubt, aber der Anbieter muss eine lokale Niederlassung haben und die Daten innerhalb Chinas hosten. Wir haben einem US-amerikanischen Softwareunternehmen geholfen, das Alibaba Cloud nutzte, aber die Sicherheitszertifikate für die Datenverschlüsselung nicht aktualisiert hatte. Die lokalen Behörden stellten bei einer Routineprüfung fest, dass die Daten unverschlüsselt auf dem Server lagen – ein schwerer Verstoß.
Zusätzlich müssen Sie einen Datenschutzbeauftragten (DPO) in China ernennen. Das muss keine eigene Person sein, sondern kann ein externer Dienstleister oder ein internes Teammitglied sein. Der DPO ist für die Überwachung der Compliance zuständig und Ansprechpartner für die Behörden. Viele Unternehmen unterschätzen diese Rolle; ich rate Ihnen, sie ernst zu nehmen, denn bei einer Datenpanne wird der DPO als Erster gefragt. Ein Kunde aus der Modebranche hatte seinen DPO in Singapur sitzen – das war ein klares Nein von den Behörden, der DPO muss in China ansässig sein.
Nicht zu vergessen: Regelmäßige Schulungen für Ihre Mitarbeiter in China. Datenschutz ist nicht nur ein IT-Thema, sondern betrifft alle, die mit Daten umgehen. Wir führen oft halbjährliche Workshops durch, um die Belegschaft zu sensibilisieren. Ein typisches Beispiel: Ein Vertriebsmitarbeiter in Shanghai mailte Kundendaten an seinen Kollegen in Deutschland ohne Verschlüsselung. Das war ein Verstoß gegen die Sicherheitsmaßnahmen. Nach der Schulung nutzt das Team jetzt sichere File-Transfer-Protokolle.
5. Branchenspezifische Besonderheiten
Neben den allgemeinen Gesetzen gibt es branchenspezifische Regelungen, die besonders für ausländische Unternehmen relevant sind. Im Finanzsektor, in der Telekommunikation, im Gesundheitswesen und in der Automobilindustrie gibt es zusätzliche Anforderungen. Zum Beispiel müssen Finanzinstitute nach dem „Gesetz über Finanzdaten“ (Finanzdatensicherheitsverordnung) ihre Transaktionsdaten mindestens fünf Jahre lang innerhalb Chinas speichern.
Ein Kunde von uns, ein deutsches medizintechnisches Unternehmen, hat in Shanghai ein Forschungszentrum. Sie sammelten Patientendaten für klinische Studien. Hier greift nicht nur das PIPL, sondern auch die „Verwaltungsmaßnahmen für die Sicherheit von Gesundheitsdaten“ des Gesundheitsministeriums. Diese verlangen, dass die Daten pseudonymisiert oder anonymisiert werden, bevor sie zu Forschungszwecken genutzt werden dürfen. Die Umsetzung war kompliziert, weil die Daten für die Auswertung in Deutschland benötigt wurden. Wir halfen ihnen, eine lokale Datenverarbeitungsanlage in Shanghai einzurichten, die die Anonymisierung durchführt, bevor die Daten exportiert werden.
Für Unternehmen in der Automobilindustrie, die vernetzte Fahrzeuge betreiben, gibt es eine spezielle Richtlinie für automobilbezogene Daten. Sie schreibt vor, dass Daten über Fahrrouten, Fahrerverhalten und Kartenmaterial nicht ins Ausland übermittelt werden dürfen. Ein amerikanischer Autohersteller musste seine gesamte Cloud-Infrastruktur für die Telematik nach Shanghai verlegen. Das war ein Millionenprojekt, aber ohne diese Compliance wäre der Betrieb des Connected-Car-Dienstes illegal gewesen.
Ein weiteres Beispiel: Im Bildungswesen, speziell bei internationalen Schulen, gelten besondere Regeln für Schülerdaten. Ein britisches Bildungsunternehmen, das Online-Kurse in Shanghai anbot, musste sicherstellen, dass Noten und persönliche Daten von chinesischen Schülern nicht auf Servern im Ausland gespeichert werden. Sie wechselten daraufhin zu einem lokalen Cloud-Anbieter und implementierten eine getrennte Datenbank. Das war zwar aufwändig, aber die Eltern waren beruhigt, weil ihre Daten geschützt blieben.
6. Meldepflichten und Prüfungen
Ein zentraler Punkt, den viele unterschätzen, ist die Meldepflicht bei Datensicherheitsvorfällen. Nach dem Datensicherheitsgesetz müssen Unternehmen einen Vorfall (z. B. Datenleck, Hacking-Angriff) innerhalb von 48 Stunden an die zuständige Behörde melden. In Shanghai ist das das lokale Büro der Cyberspace Administration, aber auch die Polizei kann involviert sein, wenn es strafrechtliche Relevanz hat.
Ich erinnere mich an einen Fall eines kanadischen E-Commerce-Unternehmens in Shanghai. Ein Hacker griff ihren Server an und stahl Kundendaten. Der CEO in Kanada wollte das zunächst intern klären und die Meldung verzögern. Wir erklärten ihm, dass dies ein schwerer Verstoß wäre. Am Ende meldeten wir den Vorfall am nächsten Morgen beim CAC. Die Behörde verhängte eine Geldstrafe von 500.000 RMB, aber weil das Unternehmen kooperierte, gab es keine weiteren Sanktionen. Hätten sie die Meldung versäumt, wäre die Strafe deutlich höher ausgefallen.
Neben der Meldepflicht gibt es regelmäßige Compliance-Prüfungen. Die Behörden, insbesondere in Shanghai, führen stichprobenartige Audits durch. Wir empfehlen unseren Kunden, mindestens einmal im Jahr eine interne Prüfung durchzuführen, um auf dem Laufenden zu bleiben. Ein Prüfpunkt ist die Dokumentation: Sie müssen nachweisen können, dass Sie alle Sicherheitsmaßnahmen umgesetzt haben. Ohne eine schriftliche Datenschutz-Folgenabschätzung (DPIA) können Sie schnell in Erklärungsnot geraten.
Ein weiterer wichtiger Punkt: Die Behörden können auch Untersuchungen von Amts wegen einleiten, wenn sie Hinweise auf Verstöße erhalten. In Shanghai gibt es ein Beschwerdeportal für Bürger, über das Datenschutzverstöße gemeldet werden können. Ein Kunde aus der Tourismusbranche erhielt eine Beschwerde, weil er persönliche Daten von Reisegästen ohne Einwilligung an eine Partnerfirma in Hongkong weitergab. Die lokale CAC leitete eine Untersuchung ein, und das Unternehmen musste die Datenübermittlung stoppen und eine Geldstrafe zahlen.
7. Sanktionen und Risiken
Die Nichteinhaltung der Datenschutzvorschriften kann teuer werden. Die Strafen sind im PIPL und im Datensicherheitsgesetz klar definiert: Geldstrafen von bis zu 50 Millionen RMB oder 5 % des Jahresumsatzes für schwerwiegende Verstöße. Zudem können die Behörden die Geschäftstätigkeit aussetzen, die Datenverarbeitung stoppen oder die Lizenz entziehen. Für ausländische Unternehmen ist das existenzbedrohend, besonders wenn das Chinesen-Geschäft einen großen Teil des Umsatzes ausmacht.
Dazu kommen Reputationsrisiken. In China sind Datenschutzskandale schnell in den sozialen Medien. Ein deutscher Automobilzulieferer in Shanghai hatte einen Vorfall, bei dem interne E-Mails mit Kundendaten an die Öffentlichkeit gelangten. Innerhalb von Stunden kursierten die Nachrichten auf WeChat. Das Unternehmen verlor danach mehrere Großkunden, weil diese kein Vertrauen mehr in die Datensicherheit hatten. Es dauerte zwei Jahre, bis sich der Ruf erholte.
Ein weiteres Risiko: Strafrechtliche Verfolgung. In schweren Fällen können verantwortliche Manager persönlich haftbar gemacht werden. Das chinesische Strafrecht sieht für Verstöße gegen das Datensicherheitsgesetz Freiheitsstrafen von bis zu sieben Jahren vor. Wir haben einen Fall eines Fintech-Start-ups in Shanghai, dessen CEO zu drei Jahren verurteilt wurde, weil er systematisch Kundendaten ins Ausland verkaufte. Das ist ein Extremfall, aber er zeigt, wie ernst die Behörden das Thema nehmen.
Praktisch gesehen raten wir unseren Kunden, ein Risikomanagement-System aufzubauen. Dazu gehört die Identifizierung von Schwachstellen, die regelmäßige Überprüfung von Verträgen mit Dienstleistern und die enge Zusammenarbeit mit lokalen Anwälten. Ein häufiger Fehler, den ich sehe: Unternehmen denken, dass ein einmaliges Compliance-Audit reicht. Die Gesetzgebung ändert sich jedoch ständig – zum Beispiel werden neue Regelungen zur Künstlichen Intelligenz (KI) erwartet, die auch den Datenschutz betreffen. Bleiben Sie also wachsam.
8. Praktische Umsetzung vor Ort
Wie setzen Sie nun all diese Anforderungen um? Zuerst empfehle ich, einen lokalen Partner zu suchen, der die Behörden und die Mentalität kennt. Wir bei der Jiaxi Steuer- und Finanzberatung arbeiten eng mit Anwaltskanzleien und IT-Sicherheitsfirmen zusammen, die auf chinesische Vorschriften spezialisiert sind. Viele unserer ausländischen Kunden schätzen diesen ganzheitlichen Ansatz, weil er Zeit und Geld spart.
Ein konkretes Beispiel: Ein Schweizer Uhrenhersteller wollte in Shanghai einen Online-Shop eröffnen. Sie mussten Kundendaten wie Adressen und Zahlungsinformationen verarbeiten. Wir halfen ihnen, ein Data Protection Impact Assessment (DPIA) durchzuführen, das vom CAC gefordert wird, bevor sie mit der Verarbeitung begannen. Sie implementierten eine starke Authentifizierung für das Backend und schlossen einen Dienstleister für das Hosting in Shanghai ein. Der gesamte Prozess dauerte vier Monate, aber der Shop läuft nun ohne Compliance-Probleme.
Ein weiterer Tipp: Dokumentieren Sie alles! Wenn die Behörden kommen, wollen sie Unterlagen sehen: die Datenschutzrichtlinie, die Einwilligungsformulare, die Sicherheitsaudits. Ein Kunde aus der Chemiebranche wurde von der CAC kontrolliert und konnte nicht nachweisen, dass seine Sicherheitsmaßnahmen den Standards entsprachen. Wir halfen ihm, eine umfassende Dokumentation nachzureichen, aber das war stressig und kostete Überstunden. Vermeiden Sie das, indem Sie von Anfang an sauber arbeiten.
Nicht zuletzt: Schulen Sie Ihr Team kontinuierlich. Die Gesetze ändern sich, und Ihre Mitarbeiter müssen Bescheid wissen. Wir bieten bei Jiaxi regelmäßig Webinare an, die speziell auf ausländische Unternehmen zugeschnitten sind. Einmal im Quartal kommen die lokalen Manager zusammen, um über neue Entwicklungen zu diskutieren. Das hat sich bewährt, weil so kleine Fehler, wie das Teilen von Daten in ungesicherten E-Mails, vermieden werden.
Abschluss und persönliche Einsichten
Zusammenfassend lässt sich sagen: Die Vorschriften zur Datensicherung in Shanghai sind komplex, aber nicht unüberwindbar. Der Schlüssel liegt in der sorgfältigen Vorbereitung und der kontinuierlichen Anpassung an die sich ändernde Rechtslage. Denken Sie daran: Die Behörden in Shanghai sind nicht Ihre Feinde, sondern Partner, die sicherstellen wollen, dass Daten geschützt werden. Eine gute Zusammenarbeit kann viel Ärger ersparen.
Meine persönliche Einsicht nach 14 Jahren in der Registrierungsabwicklung: Viele ausländische Unternehmen scheitern nicht an den Gesetzen selbst, sondern an der mangelnden Kommunikation zwischen der Zentrale und dem China-Büro. Die Entscheidungen zur Datenlokalisierung müssen von oben getroffen werden, und das erfordert oft eine Änderung der globalen IT-Strategie. Seien Sie bereit, in lokale Infrastruktur zu investieren – das ist kein Kostenfaktor, sondern eine Investition in die Zukunft Ihres China-Geschäfts.
Was die Zukunft betrifft: Ich sehe eine zunehmende Harmonisierung der Datenschutzstandards zwischen China und anderen Ländern, aber das wird Zeit brauchen. In der Zwischenzeit empfehle ich Ihnen, einen starken lokalen Rechtsrahmen aufzubauen. Wenn Sie Fragen haben, zögern Sie nicht – ich und mein Team bei Jiaxi stehen Ihnen gern zur Seite. Wir haben schon viele Unternehmen sicher durch den Dschungel der chinesischen Vorschriften geführt.
Die Einsichten von Jiaxi Steuer- und Finanzberatung
Bei Jiaxi Steuer- und Finanzberatung haben wir in den letzten Jahren zahlreiche ausländische Unternehmen in Shanghai bei der Umsetzung der Datenschutzvorschriften begleitet. Unsere Erfahrung zeigt, dass viele Firmen den bürokratischen Aufwand scheuen, aber die Risiken unterschätzen. Ein häufiger Fehler ist, dass sie die Compliance als einmalige Aufgabe betrachten und nicht als kontinuierlichen Prozess. Die Behörden in Shanghai erwarten ein proaktives Engagement – das bedeutet, Sie sollten nicht abwarten, bis eine Prüfung kommt, sondern regelmäßig mit Experten wie uns zusammenarbeiten. Wir helfen nicht nur bei der Registrierung, sondern auch bei der Gestaltung von Datenschutzrichtlinien, die praktisch umsetzbar sind. Ein Kunde aus der Medizintechnik sparte durch unsere Beratung über 200.000 RMB an Strafen, weil wir ihn frühzeitig vor einer falschen Datenübermittlung warnten. Verstehen Sie die Regeln nicht als Hürde, sondern als Schutzschild für Ihr Geschäft.