China: Datenschutz und KI

Cybersicherheits- und Datenschutzrecht

In den letzten Jahren fanden datenschutzrelevante Bestimmungen Eingang in verschiedene chinesische Gesetze und Verordnungen (auch branchenspezifische).

Zunächst trat am 1. Juni 2017 das Cybersicherheitsgesetz (Cybersecurity Law; CSL) vom 7. November 2016 in Kraft. Es dient vor allem dem Schutz der Cybersicherheit sowie der nationalen Sicherheit, enthält jedoch für seinen Anwendungsbereich auch Datenschutzbestimmungen. Artikel 37 CSL bestimmt, dass persönliche Informationen und "wichtige Daten", die Betreiber kritischer Informationsinfrastruktur innerhalb des Gebiets der VR China sammeln und generieren, grundsätzlich dort gespeichert werden müssen (Pflicht zur "Datenlokalisierung"). Um von den Bestimmungen erfasst und als Netzwerkbetreiber definiert zu werden, reicht bereits der Betrieb eines Servers in China aus. Dann müssen alle erhobenen Kundendaten sowie wichtige Geschäftsinformationen in China gespeichert werden. Diese dürfen nur in besonderen Fällen außer Landes exportiert werden. Netzwerkbetreiber müssen nach Art. 41 CSL bei Sammlung und Nutzung persönlicher Informationen bestimmte Prinzipien befolgen (vgl. Art. 1035 Zivilgesetzbuch).

In Bezug auf das CSL gibt es einige untergesetzliche Regelungen, in denen einzelne Bereiche detaillierter geregelt werden. So gilt seit 15. Februar 2022 eine aktualisierte Fassung der "Measures for Cybersecurity Review" (Chinesisch). Die Schaffung eines solchen Systems zur Überprüfung der nationalen Sicherheit hinsichtlich Betreibern kritischer Informationsinfrastrukturen sieht Art. 35 CSL vor.

Seit 1. November 2025 gelten für Netzwerkbetreiber in China von der Cyberspace Administration of China (CAC) erlassene neue Verwaltungsmaßnahmen für die Meldung von Cybersicherheitsvorfällen (Chinesisch).

Die ersten Gesetzesänderungen des CSL wurden Ende Oktober 2025 verabschiedet. Sie treten am 1. Januar 2026 in Kraft:

Das Kryptografiegesetz (Encryption oder Cryptography Law) vom 26. Oktober 2019 gilt seit 1. Januar 2020 und betrifft insbesondere die kommerzielle Verschlüsselung.

Das seit 1. Januar 2021 geltende Zivilgesetzbuch (Civil Code; ZGB) schreibt insbesondere das Recht auf Privatsphäre ausdrücklich fest. Das vierte Buch zu den Persönlichkeitsrechten – beispielhaft in Art. 990 ZGB aufgezählt – umfasst im 6. Kapitel (Art. 1032 bis 1039 ZGB) zudem grundsätzliche Bestimmungen zum Schutz persönlicher Informationen. Artikel 1034 ZGB enthält etwa eine Definition der persönlichen Informationen; die Voraussetzungen ihrer rechtmäßigen Verarbeitung schreibt Art. 1035 ZGB, die Rechte der natürlichen Personen Art. 1037 ZGB vor. Verstöße sollen grundsätzlich zur zivilrechtlichen Haftung nach Art. 995 ZGB führen (Ausnahmen in Art. 1036 ZGB). In einer justiziellen Auslegung zum ZGB legte das Oberste Volksgericht fest, dass Streitigkeiten über den Schutz persönlicher Informationen einen Klagegrund bilden können.

Am 10. Juni 2021 wurde das Datensicherheitsgesetz (Data Security Law; DSL) verabschiedet, es trat am 1. September 2021 in Kraft.

Das am 20. August 2021 erlassene Gesetz zum Schutz persönlicher Informationen (Personal Information Protection Law; PIPL) ist seit dem 1. November 2021 in Kraft.

In Bezug auf den grenzüberschreitenden Datentransfer aus China heraus verweist das DSL auf das CSL: Wenn wichtige Daten, die in China von Betreibern kritischer Informationsinfrastruktur gesammelt oder generiert wurden, aus China heraus übermittelt werden sollen, findet nach Art. 31 DSL das CSL Anwendung. Hinsichtlich sonstiger Datenverarbeiter sollen Umsetzungsbestimmungen folgen. Wenn es wiederum nach Art. 37 CSL aufgrund der geschäftlichen Tätigkeit wirklich erforderlich ist, Daten aus China heraus zu übermitteln, sind Sicherheitsbewertungen durchzuführen.

Das PIPL behandelt die grenzüberschreitende Übertragung personenbezogener Daten in Kapitel 3, Art. 38 bis 43 PIPL.

Zudem sind insbesondere die Informationspflichten nach Art. 39 PIPL und das Erfordernis der Einwilligung zu beachten. Den Schwellenwert bei der Menge der verarbeiteten persönlichen Daten lässt Art. 40 PIPL zur Festlegung offen.

Implementierungsbestimmungen führen die gesetzlichen Vorgaben weiter aus.

1. So veröffentlichte die CAC bezüglich Ziff. 1 Maßnahmen zur Sicherheitsbewertung beim grenzüberschreitenden Transfer von Daten (Chinesisch), die am 1. September 2022 in Kraft traten: "Wichtige Daten" werden in deren Art. 19 zudem definiert, wobei der Begriff weit gefasst ist. Wesentliche Umstände und Schwellenwerte, die eine Anmeldung bei der CAC erforderlich machen, führt Art. 4 auf.
2. Implementierungsregeln zur Zertifizierung in Ziff. 2 folgten am 18. November 2022 (Chinesisch). Die neuen Maßnahmen zur Zertifizierung des Exports persönlicher Daten der CAC und der State Administration for Market Regulation (SAMR) vom 14. Oktober 2025 (Chinesisch) werden am 1. Januar 2026 in Kraft treten.
3. Maßnahmen zum Standardvertrag für den grenzüberschreitenden Transfer von persönlichen Daten nach Ziff. 3 gelten seit 1. Juni 2023.

Aktualisierte Leitlinien der CAC (Chinesisch) zur Beantragung der Sicherheitsbewertung sowie zur Einreichung des Standardvertrages liegen seit März 2024 vor.

Von den Voraussetzungen des Art. 38 PIPL bestehen mittlerweile Ausnahmen für bestimmte Datenverarbeiter: Die CAC gab am 22. März 2024 Bestimmungen zur Förderung und Regulierung des grenzüberschreitenden Datenverkehrs heraus.

Seit 1. Januar 2025 gelten ferner Regelungen zur Sicherheit von Netzwerkdaten.

Die Entwicklungen im Datenschutzrecht bleiben dynamisch; es ist weiter mit Umsetzungsbestimmungen zu den Gesetzen zu rechnen.

Künstliche Intelligenz (KI)

Übergangsregelungen zum Angebot generativer KI-Dienste sind seit 15. August 2023 in Kraft.

Inzwischen gibt es auch zum Beispiel verschiedene Urteile des Beijing Internet Court, unter anderem zum Urheberrechtsschutz für ein KI-generiertes Bild.

Hinweis: Einen Überblick zu rechtlichen Entwicklungen zum Thema KI bietet die GTAI-Publikation Rechtsatlas KI.

Dieser Inhalt gehört zu