In China gelten strenge Regeln für den Datentransfer ins Ausland. Unternehmen, insbesondere aus der Automobilbranche, müssen komplexe Vorgaben einhalten, um hohe Strafen zu vermeiden. Die fünf zentralen Einschränkungen sind:

  • Lokale Datenspeicherung: Daten, die in China generiert werden, müssen lokal gespeichert bleiben. Selbst Remote-Zugriffe aus dem Ausland gelten als Datenübertragung.
  • Sicherheitsprüfungen: „Wichtige Daten“ dürfen nur nach einer zeitaufwendigen Sicherheitsbewertung durch die Cyberspace Administration of China (CAC) ins Ausland übertragen werden.
  • Genehmigungsverfahren: Transfers in Länder mit unzureichendem Datenschutz erfordern zusätzliche Prüfungen.
  • Export sensibler Daten: Sensible Daten (z. B. Standortdaten) unterliegen strikten Exportbeschränkungen.
  • Standardvertragsklauseln (SCC): Die chinesischen SCCs sind unflexibel und erfordern eine Einreichung bei der CAC, was den Prozess weiter verkompliziert.

Diese Vorgaben erschweren insbesondere den Umgang mit Fahrzeugdaten, da vernetzte und autonome Fahrzeuge große Datenmengen generieren. Unternehmen müssen lokale Cloud-Lösungen nutzen und ihre Prozesse anpassen, um die Regeln einzuhalten. Alternativen wie Freihandelszonen oder zentrale Tochtergesellschaften können den Aufwand reduzieren.

5 Haupteinschränkungen beim Datentransfer in China für Unternehmen

5 Haupteinschränkungen beim Datentransfer in China für Unternehmen

1. Lokale Datenspeicherungspflicht

Die Verpflichtung zur lokalen Datenspeicherung ist ein zentraler Bestandteil der grenzüberschreitenden Datenregulierung in China. Sowohl das CSL als auch das PIPL schreiben vor, dass personenbezogene und als „wichtig“ eingestufte Daten, die in China generiert werden, ausschließlich innerhalb des Landes gespeichert werden müssen. Für Unternehmen, die Fahrzeugbewertungsdienste anbieten, bedeutet dies, dass sämtliche Daten, die im Zusammenhang mit der Begutachtung, Wartung oder Nutzung von Fahrzeugen entstehen, lokal gespeichert werden müssen. Diese Regelung zwingt Unternehmen dazu, ihre IT-Architektur auf eine dezentrale Struktur umzustellen.

Zentralisierte Datenbanken stehen zudem vor der Herausforderung, sicherzustellen, dass ausländisches Personal keinen Zugriff auf in China gespeicherte Daten hat. Chinesische Behörden werten den Zugriff ausländischen Personals auf Daten, die physisch in Festlandchina gespeichert sind, als Datenübertragung ins Ausland. Dies macht den Einsatz lokaler Cloud-Lösungen unumgänglich, wie beispielsweise über Alibaba Cloud oder lokale Instanzen von Azure.

Ein anschauliches Beispiel hierfür ist Tesla: Seit Juni 2025 speichert das Unternehmen die Daten seiner Elektrofahrzeuge in Shanghai. Obwohl Tesla eine Genehmigung zur Übertragung dieser Daten in die USA beantragt hat, verbleiben die Daten aufgrund ihrer Einstufung als „wichtige Daten“ in China.

Verstöße gegen diese Vorgaben können erhebliche Strafen nach sich ziehen. Unternehmen drohen Geldbußen von bis zu 50 Millionen RMB (rund 6,5 Millionen Euro) oder 5 % des Vorjahresumsatzes. Verantwortliche Personen können zusätzlich mit Strafen von bis zu 1 Million RMB belegt werden.

2. Sicherheitsprüfungen für wichtige Datentransfers

Unternehmen, die „wichtige Daten" aus China übermitteln möchten, müssen zunächst eine Sicherheitsprüfung durch die Cyberspace Administration of China (CAC) durchlaufen. Dabei reicht bereits die Übertragung kleinster Datenmengen aus, um diese Prüfpflicht auszulösen.

Die Definition von „wichtigen Daten" bleibt dabei schwammig. Nach den Maßnahmen zur Sicherheitsbewertung grenzüberschreitender Datenübertragungen handelt es sich um Daten, deren Veränderung, Verlust, Offenlegung oder Missbrauch die nationale Sicherheit, wirtschaftliche Abläufe, soziale Stabilität oder die öffentliche Gesundheit beeinträchtigen könnten. Im Fahrzeugsektor zählen hierzu beispielsweise Standortdaten von Fahrzeugen, Verkehrsflussdaten sowie externe Video- und Bildaufnahmen.

„Important data is a nebulous concept in Chinese laws and regulations which requires further elaboration by the CAC and relevant industry regulators."

Samuel Yang, Partner bei AnJie Broad Law Firm

Der Prüfungsprozess selbst ist komplex und zeitaufwendig. Er beginnt mit einer Selbstbewertung, die mindestens drei Monate vor der geplanten Übertragung erfolgen muss. Danach folgen eine Provinzprüfung (5 Arbeitstage), die Annahme durch die CAC (7 Arbeitstage) und schließlich die Sicherheitsprüfung, die mindestens 45 Arbeitstage in Anspruch nimmt. Insgesamt dauert das Verfahren etwa 57 Arbeitstage. Bis März 2025 hatte die CAC 298 Sicherheitsprüfungen durchgeführt. Von den 44 Anträgen, die wichtige Daten betrafen, wurden 7 abgelehnt – das entspricht einer Ablehnungsquote von etwa 16 %.

Die Auswirkungen dieser Verzögerungen sind erheblich: Datentransfers sind streng untersagt, bis die Sicherheitsprüfung erfolgreich abgeschlossen wurde. Eine genehmigte Sicherheitsbewertung hat eine Gültigkeit von drei Jahren. Danach muss spätestens 60 Arbeitstage vor Ablauf ein neuer Antrag gestellt werden. Daher ist es essenziell, dass Verträge mit ausländischen Datenempfängern an die erfolgreiche Durchführung der CAC-Prüfung gekoppelt werden.

3. Genehmigungsverfahren für Transfers in Länder mit schwachem Datenschutz

China stellt keine offizielle Liste von Ländern mit „schwachem" Datenschutz bereit. Stattdessen liegt es in der Verantwortung von Unternehmen, selbst zu beurteilen, ob das Zielland den chinesischen Datenschutzanforderungen genügt. Die Cyberspace Administration of China (CAC) prüft dabei mehrere Faktoren, darunter die Datenschutzpolitik, die geltende Gesetzgebung und das Cybersicherheitsumfeld des Empfängerlandes. Auf dieser Grundlage wird das konkrete Schutzniveau bewertet.

Das Zielland muss den Anforderungen des chinesischen Datenschutzgesetzes (PIPL) und des Gesetzes zur Datensicherheit (DSL) entsprechen. Die CAC bewertet, ob das Empfängerland den erforderlichen Schutzstandard erfüllt.

„The substantive content of a security assessment by the CAC... [includes] the impact of data security protection policies and legislation and the cybersecurity environment of the country or region where the overseas recipient is located on the security of the outbound data; whether the data protection level of the overseas recipient meets the requirements of Chinese laws and administrative regulations and the mandatory national standards."

Samuel Yang, Partner bei AnJie Broad Law Firm

Wie bereits in Abschnitt 2 beschrieben, ist dieser Prozess äußerst komplex. Nun müssen auch internationale Datenübertragungen diese Anforderungen erfüllen. Multinationale Unternehmen sind verpflichtet, vor jedem Transfer eine PIPIA (Personal Information Protection Impact Assessment) durchzuführen, um die rechtlichen Rahmenbedingungen im Empfängerland zu analysieren. Diese Bewertung muss mindestens drei Jahre lang aufbewahrt werden. Sollten sich die Datenschutzgesetze im Zielland wesentlich ändern, ist eine erneute Sicherheitsprüfung erforderlich. Solche zusätzlichen Prüfungen betreffen auch den Datentransfer in spezifischen Bereichen wie der Fahrzeugbewertung.

Ab 2025 profitieren Unternehmen in Freihandelszonen von vereinfachten Regelungen: Daten, die nicht auf den Negativlisten aufgeführt sind, können ohne zusätzliche Genehmigungsverfahren transferiert werden. Darüber hinaus können multinationale Konzerne mit mehreren chinesischen Tochtergesellschaften einen Sammelantrag einreichen, was den Prozess weiter erleichtert.

4. Einschränkungen beim Export sensibler Daten

Die lokalen Vorgaben zur Datenspeicherung und Sicherheitsprüfungen bringen zusätzliche Hürden für den Export sensibler Daten mit sich. In China wird zwischen sensiblen personenbezogenen Daten (wie biometrischen Daten, Finanzkonten, präzisen Standortinformationen und Daten von Minderjährigen) und wichtigen Daten (wie Fahrzeugstandort- und Verkehrsflussinformationen) unterschieden. Beide Kategorien unterliegen strikten Exportregelungen. Sobald der Export sensible Daten von mehr als 10.000 Personen betrifft, ist eine verpflichtende Sicherheitsprüfung durch die Cyberspace Administration of China (CAC) erforderlich. Diese Differenzierung bildet die Grundlage für spezifische Anforderungen, insbesondere im Fahrzeugsektor.

Die Kategorie der „wichtigen Daten“ umfasst Informationen, deren Manipulation, Zerstörung oder Weitergabe die nationale Sicherheit, den Wirtschaftsbetrieb oder die öffentliche Gesundheit gefährden könnte. Im Automobilsektor zählen hierzu unter anderem Fahrzeugstandortdaten, Verkehrsflussinformationen sowie Daten, die von Außenkameras und Sensoren erfasst werden. Diese Daten müssen zwingend im Inland gespeichert werden – ein direkter Transfer ins Ausland ist bei vernetzten Fahrzeugen untersagt.

"Important Data are limited to the data which may pose risks to national security or the public interest if leaked, and are usually related to national defense, nuclear energy, biosecurity, macro economics, public healthcare, and other key areas."

John Tan und Siyi Gu, Partner/Associates, Arnold & Porter

Diese strengen Regelungen haben erhebliche Auswirkungen auf Prozesse wie die Fahrzeugbewertung. Beispielsweise können bei Fahrzeuggutachten Daten wie Fahrzeugidentifikationsnummern (VIN), Eigentümerinformationen, Nutzungshistorien und Standortdaten schnell die festgelegten Schwellenwerte überschreiten. Von insgesamt 509 geprüften Datenpositionen wurden lediglich 325 für den grenzüberschreitenden Transfer genehmigt.

Für Unternehmen in Freihandelszonen gibt es seit August 2024 Erleichterungen durch Negativlisten, die speziell für die Automobilindustrie erstellt wurden. Daten, die nicht auf diesen Listen aufgeführt sind, können ohne die üblichen rechtlichen Einschränkungen exportiert werden. Dennoch müssen Fahrzeugbewertungsfirmen vor jedem Export eine Personal Information Protection Impact Assessment (PIPIA) durchführen und die ausdrückliche Zustimmung der Fahrzeughalter separat einholen.

5. Schwierigkeiten mit Standardvertragsklauseln

Die EU-Standardvertragsklauseln (EU-SCCs) bieten unterschiedliche Module, die flexibel an verschiedene Szenarien angepasst werden können. Im Gegensatz dazu sind die chinesischen SCCs eine starre, einheitliche Vorlage, die Unternehmen nicht verändern dürfen. Anpassungen sind lediglich im Anhang möglich, solange sie dem Kerntext nicht widersprechen.

Ein weiterer Unterschied liegt im anwendbaren Recht: Die chinesischen SCCs unterliegen zwingend dem Recht der Volksrepublik China. Zudem müssen Unternehmen die unterzeichneten SCCs zusammen mit einem PIPIA-Bericht innerhalb von 10 Werktagen bei der zuständigen provinziellen Cyberspace Administration of China (CAC) einreichen. Diese prüft die Unterlagen in der Regel innerhalb von 15 Werktagen.

„Die provinzielle CAC-Prüfung ist nicht nur eine verfahrenstechnische Einreichung, sondern dient als faktische Genehmigung, obwohl derzeit unklar ist, welches Maß an Kontrolle die provinzielle CAC bei der Prüfung ausüben wird."

– Amaya Zhou und Barbara Li, Reed Smith

Diese strengen Vorgaben stellen insbesondere für Fahrzeugbewertungsdienste eine Herausforderung dar. Die Nutzung der SCCs ist auf Unternehmen beschränkt, die seit dem 1. Januar des Vorjahres weniger als 100.000 Personen betreffen (bei sensiblen Daten weniger als 10.000 Personen). Diese Schwellenwerte ergänzen die bereits bestehenden Sicherheitsprüfungen und legen fest, ob eine vollständige Überprüfung durch die CAC erforderlich ist. Wird die Schwelle überschritten, ist eine umfassende Sicherheitsprüfung notwendig.

Zudem müssen Unternehmen jede wesentliche Änderung im Übertragungsszenario – wie neue Datenempfänger oder geänderte Serverstandorte – erneut einreichen. Dies erfordert eine komplette Neueinreichung aller Dokumente. Verstöße gegen diese Vorgaben können mit Geldbußen von bis zu 50 Millionen RMB oder 5 % des Vorjahresumsatzes geahndet werden. Diese Anforderungen machen eine sorgfältige Planung und Abstimmung der Prozesse im Bereich der Fahrzeugbewertung unverzichtbar.

Auswirkungen auf Fahrzeugbewertungsdienste

Die strikten Regelungen zum Datentransfer in China stellen Fahrzeugbewertungsdienste vor erhebliche Herausforderungen. Vernetzte und autonome Fahrzeuge generieren riesige Datenmengen – etwa durch Lidarsysteme, Sensoren und das Tracking des Fahrerverhaltens. Diese Daten unterliegen einer strengen Kontrolle. Statt Daten direkt ins Ausland zu übertragen, sind Unternehmen gezwungen, inländische Cloud-Services zu nutzen, was die betriebliche Effizienz beeinträchtigt.

Die drei möglichen Wege zur Einhaltung der Vorschriften – die CAC-Sicherheitsprüfung, die PIP-Zertifizierung und die Nutzung von Standardvertragsklauseln – bringen unterschiedliche, aber zeitaufwändige Anforderungen mit sich. Diese Prozesse wirken sich direkt auf die Effizienz und Kostenstruktur der Fahrzeugbewertung aus. Bis März 2025 hatte die CAC 298 Sicherheitsprüfungen durchgeführt, von denen 44 „wichtige Daten“ betrafen. Sieben dieser Prüfungen scheiterten vollständig.

Ein weiterer Stolperstein: Selbst Remote-Zugriffe aus dem Ausland auf in China gespeicherte Daten werden als grenzüberschreitender Datentransfer gewertet, auch wenn keine physische Bewegung der Daten stattfindet. Das zwingt Fahrzeugbewertungsdienste dazu, ihre internen Abläufe grundlegend umzustellen. Sie müssen entweder vollständig auf lokales Daten-Processing setzen oder jeden Remote-Zugriff über formelle Genehmigungen absichern. Diese Anforderungen machen eine umfassende Anpassung der Prozesse unumgänglich.

Multinationale Unternehmen können jedoch Kosten minimieren, indem sie eine chinesische Tochtergesellschaft als zentrale Einheit für Sicherheitsprüfungen oder SCC-Einreichungen nutzen – und zwar stellvertretend für alle verbundenen Geschäftsbereiche mit ähnlichem Modell. Zudem bieten Freihandelszonen wie Beijing mit ihren „Negativlisten“ für die Automobilindustrie eine gewisse Entlastung: Daten, die nicht auf diesen Listen aufgeführt sind, können ohne die Standard-CAC-Mechanismen übertragen werden.

Fazit

Chinas strenge Regelungen zum Datentransfer stellen Unternehmen vor erhebliche Herausforderungen. Lokale Speicherung, Sicherheitsprüfungen, Genehmigungsverfahren, Exportbeschränkungen und starre Standardvertragsklauseln beeinflussen sowohl die Kosten als auch die Effizienz erheblich. Die von der CAC veröffentlichten statistischen Ergebnisse verdeutlichen, wie wichtig eine gründliche Vorbereitung ist. Für Unternehmen in der Fahrzeugbewertungsbranche bedeutet dies, dass gezielte Maßnahmen unumgänglich sind.

Ein zentraler Schritt besteht darin, die Datenstrategien der Unternehmen zu überdenken. Dazu gehören beispielsweise konsolidierte Anträge über eine zentrale chinesische Tochtergesellschaft, die Nutzung von Negativlisten aus Freihandelszonen (wie der Beijing FTZ-Liste für die Automobilindustrie) sowie saubere Einwilligungsverfahren. Letzteres umfasst etwa die Vermeidung vorab angekreuzter Kästchen auf digitalen Bewertungsplattformen. Solche Maßnahmen sparen Zeit und Ressourcen, besonders angesichts der kurzen Frist von nur zwei Monaten nach behördlicher Benachrichtigung.

Um den Anforderungen gerecht zu werden, sind technische und organisatorische Maßnahmen unabdingbar. Für Fahrzeugbewertungsdienste bedeutet dies unter anderem die Verschlüsselung und Pseudonymisierung von Fahrzeug- und Kundendaten, um Risiken zu minimieren. Diese Verfahren sollten fester Bestandteil jedes Datenexportprozesses sein. Ebenso wichtig ist es, Datenschutz-Folgenabschätzungen als Standardprozess vor jedem Datenexport zu etablieren.

Die drei verfügbaren Compliance-Mechanismen – CAC-Sicherheitsprüfung, SCC-Einreichung und PIP-Zertifizierung – bieten je nach Datenvolumen und Unternehmensstruktur unterschiedliche Ansätze. Die Wahl des passenden Mechanismus hat direkten Einfluss auf die Effizienz und Kosten internationaler Geschäftstätigkeiten.

FAQs

Welche Folgen hat es, wenn Unternehmen in China gegen Vorschriften zur Datenspeicherung verstoßen?

Ein Verstoß gegen Vorschriften wie das Cyber-Security-Law (CSL) oder das Data Security Law (DSL) kann für Unternehmen in China schwerwiegende Folgen haben. Hohe Geldstrafen sind dabei keine Seltenheit. Diese können sich auf mehrere Millionen Yuan belaufen und werden oft in Relation zum Jahresumsatz des Unternehmens berechnet. Zusätzlich drohen Verwaltungsmaßnahmen, die bis zur Aussetzung oder sogar zum Entzug von Geschäftslizenzen reichen können – ein Szenario, das den Zugang zum chinesischen Markt massiv einschränkt.

Die Behörden können außerdem Sicherheitsprüfungen anordnen oder Nachbesserungen verlangen. Werden diese Vorgaben ignoriert oder nicht fristgerecht umgesetzt, drohen weitere Sanktionen, die bis hin zu strafrechtlichen Konsequenzen reichen können. Solche Verstöße gefährden nicht nur den laufenden Geschäftsbetrieb, sondern stellen auch die langfristige Marktpräsenz in China auf eine harte Probe.

Wie unterscheidet sich der Sicherheitsprüfungsprozess für wichtige Daten in China von dem in anderen Ländern?

In China unterliegt der grenzüberschreitende Transfer von wichtigen Daten strengen staatlichen Regelungen. Unternehmen müssen zunächst prüfen, ob die betreffenden Daten in branchenspezifischen Katalogen als „wichtige Daten“ eingestuft sind. Falls dies zutrifft, ist eine behördliche Sicherheitsprüfung durch die Cyberspace Administration of China (CAC) zwingend erforderlich. Nur wenn diese Prüfung positiv ausfällt, darf der Datentransfer stattfinden. Frühere Ansätze wie Standardvertragsklauseln (SCCs) oder Zertifizierungen reichen in solchen Fällen nicht aus.

Im Gegensatz dazu verfolgen viele andere Länder, darunter die EU mit der DSGVO, einen anderen Ansatz. Hier kommen vor allem vertragliche Mechanismen wie SCCs oder freiwillige Zertifizierungen zum Einsatz. In den USA sind branchenspezifische Standards und freiwillige Audits ebenfalls gängige Praxis. Chinas Vorgehen unterscheidet sich jedoch deutlich: Es ist stärker zentralisiert und wird direkt von der Regierung gesteuert, insbesondere wenn es um sensible Daten geht.

Welche Vorteile bieten Freihandelszonen für den Datentransfer in China?

Freihandelszonen in China sind besondere Gebiete, in denen die Zollvorschriften gelockert sind. Dies ermöglicht es Unternehmen, IT-Infrastruktur wie Server-Hardware unkomplizierter zu importieren und zu betreiben. Einfuhrlizenzen sind in diesen Zonen nicht notwendig, und auch die sonst üblichen Zollformalitäten entfallen.

Allerdings bleiben die strengen chinesischen Datenschutz- und Cybersicherheitsgesetze unverändert bestehen, wenn es um den eigentlichen Datentransfer geht. Dazu zählen unter anderem das Cyber-Security-Law, das Data-Security-Law und das PIPL. Seit März 2024 gibt es jedoch neue Regelungen der Cyberspace Administration of China (CAC), die unter bestimmten Voraussetzungen den grenzüberschreitenden Datenfluss erleichtern. Während Freihandelszonen die physische Bereitstellung von Infrastruktur beschleunigen können, verändern sie die rechtlichen Vorgaben für den Datenexport nicht.

Verwandte Blogbeiträge