Generative KI-Dienste haben sich inzwischen zu unverzichtbaren Arbeitswerkzeugen entwickelt – ein Trend, der maßgeblich von Diensten wie ChatGPT und DeepSeek vorangetrieben ist. Unternehmen öffnen sich diesem Trend zunehmend: Sie gestatten Mitarbeitern die Nutzung solcher Technologien, schließen Firmenlizenzen ab oder richten Arbeitskonten ein, um Produktivität zu steigern und gleichzeitig die KI-Nutzung der Mitarbeiter in den Risikomanagement- und Compliance-Rahmen des Unternehmens einzubinden. Doch welche rechtlichen Implikationen ergeben sich, wenn europäische multinationale Konzernunternehmen, insbesondere ihre chinesischen Tochtergesellschaften, den Einsatz einheimischer chinesischer KI-Dienste wie DeepSeek, Kimi oder Doubao erlauben? Der vorliegende Beitrag beleuchtet die relevanten Regulierungsrahmen in beiden Rechtsordnungen – China und der EU – aus den Perspektiven der KI-Regulierung und des Datenschutzes. Zentral ist dabei die Beantwortung einer Frage, die sich betroffene Unternehmen häufig stellen: Welche chinesischen bzw. EU-Vorschriften sind zu beachten, und welchen konkreten Compliance-Verpflichtungen unterliegt man tatsächlich?

Seit Inkrafttreten des Gesetzes der Volksrepublik China zum Schutz Personenbezogener Daten (Personal Information Protection Law, „PIPL“) und der dazugehörigen Durchführungsbestimmungen rücken Compliance-Anforderungen bei grenzüberschreitenden Datenübermittlungen zunehmend in den Fokus international tätiger Unternehmen in China. Nach geltender Rechtslage stehen hierfür grundsätzlich drei gesetzlich vorgesehene Compliance-Mechanismen zur Verfügung, sofern kein gesetzlicher Ausnahmetatbestand greift: (1) Durchführung einer staatlichen Sicherheitsbewertung für Datenübermittlungen ins Ausland; (2) Erwerb einer Zertifizierung zum Schutz personenbezogener Daten; oder (3) Abschluss und Registrierung eines Standardvertrags zur Übermittlung personenbezogener Daten ins Ausland. In der Praxis entscheiden sich die meisten kleinen und mittleren Unternehmen aus Kostengründen für den Mechanismus der Registrierung des Standardvertrags. Der Standardvertrag ist ein von der staatlichen Cyberspace-Behörde (Cyberspace Administration of China, „CAC“) herausgegebenes verbindliches Vertragsmuster, das die Rechte und Pflichten zwischen dem inländischen Verantwortlichen und dem ausländischen Datenempfänger regelt. Die Entscheidung über die Registrierung des Standardvertrags trifft jeweils die für den Sitz des Verantwortlichen zuständige Cyberspace-Behörde auf Provinzebene („CA auf Provinzebene“). Die praktische Erfahrung von Shaohe Law Firm aus Registrierungsverfahren in verschiedenen Regionen zeigt, dass die CA auf Provinzebene jeweils eigene Prüfungsschwerpunkte setzen. Die formale Vollständigkeit der eingereichten Unterlagen gewährleistet noch keine erfolgreiche Registrierung. Vor diesem Hintergrund stellt sich die Frage: Worauf achten die CA-Behörden im Rahmen der Registrierung konkret?

Qualitätsbezogene Streitigkeiten gehören zu den häufigen Konflikten im Rahmen von Kaufverträgen. Sie betreffen eine weite Spanne von großtechnischen Industrieanlagen zu kleineren Haushaltsgeräten. Bei Streitigkeiten über die Qualität von Haushaltsgeräten zwischen Herstellern und Verbrauchern ist der Streitwert häufig vergleichsweise gering, sodass sich Hersteller oftmals für eine Warenrücknahme und Kaufpreisrückerstattung entscheiden. Im Zusammenhang mit dem Kauf großtechnischer Industrieanlagen können qualitätsbezogene Streitigkeiten hingegen schnell ein wirtschaftliches Volumen in Millionenhöhe erreichen. Zudem sind solche Streitigkeiten häufig mit weiteren Fragen wie der Zahlung des Restkaufpreises oder der vertraglich vereinbarten abschließenden Prüfung und Annahme der Anlage verknüpft, was die Sachlage zusätzlich komplex macht.