Rechtsbericht | China | Cybersicherheitsrecht
Chinesisches Cybersicherheitsgesetz wird angepasst
Ende Oktober 2025 hat China Änderungen seines Cybersecurity Law (CSL) verabschiedet. Es handelt sich um die ersten Anpassungen seit dessen Inkrafttreten im Jahr 2017.
14.11.2025
Von Julia Merle | Bonn
Zu den Neuerungen und Anpassungen des Cybersicherheitsgesetzes gehören insbesondere folgende:
Sanktionen für Verstöße werden erweitert
Ein Großteil der Gesetzesänderungen betrifft die Einführung und Anhebung von Sanktionen für Gesetzesverstöße. So werden die Sanktionen bei Cybersicherheitsverstößen erhöht: Netzwerkbetreibern droht beispielsweise nach Art. 61 CSL n.F. bei Verletzungen zusätzlich zu einer Verwarnung und Berichtigungsaufforderung künftig ein Bußgeld von 10.000 bis 50.000 RMB (entspricht ca. 1.200 bis 6.000 Euro), auch direkt verantwortliche Personen müssen mit einem Bußgeld von mindestens 10.000 bis zu 100.000 RMB (statt bisher 5.000 bis 50.000 RMB) rechnen. Bei Betreibern kritischer Informationsinfrastrukturen werden für erstmalige Verstöße gegen bestimmte Vorschriften ebenfalls empfindliche Bußgelder eingeführt.
Eine ganze Reihe neuer Bußgeldvorschriften wird zudem für alle anderen Betreiber sowie direkt Verantwortlichen ergänzt, wenn sie etwa schwerwiegende Folgen wie zum Beispiel große Datenlecks oder einen Funktionalitätsverlust kritischer Informationsinfrastruktur verursachen. Nach dem CSL können künftig Bußgelder in Höhe von bis zu 10 Millionen RMB (entspricht ca. 1,2 Millionen Euro) verhängt werden. Auch die Anordnung des Abschaltens entsprechender Anwendungen (Apps) ist infolge von Zuwiderhandlungen möglich.
Artikel 77 CSL n.F. erweitert die rechtliche Verantwortlichkeit ausländischer Akteure insofern, als diese in Zukunft vorliegt bei deren Beteiligung an jeglichen Handlungen, die Chinas nationale Cybersicherheit (bislang: kritische Informationsinfrastrukturen) gefährden. Das Einfrieren von Vermögen kann etwa bei ernsthaften Folgen angeordnet werden.
Staatliche KI-Förderung wird betont
In einem neuen Art. 20 CSL wird das Thema Künstliche Intelligenz (KI) besonders hervorgehoben und unter anderem die staatliche Förderung von Forschung und Entwicklung entsprechender Schlüsseltechnologien und des Aufbaus diesbezüglicher Infrastruktur sowie die Verbesserung ethischer Normen im Zusammenhang mit KI ausdrücklich festgeschrieben.
Engere Verzahnung mit Datenschutzgesetzen
Des Weiteren werden Netzwerkbetreiber, wenn sie personenbezogene Daten verarbeiten, ausdrücklich zur Einhaltung nunmehr bestehender Gesetze - darunter speziell das Personal Data Protection Law und das Zivilgesetzbuch - angehalten (neuer Art. 42 Abs. 2 CSL). Artikel 71 CSL n.F. bestimmt ferner unter anderem, dass Verstöße von Betreibern kritischer Informationsinfrastruktur, die personenbezogene Daten und wichtige Daten im Ausland speichern oder dort bereitstellen, gegen Art. 39 CSL n.F. (Pflicht zur Datenlokalisierung und Vorgabe der Sicherheitsbewertung) nach den einschlägigen Bestimmungen geahndet werden.
Zeitpunkt des Inkrafttretens und weitere Hinweise
Im Frühjahr 2025 hatte die Cyberspace-Behörde CAC einen Entwurf von Änderungen des chinesischen Cybersicherheitsgesetzes veröffentlicht.
Die nun verabschiedeten Gesetzesänderungen werden am 1. Januar 2026 in Kraft treten.
Darüber hinaus gelten seit 1. November 2025 für Netzwerkbetreiber in China von der CAC erlassene neue Verwaltungsmaßnahmen für die Meldung von Cybersicherheitsvorfällen. Sie enthalten Details zum Verfahren und als Anhang Richtlinien zur Bewertung der Schwere eines Vorfalls.
Zum Thema:
- Beschluss des Ständigen Ausschusses des Nationalen Volkskongresses vom 28. Oktober 2025 über die Änderungen des CSL auf Chinesisch
- Verwaltungsmaßnahmen der CAC vom 11. September 2025 in Bezug auf die Meldung von Cybersicherheitsvorfällen auf Chinesisch
