Wer in China tätig ist, trägt eine doppelte Compliance-Last, die viele Unternehmen unterschätzen. Ein praxisorientierter Leitfaden zur gleichzeitigen und lückenlosen Einhaltung der europäischen DSGVO und des chinesischen PIPL.
China ist datenschutzrechtlich kein Land wie jedes andere. Es betreibt ein vollständig eigenständiges Regulierungssystem — eines, das parallel zu, und häufig in direktem Spannungsverhältnis mit, dem europäischen Datenschutzrecht existiert. Für jedes Unternehmen mit auch nur minimalem Fußabdruck in China ist die Kenntnis beider Regelwerke keine Option, sondern Pflicht.
Die duale Compliance-Landschaft
Wenn ein europäisches Unternehmen in China tätig ist — sei es durch eine lokale Tochtergesellschaft, einen entsandten Mitarbeiter, eine Vertriebspartnerschaft oder allein durch das Anbieten von Waren und Dienstleistungen für chinesische Nutzer — löst dies in der Regel Pflichten unter zwei völlig eigenständigen Rechtsrahmen gleichzeitig aus:
DSGVO
Schützt personenbezogene Daten von EU-Bürgern. Gilt extraterritorial, wenn ein Nicht-EU-Unternehmen Waren oder Dienstleistungen für Personen in der EU anbietet oder deren Verhalten beobachtet. Ein grundrechtsorientierter, prinzipienbasierter Rahmen.
PIPL
Chinas umfassendes Datenschutzgesetz, in Kraft seit November 2021. Regelt die Verarbeitung personenbezogener Daten innerhalb Chinas sowie extraterritorial, wenn chinesische Staatsbürger gezielt angesprochen werden. Ein staatszentrierter, regelbasierter Rahmen.
Beide Gesetze verfolgen ein gemeinsames Ziel — den Schutz von Einzelpersonen vor Schäden durch den Missbrauch ihrer personenbezogenen Daten — doch sie entstammen grundlegend unterschiedlichen Rechtsphilosophien, und die praktischen Compliance-Anforderungen divergieren in einer Weise, die im konkreten Unternehmensalltag erheblich ins Gewicht fällt.
Praxisrealität: Eine routinemäßige, risikoarme grenzüberschreitende Übermittlung von Mitarbeiterdaten an einen Gehaltsabrechnungsdienstleister — ein Vorgang, der unter der DSGVO kaum je eine formelle DSFA erfordern würde — löst unter dem PIPL immer eine PIPIA und eine CAC-Einreichung aus. Der operative Aufwand unter chinesischem Recht ist erheblich höher.
Das PIPL verstehen: Chinas Datenschutzrahmen
Das Gesetz zum Schutz personenbezogener Informationen (PIPL) trat am 1. November 2021 in Kraft und wird von der Cyberspace Administration of China (CAC) — der zuständigen Datenschutz- und Internetregulierungsbehörde des Landes — durchgesetzt. Es gilt für jede Verarbeitung personenbezogener Daten von Personen in China, unabhängig davon, wo die verarbeitende Stelle ihren Sitz hat.
Was gilt als „personenbezogene Information“ nach PIPL?
Der PIPL-Begriff der personenbezogenen Information ist weit gefasst: Er umfasst alle Informationen, die elektronisch oder anderweitig aufgezeichnet wurden und sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, ausgenommen anonymisierte Daten. Dazu gehören Namen, Kontaktdaten, Beschäftigungsunterlagen, Standortdaten, IP-Adressen sowie Geschäftskontaktdaten von Vertriebs- oder Krankenhausvertretern — allesamt Kategorien, die viele Unternehmen routinemäßig ohne datenschutzrechtliche Einordnung handhaben.Das PIPL definiert zudem eine Kategorie sensibler personenbezogener Informationen (SPI), für die strengere Regeln gelten. SPI umfasst biometrische Daten, religiöse Überzeugungen, Gesundheits- und Krankendaten, Finanzkontodaten, Standortverfolgungsdaten sowie personenbezogene Daten von Kindern unter 14 Jahren. Die Verarbeitung von SPI erfordert eine ausdrückliche, gesonderte Einwilligung und löst Pflichten zur Folgenabschätzung aus.
Extraterritorialer Geltungsbereich
Wie die DSGVO reicht das PIPL über Chinas Grenzen hinaus. Es gilt für Stellen außerhalb Chinas, die Produkte oder Dienstleistungen für Personen in China anbieten oder deren Verhalten analysieren oder bewerten. Das bedeutet: Ein US-amerikanisches oder europäisches Mutterunternehmen, das Daten von seiner chinesischen Tochtergesellschaft erhält, kann selbst PIPL-Pflichten unterliegen — nicht nur kraft vertraglicher Vereinbarung, sondern kraft Gesetzes.
Das Fehlen eines EU-Angemessenheitsbeschlusses für China bedeutet: Jede Übermittlung personenbezogener Daten aus dem EWR nach China erfordert eine geeignete Garantie gemäß Art. 46 DSGVO — und jede Übermittlung aus China in die entgegengesetzte Richtung erfordert einen gesonderten Mechanismus nach dem PIPL.
Grenzüberschreitende Datentransfers: Die zentrale Compliance-Herausforderung
Für die meisten in China tätigen Unternehmen ist die größte praktische Herausforderung die Steuerung grenzüberschreitender Datenflüsse. Die beiden Rechtssysteme begründen Pflichten in entgegengesetzte Richtungen — und beide müssen gleichzeitig erfüllt werden.
Transfers aus dem EWR nach China (DSGVO-Perspektive)
Die Europäische Kommission hat für China keinen Angemessenheitsbeschluss erlassen. China gilt daher als „unsicheres Drittland“ im Sinne der DSGVO, und jede Übermittlung personenbezogener Daten aus dem EWR nach China erfordert eine geeignete Garantie nach Art. 46. In der Praxis bedeutet dies: EU-Standardvertragsklauseln (EU-SCC). Die EU-SCC vom Juni 2021 müssen im passenden Modul abgeschlossen werden — in der Regel Modul 1 für Controller-to-Controller-Transfers oder Modul 4 für Processor-to-Controller-Flows. Das relevante Modul richtet sich nach den tatsächlichen Rollen der beteiligten Parteien.
Das Transfer Impact Assessment (TIA) bietet zusätzlich eine dokumentierte Bewertung, ob das chinesische Recht einen „im Wesentlichen gleichwertigen“ Schutz bietet wie die DSGVO. Dies ist für China grundsätzlich anspruchsvoll, angesichts der weitreichenden staatlichen Zugriffsrechte nach dem Nationalen Geheimdienstgesetz und verwandten Regelungen — ein Umstand, der im TIA ehrlich adressiert und durch ergänzende Maßnahmen abgemildert werden muss.
Transfers aus China in Drittstaaten (PIPL-Perspektive)
Nach Art. 38 PIPL erfordert jede Übermittlung personenbezogener Informationen aus dem chinesischen Festland einen von drei anerkannten Mechanismen. Für die meisten Unternehmen mit begrenzter China-Präsenz ist der geeignete Weg der PIPL Standard Contract:
Durchführung einer PIPIA (Datenschutz-Folgenabschätzung nach PIPL)
Diese muss vor Abschluss des Standard Contracts durchgeführt werden. Sie ist eine strukturierte Bewertung der Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit des Transfers sowie eine Einschätzung der Risiken für Betroffene und der Angemessenheit der Schutzmaßnahmen.
Abschluss des PIPL Standard Contract
Die CAC hat ein verbindliches Musterformular veröffentlicht (in Kraft seit 1. Juni 2023), das ohne inhaltliche Änderungen zu verwenden ist. Es handelt sich um einen einzigen Vertragstyp, der unabhängig von den Rollen der Parteien gilt. Ergänzende Klauseln sind zulässig, sofern sie den Standardklauseln nicht widersprechen.
Anders als EU-SCC, die keiner Behördenvorlage bedürfen, muss der PIPL Standard Contract zusammen mit dem PIPIA-Bericht bei der zuständigen CAC-Stelle auf Provinzebene am Sitz der chinesischen Einheit eingereicht werden. Die CAC prüft die Einreichung und kann Änderungen verlangen oder die Einreichung ablehnen. Alle Unterlagen müssen auf Chinesisch vorgelegt werden.
Wichtig:
Die CAC-Einreichung ist keine bloße Formalität. Sie begründet eine fortlaufende Compliance-Beziehung zu einer chinesischen Behörde. Der ausländische Empfänger (z.B. das Mutterunternehmen in den USA oder der EU) muss im Standard Contract ausdrücklich der CAC-Aufsicht zustimmen — einschließlich der Pflicht zur Beantwortung von Anfragen, der Kooperation bei Prüfungen und der Meldung von Datenpannen. Dies ist eine Verpflichtung, die das Legal Team des Mutterunternehmens vor der Unterzeichnung vollständig verstehen muss.
Für größere Betriebe gelten abweichende Schwellenwerte: Unternehmen, die personenbezogene Daten von mehr als 100.000 Personen (oder sensible Daten von mehr als 10.000 Personen) übermitteln, müssen anstelle des Standard Contract eine obligatorische CAC-Sicherheitsbewertung durchführen.
Ein häufiges Szenario: Die internationale Entsendung
Eines der am häufigsten übersehenen Compliance-Szenarien in China-Aktivitäten ist der international entsandte Mitarbeiter — etwa ein deutscher oder US-amerikanischer Staatsangehöriger, der in China auf Basis eines lokalen Beschäftigungsverhältnisses tätig ist. Bereits diese eine Person erzeugt ein Netz von Pflichten in beiden Richtungen:
| Datenfluss | DSGVO-Anforderung | PIPL-Anforderung |
| Heimatland-HQ → China (HR-, Gehalts- und Entsendungsdaten) | EU-SCC + TIA erforderlich (EWR-nach-China-Transfer, kein Angemessenheitsbeschluss) | Nicht anwendbar — PIPL regelt ausgehende, nicht eingehende Transfers |
| China → Heimatland-HQ (Zeiterfassung, Steuer-, Visadaten) | Empfangende Stelle muss Rechtsgrundlage sicherstellen | PIPL Standard Contract + PIPIA + CAC-Einreichung erforderlich |
Die entscheidende Erkenntnis: Eine einzige Entsendung begründet Pflichten unter beiden Regelwerken — EU-SCC in die eine Richtung, PIPL Standard Contract in die andere. Bei der überwiegenden Mehrheit der in China tätigen Unternehmen ist keiner dieser Mechanismen implementiert.
Die Vertriebspartner-Lücke: Ein unterschätztes Risiko
Unternehmen, die in China ausschließlich über einen Masterdistributor tätig sind, glauben häufig, ihre Datenschutzexposition sei begrenzt. Nach unserer Erfahrung ist diese Annahme fast immer falsch. Was eine typische Vertriebspartnerschaft tatsächlich bedeutet:
Lead- & Kontaktdaten
Marketing-Leads, Kontaktformulareinsendungen und Geschäftskontaktdaten, die in globalen CRM-Systemen (z.B. HubSpot) verarbeitet werden, werden routinemäßig zur Nachverfolgung an lokale Distributoren weitergegeben. Der Distributor erhält personenbezogene Daten chinesischer Personen aus den globalen Systemen des Unternehmens.
Vorkommnisdaten & Beschwerden
In regulierten Branchen (insbesondere Medizinprodukte) überwachen Distributoren staatliche Plattformen für unerwünschte Ereignisse und leiten Berichte — einschließlich Krankenhausnamen und Fallinformationen — an das globale Beschwerdemanagement-Team weiter. Dies ist ein grenzüberschreitender Transfer aus China im Sinne des PIPL.
In beiden Szenarien verarbeitet der Distributor personenbezogene Daten entweder als Auftragsverarbeiter nach Weisung des Unternehmens oder als gemeinsamer Verantwortlicher. Sowohl nach DSGVO (Art. 28) als auch nach PIPL ist ein formeller Auftragsverarbeitungsvertrag (AVV) — mit klarer Zuweisung von Rollen, Pflichten und Haftung — erforderlich. In der Praxis enthalten die meisten Distributorverträge in China keinerlei datenschutzrechtliche Bestimmungen.
Hinweis zur Verantwortlichkeitsverteilung:
Nach PIPL ist die Frage, ob Datenschutzpflichten primär bei der chinesischen Einheit oder beim Distributor liegen, eine vertragliche Frage — sie lässt sich jedoch nicht vollständig wegvertraglich regeln. Das Unternehmen, das die Zwecke der Verarbeitung bestimmt, bleibt nach PIPL verantwortlich, unabhängig davon, wie der Distributorvertrag gestaltet ist. Eine vertragliche Verantwortungsverteilung reduziert das praktische Risiko; sie beseitigt die gesetzliche Haftung nicht.
Folgenabschätzungen: DSFA vs. PIPIA
Sowohl DSGVO als auch PIPL fordern für bestimmte Verarbeitungsarten dokumentierte Risikoabschätzungen — doch die Auslöser und operativen Konsequenzen unterscheiden sich grundlegend.
| Verarbeitungstätigkeit | DSGVO DSFA | PIPL PIPIA |
| Verarbeitung sensibler personenbezogener Daten | Nur bei Großmaßstab oder in Verbindung mit anderen Risikofaktoren | Immer erforderlich, unabhängig vom Umfang |
| Einsatz eines Drittanbieters / Auftragsverarbeiters | Nur wenn die Gesamtverarbeitung hohes Risiko aufweist | Immer erforderlich bei Übertragung der Verarbeitung an Dritte |
| Grenzüberschreitende Datentransfers | Nur wenn der Transfer Teil einer Hochrisiko-Verarbeitung ist | Immer erforderlich bei jedem Transfer außerhalb des chinesischen Festlands |
| Automatisierte Entscheidungsfindung | Nur bei rechtlich erheblichen oder ähnlich weitreichenden Auswirkungen | Immer erforderlich bei Einsatz personenbezogener Daten für automatisierte Entscheidungen |
| Datenweitergabe an einen anderen Verantwortlichen | Kein eigenständiger Auslöser | Immer erforderlich |
Die praktische Konsequenz: Im Rahmen des PIPL ist die PIPIA keine strategische Übung für hochriskante Initiativen. Sie ist eine routinemäßige transaktionale Anforderung, die in Einkaufs-, HR-, IT- und Rechtsprozesse als Standardschritt integriert werden muss. Jeder Lieferantenvertrag mit Personenbezug, jeder grenzüberschreitende Transfer, jeder HR-Leistungsprozess mit sensitiven Mitarbeiterdaten — jeder dieser Vorgänge erfordert eine dokumentierte PIPIA. PIPIA-Berichte müssen für mindestens drei Jahre aufbewahrt werden — eine harte, überprüfbare Anforderung nach Art. 56 PIPL. Die DSGVO kennt keine entsprechende Mindestaufbewahrungspflicht, obwohl der Rechenschaftsgrundsatz eine ähnliche Disziplin nahelegt.
Interne Governance: Wer trägt die Verantwortung in China?
Nach dem PIPL muss jede Organisation, die in China personenbezogene Daten verarbeitet, eine interne Datenschutzfunktion einrichten. Dies geht über die bloße Benennung einer Person hinaus — es erfordert eine echte Compliance-Infrastruktur.
Ist ein formeller Datenschutzbeauftragter erforderlich?
Ein formeller Beauftragter für den Schutz personenbezogener Informationen (PIPO) ist nur für Organisationen verpflichtend, die personenbezogene Daten von mehr als einer Million Personen verarbeiten. Für die meisten ausländischen Unternehmen mit begrenzter China-Präsenz wird dieser Schwellenwert nicht erreicht, und eine formelle PIPO-Benennung ist gesetzlich nicht vorgeschrieben.
Gleichwohl verlangt das PIPL von jeder Organisation — unabhängig von ihrer Größe — eine interne Datenschutzfunktion mit klarer Rechenschaftspflicht. Diese „unmittelbar verantwortliche Person“ muss bei der chinesischen Einheit angesiedelt sein und kann diese Funktion nicht ferngesteuert vom europäischen Mutterunternehmen aus wahrnehmen. Sie muss über echte Datenschutzkenntnisse und die Befugnis zur Sicherstellung der Compliance verfügen.
Die Anforderung eines lokalen Vertreters
Für ausländische Unternehmen, die in den extraterritorialen Anwendungsbereich des PIPL fallen — d.h. die personenbezogene Daten von Personen in China von außerhalb Chinas aus verarbeiten, ohne eine lokale Rechtsperson zu unterhalten — verlangt das PIPL die Benennung eines designierten lokalen Vertreters in China, der für Compliance-Fragen zuständig ist und für chinesische Regulierungsbehörden erreichbar ist.
Besteht bereits eine lokale Rechtsperson, erfüllt diese die Funktion unmittelbar, und eine gesonderte Vertreterbestellung ist nicht erforderlich.
Persönliche Haftung: Das DURCHSETZUNGSMODELL des PIPL sieht bei schwerwiegenden Verstößen eine direkte persönliche Haftung für „unmittelbar verantwortliche Personen“ vor. Bußgelder von RMB 100.000 bis RMB 1 Million können gegenüber Einzelpersonen — einschließlich leitender Führungskräfte — verhängt werden, und ihnen kann für eine bestimmte Zeit untersagt werden, Schlüsselpositionen zu bekleiden. Dies ist ein erheblicher Unterschied zur DSGVO, bei der die Haftung bei der Organisation und nicht bei Einzelpersonen liegt.
Praktische Compliance-Checkliste für China-tätige Unternehmen:
- Datenflüsse: Identifizieren Sie jede Kategorie personenbezogener Daten, die zwischen China und anderen Ländern fließt — in beiden Richtungen. Dazu gehören Mitarbeiterdaten, Geschäftskontaktdaten, Marketing-Leads sowie Beschwerde- und Vorkommnis-Daten. Die Datenflusskarte ist die Grundlage für alles Weitere.
- Auftragsverarbeitungsvertrag mit dem chinesischen Distributor abschließen: Wenn Ihr Distributor Leads empfängt, Kontaktdaten verarbeitet oder Beschwerdeinformationen in Ihrem Namen weiterleitet, ist ein AVV nach Art. 28 DSGVO und nach PIPL erforderlich. Dies ist das am häufigsten fehlende Dokument in China-Aktivitäten.
- PIPL Standard Contract für ausgehende Transfers aus China implementieren: Zunächst PIPIA durchführen, dann den CAC-Standardvertrag zwischen der chinesischen Einheit und dem ausländischen Empfänger abschließen. Beide Dokumente innerhalb von 10 Werktagen nach Vertragsunterzeichnung bei der zuständigen provinzialen CAC einreichen.
- EU-SCC + TIA für EWR-nach-China-Transfers implementieren: Wenn Daten aus einem EU-Mitgliedstaat nach China fließen (einschließlich Daten, die an entsandte Mitarbeiter übermittelt werden), sind EU-SCC im passenden Modul erforderlich, ergänzt durch ein Transfer Impact Assessment, das staatliche Zugriffsmöglichkeiten nach chinesischem Recht adressiert.
- China-Eintrag im Verzeichnis der Verarbeitungstätigkeiten (VVT) ergänzen: Ihr Verarbeitungsverzeichnis muss die China-Aktivitäten abbilden, auch wenn diese minimal sind. Dokumentieren Sie Betroffenenkategorien, Datenkategorien, Zwecke, Rechtsgrundlagen und Transfermechanismen für jeden identifizierten Datenfluss.
- Interne Rechenschaftsstruktur in China etablieren: Benennen Sie innerhalb Ihrer chinesischen Einheit eine Person, die für die Datenschutz-Compliance verantwortlich ist. Stellen Sie sicher, dass diese Person über echte Expertise und die notwendigen Handlungsbefugnisse verfügt. Bei Unternehmen oberhalb der Millionenschwelle ist ein formeller PIPO zu bestellen.
- PIPIA in Standardabläufe integrieren: Die PIPIA ist kein einmaliges Projekt. Sie muss automatisch ausgelöst werden, sobald das Unternehmen einen neuen Lieferanten mit Personenbezug einbindet, einen neuen grenzüberschreitenden Datenzugriff einrichtet oder den Umfang eines bestehenden Transfers ändert. Integrieren Sie sie in Einkaufs-, IT- und HR-Prozesse.
Fazit: Compliance ist ein Prozess, kein Projekt
Die wichtigste Erkenntnis für Unternehmen, die sich mit DSGVO- und PIPL-Compliance in China befassen: Kein der beiden Rahmenwerke wird durch eine einmalige Dokumentationsübung erfüllt. Beide begründen fortlaufende Pflichten, die fest in den operativen Betrieb des Unternehmens eingebettet sein müssen.
Was Unternehmen, die damit gut umgehen, von anderen unterscheidet, ist in der Regel nicht die Größe ihrer China-Aktivitäten — sondern die Qualität ihrer Datenflusskartierung und die Belastbarkeit ihres vertraglichen Rahmens mit lokalen Partnern. Ein Unternehmen mit einem einzigen Mitarbeiter und einer kleinen Vertriebspartnerschaft kann die vollständige Compliance mit vergleichsweise überschaubarem Aufwand erreichen, sofern die richtigen Grundlagen vorhanden sind. Ein Unternehmen mit größerem Fußabdruck, aber ohne Transparenz über seine Datenflüsse, ist einem Risiko ausgesetzt, das Behördenmaßnahmen — oder eine Due-Diligence-Prüfung durch die Muttergesellschaft — rasch sichtbar machen werden.
Die duale Natur der China-Compliance ist genuine Komplexität — aber sie ist beherrschbar. Der Ausgangspunkt ist immer derselbe: Wissen, welche Daten vorhanden sind, wissen, wo sie hingehen, und die richtige rechtliche Architektur darum herum aufbauen.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Das Recht in diesem Bereich entwickelt sich rasch weiter. Bitte konsultieren Sie qualifizierten Rechtsbeistand, bevor Sie Compliance-Maßnahmen ergreifen.
