Chinas Datenschutzgesetze: Update 2025: Was globale Unternehmen wissen müssen

Chinas Datenschutzlandschaft entwickelt sich rasanter als in fast jedem anderen Land. Seit unserer letzten detaillierten Analyse im Jahr 2023 hat Peking die Kontrollen für grenzüberschreitende Datentransfers verschärft, die Definition von „wichtigen Daten“ erweitert und die Durchsetzung mit Bußgeldern in Millionenhöhe verstärkt. Im Folgenden erläutern wir alle Änderungen, die globale Unternehmen bis 2025 kennen sollten, basierend auf den neuesten Gesetzestexten, Durchsetzungsstatistiken und Analysen von Shufti.

1. Chinas Datenschutzrahmen im Jahr 2025: Eine kurze Zusammenfassung

Bevor wir uns mit den Neuerungen befassen, fassen wir kurz die Grundpfeiler des sich rasant entwickelnden chinesischen Datengovernance-Regimes zusammen und erläutern, warum jedes einzelne Gesetz und seine Anpassungen bis 2025 für multinationale Unternehmen, die Daten sammeln, speichern oder einfach nur verarbeiten, von Bedeutung sind. aufnehmen Chinesische persönliche Daten heute.

• Cybersicherheitsgesetz (CSL) – grundlegende Sicherheits- und Netzwerkbetreiberpflichten.
• Datenschutzgesetz (DSL) – Klassifizierung von „Kerndaten“ vs. „wichtigen“ Daten; risikobasierte Sicherheitsverpflichtungen.
• Gesetz zum Schutz personenbezogener Daten (PIPL) – Chinas Datenschutzgesetz nach dem Vorbild der DSGVO.
• Überarbeitetes Staatsgeheimnisgesetz (in Kraft seit 1. Mai 2024) – erweiterter Geltungsbereich und neue „Betriebsgeheimnisse“, wodurch sich die Offenlegungspflichten erhöhen. https://www.reuters.com/legal/legalindustry/chinas-revised-more-stringent-state-secrets-law-takes-effect-2024-05-07/
• Sektorale Vorschriften – z. B. Richtlinien für Finanzdaten (PBOC, 17. April 2025) mit einer expliziten Positivliste für grenzüberschreitende Datenflüsse. https://www.reuters.com/world/china/china-releases-guidelines-facilitate-cross-border-flows-financial-data-2025-04-17/

2. Wichtigste regulatorische Entwicklungen seit 2023

Seit unserem Artikel von 2023 hat Peking in rascher Folge Fragen und Antworten, branchenspezifische Leitlinien und Durchsetzungshinweise veröffentlicht. Die folgende Zeitleiste fasst diese wichtigsten Änderungen zusammen und zeigt auf, wer am stärksten betroffen ist und warum.

2.1 Was diese Änderungen für Sie bedeuten

• Niedrigere Schwellenwerte, aber höhere Kontrollen. Auch Unternehmen, deren Anzahl an Datensätzen unter der Grenze von 1 Million liegt, müssen Standardverträge einreichen oder Zertifizierungen einholen.
• Branchenspezifische Ausnahmen sind real. Finanzdienstleistungsunternehmen können die Whitelist vom April 2025 nutzen, allerdings nur, wenn Verschlüsselungs- und Lokalisierungskontrollen vorhanden sind.
• Die Kulanzfristen werden immer kürzer. Die Aufsichtsbehörden erwarten nun eine Behebung der Mängel innerhalb von zwei Monaten, statt wie zuvor innerhalb von sechs Monaten.

3. Durchsetzung und Branchentrends

Reine Zahlen erzählen nur einen Teil der Geschichte. Die Kombination von Daten zu Bußgeldern der Aufsichtsbehörden mit den Onboarding-Analysen von Shufti zeigt, wie politische Prioritäten das Marktverhalten, Betrugstypen und Compliance-Vorlaufzeiten verändern.

Die Risikoanalyse von Shufti für 2025 zeigt:

• 43 % Anstieg in Kundenanfragen für PIPL-Screening-Module zwischen dem dritten Quartal 2024 und dem zweiten Quartal 2025.
• Zeit für die Genehmigung Digitales Onboarding in Festlandchina fiel auf 7.4 Sekunden (‐12 % im Vergleich zum Vorjahr) unter Verwendung der hybriden OCR- und Biometrie-Engine von Shufti.
• Betrugsversuchsrate an chinesischen Kryptowährungsbörsen sank um 28 % nach Einführung der Shufti-Lebenderkennung, was den Fokus der Regulierungsbehörden auf Krypto-KYC.

Quelle: Shufti Global Identity Verification Benchmark H1 2025.

4. Checkliste zur Einhaltung der Vorschriften bis 2025

Betrachten Sie die untenstehende Checkliste als einen konkreten Leitfaden: Wenn alle Kästchen abgehakt sind, sollte Ihre Organisation die Erwartungen der CAC für 2025 problemlos erfüllen und auf Anfrage den Nachweis der Einhaltung erbringen können.

1. Datenflüsse zuordnen identifizieren wichtigsten vs Core Daten pro DSL.
2. Durchführung einer Gap-Analyse im Vergleich zu den CAC-Fragerunden im April und Juni 2025.
3. Standardverträge ausführen (oder Zertifizierung) für jeden ausgehenden PI.
4. Lokalisierung sensibler Datensätze auf chinesischem Boden; für die Katastrophenhilfe „zugelassene Knotenpunkte“ verwenden.
5. Datenschutzhinweise aktualisieren um der Anforderung der ausdrücklichen Einwilligung Rechnung zu tragen (Mai 2025).
6. Testen Sie die Notfallpläne. Verstöße melden innerhalb 8 Stunden an die CAC und die zuständige Branchenaufsichtsbehörde.
7. Nutzen Sie vertrauenswürdige Anbieter. wie Shufti für Echtzeit-Identitäts- und Lebendigkeitsprüfungen, die bereits mit den Datenminimierungsgrundsätzen des Artikels 40 des PIPL übereinstimmen.

5. Häufig gestellte Fragen (FAQ)

Frage 1: Beinhaltet die Schwelle von 1 Million Datensätzen auch Mitarbeiterdaten?
A: Ja. Die CAC-Fragen und -Antworten vom April 2025 bestätigen, dass die PI-Daten der Mitarbeiter auf die Obergrenze angerechnet werden. https://www.china-briefing.com/news/china-clarifies-cross-border-data-transfer-rules-official-qa/

Frage 2: Sind Standardvertragsklauseln noch gültig, wenn sie vor 2025 unterzeichnet wurden?
A: Nur wenn die eingereichten Unterlagen den Richtlinien vom Juni 2025 entsprechen; andernfalls ist eine erneute Einreichung erforderlich. https://natlawreview.com/article/china-releases-updated-guidance-application-security-assessment-cross-border-data

Frage 3: Ist für grenzüberschreitende Überweisungen immer eine Einwilligung erforderlich?
A: PIPL sieht bestimmte gesetzliche Ausnahmen vor (z. B. lebenswichtige Interessen), aber die meisten Unternehmensübertragungen erfordern nach Mai 2025 eine ausdrückliche Zustimmung.

Frage 4: Wie sollten KMU Sicherheitsbewertungen durchführen?
A: KMU unterhalb der CAC-Schwellenwerte können sich für die „Zertifizierung“ entscheiden, um die Einhaltung der Vorschriften zu vereinfachen; Shufti arbeitet mit externen Zertifizierungsstellen zusammen, um die Genehmigung zu beschleunigen.

Frage 5: Welche Strafen drohen bei Nichteinhaltung im Jahr 2025?
A: Geldstrafen bis zu 50 Mio. Yen oder 5 % des Jahresumsatzes, zuzüglich möglicher Betriebsschließungsanordnungen und persönlicher Haftung für Datenschutzbeauftragte.

Fazit

Chinas rasche Aktualisierung der regulatorischen Bestimmungen unterstreichen ein zentrales Thema: Grenzüberschreitende Daten sind heute ein Privileg, kein Recht mehr.Organisationen, die PIPL im Jahr 2021 als einmalige Angelegenheit betrachteten, müssen ihre Kontrollmechanismen verbessern, um den ab 2025 geltenden strengeren Durchsetzungszyklus zu überstehen. Durch die Integration von Privacy-by-Design und die Zusammenarbeit mit Anbietern, die sich durch ihre Compliance-Erfahrung bewährt haben, wie beispielsweise [Name des Anbieters einfügen], können sie dies erreichen. ShuftiDurch die Beachtung der CAC-Richtlinien können Unternehmen regulatorische Hürden in Wettbewerbsvorteile verwandeln.

Benötigen Sie Hilfe beim Entschlüsseln der neuesten CAC-Richtlinien? Wenden Sie sich an das Compliance-Team von Shufti für eine individuelle Risikobewertung.