Seit dem 1. Januar 2026 gelten in China verschärfte Anforderungen im Rahmen des Cybersicherheitsgesetzes (CSL). Die Änderungen erweitern den regulatorischen Rahmen deutlich und erhöhen insbesondere für ausländische Unternehmen mit China-Bezug den Compliance-Druck im Bereich Cybersecurity, Datenschutz und KI-Governance.
Kernpunkt ist die ausgeweitete extraterritoriale Geltung. Während sich das Gesetz bislang vor allem auf ausländische Akteure bezog, die Chinas kritische Informationsinfrastruktur direkt gefährden, kann es künftig auf nahezu jede Handlung ausländischer Organisationen oder Einzelpersonen angewendet werden, sofern diese als nachteilig für die nationale Cybersicherheit eingestuft wird. Damit wächst die Reichweite der Vorschriften deutlich über klassische Infrastruktur- und Angriffsszenarien hinaus.
Zugleich werden die Strafrahmen spürbar angehoben. Bei schweren Verstößen drohen Geldstrafen zwischen zwei und zehn Millionen RMB. Zusätzlich können Behörden Apps deaktivieren oder Geschäftslizenzen widerrufen. Neben finanziellen Risiken entstehen damit auch unmittelbare operative Gefahren für betroffene Geschäftsmodelle.
Ein weiterer Schwerpunkt liegt auf der stärkeren Einbindung und Kontrolle von Künstlicher Intelligenz. Einerseits wird die staatliche Förderung von KI-Forschung und -Entwicklung ausgebaut, andererseits verschärft sich die Aufsicht über KI-Risiken. Unternehmen, die an KI-Systemen, Algorithmen oder entsprechender Infrastruktur arbeiten, müssen mit detaillierteren Vorgaben zu Ethik, Risikokontrolle und Systemsicherheit rechnen.
Die Durchsetzung wird flexibler gestaltet. Bei geringfügigen oder rasch korrigierten Verstößen kann mehr Nachsicht möglich sein, während neue Sanktionsinstrumente gezieltere Eingriffe erlauben. Präventive Kontrollen, saubere Dokumentation und schnelle Korrekturprozesse gewinnen dadurch an Bedeutung.
Besonders relevant sind die Neuerungen für Unternehmen mit ERP-, Cloud-, F&E- oder Shared-Service-Strukturen in China sowie für Organisationen, die China-Daten in globale Systeme integrieren. Sie sollten ihre internen Datenschutz- und Sicherheitsverfahren überprüfen und aktualisieren – einschließlich technischer Standards, Datenlokalisierungspflichten und Genehmigungen für grenzüberschreitende Datentransfers. Angesichts der steigenden regulatorischen Komplexität empfiehlt sich zudem der organisatorische Ausbau der Compliance: klare Verantwortlichkeiten, verbindliche Sicherheitsprotokolle und regelmäßige Schulungen zu Cybersecurity und Datenschutz.
Für 2026 werden weitere Konkretisierungen durch die zuständigen Behörden erwartet, ebenso branchenspezifische Leitlinien – insbesondere für Fertigung, Lieferketten-SaaS, ERP-Systeme sowie die Automobil-, Gesundheits- und Finanzbranche. Gleichzeitig ist mit häufigeren Stichprobenkontrollen und erweiterten Sicherheitsprüfungen bei Cloud-Diensten, Datenplattformen und KI-Trainingsdatensätzen zu rechnen.
China Intellectual Property Blog 