Die meisten ausländischen Unternehmen nehmen an, Chinas Datenschutzgesetze greifen nur, wenn man ein Büro in Peking oder Shanghai hat. So funktioniert es nicht. Das PIPL, Chinas Antwort auf die DSGVO, gilt für jede Einheit, die personenbezogene Daten chinesischer Einwohner verarbeitet, unabhängig davon, wo diese Einheit sitzt. Wenn Ihre Website Cookies nutzt, E-Mail-Adressen sammelt oder das Verhalten von Besuchern aus China verfolgt, fallen Sie in den Anwendungsbereich. Strafen für schwere Verstöße reichen bis zu 50 Millionen RMB oder 5 Prozent des Vorjahresumsatzes. Pflicht-Compliance-Audits gelten seit Mai 2025. Es geschieht jetzt.
Drei Gesetze auf einen Blick
| PIPL | Datensicherheitsgesetz | Cybersicherheitsgesetz | |
|---|---|---|---|
| in Kraft seit | November 2021 | September 2021 | Juni 2017 |
| Anwendungsbereich | personenbezogene Daten chinesischer Einwohner | alle in China verarbeiteten Daten | Netzbetrieb in China |
| Gilt für ausländische Unternehmen ohne China-Präsenz? | ja | nur mit China-Geschäft | nur mit China-Geschäft |
| grenzüberschreitende Übermittlung | Sicherheitsprüfung, Verträge oder Zertifizierung | Beschränkungen für wichtige Daten | Sicherheitsprüfung erforderlich |
| zentrale Strafe | bis zu 50 Mio. RMB oder 5 % des Umsatzes | Bußgelder + mögliche Schließung | Bußgelder + Lizenzentzug |
| Pflicht-Audits | ja (seit Mai 2025) | Klassifizierung erforderlich | Sicherheitsprüfungen |
PIPL: das Gesetz, das Ihnen nach Hause folgt
Das Gesetz zum Schutz personenbezogener Daten trat im November 2021 in Kraft und ist jenes, das ausländische Unternehmen zuerst verstehen müssen. Anders als die beiden übrigen Gesetze im chinesischen Rahmen wirkt das PIPL über Grenzen hinweg. Es gilt für jede Einheit weltweit, die personenbezogene Daten von Menschen in China verarbeitet.
In der Praxis sieht das so aus: Wenn Ihre Website chinesische Nutzer bedient und irgendetwas erhebt, also Namen, E-Mail-Adressen, Telefonnummern, Surfverhalten oder Geräte-IDs, dann gilt das PIPL für Sie. Es spielt keine Rolle, ob Sie in Shanghai, San Francisco oder Stockholm sitzen. Es spielt keine Rolle, ob Sie nie chinesischen Boden betreten haben. Gehören die Daten chinesischen Einwohnern, gilt das Gesetz.
Das PIPL reicht über Grenzen hinaus. Wenn Sie personenbezogene Daten chinesischer Einwohner verarbeiten, gilt das Gesetz für Sie, gleich wo Ihr Unternehmen sitzt.
Compliance-Audits sind seit Mai 2025 verpflichtend. Wer Daten von mehr als 1 Million Personen verarbeitet, braucht einen Datenschutzbeauftragten. Grenzüberschreitende Datenübermittlungen, also jedes Mal, wenn Daten chinesischer Nutzer das Land verlassen, verlangen entweder eine staatliche Sicherheitsprüfung, Standardvertragsklauseln oder eine Zertifizierung durch eine zugelassene Stelle. Sie können Daten nicht einfach an Ihre Server in Frankfurt weiterleiten und die Sache für erledigt halten.
Strafen: bis zu 50 Millionen RMB oder 5 Prozent des Vorjahresumsatzes, je nachdem, welcher Betrag höher ist. Auch einzelne Führungskräfte können persönlich haftbar gemacht werden. Wer eine DSGVO-Umsetzung hinter sich hat, dem wird die Struktur vertraut vorkommen, und die Strafen bewegen sich in derselben Größenordnung.
Strafen für schwere PIPL-Verstöße: bis zu 50 Millionen RMB oder 5 Prozent des Vorjahresumsatzes. Auch einzelne Führungskräfte können persönlich haftbar gemacht werden.
DSL und Cybersicherheitsgesetz: die beiden anderen Säulen
Das Datensicherheitsgesetz (September 2021) und das Cybersicherheitsgesetz (Juni 2017) vervollständigen den Rahmen. Sie betreffen vor allem Unternehmen, deren Geschäftstätigkeit oder Datenverarbeitung physisch in China stattfindet.
Das DSL umfasst jede Datenverarbeitung innerhalb Chinas, einschließlich, aber über personenbezogene Daten hinausgehend. Es ordnet Daten drei Stufen zu: zentrale Staatsdaten, wichtige Daten und allgemeine Daten. Unternehmen müssen Klassifizierungssysteme aufbauen und Schutzmaßnahmen anwenden, die zur jeweiligen Kategorie passen. Die grenzüberschreitende Übermittlung wichtiger Daten unterliegt zusätzlichen Beschränkungen und kann eine staatliche Genehmigung erfordern.
Das Cybersicherheitsgesetz ist das älteste der drei. Es verpflichtet Netzbetreiber, in China erzeugte Daten auf chinesischen Servern zu speichern. Betreiber kritischer Informationsinfrastruktur treffen strengere Regeln: verpflichtende Sicherheitsprüfungen, schärfere Protokolle, strengere Meldepflichten.
Für die meisten ausländischen Unternehmen, die eine auf chinesische Nutzer ausgerichtete Website betreiben, ist das PIPL die erste Sorge. Das DSL und das Cybersicherheitsgesetz werden unmittelbarer relevant, sobald Sie Server, Personal oder Datenverarbeitung vor Ort im chinesischen Festland haben.
Was ausländische Unternehmen tatsächlich tun müssen
Wenn Ihr Unternehmen in irgendeiner Form Daten chinesischer Nutzer erhebt oder verarbeitet, behandeln Sie die folgende Liste als verpflichtend.
| Anforderung | Einzelheiten |
|---|---|
| Datenschutzbeauftragter | erforderlich bei Verarbeitung von Daten von über 1 Mio. Personen |
| Datenklassifizierung | Erhobenes den DSL-Kategorien zuordnen |
| Datenspeicherung | Daten chinesischer Nutzer auf Servern im chinesischen Festland |
| ausdrückliche Einwilligung | aktive, informierte Einwilligung der Nutzer vor der Erhebung |
| grenzüberschreitende Prüfung | staatliche Prüfung, Verträge oder Zertifizierung |
| Compliance-Audits | seit Mai 2025 unter dem PIPL verpflichtend |
| Meldung von Datenpannen | Verfahren müssen vor einer Panne bereitstehen |
Bestellen Sie einen Datenschutzbeauftragten. Wer Daten von mehr als 1 Million Personen verarbeitet, braucht einen Datenschutzbeauftragten. Das PIPL verlangt es.
Klassifizieren Sie Ihre Daten und klären Sie, was Sie erheben, wie sensibel es ist und wie es sich den DSL-Kategorien zuordnen lässt. Zentrale Staatsdaten und wichtige Daten bringen schwerere Pflichten mit sich.
Speichern Sie Daten chinesischer Nutzer in China. Personenbezogene Daten chinesischer Nutzer müssen auf Servern liegen, die physisch im chinesischen Festland stehen. Das verlangt das Cybersicherheitsgesetz, bekräftigt durch das PIPL.
Holen Sie echte Einwilligung ein. Vor der Erhebung personenbezogener Daten brauchen Sie eine ausdrückliche, informierte Einwilligung, die der Nutzer aktiv erteilt. Vorausgefüllte Kästchen genügen nicht. Auch nicht Bedingungen, die in einer Fußzeile vergraben sind, die niemand liest.
Ausdrückliche Einwilligung heißt, dass der Nutzer aktiv zustimmt. Vorausgefüllte Kästchen und eine angenommene Einwilligung durch weiteres Surfen erfüllen den PIPL-Standard nicht.
Hier stolpern viele Unternehmen, die an den Ansatz “Mit der weiteren Nutzung dieser Seite stimmen Sie zu” gewöhnt sind.
Behandeln Sie grenzüberschreitende Übermittlungen ordnungsgemäß. Wenn Daten chinesischer Nutzer China verlassen müssen, etwa um zu Ihren Unternehmensservern in Europa oder den USA zu fließen, brauchen Sie eine staatliche Sicherheitsprüfung, Standardverträge oder eine Zertifizierung. Es gibt keine Abkürzung und keine Ausnahme für kleine Mengen.
Führen Sie Compliance-Audits durch. Seit Mai 2025 unter dem PIPL verpflichtend. Laufend, und die Prüfer schauen genau hin.
Halten Sie Verfahren für Datenpannen bereit, bevor Sie sie brauchen. Kommt es zu einer Datenpanne, müssen Sie Behörden und betroffene Personen innerhalb vorgegebener Fristen benachrichtigen. Unternehmen, die ihr Meldeverfahren erst ausarbeiten, nachdem eine Panne bereits eingetreten ist, stehen deutlich schlechter da.
Brauchen Sie dabei Hilfe?
ChinaWebFoundry betreut Web-Projekte in China von A bis Z. Wenn Ihnen das alles nach mehr aussieht, als Sie allein angehen möchten, melden Sie sich.
Sprechen Sie uns an