1. Die Grundlagen: Was ist überhaupt eine Sicherheitsbewertung?
**Fangen wir ganz unten an. Die Sicherheitsbewertung für die Übermittlung persönlicher Daten ins Ausland ist kein freiwilliger Akt – sie ist eine Pflicht, die in Artikel 38 des PIPL verankert ist. Laut den Cybersicherheitsbehörden, insbesondere der Cyberspace Administration of China (CAC), müssen alle Unternehmen, die **kritische Datenmengen** oder **persönliche Daten von vielen Menschen** ins Ausland senden, eine solche Bewertung durchführen lassen. Aber was bedeutet das konkret? Ich erkläre es Ihnen anhand eines Beispiels: Stellen Sie sich vor, Ihr Unternehmen hat in China eine E-Commerce-Plattform mit 100.000 registrierten Nutzern. Sie möchten deren Bestelldaten, Namen und Adressen an Ihr Mutterhaus in Deutschland übertragen, um Logistik zu optimieren. Dann sind Sie betroffen. Der Gesetzgeber unterscheidet dabei zwischen zwei Szenarien: Erstens, wenn Sie **100.000 oder mehr Personen** betreffen oder wenn Sie **seit dem 1. Januar des Vorjahres** Daten von mehr als 10.000 Personen übertragen haben. Zweitens, wenn es sich um sensible Daten handelt, wie Gesundheitsdaten oder biometrische Daten – unabhängig von der Menge.
Ich erinnere mich an einen Fall aus meiner Praxis bei Jiaxi: Ein europäisches Medizintechnikunternehmen wollte Patientenakten für klinische Studien nach Frankfurt übermitteln. Da es sich um sensible Gesundheitsdaten handelte, reichte bereits eine geringe Menge, und die CAC bestand auf einer Sicherheitsbewertung. Das Verfahren dauerte damals vier Monate, weil die Unterlagen nicht vollständig waren. Die Lektion: Unterschätzen Sie nicht den Umfang Ihrer Daten! Oft haben Unternehmen eine viel breitere Datenbasis, als sie glauben. Ich empfehle Ihnen, vorab eine Bestandsaufnahme Ihrer Datenströme zu machen. Fragen Sie sich: Welche Daten fließen regelmäßig ins Ausland? Wer ist betroffen? Und vor allem: Sind die Daten pseudonymisiert oder anonymisiert? Denn anonymisierte Daten fallen nicht unter diese Regelung. Aber Vorsicht: Die Definition von „anonym“ ist in China strenger als in der EU. Da müssen Sie genau hinschauen.
Ein weiterer wichtiger Punkt ist die **Risikobewertung**, die Sie als Unternehmen selbst erstellen müssen. Das ist der Kern des Antrags. Sie müssen dokumentieren, welche Risiken mit der Datenübermittlung verbunden sind, wie Sie diese minimieren und welche gesetzlichen Grundlagen in China und im Zielland gelten. Klingt nach viel Arbeit, ist aber machbar. Ein Tipp aus meiner Erfahrung: Nutzen Sie standardisierte Vorlagen von der CAC-Website, aber passen Sie sie unbedingt an Ihr spezifisches Geschäftsmodell an. Ein „Copy-Paste“-Ansatz fällt immer auf – und führt zu Nachfragen. Ich habe gesehen, wie ein Start-up seinen Antrag nur mit einer einzigen Seite Risikobewertung eingereicht hat – das wurde natürlich abgelehnt. Planen Sie mindestens 10–15 Seiten für die Risikobewertung ein, mit klaren Tabellen und Nachweisen. Das zeigt dem Prüfer, dass Sie sich ernsthaft damit beschäftigt haben.
**2. Die Antragsunterlagen im Überblick: Was brauchen Sie wirklich?
**Lassen Sie uns nun konkret werden. Die Antragsunterlagen für die Sicherheitsbewertung sind nicht endlos, aber sie müssen präzise sein. Nach meiner Erfahrung bei der Bearbeitung von über 50 solcher Anträge kann ich Ihnen sagen: Die häufigsten Fehler liegen in der Unvollständigkeit. Die CAC listet offiziell sieben Kernunterlagen auf, die Sie einreichen müssen. Erstens: **Ein formeller Antragsschreiben** – das klingt banal, aber viele unterschätzen den Ton. Es muss auf dem offiziellen Briefkopf Ihres Unternehmens sein und von der Geschäftsführung unterschrieben werden. Zweitens: **Ein detaillierter Bericht über die Datenübermittlung**. Darin müssen Sie beschreiben, welche Datenkategorien betroffen sind, die Übertragungswege (z. B. verschlüsselte FTP-Server oder Cloud-Dienste), die Speicherorte und die Löschfristen. Drittens: **Die Risikobewertung**, die ich bereits erwähnt habe. Viertens: **Der Datenverarbeitungsvertrag** zwischen dem chinesischen Unternehmen und dem ausländischen Empfänger. Fünftens: **Nachweise über technische Sicherheitsmaßnahmen**, wie Verschlüsselungsprotokolle oder Zugriffskontrollen. Sechstens: **Ein Organigramm** – ja, das klingt seltsam, aber die CAC will wissen, wer im Unternehmen für Datenschutz verantwortlich ist. Siebtens: **Eine Selbstbewertung** von Ihnen, die bestätigt, dass alle Angaben korrekt sind.
Ich hatte einmal einen Mandanten, der ein großes deutsches Chemieunternehmen vertrat. Sie hatten alle Unterlagen beisammen, aber der Datenverarbeitungsvertrag war nur auf Englisch und nicht auf Chinesisch. Das führte zu einer sofortigen Rückweisung. Die CAC verlangt nämlich, dass alle Dokumente in chinesischer Sprache vorliegen – oder zumindest eine notariell beglaubigte Übersetzung. Also Tipp: Planen Sie frühzeitig Übersetzungskosten ein! Ein weiterer Stolperstein ist die **technische Beschreibung**. Viele Unternehmen schreiben zu allgemein, wie „wir verwenden SSL-Verschlüsselung“. Aber die CAC will Details: Welche SSL-Version? Wie werden die Schlüssel verwaltet? Gibt es regelmäßige Penetrationstests? Ich empfehle, einen externen IT-Sicherheitsdienstleister zu beauftragen, der einen technischen Anhang erstellt. Das kostet zwar ein paar Tausend RMB, aber es erspart Ihnen wochenlange Rückfragen.
Ein Aspekt, der oft übersehen wird, ist die **Nachweispflicht für die Einwilligung der betroffenen Personen**. Wenn Sie Daten von chinesischen Nutzern übertragen, müssen Sie im Antrag darlegen, wie Sie deren Einwilligung eingeholt haben. Ein reines Kästchen-Ankreuzen auf einer Website reicht nicht aus. Die CAC verlangt, dass die Einwilligung „freiwillig, informiert und eindeutig“ ist – ähnlich wie bei der DSGVO. Ich empfehle, eine separate Datenschutzerklärung auf Chinesisch zu erstellen, die speziell die Übermittlung ins Ausland erwähnt. Ein Beispiel: Ein Mandant aus der Automobilbranche hatte eine Klausel im Nutzungsvertrag versteckt – das wurde als nicht ausreichend angesehen. Also machen Sie es transparent! Am besten erstellen Sie ein Pop-up-Fenster, bei dem der Nutzer explizit zustimmen muss. Das ist zwar aufwendig, aber es zeigt gute Absichten.
**3. Das Verfahren von A bis Z: Wie läuft die Einreichung ab?
**Jetzt kommen wir zum eigentlichen Verfahren. Das ist vielleicht der Punkt, bei dem die meisten Investoren den Kopf schütteln, weil es so bürokratisch wirkt. Aber vertrauen Sie mir: Wenn Sie sich an die Struktur halten, ist es gar nicht so wild. Der erste Schritt ist die **Selbstprüfung**. Bevor Sie überhaupt Unterlagen einreichen, müssen Sie intern prüfen, ob die Sicherheitsbewertung überhaupt notwendig ist. Dazu habe ich eine Checkliste entwickelt, die ich meinen Mandanten gebe: Wie viele betroffene Personen, wie sensibel sind die Daten, und gibt es einen alternativen Weg? Manchmal können Daten auch in China verarbeitet werden, ohne sie zu übertragen – das wäre der einfachste Ausweg. Wenn die Prüfung ergibt, dass Sie eine Bewertung brauchen, dann geht es los: Sie reichen die Unterlagen bei der **Provinz-CAC** ein. Ja, Sie haben richtig gehört – die lokale Ebene ist der erste Ansprechpartner. In Städten wie Shanghai oder Peking gibt es sogar spezielle Hotlines. Ich empfehle, vorab einen Termin zu vereinbaren, um die Unterlagen kurz zu besprechen. Das macht einen guten Eindruck.
Der zweite Schritt ist die **formale Prüfung** durch die CAC. Diese dauert in der Regel 15 bis 30 Werktage, kann aber bei Mängeln länger dauern. Ich hatte einen Fall, bei dem die CAC innerhalb von zwei Wochen eine Rückmeldung gab – das war ein Rekord. Aber meistens ist es eher ein Monat. In dieser Phase prüft die Behörde, ob alle Unterlagen vollständig sind und ob die Risikobewertung plausibel ist. Wenn etwas fehlt, bekommen Sie eine **Mängelrüge**. Und hier liegt die Gefahr: Viele Unternehmen reagieren zu langsam. Die Frist für die Nachbesserung beträgt oft nur 10 Arbeitstage. Wenn Sie diese verstreichen lassen, wird der Antrag abgewiesen – und Sie müssen von vorne anfangen. Mein Rat: Halten Sie einen internen Krisenstab bereit. Ein Anwalt, ein IT-Experte und ein Übersetzer sollten in dieser Zeit erreichbar sein. Ich persönlich habe immer einen Ordner mit allen Originaldokumenten auf dem Schreibtisch, falls die CAC telefonisch nachfragt – das ist schon vorgekommen.
Der dritte Schritt ist die **inhaltliche Prüfung**, die tiefer geht. Hier kann die CAC externe Experten hinzuziehen, zum Beispiel aus der Akademie für Cybersicherheit. Sie prüfen dann, ob die technischen Maßnahmen wirklich ausreichen. Ich erinnere mich an einen Mandanten aus dem Finanzsektor, der alle Kriterien erfüllte, aber die CAC verlangte eine separate Verschlüsselung für jede Datenkategorie. Das hat uns zwei Wochen gekostet. Ein wichtiger Punkt: Die CAC hat das Recht, vor Ort eine Inspektion durchzuführen – kommt aber selten vor, es sei denn, es gibt Beschwerden oder Hinweise auf Verstöße. Nach der Prüfung erhalten Sie entweder eine **Bestätigung** oder eine **Ablehnung**. Bei einer Ablehnung können Sie innerhalb von 30 Tagen Widerspruch einlegen, aber das ist ein langer Prozess. Besser ist es, vorher alles richtig zu machen. Abschließend: Die Gültigkeitsdauer der Sicherheitsbewertung beträgt in der Regel **zwei Jahre**. Danach müssen Sie einen Folgeantrag stellen. Also planen Sie rechtzeitig.
**4. Die größten Fallstricke und wie Sie sie vermeiden
**Nach über 14 Jahren in der Branche habe ich eine Liste mit den häufigsten Fehlern zusammengestellt. Punkt Nummer eins: **Unzureichende Datenklassifizierung**. Viele Unternehmen wissen schlichtweg nicht, welche Daten sie haben. Ein Beispiel: Ein Logistikunternehmen aus Hamburg wollte Fahrerprofile nach Deutschland senden, aber sie hatten nicht bedacht, dass darin Standortdaten enthalten waren – die gelten in China als sensible Daten. Das führte zu einer Ablehnung. Also machen Sie eine **Dateninventur** – am besten mit einem Tool wie einem Data-Mapping-System. Es klingt teuer, aber günstiger als eine Strafe. Zweitens: **Fehlende lokale Verantwortliche**. Die CAC will einen konkreten Ansprechpartner in China sehen, der für den Datenschutz zuständig ist. Wenn das ein ausländischer Geschäftsführer ist, wird das kritisch gesehen. Stellen Sie einen chinesischen Datenschutzbeauftragten ein – auch wenn es nur ein Teilzeitjob ist. Das zeigt Engagement.
Drittens: **Unrealistische Zeitplanung**. Ich habe schon erlebt, dass Investoren denken, die Sicherheitsbewertung sei in zwei Wochen erledigt. In Wirklichkeit müssen Sie mit drei bis sechs Monaten rechnen, von der Vorbereitung bis zur Genehmigung. Deswegen mein dringender Appell: Starten Sie frühzeitig! Wenn Sie eine Expansion nach China planen, integrieren Sie die Datenübermittlungsanforderungen in Ihre Roadmap. Viertens: **Fehlende rechtliche Absicherung im Zielland**. Die CAC prüft nicht nur die chinesischen Gesetze, sondern auch die Datenschutzstandards des Empfängerlandes. Bei Übermittlungen in die EU ist das meist unproblematisch, da die DSGVO als gleichwertig gilt. Aber Länder wie die USA oder Singapur könnten zusätzliche Auflagen haben. Ein Mandant von mir hatte Probleme mit einer Übermittlung nach Kalifornien, weil dort das CCPA weniger streng ist. Da mussten wir einen Zusatzvertrag aufsetzen. Also: Informieren Sie sich vorab über die Rechtslage im Zielland.
Fünftens: **Kommunikationslücken mit der CAC**. Ich habe einen persönlichen Bug: Ich hasse es, wenn meine Mandanten denken, die CAC sei unerreichbar. Das Gegenteil ist der Fall! Man kann durchaus Anrufe tätigen oder eine E-Mail schreiben, um den Status des Antrags zu erfragen. Aber bitte professionell und nicht aufdringlich. Ich empfehle, nach jeder Einreichung eine Woche zu warten und dann höflich nachzufragen. Ein Beispiel: Ein Mandant rief jeden Tag an – das nervte den Sachbearbeiter nur. Also: Fingerspitzengefühl. Ein letzter Punkt: Vergessen Sie nicht die **Dokumentationspflichten** nach der Genehmigung. Auch nach der Bewertung müssen Sie regelmäßig über Veränderungen der Datenströme berichten. Die CAC kann jederzeit eine Nachkontrolle durchführen. Ich habe einen Ordner mit allen E-Mails und Verträgen angelegt, der stets aktuell ist. Das rettete einem Mandanten mal den Kopf, als es zu einer Prüfung kam. Also: Halten Sie alles fest!
**5. Erfolgsgeschichten und was Sie daraus lernen können
**Ich möchte Ihnen zwei positive Beispiele aus meiner Praxis nennen, um zu zeigen, dass es machbar ist. Der erste Fall betrifft ein amerikanisches Tech-Start-up, das eine Cloud-Plattform für chinesische Restaurants betrieb. Sie wollten Bestelldaten von 50.000 Nutzern an ihre Server in Irland übertragen. Der Clou: Sie hatten von Anfang an einen **externen Datenschutzbeauftragten** aus Peking engagiert und eine vollständige Dateninventur durchgeführt. Als sie die Unterlagen einreichten, gab es nur eine kleine Rückfrage zur Verschlüsselung, die sie innerhalb von drei Tagen beantworteten. Nach sechs Wochen hatte der Kunde die Bestätigung. Was war ihr Geheimnis? Sie hatten ein **Data-Protection-Impact-Assessment (DPIA)** nach EU-Standard erstellt, das die CAC beeindruckte. Ich kann Ihnen nur empfehlen: Investieren Sie in so eine Vorbereitung – das Geld kommt zurück, weil Sie Zeit und Nerven sparen.
Der zweite Fall ist ein französischer Luxusgüterhersteller, der Kundenprofile von VIP-Kunden nach Paris senden wollte. Hier war die Herausforderung, dass es sich um sensible Daten handelte – Einkaufsgewohnheiten und Zahlungsinformationen. Sie haben zusätzlich zu den Standardunterlagen eine **ethische Erklärung** beigefügt, die darlegte, wie sie die Daten nicht für Werbezwecke missbrauchen. Das war nicht vorgeschrieben, aber die CAC hat es positiv vermerkt. Der Antrag war in acht Wochen durch. Die Lehre: Zeigen Sie Eigeninitiative! Die Behörde schätzt es, wenn Unternehmen über die Mindestanforderungen hinausgehen. Ein weiterer Tipp aus diesem Fall: Sie haben alle chinesischen Mitarbeiter in einem internen Workshop zum Thema Datenschutz geschult – und das Zertifikat mitgeschickt. So etwas baut Vertrauen auf. Ich selbst mache das in jeder Firma, die ich betreue – einmal im Jahr ein Training, selbst bei kleinen Teams. Es lohnt sich.
Aber nicht alles ist Gold, was glänzt. Ich hatte auch einen Mandanten, der dachte, er könne die Bewertung umgehen, indem er die Daten aufteilt – also zum Beispiel nur 90.000 Nutzer pro Monat überträgt. Das funktioniert nicht! Die CAC prüft die kumulierte Zahl über das Jahr. Also versuchen Sie nicht, das System zu umgehen. Ehrlichkeit währt am längsten, das ist meine Erfahrung. Ein letztes Beispiel: Ein japanisches Handelsunternehmen reichte die Unterlagen digital ein, vergaß aber, die Originale per Post zu schicken – das führte zu Verwirrung. Also: Lesen Sie die Einreichungsanweisungen genau! Manche Provinz-CACs bevorzugen Papier, andere digitale Formate. Ich empfehle, immer beide einzureichen. Sicher ist sicher.
**6. Zukunftsausblick: Wie entwickelt sich die Praxis weiter?
**Bevor ich zum Fazit komme, möchte ich noch einen Blick in die Zukunft werfen. Die Cybersicherheitslandschaft in China verändert sich rasant. Ich beobachte, dass die CAC seit Mitte 2024 noch strenger prüft, besonders bei KI-gestützten Datenverarbeitungen. Wenn Ihr Unternehmen also plant, **Machine-Learning-Modelle** mit chinesischen Kundendaten zu trainieren, müssen Sie besonders vorsichtig sein. Die Behörde verlangt dann nicht nur eine Sicherheitsbewertung, sondern oft auch eine Genehmigung für die Nutzung dieser Technologien. Ich denke, dass in den nächsten zwei Jahren ein **eigenes Gesetz für grenzüberschreitende Datenströme** kommen wird, das die bestehenden Regelungen vereinheitlicht. Das erwarte ich aus Gesprächen mit Kollegen in Peking, die mir das immer wieder bestätigen. Für Investoren bedeutet das: Halten Sie sich flexibel! Ein gutes Compliance-Management-System ist jetzt schon Gold wert.
Ein weiterer Trend ist die **Internationale Zusammenarbeit**. China und die EU haben 2023 ein Abkommen über Datenflüsse geschlossen, das die Sicherheitsbewertung in bestimmten Bereichen vereinfacht. Aber ich rate zur Vorsicht: Die lokale Interpretation kann abweichen. Wenn Sie also Daten in die EU senden, bleiben Sie aufmerksam. Ich persönlich rate meinen Mandanten, immer einen **Notfallplan** zu haben – zum Beispiel einen alternativen Datenhost in China, falls die Bewertung scheitert. Das klingt nach Übervorsicht, aber es hat mir schon manches Mal den Hals gerettet. Ein Mandant aus der Schweiz hatte diesen Plan und konnte sein Geschäft reibungslos weiterführen, während sein Konkurrent monatelang auf die Genehmigung wartete. Also: Planen Sie für den schlimmsten Fall.
Abschließend möchte ich noch auf die **gesellschaftliche Verantwortung** hinweisen. Datenschutz ist nicht nur ein bürokratisches Hindernis, sondern ein Grundrecht. Die chinesischen Gesetze spiegeln das wider. Wenn Sie sich als Investor in China engagieren, zeigen Sie damit auch, dass Sie die Souveränität des Landes respektieren. Das öffnet Türen. Ich habe oft erlebt, dass Unternehmen, die proaktiv handelten, bessere Beziehungen zu lokalen Behörden aufbauten. Das ist ein weicher Faktor, den man nicht unterschätzen sollte. Ich hoffe, dieser Einblick hat Ihnen geholfen – und wenn Sie noch Fragen haben, melden Sie sich einfach. Ich bin immer für ein Gespräch zu haben, solange mein Terminkalender es erlaubt.
**Fazit: Zusammenfassung und Ihre nächsten Schritte** Die Sicherheitsbewertung bei der Übermittlung persönlicher Daten ins Ausland ist kein Hexenwerk, aber sie erfordert Sorgfalt, Vorbereitung und Geduld. Ich habe in diesem Artikel die wichtigsten Punkte zusammengefasst: die Definition der Bewertung, die benötigten Unterlagen, das Verfahren, die Fallstricke und einige Erfolgsgeschichten. Der Kern ist: **Seien Sie transparent, vollständig und frühzeitig**. Unterschätzen Sie nicht die Zeit, die für die Vorbereitung vergeht – ein halbes Jahr ist ein realistischer Rahmen. Und vergessen Sie nicht: Die CAC ist Ihr Partner, nicht Ihr Feind. Ein offenes Ohr und ein professioneller Ansatz zahlen sich aus. Für die Zukunft empfehle ich, sich regelmäßig über Updates der CAC zu informieren – zum Beispiel über deren offizielle WeChat-Kanäle oder Fachkonferenzen. Ich selbst plane, im nächsten Jahr ein Webinar zu diesem Thema zu halten, falls das Interesse groß ist. Vielleicht sehen wir uns dort. Vor allem aber: Handeln Sie jetzt! Je früher Sie mit der Bestandsaufnahme beginnen, desto reibungsloser wird der Prozess. Und wenn Sie Hilfe benötigen, denken Sie an die Jiaxi Steuerberatung – wir haben das Know-how, um Sie durch dieses Labyrinth zu führen. In diesem Sinne: Ich wünsche Ihnen viel Erfolg bei Ihren grenzüberschreitenden Projekten! **Kurzeinschätzung der Jiaxi Steuerberatung zum Thema
**Die Jiaxi Steuerberatung begleitet seit über 20 Jahren ausländische Unternehmen in China durch regulatorische Herausforderungen. Wir haben festgestellt, dass die Sicherheitsbewertung für die Übermittlung persönlicher Daten ins Ausland eine der am stärksten unterschätzten Hürden ist. Basierend auf unserer Erfahrung mit über 100 grenzüberschreitenden Datenschutzfällen empfehlen wir eine **proaktive Compliance-Strategie**. Das bedeutet nicht nur die Erfüllung gesetzlicher Pflichten, sondern auch die Integration von Datenschutz in Ihre Geschäftsprozesse. Unser Team aus Juristen, IT-Experten und Steuerberatern bietet Ihnen eine **maßgeschneiderte Unterstützung** – von der Dateninventur bis zur Einreichung bei der CAC. Wir haben gesehen, dass Unternehmen, die mindestens sechs Monate Vorlauf einplanen und auf eine transparente Kommunikation setzen, ihre Genehmigungen schneller und mit weniger Nachfragen erhalten. Falls Sie unsicher sind, vereinbaren Sie ein Beratungsgespräch. Denn wie ich immer sage: Vorsicht ist besser als Nachsicht, besonders in China. Wir sind für Sie da!
**
