Ihr Zielland

China

Recht und Steuern in China

Ihre deutschsprachige Rechtsanwaltskanzlei in China
CBBL Rechtsanwalt Rainer Burkardt, Kanzlei Burkardt & Partner Rechtsanwälte, Shanghai
Rainer Burkardt
Rechtsanwalt
Burkardt & Partner Rechtsanwälte
Shanghai


Datenschutzrecht in China

Veröffentlicht am 20.08.2025

Von unserem deutschsprachigen CBBL-Anwalt in Shanghai, Herrn Rechtsanwalt Rainer Burkardt, burkardt@cbbl-lawyers.de, Tel. +86 - 21 - 632 100 88, www.bktlegal.com


Überblick zu den wesentlichen datenschutzrechtlichen Regelungen des chinesischen Rechts unter besonderer Berücksichtigung des chinesischen „Gesetzes zum Schutz personenbezogener Daten“ (GSPD) und mit wichtigen Hinweisen für ausländische Unternehmen, die Geschäfte mit oder in China betreiben.

  1. Einführung zum Datenschutzrecht in China
  2. Gesetz der VR China zum Schutz persönlicher Daten (GSPD)
  3. Wie wir Sie auf Ihrem Weg zur Datenschutz-Compliance in China unterstützen können

1. Einführung zum Datenschutzrecht in China

Dem Schutz von personenbezogenen Daten wurde in der VR China lange Zeit keine Aufmerksamkeit zuteil. Personenbezogene Daten wurden im Rahmen des Reputationsschutzes nach den „Allgemeinen Grundsätzen des Zivilrechts“ und im Rahmen des Privatrechtsschutzes durch das „Delikthaftungsrecht“ gesetzlich nur unzureichend geschützt.

Erst mit dem „Cybersicherheitsgesetz der Volksrepublik China“ (CSG) von 2017 wurde dem Schutz von personenbezogenen Daten mehr Aufmerksamkeit geschenkt. Da elektronische Daten und deren Kontrolle auch in China eine immer größere Rolle spielen, hat die VR China die Gesetzeslage in den vergangenen Jahren den wirtschaftlichen, aber vor allem den staatlichen Interessen zeitnah und umfassend angepasst.

Anders als beispielsweise Deutschland besitzt China jedoch kein einheitliches Gesetzeswerk für den Schutz von personenbezogenen Daten. Auch nach dem Inkrafttreten des CSG sind datenschutzrechtliche Normen über mehrere sich überschneidende Gesetze verstreut.

Seit 2021 sind in China drei wichtige Regelungswerke im Bereich des Datenschutzes in Kraft getreten: (1) das Gesetz zum Schutz personenbezogener Daten (GSPD), (2) das Datensicherheitsgesetz (DSG), und (3) das 4. Buch des Zivilgesetzbuches der VR China, welches zum ersten Mal Persönlichkeitsrechte gesetzlich verankert. Zusammen mit dem schon vorstehend genannten Cybersicherheitsgesetz bilden die vorstehenden drei Gesetze die Rechtsgrundlage für einen umfassenden Datenschutz in der VR China. Nachstehend soll das Gesetz zum Schutz personenbezogener Daten näher erläutert werden.

2. Gesetz der VR China zum Schutz persönlicher Daten (GSPD)

Das GSPD trat am 1. November 2021 in Kraft und gilt als das erste umfassende und wichtigste Gesetz der VR China zum Schutz personenbezogener Daten.

Obwohl das GSPD in vielerlei Hinsicht der EU-Datenschutzgrundverordnung (DSGVO) ähnelt, reicht es für ein gesetzmäßiges Handeln nach chinesischem Recht nicht aus, die für die Einhaltung der DSGVO im deutschen Unternehmen getroffenen Maßnahmen einfach auf die chinesische Tochtergesellschaft zu übertragen. Vielmehr ist es erforderlich, dass Unternehmen, welche Geschäfte in oder mit China betreiben, deren auf Basis der DSGVO entworfenen Datenschutzmaßnahmen anpassen, um auch den Datenschutzanforderungen des GSPD nachzukommen. Hierzu erläutern wird nachstehend die wichtigsten Punkte, welche hierbei zu berücksichtigen sind:

  • Definition von personenbezogenen Daten nach GSPD: Personenbezogene Daten werden im GSPD als „alle Arten von Informationen in Bezug auf identifizierte oder identifizierbare natürliche Personen in China“ definiert. Diese umfassen z.B. den Namen, E-Mail-Adresse, Telefonnummer und „sensible“ personenbezogene Daten wie Personalausweisnummer, Geburtsdatum, Bankkontoinformationen, Gehalt, Wohnadresse, usw.
  • Welche Unternehmen sind vom GSPD betroffen: Das GSPD gilt grundsätzlich für alle Gesellschaften, einschließlich Tochtergesellschaften ausländischer Unternehmen, in China, welche personenbezogene Daten von deren Arbeitnehmern, Kunden, Lieferanten und anderen natürlichen Personen verarbeiten und somit als Datenverarbeiter nach dem GSPD angesehen werden.Aufgrund der extraterritorialen Wirkung des GSPD können dem GSPD auch Unternehmen außerhalb Chinas unterliegen, die persönliche Daten von natürlichen Personen innerhalb Chinas mit dem Zweck verarbeiten, diesen Produkte oder Dienstleistungen anzubieten oder deren Verhalten zu analysieren oder zu bewerten.
  • Datenschutzpflichten nach GSPD (Auszug): Das GSPD sieht strenge Pflichten für Datenverarbeiter vor.
    Personenbezogene Daten sollen nach den Prinzipien der Genauigkeit, Offenheit, Datensicherheit und Transparenz verarbeitet werden. Die Datenverarbeitung ist auf das für die Zwecke der Verarbeitung notwendige Maß und Dauer zu beschränken.

    Sofern keine anderen gesetzlich vorgesehenen Gründe vorliegen, sind Datenverarbeiter generell verpflichtet, die ausdrückliche und informierte Einwilligung der betroffenen Personen einzuholen.
    Für die Veröffentlichung oder Weitergabe personenbezogener Daten an Dritte oder die Verarbeitung „sensibler“ personenbezogener Daten ist eine gesonderte Einwilligung der betroffenen Person erforderlich.

    Die Datenverarbeiter sind nach dem GSPD weiterhin verpflichtet, den Datenschutz durch interne Unternehmensrichtlinien und die Durchführung von Schulungen und andere technische und organisatorische Maßnahmen (TOMs) sicherzustellen. Hierfür sind u.a. die Verantwortlichkeiten innerhalb eines Unternehmens klar zu benennen, die personenbezogenen Daten zu klassifizieren, ausreichend technische Sicherheitsmaßnahmen (wie z.B. Verschlüsselung) zu implementieren, Notfallpläne für einen Sicherheitsvorfall bereitzuhalten und regelmäßige Datenschutzaudits durchzuführen.

  • Strenge Voraussetzungen für die Bereitstellung personenbezogener Daten außerhalb Chinas: Entsprechend dem Prinzip der Datenlokalisierung sind Daten grundsätzlich innerhalb Chinas zu speichern. Personenbezogene Daten dürfen nur unter Erfüllung der im GSPD vorgesehenen Voraussetzungen im Ausland bereitgestellt werden.Folgende Tätigkeiten werden grundsätzlich als grenzüberschreitende Übermittlung angesehen:- Übermittlung von Daten in analoger oder elektronischer Form an die Muttergesellschaft oder andere Unternehmen außerhalb Chinas, wobei die Sonderverwaltungszonen Hongkong und Macao als auch die Region Taiwan in diesem Zusammenhang als Ausland gelten;

    - Speichern von Daten in einer Cloud/IT-System der Unternehmensgruppe mit einem Server außerhalb Chinas, oder

    - Zugriff durch das Mutterunternehmen oder ein anderes Unternehmen im Ausland auf Daten bzw. auf einen Server in China.

    Soweit eine Bereitstellung von personenbezogenen Daten außerhalb Chinas erforderlich ist, ist eine von der State Cyberspace Administration of China (CAC) organisierte Sicherheitsbewertung zu durchlaufen, eine Zertifizierung durch eine Fachstelle nach den Bestimmungen des CAC zu erhalten oder der von der CAC vorformulierte Standardvertrag mit dem ausländischen Empfänger abzuschließen.

    Darüber hinaus müssen Datenverarbeiter die Informationspflichten gegenüber dem Betroffenen erfüllen, eine separate Einwilligung des Betroffenen einholen und die erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die Datenverarbeitung durch die Empfänger im Ausland den im GSPD festgelegten Datenschutzstandards entsprechen und eine Datenschutz-Folgenabschätzung durchführen.

    Um zu ermitteln, ob und welche der vorstehenden Pflichten erfüllt werden müssen, sollten Unternehmen zunächst ein sog. „Datenmapping“ vornehmen. Dieses versetzt den Datenverarbeiter in die Lage, analysieren zu können, wie viele und welche Daten an welchem Ort gespeichert sowie welche Daten ins Ausland übermittelt werden.

    Dies berücksichtigend sollten Unternehmen feststellen, wo deren IT-Systeme/Clouds gehostet werden. Unternehmen, deren CRM- oder ERP-Systeme in globalen Systemen der Unternehmensgruppe, welche außerhalb Chinas gehostet oder auf einer Cloud-Plattform im chinesischen Ausland laufen, integriert sind, sollten darauf achten, dass die Datenspeicherung und -verarbeitung in diesen Systemen die gesetzlichen Voraussetzungen des GSPD für die grenzüberschreitende Datenübermittlung erfüllen. Alternativ können Unternehmen je nach eigener Datensituation in Betracht ziehen, ein „IT-Decoupling” vorzunehmen und ein unabhängiges lokales IT-System in China einzuführen oder andere Maßnahmen zu ergreifen.

  • Sanktionen bei Verstößen gegen GSPD: Verstöße gegen das GSPD können hohe Strafen nach sich ziehen, einschließlich Bußgelder von bis zu 50 Millionen Yuan (ca. 6,5 Millionen Euro) bzw. 5% des Vorjahresumsatzes und die Beschlagnahme der rechtswidrig erlangten Einnahmen, Einschränkungen des Geschäftsbetriebs bis hin zum Entzug der Geschäftslizenz. Zusätzlich kann die für die Datenverarbeitung verantwortliche Person mit einem Bußgeld von bis zu 1 Millionen Yuan (ca. 130.000 Euro) belegt werden.Neben strengen administrativen Sanktionen und einer potenziellen strafrechtlichen Haftung besteht weiterhin ein erhöhtes Risiko, auch vor Zivilgerichten für Verstöße gegen die chinesischen Datenschutzvorschriften belangt zu werden.
  • Die inoffizielle Schonfrist zur Umsetzung der Datenschutzpflichten in China ist vorbei!
    Relativ lange nach dem Inkrafttreten der vorstehend genannten Datenschutzgesetzen fehlte es in China an Durchführungsverordnungen zu deren Umsetzung.

    Während viele Unternehmen in China eine "Wait-and-see"-Strategie verfolgten und auf Implementierungsvorschriften und Ausnahmen zu den strengen Datenschutzpflichten nach dem GSPD gewartet haben, haben andere Unternehmen proaktiv die erforderlichen Compliance-Maßnahmen umgesetzt.

    In letzter Zeit werden immer mehr Durchführungsverordnungen erlassen und der Datenschutzrechtsrahmen in China wird dadurch immer komplexer. Die rasch fortschreitende Normierung des Datenschutzes in China stellt viele Unternehmen in China und im Ausland vor neue Compliance-Herausforderungen.

    Auch die Kontrolle der Einhaltung sowie die Durchsetzung der Datenschutzgesetze bei Verstößen durch die chinesischen Behörden ist inzwischen in vollem Gange, was erhöhte Compliance-Risiken für bislang in Bezug auf GSPD-Anforderungen untätige Unternehmen darstellt.

    Angesichts der zunehmenden Anzahl von behördlichen und gerichtlichen Strafen bei Verstößen gegen Datenschutz- und Datensicherheitspflichten in China sowie der Möglichkeit einer Sanktionsminderung bzw. Sanktionsaussetzung im Falle einer proaktiven Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen, ist zu empfehlen, dass Unternehmen die erforderlichen datensicherheits- und datenschutzbezogene Compliance-Maßnahmen ergreifen, nicht nur um die Anforderungen der Verordnung zu erfüllen, sondern insbesondere um das Risiko hoher Bußgelder, zivilrechtlicher oder gar strafrechtlicher Haftung zu minimieren.

3. Wie wir Sie auf Ihrem Weg zur Datenschutz-Compliance in China unterstützen können

Als eine u.a. auf Datenschutzrecht spezialisierte Anwaltskanzlei unterstützen wir Sie gerne bei der Durchführung Ihres Datenmappings, der Durchführung Ihrer Datenschutzfolgenabschätzung, der Erstellung einer Datenschutzerklärung (Privacy Policy) für Ihre Website, dem Entwurf einer Einwilligungserklärung und einer Datenverarbeitungsvereinbarung sowie anderen datenschutzrechtlichen Belangen in China.

Mehr Informationen über unsere Kanzlei und unsere Expertise im chinesischen Datenschutzrecht finden Sie auf unserer Webseite unter https://bktlegal.com/index.php/datenschutzrecht/.

Sie haben weitere Fragen zum Datenschutzrecht in China?

Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt Herr Rechtsanwalt Rainer Burkardt in Shanghai berät Sie gerne: burkardt@cbbl-lawyers.de, Tel. +86 - 21 - 632 100 88


 


Das neue CBBL Video

Recht und Steuern in China


Das neue CBBL Video

Kontakt

Tel. +49 - 7221 - 922 866 0

mail@cbbl-lawyers.de

Newsletter bestellen

Anschrift

CBBL Cross Border Business Law AG

Schützenstraße 7

D-76530 Baden-Baden

Rechtliche Hinweise

Impressum

Datenschutz

Haftungsausschluss

Folgen Sie uns

LinkedIn Icon Instagram Icon

© Cross Border Business Law AG