Cybersicherheitsgesetz: China verschärft Regeln für KI und erhöht Strafen massiv

Ab heute gelten in China verschärfte Cybersicherheitsregeln. Die umfassende Reform des Gesetzes bringt strengere KI-Kontrolle, drastisch erhöhte Geldstrafen und eine Ausweitung der staatlichen Befugnisse auch auf ausländische Unternehmen.

Die Änderungen am Cybersicherheitsgesetz (CSL), die am 1. Januar 2026 in Kraft treten, markieren die erste große Überarbeitung seit 2017. Sie spiegeln Pekings entschlossenen Kurs wider, die digitale Souveränität zu stärken und Risiken durch neue Technologien wie Künstliche Intelligenz einzudämmen. Für internationale Konzerne bedeutet dies einen spürbar härteren Rechtsrahmen.

Ein Kernpunkt der Novelle ist die erstmalige explizite gesetzliche Einbindung von Künstlicher Intelligenz (KI). Das Gesetz erkennt KI nun offiziell als strategisches Asset, aber auch als Sicherheitsrisiko an. Es verpflichtet den Staat, die Entwicklung “sicherer und vertrauenswürdiger” KI zu fördern. Gleichzeitig müssen Netzwerkbetreiber KI-Risiken aktiv managen.

Viele Unternehmen unterschätzen die praktischen Folgen der neuen Cybersicherheits- und KI‑Regeln: hohe Bußgelder, persönliche Haftung für Führungskräfte und extraterritoriale Durchgriffsrechte können global agierende Konzerne empfindlich treffen. Unser kostenloses E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, welche technischen und organisatorischen Maßnahmen jetzt sofort greifen müssen – von KI‑Risikobewertungen über sichere Datenflüsse bis zu Notfallplänen gegen Angriffe. Mit Checklisten für Compliance‑Teams und konkreten Umsetzungsschritten. Jetzt gratis Cyber‑Security‑Guide herunterladen

Rechtsexperten sehen darin einen bedeutenden Schritt: Die KI-Governance wird von verwaltungsrechtlichen Vorgaben auf die Ebene eines Nationalgesetzes gehoben. Für Unternehmen heißt das konkret: Jeder KI-Einsatz – von automatischer Datenverarbeitung bis zu generativen Modellen – muss nun strengeren Sicherheitsbewertungen standhalten. Die rechtliche Grundlage für ethische Normen und Risikomonitoring von Algorithmen ist geschaffen.

Bußgelder verzehnfachen sich auf bis zu 10 Millionen RMB

Die finanziellen Konsequenzen von Verstößen haben sich dramatisch verschärft. Bisherige Kritik, die Strafen seien für Tech-Giganten zu niedrig, wurde adressiert. Für Betreiber Kritischer Informationsinfrastruktur (KII), die Daten oder Netzwerke nicht ausreichend schützen, erhöht sich die maximale Geldstrafe von bisher 1 Million RMB auf 10 Millionen RMB (umgerechnet etwa 1,3 Millionen Euro).

Noch einschneidender ist die verschärfte persönliche Haftung für Führungskräfte. Verantwortliche Personen können nun mit bis zu 1 Million RMB (ca. 130.000 Euro) zur Kasse gebeten werden – das Zehnfache des bisherigen Limits. Zudem entfällt für bestimmte Vergehen die Pflicht der Behörden, zunächst eine Abmahnung auszusprechen. Regulierer können sofort Geldstrafen verhängen, was den Durchgriff beschleunigt.

Chinas rechtliche “lange Arm” greift weiter aus

Eine besonders brisante Neuerung betrifft die extraterritoriale Jurisdiktion. Das Gesetz weitet den Geltungsbereich explizit auf Organisationen und Personen außerhalb Chinas aus. Chinesische Behörden können nun rechtlich gegen ausländische Einheiten vorgehen, wenn deren Aktivitäten die Cybersicherheit kritischer Infrastrukturen gefährden oder nationale Sicherheitsinteressen beeinträchtigen.

Das hat direkte Folgen für internationale Unternehmen ohne physische Präsenz in China, die aber Daten chinesischer Nutzer verarbeiten. Major international law firms warnen vor einem klaren gesetzlichen Hebel für Sanktionen, der theoretisch sogar zu Vermögenssperren führen könnte. Der digitale Raum wird damit eindeutig zum Bereich nationaler Sicherheit erklärt.

Harmonisierung des digitalen Rechtsrahmens

Die Änderungen vollenden die Harmonisierung von Chinas drei zentralen Digitalgesetzen: dem Cybersicherheitsgesetz (CSL), dem Datensicherheitsgesetz (DSL) und dem Gesetz zum Schutz persönlicher Informationen (PIPL). Seit 2021 klafften zwischen den jüngeren DSL/PIPL und dem älteren CSL Lücken bei Strafhöhen und Definitionen.

Die Novelle 2026 beseitigt diese Inkonsistenzen. So orientieren sich die neuen CSL-Vorgaben zur “Netzwerkdatensicherheit” nun an der Sprache des DSL. Für die Cyberspace Administration of China (CAC) schafft das einen einheitlichen und schlagkräftigen Werkzeugkasten für Durchsetzungsmaßnahmen, die ab sofort häufiger und stringenter erwartet werden.

Was kommt auf Unternehmen zu?

Die Übergangsfrist zwischen der Billigung im Oktober 2025 und dem heutigen Inkrafttreten ist abgelaufen. Compliance-Abteilungen stehen unter unmittelbarem Druck, ihre Cybersicherheitsmaßnahmen zu überprüfen.

Marktbeobachter rechnen mit ersten Durchsetzungsmaßnahmen in zwei Bereichen: bei kritischen Infrastrukturen (Finanzen, Energie, Telekommunikation) und bei KI-Dienstleistern. Erwartet werden zudem detaillierte Leitlinien der CAC, die die Schwelle für “schwerwiegende Verstöße” und die damit verbundenen Maximalstrafen konkretisieren.

Für multinationale Konzerne liegt die Priorität nun auf zwei Feldern: der Absicherung lokaler IT-Infrastruktur nach den neuen Standards und der Prüfung, ob eigene grenzüberschreitende Datenaktivitäten die extraterritorialen Bestimmungen auslösen könnten. Die Ära lascher Cybersicherheits-Durchsetzung in China ist endgültig vorbei.

PS: Sie müssen schnell prüfen, ob Ihre IT‑ und Compliance‑Strategien den neuen Anforderungen standhalten? Der kostenlose Leitfaden führt in fünf klaren Schritten durch die wichtigsten Handlungsfelder – Governance für KI, Absicherung grenzüberschreitender Datenflüsse, Mindestanforderungen an Netzwerkbetreiber und praktische Incident‑Response‑Checklisten. Viele Maßnahmen lassen sich ohne große Zusatzbudgets umsetzen und reduzieren unmittelbar Haftungsrisiken. Für Entscheider und CISOs, die jetzt handeln wollen. Gratis Cyber‑Security‑Leitfaden anfordern