Relevanz für die nationale Sicherheit
Das vielleicht wichtigste und am strengsten regulierte Kriterium ist die **Relevanz der Daten für die nationale Sicherheit**. Das chinesische Datensicherheitsgesetz (DSG) führt hier den Begriff der "wichtigen Daten" ein, deren Kompromittierung die nationale Sicherheit oder öffentliche Interessen ernsthaft schädigen könnte. Die konkrete Definition, welche Daten in Ihrem Sektor als "wichtig" gelten, wird durch branchenspezifische Kataloge vorgenommen, die von verschiedenen Ministerien herausgegeben werden. Für ein deutsches Maschinenbauunternehmen, das kritische Infrastrukturprojekte beliefert, könnten beispielsweise technische Spezifikationen, Standortdaten von Anlagen oder sensible Lieferketteninformationen unter diese Kategorie fallen.
In meiner Praxis bei Jiaxi erlebte ich den Fall eines europäischen Automobilzulieferers, der Sensordaten für autonomes Fahren in China sammelte. Die lokale Behörde stufte diese Daten nach einer Prüfung als "wichtig" ein, da sie hochpräzise Karten- und Verkehrsinfrastrukturdaten enthielten. Die Folge war eine strikte Lokalisierungspflicht und verschärfte Exportkontrollen für diese Datensätze. Die Herausforderung liegt oft darin, dass die Kataloge nicht immer bis ins letzte Detail öffentlich sind und eine gewisse Interpretationsbreite besteht. Mein Rat ist hier stets: Gehen Sie im Zweifelsfall von der strengeren Einstufung aus und holen Sie frühzeitig eine rechtliche Bewertung ein. Eine proaktive Risikoanalyse, oft in Zusammenarbeit mit lokalen Compliance-Experten, ist unerlässlich.
Die Bewertung erfolgt nicht im luftleeren Raum. Behörden ziehen Faktoren wie den Wirtschaftszweig, die geografische Präzision der Daten, ihre Verknüpfungsmöglichkeit mit anderen Datensätzen und ihr potenzielles Schadensausmaß bei einem Leak heran. Forschung des China Cybersecurity Review Technology and Certification Centers zeigt, dass der Fokus stark auf Sektoren wie Energie, Verkehr, Finanzen, Gesundheit und Verteidigung liegt. Ein Standpunkt, den ich teile, ist, dass ausländische Unternehmen hier eine "Due Diligence" ihrer eigenen Datenbestände durchführen müssen – und zwar durch die Brille des chinesischen Regulators, nicht der europäischen DSGVO.
Schutzbedürftigkeit personenbezogener Daten
Parallel zum nationalen Sicherheitsaspekt steht der **Schutz personenbezogener Daten** im Vordergrund, geregelt im PIPL. Die Klassifizierung hier folgt einem abgestuften System, das sich am möglichen Schaden für die betroffene Person orientiert. Grundlegende personenbezogene Daten (Name, Telefonnummer, Adresse) unterliegen bereits strengen Schutzvorkehrungen. Die Krux für viele Unternehmen liegt jedoch in der Handhabung "sensibler personenbezogener Daten".
Dazu zählen gemäß PIPL Daten über ethnische Zugehörigkeit, religiöse Überzeugungen, biometrische Daten, Gesundheitsinformationen, Finanzkonten, Standortverläufe sowie Daten von Minderjährigen unter 14 Jahren. Für die Verarbeitung dieser Daten ist eine separate Einwilligung erforderlich, und die Schutzmaßnahmen müssen deutlich höher sein. Ich erinnere mich an einen Klienten aus der Einzelhandelsbranche, der ein Customer-Relationship-Management-System einführen wollte. Durch die geplante Verknüpfung von Kaufhistorie (die Rückschlüsse auf Gesundheit, z.B. bei Nahrungsergänzungsmitteln, zulässt) mit Mitgliedskontodaten wäre er ungewollt in den Bereich sensibler Daten geraten. Die Lösung bestand in einer Entkopplung der Datenbanken und einer anonymisierten Analyse.
Die Kategorisierung ist also nicht statisch, sondern kontextabhängig. Ein einfacher Name ist eine Grunddaten, wird er jedoch mit einem genauen Krankheitsverlauf verknüpft, entsteht ein sensibler Datensatz. Die Behörden achten besonders auf die **Datenverarbeitungskette** – von der Erhebung über die Speicherung bis zur Übertragung und Löschung. Fachleute in unserem Bereich sprechen hier oft von der "Data Governance"-Architektur, die von Grund auf diesen Klassifizierungen entsprechen muss. Eine lückenhafte Dokumentation der Verarbeitungszwecke ist einer der häufigsten Schwachpunkte, den wir in Audits finden.
Geografischer Ursprung und Speicherort
Ein zentrales und oft missverstandenes Kriterium ist der **geografische Ursprung der Daten und der vorgeschriebene Speicherort**. Das Cybersicherheitsgesetz etablierte das Prinzip der "Lokalisierungspflicht" für wichtige Daten und personenbezogene Daten, die in China generiert wurden. Konkret bedeutet dies: Diese Daten müssen auf Servern innerhalb der chinesischen Grenzen gespeichert werden.
Eine Auslandsübermittlung ist zwar unter bestimmten, engen Voraussetzungen möglich (z.B. nach einer Sicherheitsbewertung), stellt aber einen separaten, genehmigungspflichtigen Verwaltungsakt dar. Für ein deutsches Unternehmen, das eine globale ERP-Cloud nutzt, kann dies eine massive technologische und operative Hürde darstellen. Ein praktischer Fall aus meiner Arbeit: Ein mittelständischer Hersteller wollte Produktions- und Qualitätsdaten von seinen Fabriken in Shenzhen zur europäischen Zentrale übertragen, um globale Analysen zu erstellen. Die Daten wurden als "wichtig" eingestuft, da sie Rückschlüsse auf die Produktionskapazität und Technologie eines als kritisch eingestuften Industriezweigs zuließen. Die Übertragung scheiterte letztlich an den hohen Auflagen, und das Unternehmen musste eine isolierte, lokale Datenanalyse aufbauen.
Die Kategorisierung nach diesem Kriterium erfordert daher eine genaue **Datenherkunftsanalyse**. Wo werden die Daten erhoben? Von wem (chinesischen Bürgern oder Ausländern in China)? Und welchen Bezug haben sie zum chinesischen Territorium? Diese Fragen müssen bereits in der Phase der Systemplanung beantwortet werden. Die Tendenz der Behörden geht klar dahin, die Lokalisierungspflicht streng auszulegen, was die betriebliche Flexibilität multinationaler Konzerne erheblich einschränkt. Es ist ein Spagat zwischen globaler Effizienz und lokaler Compliance.
Branchenspezifische Vorschriften und Kataloge
Die allgemeinen Gesetze werden durch ein Geflecht aus **branchenspezifischen Vorschriften und Klassifizierungskatalogen** konkretisiert. Dies ist ein Punkt, der ausländische Investoren besonders fordert, da hier das tiefe Fachwissen lokaler Experten unverzichtbar wird. Verschiedene Ministerien (für Industrie, Gesundheit, Finanzen, Verkehr etc.) haben oder erlassen eigene Kataloge, die definieren, welche Daten in ihrem Verantwortungsbereich als "wichtig" oder besonders schützenswert gelten.
So hat beispielsweise die Finanzregulierungsbehörde detaillierte Regeln für Kundendaten, Transaktionsdaten und Risikodaten von Banken und Versicherungen. Im Gesundheitswesen sind Patientenakten, klinische Studien-Daten und genetische Informationen extrem sensibel. Ein von uns beratenes Pharmaunternehmen aus Europa musste für seine klinischen Studien in China ein vollständig getrenntes Datenmanagementsystem einrichten, da die genetischen Probeninformationen unter den strengsten Schutz fielen und eine Ausfuhr gänzlich unmöglich war.
Die Herausforderung liegt in der Dynamik und teilweisen Intransparenz dieser Kataloge. Sie werden nicht immer großflächig publiziert, sondern den betroffenen Unternehmen im Rahmen von Genehmigungs- oder Inspektionsverfahren mitgeteilt. Mein persönlicher Einblick nach Jahren in diesem Feld: Der Aufbau und Pflege eines guten, professionellen Dialogs mit den zuständigen Branchenverbänden und Behörden ist hier oft wertvoller als das reine Studium von Gesetzestexten. Man muss "am Ball bleiben" und Netzwerke pflegen, um frühzeitig von neuen Klassifizierungsrichtlinien zu erfahren.
Zweck der Datenerhebung und -verarbeitung
Ein oft unterschätztes, aber in der Praxis äußerst relevantes Kriterium ist der **konkrete Verarbeitungszweck**. Das PIPL verankert das Prinzip der "Zweckbindung" und "Verhältnismäßigkeit". Daten dürfen nur für einen spezifischen, klar definierten und legitimen Zweck erhoben und verarbeitet werden. Dieser Zweck wiederum beeinflusst direkt, wie die Daten kategorisiert und geschützt werden müssen.
Nehmen wir ein Beispiel: Ein Unternehmen erhebt die Personalausweisnummern seiner chinesischen Mitarbeiter für die Lohnabrechnung (ein gesetzlich zulässiger Zweck). Diese Daten werden als sensible personenbezogene Daten behandelt. Würde dasselbe Unternehmen dieselben Ausweisnummern nun aber auch für den Zutritt zur Firmen-Freizeitanlage verarbeiten wollen, wäre dieser Zweck nicht verhältnismäßig – eine einfache Zugangskarte würde genügen. Die Weiternutzung für den zweiten Zweck wäre rechtswidrig und würde die Daten in einem Missbrauchskontext darstellen, was im Falle eines Lecks zu drastisch höheren Strafen führen könnte.
In der täglichen Verwaltungsarbeit ist die größte Hürde die **Dokumentation und Nachverfolgbarkeit**. Jede Änderung des Verarbeitungszwecks muss geprüft und möglicherweise neu genehmigt werden. Ein System, das für Marketingzwecke angelegt wurde, kann nicht einfach für personalisierte Preiskalkulationen zweckentfremdet werden. Meine Empfehlung an unsere Mandanten ist stets, eine interne "Datenverarbeitungs-Landkarte" zu erstellen, in der für jeden Datensatz der Zweck, die Rechtsgrundlage, die Speicherdauer und die Klassifizierungsstufe festgehalten ist. Diese interne Transparenz ist der beste Schutz vor Verstößen.
Zusammenfassung und Ausblick
Zusammenfassend lässt sich sagen, dass die Klassifizierung und Kategorisierung von Daten ausländischer Unternehmen in China einem **multidimensionalen Raster** folgt, das nationale Sicherheit, Personenschutz, Geografie, Branche und Verarbeitungszweck miteinander verwebt. Es handelt sich nicht um ein einfaches, technisches Schema, sondern um ein dynamisches, risikobasiertes und stark kontextabhängiges System. Die Kenntnis und korrekte Anwendung dieser Kriterien ist keine optionale Compliance-Übung, sondern eine strategische Kernkompetenz für jedes ausländische Unternehmen, das in China langfristig erfolgreich sein will.
Der Zweck dieses Artikels war es, Ihnen als Investor eine fundierte Grundlage zu bieten, um die Komplexität dieses Themas zu verstehen und die richtigen Fragen zu stellen. Die Bedeutung liegt in der Risikominimierung: Fehlklassifizierungen können zu empfindlichen Geldstrafen, Betriebsunterbrechungen, Rufschädigung und im schlimmsten Fall zum Verlust der Geschäftslizenz führen.
Ich sehe für die Zukunft eine weitere Verschärfung und Verfeinerung der Kriterien, insbesondere im Bereich der KI-gestützten Datenanalyse und von Daten, die an der Schnittstelle zwischen verschiedenen kritischen Sektoren entstehen. Meine persönliche Empfehlung ist, in robuste interne Datengovernance-Strukturen zu investieren und sich nicht auf eine reine "Checklist-Mentalität" zu verlassen. Bauen Sie Kompetenz vor Ort auf oder vertrauen Sie auf erfahrene Partner, die nicht nur die Buchstaben des Gesetzes, sondern auch die Geisteshaltung der Regulierer verstehen. Diejenigen, die Datenklassifizierung als lästige Pflicht sehen, werden scheitern; diejenigen, die sie als integralen Bestandteil ihrer China-Strategie begreifen, werden einen nachhaltigen Wettbewerbsvorteil erlangen.
Einsichten der Jiaxi Steuer- und Finanzberatung
Bei der Jiaxi Steuer- und Finanzberatungsgesellschaft begleiten wir seit über einem Jahrzehnt internationale Unternehmen bei der Navigation im chinesischen regulatorischen Umfeld. Unsere zentrale Einsicht zur Datenklassifizierung ist, dass sie niemals isoliert betrachtet werden darf. Sie ist vielmehr der **Grundstein einer integrierten China-Compliance-Strategie**, die steuerliche Verpflichtungen, Finanzberichterstattung und Geschäftsbetrieb miteinander verbindet. Ein falsch klassifizierter Datensatz kann nicht nur Datenschutzstrafen nach sich ziehen, sondern auch zu Fehlern in der Verrechnungspreisdokumentation oder bei Meldungen an die Devisenbehörde führen. Unser Ansatz ist daher immer holistisch: Wir schulen nicht nur die Rechtsabteilung, sondern arbeiten eng mit den Finanz-, IT- und Operations-Teams unserer Mandanten zusammen, um datenbezogene Risiken entlang der gesamten Wertschöpfungskette zu identifizieren und zu managen. Wir haben gelernt, dass die erfolgreiche Umsetzung weniger von der Technologie, sondern mehr von einem **kulturellen Verständnis** und proaktivem Beziehungsmanagement abhängt. Unser Rat: Beginnen Sie früh, seien Sie transparent in Ihren Absichten gegenüber den Behörden und investieren Sie in nachhaltige Governance-Strukturen. Nur so verwandeln Sie die Herausforderung der Datenklassifizierung von einem Kostentreiber in einen Vertrauensbeweis gegenüber dem chinesischen Markt.
