DSGVO vs. PIPL: Datenschutzrecht der EU und Chinas im Vergleich (2026)
Die DSGVO und Chinas PIPL weisen eine ähnliche Struktur auf, weichen jedoch an mehreren operativ entscheidenden Punkten voneinander ab: Artikel 13 der PIPL lässt berechtigte Interessen als Rechtsgrundlage aus, verlangt eine gesonderte Einwilligung für die Weitergabe an Dritte und für grenzüberschreitende Übermittlungen, schreibt für Verarbeiter großer Datenmengen eine Datenlokalisierung vor und sieht eine persönliche Haftung verantwortlicher Personen vor.
Die europäische Datenschutz-Grundverordnung (DSGVO) und Chinas Gesetz zum Schutz personenbezogener Informationen (Personal Information Protection Law, PIPL), in Kraft seit dem 1. November 2021, verkörpern zwei grundlegend unterschiedliche Philosophien des Datenschutzes. Beide Gesetze gewähren Einzelpersonen Rechte über ihre personenbezogenen Informationen, doch die PIPL spiegelt Chinas eigenständige Betonung staatlicher Autorität und Datensouveränität wider. Für Organisationen, die in beiden Rechtsordnungen tätig sind, schaffen die Unterschiede bei Rechtsgrundlagen, Einwilligungsanforderungen, Regeln für grenzüberschreitende Übermittlungen und Aufsichtsstruktur erhebliche Compliance-Komplexität.
Dieser Artikel stellt die beiden Rahmenwerke gegenüber, einschließlich der Regulierungsentwicklungen 2025-2026 in beiden Regimen.
Informationen zuletzt geprüft am 19.05.2026. Dieser Artikel wurde noch nicht von einem zugelassenen Rechtsanwalt überprüft.
Umfang der Rechtsordnungen: Dieser Artikel behandelt die europäische Datenschutz-Grundverordnung (DSGVO, anwendbar in allen 30 EWR-Mitgliedstaaten) und Chinas Gesetz zum Schutz personenbezogener Informationen (PIPL, in Kraft seit 1. November 2021), zusammen mit Chinas Cybersicherheitsgesetz (in geänderter Fassung, in Kraft seit 1. Januar 2026) und dem Datensicherheitsgesetz (in Kraft seit 1. September 2021). Er behandelt nicht die Datenschutzgesetze einzelner US-Bundesstaaten (dazu siehe US-Datenschutzgesetze) oder andere nationale Datenschutzregime. Für den vollständigen Kontext der PIPL innerhalb von Chinas umfassenderem Rechtsrahmen siehe unseren Leitfaden zu Chinas Datenschutzgesetzen.
DSGVO vs. PIPL im Überblick
Die folgende Tabelle zeigt die wichtigsten Vergleichspunkte. Eine ausführliche Analyse folgt in den jeweiligen Abschnitten.
| Merkmal | DSGVO | PIPL |
|---|---|---|
| Zuständigkeit | 30 EWR-Mitgliedstaaten | China (Volksrepublik) |
| Inkrafttreten | 25. Mai 2018 | 1. November 2021 |
| Extraterritoriale Reichweite | Ja (Art. 3) | Ja (Art. 3) |
| Rechtsgrundlagen | 6, einschließlich berechtigter Interessen | 7, jedoch KEINE berechtigten Interessen |
| Gesonderte Einwilligung für Weitergabe an Dritte erforderlich | Nein | Ja (Art. 23) |
| Datenlokalisierung | Nicht erforderlich | Erforderlich für Betreiber kritischer Infrastrukturen und Verarbeiter großer Datenmengen |
| Mechanismen für grenzüberschreitende Übermittlung | Angemessenheit, Standardvertragsklauseln, verbindliche interne Vorschriften, Zertifizierung, Ausnahmen | Sicherheitsbewertung, Standardvertrag (bei der CAC registriert), Zertifizierung |
| Höchstbußgeld (Organisation) | 20 Mio. Euro oder 4 % des weltweiten Umsatzes | 50 Mio. RMB oder 5 % des Umsatzes des Vorjahres |
| Persönliche Haftung (Einzelpersonen) | In der Regel nicht vorgesehen | Ja: bis zu 1 Mio. RMB; Berufsverbot |
| Aufsichtsbehörde | Nationale Datenschutzbehörden + EDSA | CAC (federführend) + MIIT, Ministerium für öffentliche Sicherheit, SAMR, Finanzaufsichtsbehörden |
| Antwortfrist bei Rechteanfragen | 1 Monat (verlängerbar) | "Zeitnah" (keine feste Frist) |
| Rechte für Angehörige Verstorbener | Nein | Ja (Art. 49) |
| Verpflichtende Compliance-Audits | Nicht vorgeschrieben | Ja: alle 2 Jahre für Verarbeiter von 10 Mio.+ Personen (in Kraft seit 1. Mai 2025) |
Hintergrund und gesetzgeberischer Kontext
Die DSGVO entstand aus der europäischen Tradition, Datenschutz als Grundrecht zu verstehen, kodifiziert in Artikel 8 der EU-Grundrechtecharta. Sie ersetzte die Datenschutzrichtlinie von 1995 und harmonisierte den Datenschutz in 30 EWR-Ländern ab dem 25. Mai 2018.
Chinas PIPL ist eine von drei Säulen eines Regelwerks, das Cybersicherheit, Datensicherheit und personenbezogene Informationen in China regelt. Die beiden anderen sind das Cybersicherheitsgesetz (CSL) und das Datensicherheitsgesetz (DSL, in Kraft seit 1. September 2021). Zusammen bilden diese drei Gesetze ein umfassendes Rahmenwerk für Informationsflüsse in China und aus China heraus. Die PIPL wurde am 20. August 2021 vom Ständigen Ausschuss des Nationalen Volkskongresses verabschiedet und trat am 1. November 2021 in Kraft.
Die PIPL weist strukturelle Ähnlichkeiten mit der DSGVO auf, chinesische Regulierungsbehörden untersuchten das europäische Modell während der Ausarbeitung. Die PIPL wurde jedoch auch von Chinas eigenständigen politischen Zielen in Bezug auf Datensouveränität, nationale Sicherheit und die Regulierung großer Technologieplattformen geprägt. Das Ergebnis ist ein Gesetz, das strukturell vertraut wirkt, sich jedoch bei einigen der operativ wichtigsten Details deutlich unterscheidet.
Anwendungsbereich und räumliche Geltung
Beide Gesetze gelten extraterritorial, jedoch über unterschiedliche Mechanismen.
Die DSGVO gilt nach Artikel 3 für Organisationen, die im EWR niedergelassen sind, sowie für Organisationen außerhalb des EWR, die Personen im EWR Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Nicht-EU-Organisationen im Anwendungsbereich müssen nach Artikel 27 einen EU-Vertreter benennen.
Die PIPL gilt nach Artikel 3 für jede Verarbeitung personenbezogener Informationen innerhalb Chinas und gilt auch außerhalb Chinas, wenn der Zweck darin besteht, Personen in China Produkte oder Dienstleistungen anzubieten, das Verhalten von Personen in China zu analysieren oder zu bewerten, oder unter anderen gesetzlich festgelegten Umständen. Organisationen außerhalb Chinas im Anwendungsbereich müssen eine eigene Stelle einrichten oder einen Vertreter in China für Angelegenheiten des Schutzes personenbezogener Informationen benennen (PIPL Art. 53).
Der praktische Durchsetzungshebel unterscheidet sich. Die EU stützt sich auf Sanktionen, Verarbeitungsverbote und, bei Übermittlungen von der EU in Drittländer, den Angemessenheitsmechanismus. China kann den Marktzugang für nicht konforme ausländische Organisationen direkt beschränken, was der PIPL eine Durchsetzungsreichweite verleiht, die der DSGVO fehlt.
Das Internetgericht Guangzhou erließ im Herbst 2024 das erste veröffentlichte Urteil zur extraterritorialen Reichweite der PIPL. Ein chinesischer Hotelgast verklagte eine nicht namentlich genannte französische Hotelgruppe, nachdem diese die personenbezogenen Informationen des Gastes ohne die nach Artikel 23 der PIPL erforderliche gesonderte Einwilligung an Dritte weitergegeben hatte. Das Gericht befand die Hotelgruppe für haftbar. Der Fall bestätigt, dass chinesische Gerichte die PIPL-Standards auf die Verarbeitung von Daten chinesischer Einwohner durch ausländische Organisationen anwenden.
Begriffsbestimmungen und geschützte Daten
| Begriff | DSGVO | PIPL |
|---|---|---|
| Geschützte Person | Betroffene Person | Person (Subjekt personenbezogener Informationen) |
| Geschützte Daten | Personenbezogene Daten | Personenbezogene Informationen |
| Sensible Daten | Besondere Kategorien (Art. 9) | Sensible personenbezogene Informationen (Art. 28) |
| Datenerheber | Verantwortlicher | Verarbeiter personenbezogener Informationen |
| Verarbeitungsstelle | Auftragsverarbeiter | Beauftragte Partei |
| Datenschutzverantwortlicher | Datenschutzbeauftragter (DSB) | Für den Schutz personenbezogener Informationen zuständige Person |
Die PIPL definiert personenbezogene Informationen als jede mit elektronischen oder anderen Mitteln erfasste Information über eine identifizierte oder identifizierbare natürliche Person, mit Ausnahme anonymisierter Informationen. Die Definition personenbezogener Daten der DSGVO ist inhaltlich gleichwertig.
Die Kategorie sensibler personenbezogener Informationen der PIPL (Art. 28) umfasst biometrische Daten, religiöse Überzeugungen, spezifische Identitätsinformationen, medizinische und Gesundheitsinformationen, Finanzkonten, Standortverfolgung sowie personenbezogene Informationen von Minderjährigen unter 14 Jahren. Die besonderen Kategorien der DSGVO (Art. 9) erfassen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben und zur sexuellen Orientierung. Die PIPL ergänzt die Daten Minderjähriger und Finanzkontendaten um die sensible Kategorie; die DSGVO ergänzt politische Meinungen, Gewerkschaftszugehörigkeit und Daten zur sexuellen Orientierung.
Rechtsgrundlagen für die Verarbeitung
Die DSGVO sieht in Artikel 6 sechs Rechtsgrundlagen vor: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen.
Artikel 13 der PIPL sieht sieben Umstände vor, unter denen Verarbeiter personenbezogene Informationen verarbeiten dürfen. Die entscheidende Auslassung sind berechtigte Interessen.
| Rechtsgrundlage | DSGVO | PIPL |
|---|---|---|
| Einwilligung | Ja (Art. 6 Abs. 1 lit. a) | Ja (Art. 13 Ziff. 1) |
| Vertragserfüllung | Ja (Art. 6 Abs. 1 lit. b) | Ja (Art. 13 Ziff. 2) |
| Gesetzliche Verpflichtung | Ja (Art. 6 Abs. 1 lit. c) | Ja (Art. 13 Ziff. 3: gesetzliche Pflichten) |
| Lebenswichtige Interessen | Ja (Art. 6 Abs. 1 lit. d) | Teilweise, über Notfallregelungen |
| Öffentliches Interesse | Ja (Art. 6 Abs. 1 lit. e) | Ja (Art. 13 Ziff. 5: Nachrichtenberichterstattung, öffentliche Aufsicht) |
| Berechtigte Interessen | Ja (Art. 6 Abs. 1 lit. f) | Nicht verfügbar |
| Notstand im öffentlichen Gesundheitswesen | Unter lebenswichtigen Interessen erfasst | Ja (Art. 13 Ziff. 4) |
| Öffentlich zugängliche Daten | Weiterhin Rechtsgrundlage erforderlich | Ja (Art. 13 Ziff. 6: im angemessenen Umfang) |
| Andere gesetzliche Bestimmungen | Nicht zutreffend | Ja (Art. 13 Ziff. 7) |
Das Fehlen einer Grundlage berechtigter Interessen in der PIPL ist einer der bedeutsamsten praktischen Unterschiede für multinationale Organisationen. Nach der DSGVO ist die Grundlage berechtigter Interessen die am häufigsten genutzte Rechtsgrundlage für Direktmarketing, Betrugsprävention, Netz- und Informationssicherheit, konzerninterne Datenweitergabe und Analysen. Nach der PIPL müssen Organisationen für diese Tätigkeiten in der Regel eine Einwilligung einholen oder sie so umgestalten, dass sie unter eine andere aufgezählte Grundlage fallen.
Einwilligungsanforderungen: Gesondert und granular
Die Einwilligungsanforderungen der PIPL sind granularer als die der DSGVO. Beide Gesetze verlangen, dass die Einwilligung freiwillig, spezifisch, informiert und ebenso leicht widerrufbar wie erteilt ist.
Die PIPL geht weiter, indem sie in fünf spezifischen Situationen eine gesonderte Einwilligung (ein höherer Standard als die einfache Einwilligung) verlangt:
- Weitergabe personenbezogener Informationen an Dritte (Art. 23)
- Öffentliche Offenlegung personenbezogener Informationen (Art. 25)
- Verarbeitung sensibler personenbezogener Informationen (Art. 29)
- Übermittlung personenbezogener Informationen außerhalb Chinas (Art. 39)
- Nutzung von Bildern oder personenbezogener Identifizierung, die durch öffentliche Überwachungsanlagen erfasst wurden, für andere als öffentliche Sicherheitszwecke (Art. 26)
Die DSGVO verlangt eine ausdrückliche Einwilligung nur für besondere Kategorien personenbezogener Daten nach Artikel 9 und als Ausnahme für internationale Übermittlungen nach Artikel 49. Die Anforderungen der PIPL an eine gesonderte Einwilligung für die Weitergabe an Dritte und die öffentliche Offenlegung gehen über das hinaus, was die DSGVO verlangt.
| Merkmal der Einwilligung | DSGVO | PIPL |
|---|---|---|
| Standardeinwilligung | Freiwillig, spezifisch, informiert, unmissverständlich (Art. 7) | Freiwillig, ausdrücklich, vollständig informiert (Art. 14) |
| Sensible / besondere Kategorien | Ausdrückliche Einwilligung erforderlich (Art. 9) | Gesonderte Einwilligung erforderlich (Art. 29) |
| Grenzüberschreitende Übermittlung | Nicht erforderlich bei anderen Mechanismen (Art. 46) | Gesonderte Einwilligung unabhängig vom Mechanismus erforderlich (Art. 39) |
| Weitergabe an Dritte | Standardeinwilligung ausreichend | Gesonderte Einwilligung erforderlich (Art. 23) |
| Öffentliche Offenlegung | Standardeinwilligung ausreichend | Gesonderte Einwilligung erforderlich (Art. 25) |
| Daten von Kindern | Elterliche Einwilligung unter 16 (Mitgliedstaaten können auf 13 absenken) | Einwilligung der Eltern oder Erziehungsberechtigten unter 14 (Art. 31) |
| Widerruf | Muss so einfach sein wie die Erteilung (Art. 7 Abs. 3) | Gleicher Grundsatz (Art. 15) |
| Gebündelte Einwilligung | Muss spezifisch sein; Bündelung für unzusammenhängende Zwecke unwirksam | Gebündelte Einwilligung untersagt (Art. 17) |
Betroffenenrechte: PIPL Artikel 44-50 vs. DSGVO Kapitel 3
Beide Gesetze gewähren Einzelpersonen erhebliche Rechte über ihre personenbezogenen Informationen, wobei die PIPL strukturell weitgehend Kapitel 3 der DSGVO folgt, sich jedoch bei Fristen und Umfang unterscheidet.
Die Rechte nach den Artikeln 44-50 der PIPL sind:
- Recht auf Kenntnis und Entscheidung (Art. 44): Einzelpersonen können die Verarbeitung ihrer personenbezogenen Informationen einschränken oder ablehnen. Dies entspricht dem Widerspruchsrecht (Art. 21) und dem Recht auf Einschränkung der Verarbeitung (Art. 18) der DSGVO.
- Auskunftsrecht (Art. 45): Einzelpersonen können eine Kopie ihrer bei einer Organisation gespeicherten personenbezogenen Informationen einsehen. Das DSGVO-Äquivalent ist Artikel 15.
- Recht auf Berichtigung (Art. 46): Einzelpersonen können die Berichtigung unrichtiger personenbezogener Informationen verlangen. Das DSGVO-Äquivalent ist Artikel 16.
- Recht auf Löschung (Art. 47): Organisationen müssen personenbezogene Informationen löschen, wenn der Verarbeitungszweck erreicht wurde, die Aufbewahrungsfrist abgelaufen ist, die Einwilligung widerrufen wurde, die Verarbeitung unrechtmäßig war oder andere Gründe vorliegen. Das DSGVO-Äquivalent ist Artikel 17.
- Recht auf Datenübertragbarkeit (Art. 45): Einzelpersonen können die Übertragung personenbezogener Informationen an einen anderen Verarbeiter verlangen, jedoch nur unter den von der CAC festgelegten Bedingungen. Das Übertragbarkeitsrecht nach Artikel 20 DSGVO gilt umfassender für einwilligungs- und vertragsbasierte Verarbeitung.
- Recht bei automatisierten Entscheidungen (Art. 24): Hat eine automatisierte Entscheidungsfindung erhebliche Auswirkungen auf die Rechte und Interessen einer Person, kann diese eine Erklärung verlangen und die Annahme ausschließlich automatisiert getroffener Entscheidungen ablehnen. Artikel 22 DSGVO deckt automatisierte Entscheidungen im Einzelfall mit ähnlichem Umfang ab.
- Rechte für Angehörige Verstorbener (Art. 49): Familienangehörige einer verstorbenen Person können in ihrem berechtigten Interesse Auskunfts-, Berichtigungs- und Löschungsrechte ausüben. Die DSGVO kennt keine vergleichbare Regelung.
| Recht | DSGVO | PIPL |
|---|---|---|
| Informationspflicht | Art. 13-14 (bei Erhebung) | Art. 17 (Hinweispflicht bei Erhebung) |
| Auskunft | Art. 15 (1 Monat Antwortfrist) | Art. 45 ("zeitnahe" Antwort) |
| Berichtigung | Art. 16 | Art. 46 |
| Löschung | Art. 17 | Art. 47 |
| Einschränkung der Verarbeitung | Art. 18 | Art. 44 (Einschränkung oder Ablehnung) |
| Datenübertragbarkeit | Art. 20 (umfassend) | Art. 45 (CAC-Bedingungen anwendbar) |
| Widerspruch gegen Verarbeitung | Art. 21 | Art. 44 |
| Automatisierte Entscheidungen | Art. 22 | Art. 24 |
| Antwortfrist | 1 Monat, verlängerbar auf 3 (Art. 12) | "Zeitnah" - keine gesetzliche Frist |
| Angehörige Verstorbener | Nicht vorgesehen | Art. 49 |
Das Fehlen einer festen Antwortfrist in der PIPL erzeugt eine Durchsetzungsasymmetrie. Organisationen in China können ihre Infrastruktur zur Bearbeitung von Anfragen nicht auf eine feste gesetzliche Frist ausrichten, und Einzelpersonen, die ihre Rechte ausüben, haben weniger Gewissheit darüber, wann sie eine Antwort erwarten können.
Aufsichtsstruktur: EDSA/Datenschutzbehörden vs. CAC und Mehrbehördenmodell
Die beiden Rahmenwerke nutzen grundlegend unterschiedliche Aufsichtsarchitekturen.
Nach der DSGVO benennt jeder EU-Mitgliedstaat eine oder mehrere nationale Aufsichtsbehörden (Datenschutzbehörden). Diese müssen nach Artikel 52 vollständig unabhängig sein und ihre Befugnisse unparteiisch ausüben. Für Organisationen, die in mehreren EU-Mitgliedstaaten tätig sind, erlaubt der One-Stop-Shop-Mechanismus (Art. 56), dass die Datenschutzbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung der Organisation befindet, als federführende Aufsichtsbehörde für die grenzüberschreitende Verarbeitung fungiert. Der Europäische Datenschutzausschuss (EDSA) koordiniert die einheitliche Anwendung durch die nationalen Datenschutzbehörden, erlässt verbindliche Entscheidungen bei grenzüberschreitenden Streitigkeiten und veröffentlicht Leitlinien, Empfehlungen und Stellungnahmen, die die Durchsetzung der DSGVO durch die Datenschutzbehörden im gesamten EWR prägen.
Chinas PIPL nutzt ein in Artikel 60 festgelegtes Mehrbehördenmodell. Keine einzelne Behörde verfügt über eine Zuständigkeit, die einer nationalen Datenschutzbehörde entspricht. Die Cyberspace-Verwaltungsbehörde Chinas (CAC) übernimmt die führende und koordinierende Rolle. Weitere Regulierungsbehörden üben Befugnisse innerhalb ihrer jeweiligen Sektoren aus:
- MIIT (Ministerium für Industrie und Informationstechnologie): Apps, Telekommunikation, Internetdienste, Software
- Ministerium für öffentliche Sicherheit: sicherheitsbezogene Verarbeitung personenbezogener Informationen, Überwachung, Gesichtserkennung
- SAMR (Staatliche Verwaltung für Marktregulierung): verbraucherorientierte Produkte und Dienstleistungen, E-Commerce
- Finanzaufsichtsbehörden (People's Bank of China, CBIRC, CSRC): Finanzdaten, die von der jeweiligen Behörde beaufsichtigten Institutionen verarbeitet werden
- Gesundheitsbehörden: Gesundheits- und medizinische Daten
- Lokale Gegenstücke der jeweiligen Ministerien: Durchsetzung auf Provinz- und Gemeindeebene
2025 leitete die CAC gemeinsam mit MIIT und Behörden für öffentliche Sicherheit ressortübergreifende Durchsetzungsmaßnahmen, die sich gegen sechs Bereiche mit hoher Vorfallshäufigkeit richteten: Apps und Mini-Programme, Software Development Kits (SDKs), intelligente Endgeräte, Gesichtserkennung an öffentlichen Orten, Offline-Verbraucherszenarien und datenbezogene Straftaten.
Für Organisationen, die beiden Rahmenwerken unterliegen, ist der praktische Unterschied erheblich. Nach der DSGVO kann ein Unternehmen seine federführende Datenschutzbehörde anhand seiner Hauptniederlassung in der EU bestimmen und sich vorwiegend mit dieser Behörde auseinandersetzen. Nach der PIPL ist die Zuständigkeit auf Sektorregulierungsbehörden verteilt, und mehrere Behörden können gleichzeitig für die Tätigkeiten einer einzelnen Organisation zuständig sein.
Behördlicher Zugriff auf personenbezogene Daten
Dies ist der Bereich mit der größten philosophischen Divergenz zwischen den beiden Rahmenwerken.
Die DSGVO beschränkt den behördlichen Zugriff auf personenbezogene Daten durch die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit (Art. 23). Das EU-Recht verlangt, dass staatliche Überwachung einer gerichtlichen oder unabhängigen Aufsicht unterliegt. Der Gerichtshof der Europäischen Union (EuGH) hat internationale Übermittlungsmechanismen mit der Begründung gekippt, dass der Zugriff ausländischer Regierungen unzureichend beschränkt sei, unter anderem den US-EU-Privacy-Shield im Jahr 2020 (Schrems II).
Chinas Rahmenwerk verlangt eine umfassende Zusammenarbeit mit staatlichen Behörden. Artikel 7 des Gesetzes über nationale Nachrichtendienste (2017) verlangt von allen Organisationen und Bürgern, die nationale nachrichtendienstliche Arbeit zu "unterstützen, ihr beizustehen und mit ihr zu kooperieren". Das Gesetz zur Spionageabwehr, 2023 wesentlich geändert, erweiterte die Kategorien von Informationen, die nicht ins Ausland übermittelt werden dürfen. Artikel 35 der PIPL sieht vor, dass Regierungsstellen, die personenbezogene Informationen zur Erfüllung gesetzlicher Pflichten verarbeiten, die Anforderungen der PIPL einhalten müssen, doch das Gesetz über nationale Nachrichtendienste, das Datensicherheitsgesetz (das "wichtige Daten" im nationalen Interesse regelt) und das geänderte Cybersicherheitsgesetz schaffen zusammen weitreichende staatliche Zugriffspflichten.
Der EDSA hat behördliche Zugriffsregime in Drittländern als Faktor identifiziert, den Organisationen bei Transfer Impact Assessments berücksichtigen müssen. Das Fehlen eines EU-Angemessenheitsbeschlusses für China spiegelt teilweise Bedenken hinsichtlich dieser Bestimmungen wider. Stand Mai 2026 laufen keine Angemessenheitsverhandlungen zwischen der EU und China.
Grenzüberschreitende Datenübermittlungen
Die Regeln für grenzüberschreitende Übermittlungen stellen einen der deutlichsten operativen Unterschiede zwischen den beiden Rahmenwerken dar.
Die DSGVO erlaubt Übermittlungen durch: Angemessenheitsbeschlüsse (Art. 45), Standardvertragsklauseln (SCC, Art. 46), verbindliche interne Datenschutzvorschriften (BCR, Art. 47), Verhaltensregeln und Zertifizierung (Art. 40-42) oder Ausnahmen für spezifische Situationen (Art. 49). Organisationen verfügen über mehrere Wege mit erheblicher Flexibilität, und kein Übermittlungsmechanismus erfordert eine vorherige Anmeldung bei einer Regierungsbehörde.
Artikel 38 der PIPL legt drei Übermittlungsmechanismen fest, bei zwei von drei ist eine behördliche Beteiligung verpflichtend:
| Übermittlungsmechanismus | DSGVO | PIPL |
|---|---|---|
| Angemessenheitsbeschluss | Ja (Art. 45) | Nicht verfügbar |
| Standardvertragsklauseln | Ja (Art. 46); keine behördliche Anmeldung | Ja (Art. 38 Abs. 3); muss bei der CAC registriert werden |
| Sicherheitsbewertung durch die CAC | Nicht erforderlich | Erforderlich für Betreiber kritischer Infrastrukturen und Verarbeiter großer Datenmengen |
| Zertifizierung durch eine Institution | Ja (Art. 42) | Ja (Art. 38 Abs. 2); von der CAC benannte Institution; gemeinsame Vorschriften von CAC/SAMR in Kraft seit 2026 |
| Verbindliche interne Datenschutzvorschriften | Ja (Art. 47) | Nicht ausdrücklich verfügbar |
| Einwilligung der betroffenen Person | Nur als Ausnahme (Art. 49) | Für ALLE Übermittlungen gesondert erforderlich (Art. 39) |
Die Sicherheitsbewertung durch die CAC ist verpflichtend für Betreiber kritischer Informationsinfrastrukturen (CIIOs) sowie für Nicht-CIIO-Organisationen, die im Vorjahr die personenbezogenen Informationen von 100.000 oder mehr Personen verarbeitet, die sensiblen personenbezogenen Informationen von 10.000 oder mehr Personen verarbeitet oder kumulativ die personenbezogenen Informationen von 1 Million oder mehr Personen ins Ausland übermittelt haben. Organisationen unterhalb dieser Schwellen können den Standardvertrags-Weg (mit CAC-Registrierung) oder den Zertifizierungsweg nutzen.
Der Zertifizierungsweg wurde formalisiert, als CAC und SAMR gemeinsam 2025-2026 die Maßnahmen zur Zertifizierung grenzüberschreitender Übermittlungen personenbezogener Informationen erließen. Zertifizierungsstellen müssen sich innerhalb von 10 Arbeitstagen nach Erhalt der SAMR-Genehmigung bei der CAC registrieren. Damit wurde das dreistufige Übermittlungsrahmenwerk vollendet, das die PIPL seit ihrem Erlass vorgesehen hatte.
Unabhängig davon, welcher Mechanismus genutzt wird, verlangt Artikel 39 der PIPL, dass die Organisation die betroffene Person vor jeder grenzüberschreitenden Übermittlung gesondert informiert und deren gesonderte Einwilligung einholt. Diese Anforderung hat kein Äquivalent in der DSGVO.
Datenlokalisierung
Die PIPL schreibt in Verbindung mit dem CSL und dem DSL Anforderungen an die Datenlokalisierung vor, die kein Äquivalent in der DSGVO haben.
CIIOs müssen personenbezogene Informationen, die in China erhoben und erzeugt werden, im Inland speichern (PIPL Art. 40; CSL Art. 37). Nicht-CIIO-Verarbeiter personenbezogener Informationen, die die Schwellen der Sicherheitsbewertung überschreiten, müssen ebenfalls Daten lokal speichern und dürfen Daten erst nach erfolgreicher CAC-Sicherheitsbewertung ins Ausland übermitteln. Das geänderte CSL (in Kraft seit 1. Januar 2026) erweiterte den Kreis der Netzbetreiber, die lokalisierungsnahen Pflichten unterliegen, und passte die Sanktionsstruktur für Verstöße an die gestaffelten Bußgelder der PIPL an.
Die DSGVO enthält keine Anforderung zur Datenlokalisierung. Daten fließen innerhalb des EWR frei, und grenzüberschreitende Übermittlungen außerhalb des EWR sind über die oben beschriebenen Mechanismen zulässig. Es besteht keine Pflicht, eine Kopie personenbezogener Daten innerhalb des EU-Gebiets vorzuhalten.
Diese Abweichung schafft ein strukturelles Compliance-Problem für Organisationen, die integrierte EU-China-Datensysteme betreiben. Die Aufrechterhaltung getrennter Datensilos für chinesische und europäische Tätigkeiten ist die verbreitetste Lösung, sie ist jedoch mit laufenden Infrastrukturkosten verbunden und schränkt die betrieblichen Vorteile einer Datenzentralisierung ein.
Durchsetzung und Sanktionen
Beide Rahmenwerke sehen erhebliche Sanktionen vor, doch die Regeln der PIPL zur persönlichen Haftung machen sie für einzelne Führungskräfte besonders streng.
| Durchsetzungsaspekt | DSGVO | PIPL |
|---|---|---|
| Primäre Durchsetzungsbehörde | Nationale Datenschutzbehörden (30+), koordiniert durch den EDSA | CAC (federführend) + MIIT, Ministerium für öffentliche Sicherheit, SAMR, Finanzaufsichtsbehörden |
| Standardmäßiges behördliches Bußgeld | Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4) | Bis zu 1 Million RMB für die Organisation |
| Schweres behördliches Bußgeld | Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5) | Bis zu 50 Millionen RMB oder 5 % des Umsatzes des Vorjahres |
| Persönliche Haftung für Einzelpersonen | In der Regel nicht vorgesehen | Bußgelder von 100.000 bis 1.000.000 RMB für verantwortliche Personen |
| Berufsverbot | In der Regel nicht vorgesehen | Verbot der Tätigkeit als Direktor, Aufsichtsrat oder leitender Angestellter |
| Aussetzung von Diensten | Verarbeitungsverbote möglich | Behörden können die Einstellung von Diensten anordnen oder Lizenzen entziehen |
| Eintrag in Bonitätssysteme | Nicht zutreffend | Verstöße werden in den Bonitätsdatensätzen der Organisation und verantwortlicher Personen erfasst (Art. 67) |
| Meldung von Datenschutzverletzungen | 72 Stunden an die Aufsichtsbehörde (Art. 33) | "Unverzüglich" an die Behörde (Art. 57) |
Die Durchsetzung der DSGVO hat sich beschleunigt: Die seit Mai 2018 verhängten Gesamtbußgelder überstiegen Anfang 2025 insgesamt 5,65 Milliarden Euro. Zu den bemerkenswerten Durchsetzungsmaßnahmen von 2024 zählen LinkedIn Ireland (310 Millionen Euro, irische Datenschutzkommission, verhaltensbasierte Werbung), Uber (290 Millionen Euro, niederländische Datenschutzbehörde, unzureichende Schutzmaßnahmen bei EU-US-Übermittlungen) und Meta (251 Millionen Euro, irische Datenschutzkommission, Datenschutzverletzung von 2018). Die irische Datenschutzkommission hat seit 2018 Bußgelder von über 3,5 Milliarden Euro verhängt, vorwiegend gegen große US-Technologieunternehmen mit EU-Hauptniederlassung in Irland.
Die Durchsetzung der PIPL hat sich ähnlich ausgeweitet. 2024 befragte die CAC 11.159 Plattformen, verhängte Bußgelder oder Verwarnungen gegen 4.046 und schloss 10.946 Websites. Zu den bemerkenswerten Fällen zählen die Shanghaier Tochtergesellschaft von Dior (September 2025, sanktioniert wegen unbefugter grenzüberschreitender Datenübermittlungen, unzureichender Einwilligung und unzureichender Sicherheitsmaßnahmen) sowie das erste PIPL-Urteil des Internetgerichts Guangzhou zur extraterritorialen Reichweite (Herbst 2024, mit dem eine französische Hotelgruppe für die Weitergabe von Gästedaten ohne gesonderte Einwilligung haftbar gemacht wurde).
Das breitere chinesische Datenrechtsgefüge: CSL, DSL und PIPL
Organisationen, die in China tätig sind, unterliegen drei ineinandergreifenden Gesetzen, die mit der PIPL zusammenwirken.
Cybersicherheitsgesetz (CSL, geändert in Kraft seit 1. Januar 2026). Das ursprünglich 2017 erlassene CSL regelt Netzbetreiber und Betreiber kritischer Informationsinfrastrukturen. Der Ständige Ausschuss des Nationalen Volkskongresses verabschiedete am 28. Oktober 2025 Änderungen, und das überarbeitete CSL trat am 1. Januar 2026 in Kraft. Zu den wesentlichen Änderungen im geänderten CSL zählen:
- Gestaffelte Sanktionsstruktur: Bußgelder von bis zu 10 Millionen RMB für Unternehmen und 1 Million RMB für Einzelpersonen bei besonders schweren Verstößen (gegenüber niedrigeren früheren Obergrenzen)
- Erstmalige Regelungen zur KI-Governance: Artikel 20 fördert Forschung und Entwicklung im KI-Bereich sowie die Entwicklung von Trainingsdaten und schreibt gleichzeitig ethische KI-Standards, Risikoüberwachung und Sicherheitsmaßnahmen gegen KI-gestützte Bedrohungen vor
- Erweiterter extraterritorialer Anwendungsbereich: Das geänderte Gesetz erfasst nun jede ausländische Organisation oder Person, deren Tätigkeiten "die Cybersicherheit Chinas gefährden", ein weiterer Rahmen als der frühere Fokus auf Tätigkeiten, die kritische Informationsinfrastrukturen schädigen
- Pflichten in der Lieferkette: Betreiber kritischer Infrastrukturen müssen bei der Nutzung nicht genehmigter Netzprodukte mit Bußgeldern vom 1- bis 10-Fachen des Beschaffungswerts rechnen; sowohl Käufer als auch Lieferanten tragen nun unmittelbare rechtliche Pflichten
- Mildernde Umstände: Der neue Artikel 73 erlaubt geringere Sanktionen bei Verstößen, die umgehend korrigiert, proaktiv offengelegt wurden oder bei vollständiger Kooperation von geringer Bedeutung sind
Datensicherheitsgesetz (DSL, in Kraft seit 1. September 2021). Das DSL regelt andere Daten als personenbezogene Informationen, insbesondere "wichtige Daten" und "Kerndaten" im nationalen Interesse. Es verlangt von Organisationen, Daten nach Wichtigkeitsstufe zu klassifizieren, Sicherheitsmaßnahmen im Verhältnis zur Klassifizierung umzusetzen und vor der Übermittlung wichtiger oder Kerndaten ins Ausland eine behördliche Genehmigung einzuholen. Das DSL gilt für Datenverarbeitungstätigkeiten in China sowie nach Artikel 2 für Tätigkeiten außerhalb Chinas, die Chinas nationale Sicherheit, öffentliche Interessen oder die rechtmäßigen Rechte und Interessen von Bürgern oder Organisationen schädigen.
PIPL. Regelt personenbezogene Informationen im Speziellen und baut auf den Anforderungen des DSL zur Datensicherheit auf. Ein und dieselbe Datenmenge (etwa eine Datenbank chinesischer Verbraucher) kann gleichzeitig Pflichten nach allen drei Gesetzen auslösen.
Für Organisationen außerhalb Chinas bedeutet der erweiterte extraterritoriale Anwendungsbereich des geänderten CSL, dass cybersicherheitsbezogene Tätigkeiten mit Auswirkungen auf chinesische Netze, nicht nur die Verarbeitung personenbezogener Informationen, ausländische Organisationen nun unmittelbar der chinesischen Regulierungszuständigkeit aussetzen können.
Aktuelle Entwicklungen (2025-2026)
PIPL-Verwaltungsmaßnahmen für Compliance-Audits (in Kraft seit 1. Mai 2025). Die CAC erließ diese Maßnahmen am 14. Februar 2025. Organisationen, die personenbezogene Informationen von mehr als 10 Millionen Personen verarbeiten, müssen mindestens alle zwei Jahre selbstinitiierte Compliance-Prüfungen durchführen. Regulierungsbehörden können zudem für jede Organisation verpflichtende Audits anordnen, wenn Verarbeitungstätigkeiten ein erhebliches Risiko, weitreichende Auswirkungen auf die Rechte Einzelner oder einen bedeutenden Sicherheitsvorfall mit Auswirkungen auf 1 Million oder mehr Personen betreffen. Zu den Prüfungsinhalten zählen: Rechtsgrundlagen, Hinweis und Einwilligung, Konformität bei grenzüberschreitenden Übermittlungen, automatisierte Entscheidungsfindung, Umgang mit sensiblen Daten, Aufbewahrung und Löschung, Verfahren zur Bearbeitung von Betroffenenanfragen sowie Vorfallreaktion. Externe Prüfer dürfen dieselbe Organisation nicht mehr als dreimal prüfen.
Zertifizierungsvorschriften für grenzüberschreitende Übermittlungen (in Kraft seit 2026). CAC und SAMR erließen gemeinsam die Maßnahmen zur Zertifizierung grenzüberschreitender Übermittlungen personenbezogener Informationen und vollendeten damit das in Artikel 38 der PIPL vorgesehene dreistufige Übermittlungsrahmenwerk. Der Zertifizierungsweg steht Nicht-CIIO-Organisationen offen, die jährlich zwischen 100.000 und 1 Million Datensätze personenbezogener Informationen (oder weniger als 10.000 sensible Datensätze) übermitteln. Zertifizierungsstellen müssen sich innerhalb von 10 Arbeitstagen nach SAMR-Genehmigung bei der CAC registrieren.
Geändertes Cybersicherheitsgesetz (in Kraft seit 1. Januar 2026). Wie oben beschrieben, führte das geänderte CSL gestaffelte Sanktionen, KI-Governance, einen erweiterten extraterritorialen Anwendungsbereich und neue Pflichten in der Lieferkette ein. Für Organisationen, die bereits der PIPL unterliegen, ergänzt das geänderte CSL eine zusätzliche Compliance-Ebene für Netz- und Cybersicherheitspflichten.
Entwicklung der DSGVO-Durchsetzung (2024-2025). Die DSGVO-Bußgelder überstiegen allein 2024 insgesamt 1,2 Milliarden Euro, wobei sich die Durchsetzung über große Technologieunternehmen hinaus auf den Finanz- und Energiesektor ausdehnte. Die verstärkte Nutzung des Dringlichkeitsverfahrens nach Art. 65 durch den EDSA hat die Bearbeitung grenzüberschreitender Fälle beschleunigt.
Hinweise zur dualen Compliance
Organisationen, die sowohl der DSGVO als auch der PIPL unterliegen, stehen in mehreren zentralen Bereichen vor Zielkonflikten. Die folgende Checkliste zeigt die Abweichungen, die am ehesten strukturelle Compliance-Entscheidungen erfordern.
| Thema | Anforderung der DSGVO | Anforderung der PIPL | Compliance-Strategie |
|---|---|---|---|
| Rechtsgrundlage für Marketing | Berechtigte Interessen oder Einwilligung | Einwilligung (keine berechtigten Interessen) | Einwilligung für China einholen; berechtigte Interessen für die EU akzeptabel, sofern die Abwägungsprüfung erfüllt ist |
| Weitergabe von Daten an Dritte | Standardeinwilligung oder andere Rechtsgrundlage | Gesonderte Einwilligung | Granulares Einwilligungs-UX mit gesonderter Einwilligung für die Weitergabe implementieren |
| Grenzüberschreitende Übermittlung aus China | Nicht zutreffend (in die EU eingehende Daten benötigen nur eine DSGVO-Grundlage) | Sicherheitsbewertung, Standardvertrag oder Zertifizierung; gesonderte Einwilligung | SCC + CAC-Registrierung unterhalb der Schwelle nutzen; Sicherheitsbewertung für CIIOs und große Datenmengen; stets gesonderte Einwilligung einholen |
| Datenlokalisierung (China) | Nicht erforderlich | Erforderlich für CIIOs und Verarbeiter oberhalb der Schwelle | Getrennte chinesische Dateninfrastruktur vorhalten; grenzüberschreitende Übermittlungen minimieren |
| Reaktion auf behördlichen Zugriff | Erforderlichkeit und Verhältnismäßigkeit müssen geprüft werden; EU-Vertreter sollten eskalieren | Zusammenarbeit mit Nachrichten- und Sicherheitsbehörden erforderlich | Rechtsträger in China unterliegen einer unmittelbaren Pflicht; EU-Rechtsträger, die Zugriffsanfragen aus China erhalten, sollten EU-Recht konsultieren |
| Datenschutzbeauftragter / Verantwortlicher | DSB erforderlich für öffentliche Stellen, umfangreiche Überwachung, sensible Daten | Zuständige Person oberhalb der CAC-Schwelle erforderlich (derzeit 1 Mio.+ verarbeitete Personen) | DSB in der EU benennen; zuständige Person in China benennen; Rollen können sich überschneiden, Verantwortlichkeiten sind jedoch getrennt |
| Frist für Rechteanfragen | Antwort innerhalb 1 Monat | "Zeitnahe" Antwort | Für alle Anfragen eine 30-Tage-Antwort anstreben, um die DSGVO zu erfüllen; Antwortzeit für die PIPL dokumentieren |
| Meldung von Datenschutzverletzungen | 72 Stunden an die Datenschutzbehörde; unverzüglich an Betroffene bei hohem Risiko | "Unverzüglich" an die Behörde; zeitnah an Betroffene | Reaktionsplan sollte eine Meldung an die Behörde am selben Tag anstreben, um die PIPL zu erfüllen; 72 Stunden decken die DSGVO ab |
| Compliance-Audit | Von der DSGVO nicht vorgeschrieben; als Rechenschaftsmaßnahme empfohlen | Verpflichtend alle 2 Jahre für Verarbeiter von 10 Mio.+ Personen | Auditzyklus in den Compliance-Kalender aufnehmen; mit der DSGVO-Rechenschaftsdokumentation abgleichen |
Viele multinationale Organisationen begegnen Zielkonflikten zwischen DSGVO und PIPL, indem sie getrennte Datenverarbeitungsumgebungen für chinesische und europäische Tätigkeiten betreiben, den Bedarf an grenzüberschreitenden Übermittlungen zwischen den beiden Rechtsordnungen minimieren und für jedes Regime eigenständige Einwilligungsnachweise führen.
Weitere Details zum DSGVO-Rahmenwerk finden Sie in unserem vollständigen Leitfaden zu den EU-Datenschutzgesetzen. Für Chinas vollständiges Datenschutzrahmenwerk siehe unseren Leitfaden zu Chinas Datenschutzgesetzen.
Haftungsausschluss
Dieser Artikel enthält allgemeine rechtliche Informationen zur europäischen Datenschutz-Grundverordnung und zu Chinas Gesetz zum Schutz personenbezogener Informationen. Er stellt keine Rechtsberatung dar. Die Informationen spiegeln den Rechtsstand vom 19. Mai 2026 wider. Beide Rahmenwerke entwickeln sich durch Durchführungsvorschriften, behördliche Leitlinien und Durchsetzungsmaßnahmen weiter. Organisationen, die der DSGVO oder der PIPL unterliegen, sollten sich von einem in der jeweiligen Rechtsordnung zugelassenen Rechtsanwalt zu ihrer spezifischen Situation beraten lassen.
Zitierte Rechtsquellen
- Gesetz der Volksrepublik China zum Schutz personenbezogener Informationen (PIPL), verabschiedet am 20. August 2021, in Kraft seit 1. November 2021. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), Art. 3, 6, 7, 9, 12-22, 27, 33-34, 37-39, 45-49, 52, 56, 83. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- Cybersicherheitsgesetz der Volksrepublik China (CSL), ursprünglich in Kraft seit 1. Juni 2017; geänderte Fassung in Kraft seit 1. Januar 2026. http://www.npc.gov.cn/npc/c12435/201611/9b4396b62c9e4b16b3b42d109e41c02e.shtml
- Datensicherheitsgesetz der Volksrepublik China (DSL), in Kraft seit 1. September 2021. http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- Gesetz der Volksrepublik China über nationale Nachrichtendienste, Art. 7 (2017). Verfügbar über China Law Translate: https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-peoples-republic-of-china-2017/
- Cyberspace-Verwaltungsbehörde Chinas (CAC). Verwaltungsmaßnahmen für Compliance-Audits zum Schutz personenbezogener Informationen, erlassen am 14. Februar 2025, in Kraft seit 1. Mai 2025. https://www.cac.gov.cn/
- Europäischer Datenschutzausschuss (EDSA). Leitlinien, Empfehlungen und Stellungnahmen. https://edpb.europa.eu/edpb_en
- Europäische Kommission. Angemessenheitsbeschlüsse. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
- DLA Piper Privacy Matters. China: Verpflichtende Datenschutz-Compliance-Audits ab 1. Mai 2025 (Februar 2025). https://privacymatters.dlapiper.com/2025/02/china-mandatory-data-protection-compliance-audits-from-1-may-2025/
- DLA Piper Privacy Matters. China: Entwurf einer Verordnung zur Zertifizierung grenzüberschreitender Datenübermittlungen veröffentlicht (Januar 2025). https://privacymatters.dlapiper.com/2025/01/7523/
- Linklaters Tech Insights. Chinas Änderungen des Cybersicherheitsgesetzes 2025: Verschärfte Sanktionen, erweiterte extraterritoriale Anwendung und KI-Governance. https://techinsights.linklaters.com/post/102lrz5/chinas-2025-cybersecurity-law-amendments-enhanced-penalties-expanded-extraterr
- IAPP. Analyse von Chinas PIPL im Vergleich zur DSGVO der EU. https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr
- IAPP. Erster Fall zur extraterritorialen Reichweite der PIPL zeigt zentrale Compliance-Prioritäten. https://iapp.org/news/a/first-case-on-pipl-s-extraterritorial-scope-highlights-key-compliance-priorities
- IAPP. Eine Fallstudie zum Datenschutz in China: Der Weckruf von Dior. https://iapp.org/news/a/a-case-study-in-china-privacy-operations-the-dior-wake-up-call
- Baker McKenzie Resource Hub. Regulierungsbehörden, Durchsetzungsprioritäten und Sanktionen: China. https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/asia-pacific/china/topics/regulators-enforcement-priorities-and-penalties
- DLA Piper DSGVO-Bußgeld- und Datenschutzverletzungsstudie: Januar 2025. https://www.dlapiper.com/en-us/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025
Zuletzt aktualisiert: 19.05.2026. Die zitierten Gesetze spiegeln ihre am 19.05.2026 geltenden Fassungen wider.
Frequently Asked Questions
Ist die PIPL strenger als die DSGVO?
In mehreren Bereichen ja. Die PIPL sieht höhere Höchstbußgelder vor (5 % des Umsatzes gegenüber 4 %), eine persönliche Haftung verantwortlicher Personen (bis zu 1 Million RMB zuzüglich Berufsverbot), eine verpflichtende Datenlokalisierung für CIIOs und Verarbeiter großer Datenmengen, behördliche Sicherheitsbewertungen für grenzüberschreitende Übermittlungen sowie gesonderte Einwilligungsanforderungen für die Weitergabe an Dritte und die öffentliche Offenlegung. Die DSGVO ist in anderen Punkten strenger: Sie sieht detailliertere Anforderungen an die Unabhängigkeit des Datenschutzbeauftragten vor, verlangt eine Antwort auf Rechteanfragen innerhalb einer festen Frist von einem Monat (gegenüber dem 'zeitnahen' Standard der PIPL) und beschränkt den behördlichen Zugriff auf personenbezogene Daten durch strengere gerichtliche Aufsichtsanforderungen.
Gilt die PIPL für Unternehmen außerhalb Chinas?
Ja. Artikel 3 der PIPL gilt extraterritorial für Organisationen außerhalb Chinas, die personenbezogene Informationen verarbeiten, um Personen in China Produkte oder Dienstleistungen anzubieten oder das Verhalten von Personen in China zu analysieren und zu bewerten. Solche Organisationen müssen nach Artikel 53 eine eigene Stelle einrichten oder einen Vertreter in China benennen. Das Urteil des Internetgerichts Guangzhou vom Herbst 2024 bestätigte, dass chinesische Gerichte die PIPL-Standards auf die Verarbeitung von Daten chinesischer Einwohner durch ausländische Organisationen anwenden, das erste veröffentlichte Urteil zur extraterritorialen Reichweite der PIPL.
Welche drei Wege für grenzüberschreitende Übermittlungen sieht Chinas PIPL vor?
Artikel 38 der PIPL sieht drei Wege vor: (1) eine Sicherheitsbewertung durch die CAC, verpflichtend für Betreiber kritischer Informationsinfrastrukturen und Organisationen, die im Vorjahr die personenbezogenen Informationen von 100.000 oder mehr Personen verarbeitet, sensible personenbezogene Informationen von 10.000 oder mehr Personen verarbeitet oder kumulativ Daten von 1 Million oder mehr Personen übermittelt haben; (2) ein bei der CAC registrierter Standardvertrag; und (3) eine Zertifizierung durch eine von der CAC benannte Institution, ein Weg, der durch die gemeinsamen Zertifizierungsvorschriften von CAC und SAMR seit 2026 formalisiert ist. Für alle grenzüberschreitenden Übermittlungen ist unabhängig vom genutzten Weg die gesonderte Einwilligung der betroffenen Person erforderlich (Art. 39).
Warum kennt die PIPL berechtigte Interessen nicht als Rechtsgrundlage?
Die Auslassung berechtigter Interessen in der PIPL spiegelt eine bewusste politische Entscheidung wider, den organisatorischen Ermessensspielraum bei der Bestimmung rechtmäßiger Verarbeitung ohne Einwilligung zu beschränken. Nach der DSGVO erlauben berechtigte Interessen Organisationen, Daten auf der Grundlage ihrer eigenen Abwägung ihrer Interessen gegen die Rechte Einzelner zu verarbeiten. Chinas Ansatz, wie in Artikel 13 der PIPL zum Ausdruck gebracht, verlangt, dass die Verarbeitung unter eine von sieben aufgezählten Grundlagen fällt, wodurch Regulierungsbehörden eine berechenbarere Aufsicht darüber erhalten, welche Verarbeitung zulässig ist. Organisationen, die sich nach der DSGVO für Marketing, Analysen oder Betrugsprävention auf berechtigte Interessen stützen, müssen für dieselben Tätigkeiten in China eine Einwilligung einholen oder eine andere Grundlage nach Artikel 13 finden.
Hat China einen Angemessenheitsbeschluss der EU?
Nein. Stand Mai 2026 hat die Europäische Kommission China keinen Angemessenheitsbeschluss erteilt, und es laufen keine Angemessenheitsverhandlungen. Die Bedenken betreffen vor allem Chinas behördliches Zugriffsregime, insbesondere die Anforderung nach Artikel 7 des Gesetzes über nationale Nachrichtendienste, mit der nachrichtendienstlichen Arbeit zu kooperieren, sowie die Beschränkungen des Gesetzes zur Spionageabwehr für aus China ausgehende Daten. Diese Bestimmungen erschweren es der Europäischen Kommission, festzustellen, dass China ein 'im Wesentlichen gleichwertiges' Schutzniveau wie die DSGVO bietet. Übermittlungen von der EU nach China müssen auf Standardvertragsklauseln oder einen anderen Mechanismus nach Artikel 46 zurückgreifen, ergänzt durch ein Transfer Impact Assessment.
Was verlangen die PIPL-Vorschriften zu Compliance-Audits?
Die von der CAC erlassenen Verwaltungsmaßnahmen für Compliance-Audits zum Schutz personenbezogener Informationen, in Kraft seit 1. Mai 2025, verlangen von Organisationen, die personenbezogene Informationen von mehr als 10 Millionen Personen in China verarbeiten, mindestens alle zwei Jahre selbstinitiierte Compliance-Prüfungen durchzuführen. Die Audits müssen Rechtsgrundlagen der Verarbeitung, Einwilligungsverfahren, Konformität bei grenzüberschreitenden Übermittlungen, automatisierte Entscheidungsfindung, den Umgang mit sensiblen Daten, Aufbewahrung und Löschung, die Bearbeitung von Betroffenenanfragen sowie die Vorfallreaktion abdecken. Regulierungsbehörden können zudem für jede Organisation, bei der erhebliche Risiken festgestellt wurden oder nach einem bedeutenden Vorfall, verpflichtende Audits anordnen. Externe Prüfer dürfen dieselbe Organisation nicht mehr als dreimal prüfen.
Was änderte sich 2026 an Chinas Cybersicherheitsgesetz?
Der Ständige Ausschuss des Nationalen Volkskongresses verabschiedete am 28. Oktober 2025 Änderungen des Cybersicherheitsgesetzes, in Kraft seit 1. Januar 2026. Zu den wesentlichen Änderungen zählen: gestaffelte Sanktionen (bis zu 10 Millionen RMB für Unternehmen und 1 Million RMB für Einzelpersonen bei besonders schweren Verstößen); die ersten gesetzlichen Regelungen zur KI-Governance (Unterstützung der KI-Entwicklung bei gleichzeitiger Vorschrift ethischer Standards und Risikoüberwachung); ein erweiterter extraterritorialer Anwendungsbereich (nun jede ausländische Organisation erfassend, deren Tätigkeiten Chinas Netzsicherheit gefährden, nicht nur Tätigkeiten mit Bezug zu kritischer Infrastruktur); verstärkte Pflichten zur Sicherheit der Lieferkette; sowie neue mildernde Umstände für umgehende Korrekturen. Das geänderte CSL fügt sich zusammen mit dem DSL und der PIPL in Chinas dreiteiliges Rahmenwerk der Daten-Governance ein.
Welche individuellen Rechte gewährt die PIPL im Vergleich zur DSGVO?
Die Artikel 44-50 der PIPL gewähren Rechte, die weitgehend parallel zu Kapitel 3 der DSGVO stehen: das Recht auf Kenntnis und Entscheidung (ähnlich dem Widerspruchsrecht und dem Recht auf Einschränkung der DSGVO), das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Datenübertragbarkeit (mit CAC-Bedingungen) sowie das Recht auf Erläuterung automatisierter Entscheidungen. Eine einzigartige PIPL-Bestimmung ist Artikel 49, der es Familienangehörigen einer verstorbenen Person erlaubt, in ihrem berechtigten Interesse Auskunfts-, Berichtigungs- und Löschungsrechte auszuüben, die DSGVO kennt keine vergleichbare Regelung. Ein wesentlicher Unterschied betrifft die Antwortfristen: Die DSGVO verlangt eine Antwort innerhalb eines Monats (Art. 12); die PIPL verlangt lediglich eine 'zeitnahe' Antwort ohne feste gesetzliche Frist.
Wie unterscheidet sich Chinas Mehrbehördenmodell vom Datenschutzbehördensystem der EU?
Nach der DSGVO verfügt jeder EU-Mitgliedstaat über eine oder mehrere unabhängige Datenschutzbehörden, koordiniert durch den Europäischen Datenschutzausschuss (EDSA) über den One-Stop-Shop-Mechanismus. Ein Unternehmen mit Hauptniederlassung in Irland hat bei grenzüberschreitenden Fällen vorwiegend mit der irischen Datenschutzkommission zu tun. Chinas PIPL nutzt nach Artikel 60 ein Mehrbehördenmodell: Die CAC übernimmt die führende Rolle, doch MIIT, das Ministerium für öffentliche Sicherheit, SAMR und die Finanzaufsichtsbehörden setzen die PIPL jeweils innerhalb ihrer Sektoren durch. Auch lokale Gegenstücke verfügen über Durchsetzungsbefugnisse. Mehrere Behörden können gleichzeitig für die Tätigkeiten einer einzelnen Organisation zuständig sein, ohne ein Äquivalent zum One-Stop-Shop.
Was ist die 'gesonderte Einwilligung' nach Chinas PIPL?
Die PIPL verlangt eine 'gesonderte Einwilligung' für fünf spezifische Tätigkeiten: die Weitergabe personenbezogener Informationen an Dritte (Art. 23), die öffentliche Offenlegung personenbezogener Informationen (Art. 25), die Verarbeitung sensibler personenbezogener Informationen (Art. 29), die Übermittlung personenbezogener Informationen außerhalb Chinas (Art. 39) sowie die Nutzung von durch öffentliche Überwachungsanlagen erfassten Bildern für andere als Sicherheitszwecke (Art. 26). Die gesonderte Einwilligung ist ein höherer Standard als die einfache Einwilligung, sie darf nicht mit allgemeinen Geschäftsbedingungen oder der Einwilligung zu anderen Verarbeitungstätigkeiten gebündelt werden. Eine Organisation muss für jede dieser Tätigkeiten eine eigenständige, spezifische Einwilligung einholen, selbst wenn die Person der Organisation bereits allgemein zugestimmt hat.
Sources and References
- PIPL-Volltext (Gesetz zum Schutz personenbezogener Informationen der VR China)(npc.gov.cn).gov
- DSGVO-Volltext (Verordnung (EU) 2016/679)(eur-lex.europa.eu).gov
- Cybersicherheitsgesetz Chinas (2017, geänderte Fassung in Kraft seit 1. Januar 2026)(npc.gov.cn).gov
- Datensicherheitsgesetz Chinas (DSL, in Kraft seit 1. September 2021)(npc.gov.cn).gov
- Gesetz der VR China über nationale Nachrichtendienste, Art. 7 (China Law Translate)(chinalawtranslate.com)
- Cyberspace-Verwaltungsbehörde Chinas (CAC)(cac.gov.cn).gov
- Europäischer Datenschutzausschuss (EDSA)(edpb.europa.eu).gov
- Angemessenheitsbeschlüsse der Europäischen Kommission(commission.europa.eu).gov
- DLA Piper: Verpflichtende Datenschutz-Compliance-Audits in China ab 1. Mai 2025(privacymatters.dlapiper.com)
- DLA Piper: Entwurf einer Verordnung zur Zertifizierung grenzüberschreitender Datenübermittlungen in China (Januar 2025)(privacymatters.dlapiper.com)
- Linklaters: Chinas Änderungen des Cybersicherheitsgesetzes 2025(techinsights.linklaters.com)
- IAPP: Analyse von Chinas PIPL im Vergleich zur DSGVO der EU(iapp.org)
- IAPP: Erster Fall zur extraterritorialen Reichweite der PIPL(iapp.org)
- IAPP: Datenschutz in China - Der Weckruf von Dior(iapp.org)
- Baker McKenzie: Regulierungsbehörden, Durchsetzungsprioritäten und Sanktionen in China(resourcehub.bakermckenzie.com)
- DLA Piper DSGVO-Bußgeld- und Datenschutzverletzungsstudie: Januar 2025(dlapiper.com)