Rechtliche Grundlagen und Schlüsselgesetze
Der erste und wichtigste Schritt zum Verständnis der Compliance-Lage ist ein Blick auf die rechtlichen Grundpfeiler. Das zentrale Gesetzeswerk hierbei ist der Cybersicherheitsgesetz (CSL) von 2017. Dieser bildet das Fundament für die Regulierung aller datenbezogenen Aktivitäten in China, einschließlich Cloud-Dienste. Ein häufig übersehener, aber kritischer Punkt ist, dass der CSL das Prinzip der "cyber sovereignty" fest verankert. Das bedeutet im Klartext: Daten, die in China generiert werden, unterliegen grundsätzlich der chinesischen Jurisdiktion, unabhängig davon, wo der Dienstleister seinen Sitz hat. Für ausländische Cloud-Anbieter stellt dies die erste große Hürde dar.
Ergänzt wird der CSL durch die Data Security Law (DSL) und den Personal Information Protection Law (PIPL), die beide 2021 in Kraft traten. Diese drei Gesetze bilden eine Art "heilige Dreifaltigkeit" der chinesischen Datenregulierung. Der PIPL wird oft mit der europäischen DSGVO verglichen, hat aber entscheidende nationale Besonderheiten. So verlangt er beispielsweise für die Übermittlung personenbezogener Daten ins Ausland entweder eine Sicherheitsbewertung durch die Cyberspace Administration of China (CAC), eine Standardvertragsklausel oder eine Zertifizierung. In meiner Arbeit erlebe ich oft, dass internationale IT-Teams von diesen Details zunächst überfordert sind – da hilft nur geduldiges Erklären und ein strukturierter Implementierungsplan.
Ein praktisches Beispiel aus meiner Beratungstätigkeit: Ein deutscher Maschinenbauer wollte seine globale Microsoft Azure-Cloud auch für seine chinesische Tochtergesellschaft nutzen. Die rechtliche Prüfung ergab schnell, dass die standardmäßige Datenreplikation in ein Rechenzentrum in Singapur gegen die Prinzipien des CSL und PIPL verstoßen hätte. Die Lösung war die Nutzung von Azure China, betrieben durch den lokalen Partner 21Vianet, in Kombination mit strengen internen Data Governance-Regeln, die den Datenfluss klar definierten. Dieser Fall zeigt: Die rechtlichen Grundlagen sind nicht optional, sondern zwingende Voraussetzung für einen operativen Betrieb.
Lokalisierung von Daten und Rechenzentren
Die Forderung nach Datenlokalisierung ist einer der konkretesten und praxisrelevantesten Aspekte der chinesischen Cloud-Compliance. Für bestimmte als "wichtig" eingestufte Daten, etwa aus den Bereichen kritische Informationsinfrastruktur (CII), Bevölkerung, Geographie oder Finanzen, besteht eine gesetzliche Pflicht zur Speicherung auf Servern innerhalb Chinas. Aber Vorsicht: Die Definition von "wichtigen Daten" ist bewusst vage gehalten und wird durch branchenspezifische Kataloge konkretisiert. In der Praxis rate ich meinen Mandanten daher oft zu einem präventiven Ansatz: Wenn auch nur der Verdacht besteht, dass es sich um sensible oder branchenspezifisch regulierte Daten handeln könnte, ist die Lokalisierung in China der sicherste Weg.
Das führt uns direkt zum Thema der Rechenzentren. Ausländische Hyperscaler wie AWS, Microsoft Azure oder Google Cloud Platform dürfen in China nicht direkt operieren. Sie müssen eine Joint-Venture-Partnerschaft mit einem lizenzierten lokalen Anbieter eingehen. AWS kooperiert mit Sinnet, Azure mit 21Vianet. Diese "China-Regionen" sind technisch und rechtlich eigenständige Einheiten. Aus Sicht der Compliance ist das ein entscheidender Punkt: Ein Vertrag mit AWS Global gilt nicht für AWS China. Man muss separate Verträge schließen und akzeptieren, dass der Service-Katalog, die Preise und sogar die Feature-Releases anders sein können als im Rest der Welt.
Ich erinnere mich an einen Kunden aus der Automobilzuliefererbranche, der seine globalen SAP-Daten in eine europäische Cloud migrieren wollte und die chinesische Produktionsstätte einfach mitziehen lassen wollte. Das Projekt musste nach den ersten Workshops mit den chinesischen Kollegen und lokalen Anwälten komplett neu aufgesetzt werden. Am Ende wurde eine Hybrid-Lösung implementiert: Nicht-personenbezogene Produktionsdaten blieben in der globalen Cloud, während alle personenbezogenen Daten der Mitarbeiter und vertrauliche Produktionsdaten in einem lokalen Colocation-Rechenzentrum untergebracht wurden. Diese Art von "Compliance by Design" spart langfristig immense Kosten und Kopfschmerzen.
Lizenzierung und Marktzugang für Anbieter
Für den Cloud-Anbieter selbst ist der Marktzugang nach China ein komplexes Lizenzierungspuzzle. Die wichtigste Lizenz ist die Wertschöpfungstelekommunikationsdienstleistungslizenz (Value-Added Telecommunication Service License, VATS). Innerhalb der VATS-Lizenzen ist für Cloud-Dienste insbesondere die "Internet Data Center (IDC)"- und die "Internet Resource Collaboration (IRC)"-Lizenz relevant. Der Erhalt dieser Lizenzen ist für ausländische Unternehmen alleine nahezu unmöglich, da sie strenge Kapitalanteilsbeschränkungen für ausländische Investitionen beinhalten (oft auf 50% gedeckelt). Daher ist die bereits erwähnte Joint-Venture-Struktur mit einem lokalen, lizenzierten Partner nicht nur eine Geschäftsentscheidung, sondern eine regulatorische Notwendigkeit.
Hinzu kommen branchenspezifische Zertifizierungen. Für Cloud-Dienste, die von Finanzinstituten genutzt werden sollen, sind Zertifizierungen der Finanzaufsichtsbehörden erforderlich. Für Behörden oder staatliche Unternehmen gelten nochmal strengere Sicherheitsüberprüfungen ("Multi-Level Protection Scheme", MLPS). In meiner täglichen Arbeit ist es daher essenziell, nicht nur den Vertrag mit dem Cloud-Anbieter zu prüfen, sondern auch die dahinterliegenden Lizenzen des Joint-Venture-Partners im Due Diligence-Prozess zu verifizieren. Ein Anbieter mag technisch brillant sein, aber ohne die richtigen Papiere ist jedes darauf aufgebaute Geschäftsmodell in China auf tönernen Füßen gebaut.
Ein kleiner Tipp aus der Praxis: Verhandeln Sie in Ihren Verträgen mit globalen Cloud-Anbietern immer eine Klausel ein, die den Zugang zu ihren China-Joint-Venture-Diensten und Support regelt. Oft wird dies von den globalen Sales-Teams stiefmütterlich behandelt, da es ihr Kerngeschäft tangiert. Eine klare Vereinbarung über Support-Eskalationspfade, Service Level Agreements (SLAs) und Kontaktpersonen bei dem lokalen Partner kann im Störfall den Unterschied zwischen Stunden und Tagen Downtime ausmachen.
Sicherheitsbewertungen und Überwachung
Die chinesischen Behörden, vor allem die Cyberspace Administration of China (CAC), behalten sich das Recht vor, die Sicherheit von Cloud-Diensten und Netzwerkbetreibern zu überprüfen. Diese Sicherheitsbewertungen können regelmäßig oder anlassbezogen stattfinden. Ein zentrales Instrument ist hier das bereits angesprochene Multi-Level Protection Scheme (MLPS 2.0). Je nach Klassifizierung des Systems (von Level 1 bis 5) müssen strenge technische und organisatorische Sicherheitsmaßnahmen umgesetzt und von zugelassenen Prüfstellen zertifiziert werden. Cloud-Anbieter, die MLPS-zertifizierte Dienste anbieten wollen, müssen ihre Infrastruktur entsprechend anpassen.
Für ausländische Unternehmen bedeutet dies, dass sie bei der Auswahl eines Cloud-Anbieters nicht nur auf Preis und Features, sondern auch auf dessen Sicherheitszertifizierungen achten müssen. Die Nutzung eines nicht-MLPS-zertifizierten Dienstes für ein System, das eine Zertifizierung benötigt (z.B. eine Kundenplattform mit persönlichen Daten), ist ein schwerwiegender Compliance-Verstoß. In einem Fall mussten wir für einen E-Commerce-Kunden ein bereits laufendes Projekt auf einer internationalen Cloud-Plattform stoppen und auf einen lokal zertifizierten Anbieter migrieren, nachdem eine interne Risikoanalyse ergab, dass das System MLPS Level 3 benötigen würde. Die Nachmigration war kostspielig und schmerzhaft – eine frühere Prüfung hätte das verhindert.
Zudem ist mit einer aktiven Überwachung des Datenverkehrs zu rechnen. Die sogenannte "Great Firewall" filtert nicht nur Inhalte, sondern überwacht auch Datenströme. Verschlüsselungsstandards, die außerhalb Chinas üblich sind, müssen möglicherweise bei den Behörden registriert oder genehmigt werden. Mein Rat: Gehen Sie transparent und kooperativ mit diesen Anforderungen um. Versuche, Überwachungsmechanismen zu umgehen oder zu verschleiern, enden fast immer mit drastischen Konsequenzen, bis hin zur vollständigen Sperrung des Dienstes in China.
Vertragsgestaltung und Haftungsfragen
Der Vertrag mit Ihrem Cloud-Provider ist Ihr wichtigstes Compliance-Dokument. In China gelten hier einige Besonderheiten. Erstens: Der Vertrag muss auf Chinesisch geschlossen sein. Englische Versionen können beigefügt werden, aber im Streitfall ist die chinesische Fassung maßgeblich. Zweitens: Achten Sie penibel auf die Haftungsbeschränkungen und Service Level Agreements (SLAs). Viele globale Standardverträge sehen Haftungsbeschränkungen auf die gezahlten Servicegebühren vor. In China können bei Datenlecks oder Compliance-Verstößen jedoch Schadensersatzansprüche und behördliche Strafen anfallen, die diese Grenzen bei weitem übersteigen. Verhandeln Sie daher, soweit möglich, spezifische Klauseln zur Compliance-Haftung.
Ein kritischer Punkt ist die Datenportabilität und Exit-Strategie. Was passiert am Ende der Vertragslaufzeit oder bei Insolvenz des Anbieters? Haben Sie das rechtliche und technische Recht, alle Ihre Daten in einem standardisierten Format zu exportieren? Gibt es Lock-in-Effekte durch proprietäre Technologien des Anbieters? In meiner Erfahrung wird dieser Punkt in der anfänglichen Begeisterung für ein neues Cloud-Projekt oft vernachlässigt. Ich empfehle immer, ein "Exit-Szenario" schon beim Einstieg mit zu verhandeln und die entsprechenden Kosten und Prozesse vertraglich zu fixieren.
Drittens: Klären Sie die Verantwortlichkeiten im Falle einer behördlichen Untersuchung eindeutig. Wer kommuniziert mit der CAC? Wer stellt die geforderten Dokumente und Logs bereit? Wer trägt die Kosten für externe Rechtsberatung? Ein guter Vertrag regelt diese Fragen proaktiv und entlastet Sie im Krisenfall von zusätzlichen Unsicherheiten. Denken Sie daran: In China ist die Beziehung zu den Behörden ("Guanxi") von immenser Bedeutung. Ihr lokaler Cloud-Partner sollte über etablierte und vertrauensvolle Kommunikationskanäle zu den relevanten Regulierungsbehörden verfügen.
Zusammenfassung und Ausblick
Die Compliance-Regulierung für grenzüberschreitende Cloud-Dienste in China ist komplex, dynamisch und strikt. Sie lässt sich nicht mit einem globalen IT-Playbook abdecken, sondern erfordert eine gezielte, auf den chinesischen Markt zugeschnittene Strategie. Die Kernprinzipien – Datenlokalisierung, Partnerschaft mit lizenzierten lokalen Anbietern, Einhaltung des CSL/DSL/PIPL-Trios und aktive Einbindung in Sicherheitsüberprüfungen wie MLPS – sind nicht verhandelbar. Sie bilden den festen Rahmen, innerhalb dessen sich ausländische Unternehmen bewegen müssen.
Für Investoren bedeutet dies: Jede Due Diligence für ein China-Engagement muss die IT- und Cloud-Strategie sowie deren Compliance auf dem Prüfstand stellen. Die Kosten für eine nachträgliche Korrektur oder Migration sind oft um ein Vielfaches höher als eine initiale, saubere Planung. Meine persönliche Einsicht nach all den Jahren ist: Unternehmen, die die Compliance nicht als lästige Pflicht, sondern als integralen Bestandteil ihrer China-Marktstrategie begreifen, sind langfristig nicht nur sicherer, sondern auch erfolgreicher. Sie gewinnen das Vertrauen lokaler Partner, Kunden und letztlich auch der Behörden.
Ein Blick in die Zukunft: Die Regulierung wird sich weiter verschärfen und verfeinern, besonders im Bereich der KI-gestützten Dienste und der Datenklassifizierung. Gleichzeitig wächst der Druck auf Unternehmen, ihre Daten für wirtschaftliche Innovation zu nutzen. Der Spagat zwischen Compliance und Agilität wird also noch größer werden. Meine Empfehlung ist, sich intern frühzeitig mit diesen Themen auseinanderzusetzen, entweder durch den Aufbau von lokalem Expertise oder durch die Partnerschaft mit spezialisierten Beratern, die sowohl die technischen als auch die regulatorischen Seiten verstehen. Der chinesische Cloud-Markt ist kein Sprint, sondern ein Marathon, bei dem Ausdauer und vorausschauende Planung siegen.
--- ### Einschätzung der Jiaxi Steuer- und Finanzberatung Bei der Jiaxi Steuer- und Finanzberatung betrachten wir die Compliance grenzüberschreitender Cloud-Dienste nicht als isoliertes IT-Thema, sondern als eine zentrale betriebswirtschaftliche und strategische Fragestellung mit direkten Auswirkungen auf die steuerliche Verrechnungspreisgestaltung, die Bilanzierung von IT-Investitionen und das gesamte operative Risikoprofil eines Unternehmens in China. Unsere Erfahrung aus Hunderten von Mandaten zeigt: Die größten Fallstricke liegen oft in der Schnittstelle zwischen der globalen IT-Zentrale und der lokalen chinesischen Rechtseinheit. Ein häufiges Muster ist, dass globale Rahmenverträge ("Enterprise Agreements") mit Cloud-Anbietern abgeschlossen werden, ohne die spezifischen Anforderungen der chinesischen Tochtergesellschaft rechtlich und steuerlich sauber abzubilden. Dies kann zu verdeckten Gewinnausschüttungen, Problemen bei der Kostenallokation und im schlimmsten Fall zu steuerlichen Nachforderungen führen. Unser Beratungsansatz ist daher immer integriert. Wir prüfen gemeinsam mit IT-Rechtsexperten die Vertragsgrundlage, bewerten die steuerliche Behandlung der Cloud-Aufwendungen (Dienstleistung oder Lizenz? Qualifiziert für VAT-Input Tax Deduction?) und entwickeln ein internes Kontrollsystem (ICS) für den Datenfluss, das sowohl den Finanz- als auch den Compliance-Anforderungen gerecht wird. Ein praktischer Tipp von uns: Legen Sie für Ihre China-Cloud-Aktivitäten ein eigenes "Cost Center" an und dokumentieren Sie die Nutzung und Allokation der Kosten penibel. Diese Transparenz ist nicht nur für interne Zwecke wertvoll, sondern auch im Falle einer behördlichen Prüfung ein starkes Argument für die Ordnungsmäßigkeit Ihrer Geschäftstätigkeit. Letztlich geht es darum, die Cloud-Nutzung von einem reinen Kostenfaktor zu einem beherrschbaren und wertschöpfenden Asset in Ihrer China-Strategie zu machen.