一、经营主体设立

（一）公司注册形式

在德国，企业主要可以选择以下几种公司形式进行注册：

有限责任公司（GmbH）：这是最常见的公司形式，适合中小型企业，股东的责任限于其出资额。例如，上工申贝集团在2004年在德国成立了上工欧洲控股有限责任公司，并收购了DA公司，专注于高端缝制设备的市场。

股份公司（AG）：适合大型企业或计划公开上市的公司，股东的责任同样是有限的。例如，美的集团于2016年收购了德国工业机器人制造商库卡，成为其最大单一股东，推动了双方的合作与发展。

个体经营者（Einzelunternehmer）：适合自由职业者或小型企业，没有最低资本要求，但个人需对公司债务承担无限责任。许多华人社区的小规模贸易和服务业务都采用这种形式。

合伙企业（KG, GbR）：由两个或以上的个人组成，适合专业服务行业，合伙人对企业债务承担责任。

（二）最低注册资本要求

GmbH：最低注册资本为25,000欧元，其中至少12,500欧元需在注册时实际缴纳。如果在公司设立阶段，没有完成注册资本全部实缴，可在后续经营中补足。

AG：最低注册资本为50,000欧元。

（三）本地股东和董事要求

在德国注册公司，无论是GmbH还是AG，都不需要当地居民作为法人代表或董事。公司可以由非德国居民全资拥有，并且可以任命非德国居民作为董事。

（四）公司实际地址要求

公司必须在德国拥有一个合法的注册地址，该地址可以是租赁的办公室或实际的商业场所。由于德国不允许离岸公司仅允许在岸公司，因此必须要在德国境内有实际办公地址。

（五）外汇管制要求

德国的外汇市场相对自由，企业和个人可以自由持有和买卖外汇，没有实行严格的外汇管制政策。自1958年起，德国实行货币自由兑换制，企业和个人可以自由进行外汇兑换和跨境资金流动。根据德国《外汇管理法》第67条，单次汇款超过1.25万欧元时，汇款人需向德国联邦银行进行报告。公司实际获得的利润可以自由进出，但在涉及大额资金转移时需要遵守相关的申报规定。

二、劳动用工合规

（一）本地员工人数和比例要求

德国劳动法并未明确规定外国企业在德子公司必须雇佣的本地员工人数或比例。然而，德国国会通过的“男女平等”法律要求大企业高管中女性人数比例不得少于30%。这一规定体现了德国对于性别平等的重视，企业在组建管理团队时应考虑到这一要求。

（二）外国人签证

外国人在德国工作必须持有德国劳动局颁发的工作许可，但欧盟成员国公民、拥有无限期居留许可或定居许可的外国人及根据国家间协议或有关法律规定可在德国工作的外国人除外。原则上，外国人需持有签证才能入境德国和在德国停留，除非在国际协议、德国或欧盟法律中另有规定。对于非欧盟国家公民，如果计划在德国工作超过90天，他们需要申请居住许可证以及工作签证。

（三）薪资成本

德国的薪资成本包括基本工资和雇主对社会保险的缴纳。截至2024年，德国的最低工资定为每小时12.41欧元。雇主还需要为员工缴纳养老金保险（9.3%）、失业保险（1.2%）、健康保险（7.3%）和长期护理保险（1.5%）。这些社会保险费用是德国用工成本中的重要组成部分。

（四）解除劳动关系的条件和成本

在德国，解除劳动关系必须遵循严格的法律规定。对于无限期的劳动合同，解雇期限随员工工作年限增加而增加，如员工刚被聘用，则解雇期限为4周；如果员工已为公司工作了20年，则需要7个月。劳动关系的结束必须以书面形式体现，并且一定要注明解雇理由。如果用人单位解除劳动合同违反社会公正原则，劳动者有权提起解雇保护诉讼，要求法院认定解雇无效。在实践中，用人单位通常会支付一定金额的经济补偿金（Abfindung），以换取劳动者放弃提起解雇保护诉讼的权利。

（五）德国的工会

德国的工会在企业和社会中扮演着重要角色，它们不仅代表工人的利益，还参与到公司的共同决策中。德国工会的主要组织包括德国工会联合会（DGB），它由全国八大行业工会联合组成。德国工会的组织结构严谨，职能包括维护工人权益、提供帮助和支持、参与政治活动以及组织文化和体育活动。

根据德国工会法，工人委员会在涉及员工利益的决策中拥有特殊权利，如工作条件、工作时间等。这些权利有效地限制了管理层的自由权力，要求工人委员会的同意或通过调解使决策生效。中国企业在德国运营时必须考虑到工会的影响力。德国工会通过集体谈判影响工资和工作条件，这对企业的人力资源规划和成本控制有直接影响。例如，德国五金工会（IG Metall）通过罢工和怠工迫使资方同意35小时工作制，这项规定很快惠及德国所有的劳动者。

三、基本税务要求

（一）个人所得税

德国个人所得税采用累进税率制，2024年起征点提高到11,604欧元。个人所得税的纳税人分为无限纳税人和有限纳税人。无限纳税人（在德国有住所的个人）就其全球所得纳税，而有限纳税人（在德国无住所的个人）仅就德国境内所得纳税。个人所得税的税率在14%至45%之间，具体税率取决于个人收入水平。

（二）企业所得税

德国企业所得税的全国统一税率为15%，并且有一个5.5%的团结附加税，使得实际税率更高。企业所得税的税基是公司的年度营业利润，且对合伙制企业不征收企业所得税，而是对自然人合伙人在分得利润时征收个人所得税。

（三）中德之间的税收优惠协定

中德之间签订有避免双重征税和防止偷漏税的协定，适用于两国居民的所得和财产税。协定规定了股息、利息和特许权使用费的税收优惠，并对如何享受协定待遇提供了详细规定。根据协定，德国居民从中国取得的所得，按照协定规定在中国征税的，免除德国税收。

（四）数字税

德国数字服务税（DST）主要针对提供数字服务的大型跨国公司，特别是那些在全球范围内年收入超过7.5亿欧元且在欧盟年收入超过5000万欧元的企业，以确保这些公司在德国市场上公平地缴纳税款。DST的征税范围包括在线广告、数字中介服务以及用户数据销售等。德国的数字服务税税率为3%，适用于上述提到的应税收入部分。

四、外资与行业政策

（一）鼓励/限制的行业

德国对外资实行较为宽松的市场准入政策，外国资本投资德国原则上没有限制，与本国投资者享有同等待遇。德国鼓励外国投资者进入的行业包括电气机械及器材制造、医药制造、化学原料及化学制品制造、电子设备制造、贸易、分销、交通运输、金融以及研发等产业领域。然而，德国明确禁止投资者进入的领域只有建设和经营核电站和核垃圾处理项目。此外，一些关键基础设施、关键行业以及涉及国家安全的特定行业等对外资公司存在限制。

（二）产业园区

德国政府积极创造有利于企业投资的环境，并没有专门设立政府部门针对国外投资进行专门管理，但德国联邦银行担负对国外投资进行统计的职能。德国政府贸易与投资促进署(GTAI)及各联邦州经济促进公司为前往德国的外国投资者提供各种相关服务。

德国的主要产业园区包括：

赫斯特工业园：位于德国黑森州法兰克福市西郊，以化工、医药、生命科学和生物技术领域为主，拥有多家知名跨国公司，如拜耳、朗盛等。

阿德勒斯霍夫产业园：位于柏林东南部，是德国最成功的高科技产业园区之一，同时也是柏林最著名的媒体区。园区内有883家企业和17家科研机构，集中于光学和光伏技术、材料和微系统技术、信息和媒体技术及环境和生物技术等高科技领域。

柏林—巴鲁特工业园：位于柏林大区内，重点发展水、木材和生物科学工业，未来将延伸到制造业。

海德堡科技园区：以生命科学中心著称，是德国最重要的生物技术园区之一，在全球也居于领先地位。

（三）外资准入

德国对外商投资的审查分为跨行业的投资审查和特定行业（如军工国防和其他安全敏感领域企业）的投资审查。2021年，德国进一步收紧了对外商投资的管控，十六个新增行业被纳入外商投资条例的管控范围，包括水务、能源、金融/保险、医疗保健、运输和食品行业的关键基础设施以及特定的IT服务（如云服务和远程信息服务）和媒体。对于这些行业，如果非欧盟/欧洲经济区的投资者直接或间接收购德国目标公司至少10%的投票权，则须遵守外商投资条例的强制申报要求。

五、数据保护与合规

（一）立法情况及适用范围

1. 立法情况

德国是世界上最早颁布数据保护成文法的国家，1970年，德国黑森州（HessenState）率先颁布了《数据保护法》，该法是世界上第一部真正意义上的数据保护成文法。另一方面，德国个人数据保护立法内容的全面性、实用性及长远性在世界上处于领先地位。1977年，德国联邦立法机关正式通过了《德国联邦数据保护法》（Bundesdatenschutzgesetz，以下简称“BDSG”），开创性地将公共机构和私营机构统一纳入个人数据保护法加以规范。

2018年5月25日，欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）正式生效。在欧盟成员国中，德国是对GDPR第一个迅速采取行动的国家。BDSG广泛吸纳了欧盟GDPR中的开放条款，并针对与特殊类别数据的处理和与指定数据保护官员相关的规则引入了一些补充条款，结合本国国情制定了若干更加细化的规定，包括扩大欧盟新条例下数据保护委托的适用范围，对企业员工的信息保护、视频监控、档案设置以及数据保护影响评估等都作了特别规定。

除BDSG外，德国还制定了《刑事诉讼法》（Criminal Protection Act，BCPA）、《电信法》（Telecommunication Act，BTA）等法律，规范Cookies的使用、电子邮件营销、数据缩小以及数据隐私的保护；德国各州也颁布了有关个人数据保护的州立法文件。

2. 适用范围

在适用范围上，德国将GDPR的规定写入BDSG、完成国内立法转化，与欧盟成员国保持统一的数据保护水平，具体规定如下：

地域范围：BDSG[1]适用于德国境内的数据控制者（controller）和数据处理者（processor），以及为德国公民提供商品和服务而利用和处理个人数据的境外单位和个人。

数据范围：在GDPR的基础上，BDSG加入了允许处理特殊类别的个人数据和员工个人数据的条款，包括：

（1）BDSG允许在用于科学或历史研究和统计目的时，未经同意处理敏感个人数据[2]。前提是数据处理对于实现该等目的是必需的，并且数据控制者处理这些数据的利益大大超过了数据主体不处理数据的利益。但是为了维护数据主体的利益，数据控制者必须采取“适当和具体的措施”。

（2）员工个人数据的处理[3]。数据处理是为了做出是否建立劳动关系的决定所必需，是履行或终止劳动关系所必需，或者是行使或履行基于法律、集体合同或企业协议产生的权利义务所必需时，通常允许处理员工数据。

（3）员工敏感个人数据的处理[4]。如果数据处理是为了评估员工的工作能力、医疗诊断等目的而进行的，例如预防医学、提供健康或社会护理或治疗或管理健康或社会护理系统和服务或根据数据主体与卫生专业人员签订的合同，且这些数据是由卫生专业人员或受专业保密义务约束或在其监督下处理的，则允许处理敏感数据。

（二）数据处理的基本原则

德国BDSG在数据处理基本原则方面未作特殊规定，主要将GDPR的规定转化为国内立法，与欧盟成员国保持统一的数据保护水平，具体数据处理原则[5]如下：

1. 公平、合法原则

处理个人数据应当公平、正当，具有明确的法律依据，满足法律的要求。不得通过误导、欺诈、胁迫等方式非法处理个人数据，不得对数据主体的权益产生不合理的负面影响。

2. 透明原则

处理个人数据之前应当公开个人数据处理规则，明示处理的目的、方式和范围以及数据主体享有的权利，以便数据主体充分知悉。此外，公司应努力对大众公布数据保护和使用的相关实践，如发布数据保护报告等。

3. 目的限制原则

处理个人数据应当具有明确、合法、有针对性的目的，不得超出原本告知并获得授权同意的目的处理个人数据。

4. 最小必要原则

处理个人数据应当仅限于与完成相关业务的目的直接相关并且为所需之最小必要，不得处理与业务不相关或不必要的数据。

5. 信息准确原则

处理个人数据应当保证个人数据的质量，确保信息的准确性和完整性。若发现有错误、虚假的数据，应当及时更新、修改或删除。

6. 存储限制原则

处理个人数据必须遵守规定的存储期限，到期应当对个人数据进行删除或作匿名化处理，不得超期存储。如果没有具体限制的，在完成必要的处理目的之后，不得继续存储。

7. 安全保密原则

处理个人数据应当保证个人数据的安全，采取适当技术手段或组织管理措施，防止未经授权或非法的处理行为，防止数据意外丢失、破坏或损坏。

8. 可追责原则

公司应当能够向监管机关证明已落实相关合规义务，如：制定并实施公司内部数据保护政策、按要求完成个人数据保护影响评估（DPIA）、实施隐私设计与规划（PbD）、留存获取数据主体同意的证明、留存与外部第三方签订的合同和管理文件、留存日志或记录等。

（三）数据主体的权利

在GDPR规定的知情权、访问权、更正权、反对权等数据主体一般性权利的基础上，BDSG引入了对个人数据主体权利的减损条款，具体包括以下内容：

1. 向个人提供信息的义务（知情权）[6]：在某些特殊情况下，如果数据控制者打算将个人数据进一步处理用于收集个人数据时持有的目的以外的目的，则BDSG免除数据控制者告知个人其权利的义务。例如，如果提供有关进一步使用的信息会干扰法律主张的确立、行使或辩护（前提是该个人对于该等信息方面没有更高的利益）。

2. 访问权[7]：数据主体的访问权存在一项例外：在进行科学研究时，如果个人数据是科学研究所必需的，并且提供信息将需要耗费不成比例的成本，数据控制者有权拒绝数据主体的访问请求。此外，BDSG还规定了数据主体访问数据的权利的某些豁免情形。例如，如果个人数据被记录的原因仅仅是由于法律或法定要求不能删除这些数据或者仅用于监测数据保护或保护数据，提供数据将需要耗费不成比例的成本，而且已经采取适当的技术和组织措施确保数据不可能被用于其他处理目的。

3. 删除权[8]：在不涉及自动化处理数据的情况下，如果无法删除数据，或者由于特定的存储模式而涉及不成比例的高工作量，并且数据主体并未强烈要求删除个人数据，BDSG免除了数据控制者在此类情形下删除个人数据的义务。然而，在这种情况下，数据控制者需要采取处理限制措施以代替删除措施。

（四）数据控制者及数据处理者的义务

1. 数据保护官（DPO）

GDPR规定[9]，如果数据控制者或处理者的核心活动包含对某种特殊类型个人数据的大规模处理、对定罪和违法相关的个人数据的处理以及对数据主体进行大规模性的常规和系统监控，则公司需要任命一名数据保护官。

对比GDPR的规定，德国BDSG就数据保护官的任命要求更为严格、细化。在符合以下要求时，数据控制者或处理者必须指定一名数据保护官[10]：

（1）经常性雇用至少20名负责个人数据自动处理的人员；

（2）数据处理行为必须进行个人数据保护影响评估（DPIA）；

（3）基于商业原因、匿名传输或出于市场调查和民意调查的目的而处理与传输个人数据。

2. 关键基础设施及运营者法定义务

《联邦信息安全办公室法案》（以下简称“BSIG”）是网络安全领域最重要的法律之一。BSIG划定了联邦信息安全办公室（以下简称“BSI”）的职权范围，并规定了运营信息技术基础设施的联邦机构以及关键基础设施（Critical Infrastructure）运营者的具体义务。

根据BSIG规定[11]，关键基础设施是指满足下列条件的设施、设备或其组成部分：

（1）属于能源、IT、电信、交通、运输、健康、水、营养、金融、保险、城市垃圾管理领域；

（2）对于社会正常运转有重要影响，一旦发生故障或损坏将导致供应紧缺或危害公共安全。

关键基础设施运营者的主要法定义务[12]如下：

（1）关键基础设施运营者有义务采取组织技术措施，避免对关键基础设施正常运作有着决定性作用的信息系统、组件、流程在可用性、完整性、真实性、保密性方面遭到破坏。关键基础设施运营者须每两年向BSI提供符合要求的合规证明，允许BSI及其代表人员在正常营业时间内现场检查，并需要以适当的方式提供相关证明材料，如记录、文档等。如发现安全缺陷，在与其他主管部门协商后，BSI可以要求采取救济措施。

（2）关键基础设施运营者应指定相应联络人向BSI登记。在所运营的关键基础设施发生在可用性、完整性、真实性、保密性方面影响的故障或损坏的事件后，或可能发生对可用性、完整性、真实性、保密性产生重大影响的故障或损坏的事件时，通过该联络人向BSI报告。

（五）数据跨境传输合规要求

德国BDSG将GDPR的规定进行国内立法转化，与欧盟成员国保持统一的数据保护水平，在数据跨境传输方面未作特殊规定，具体要求[13]如下：

除非符合以下条件，否则不允许将欧洲经济区中的个人数据传输到欧洲经济区以外的第三国：

1. 欧盟委员会的充分性决定认证的国家/地区：已获得欧盟委员会批准的国家/地区包括安道尔、阿根廷、加拿大（仅适用于商业机构）、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、日本、韩国以及英国；

2. 标准合同条款（“SCCs”）：由欧盟委员会通过或由监管机构通过并由欧盟委员会批准；

3. 由主管数据保护机构批准的具有约束力的公司规则（“BCR”）；

4. 经批准的行为准则（Code of Conduct）：若位于第三国/地区的数据接收方承诺其会遵守特定的行为准则，以保护其接收到的来自欧洲经济区的个人数据，且该行为准则经欧盟成员国数据保护监管机构批准通过；

5. 经批准的认证机制：基于主管监管机构或EDPB所批准的认证标准，经相关机构颁发认证；

6. 豁免情形（例如明确同意，合同必要性，公共利益，法律主张等）或特定豁免。

（六）监管机构与执法现状

根据BDSG的规定，德国的本地数据保护机构为数据保护专员（Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, “BDI”）。德国在联邦和各州均设置数据保护专员，其负责监督数据保护法律法规和GDPR的实施情况，有权将违规情况上报相应主管机关、调取企业资料[14]。

除监督GDPR和BDSG等法律的实施、开展执法行动外，BDI还发布了大量的数据保护与合规指引，帮助企业开展个人数据保护工作，主要包括以下重点领域：

1. 人工智能

2024年5月6日，BDI发布了《人工智能与数据保护指南》，以指引生成式AI符合欧盟GDPR的有关规定。

该文件在以下方面规定了人工智能应用的部署者应履行的义务：人工智能应用的运用领域和服务目的、人工智能应用的实施、人工智能应用的使用。

人工智能应用的部署者需考虑以下问题：人工智能应用的运用领域是否合法；是否涉及个人数据的处理；人工智能应用的训练是否符合数据保护的规定；数据处理的合法性基础；对数据主体产生法律后果的自动化处理的依据；人工智能应用属于封闭系统还是开放系统；是否符合GDPR规定的透明度义务要求；数据主体权利，特别是修改权和删除权；数据保护官（DPO）和员工代表参与有关人工智能应用的决策。

2. 汽车

2018年发布的必须进行数据保护影响评估（DPIA）的处理活动清单承袭了WP29工作组发布的指南，明确了多项数据处理活动必须开展数据保护影响评估（DPIA）。两类典型的与车辆数据相关的处理活动值得关注：

（1）广泛处理与自然人位置有关的个人数据。例如，一家公司提供汽车共享服务或其他移动出行服务，并在此基础上处理大量位置数据和账单数据。

（2）在公众场所以移动式光学电子方式收集个人数据，并将来自一个或多个系统的数据进行大规模集中处理。例如，一家公司收集车辆产生的有关周围环境的个人数据，并将其用于确定空闲停车位或改进自动驾驶算法等。[15]

（七）法律责任

GDPR建立了两级罚款制度。对于违规行为，主管监管机构可以对公司处以最高1,000万欧元或其全球年营业额2％的罚款（取较高者）；对于GDPR所规定的最严重的侵权行为，监管机构可处以最高2000万欧元或公司全球年度营业额的4％的罚款（取较高者）[16]。

在GDPR规定的基础上，BDSG另外规定以下数据处理行为可能构成刑事犯罪，遭到监禁或者罚款处罚[17]：

1. 故意且未经授权，将大量个人的非公开的个人数据用于商业目的；

2. 未经授权处理非公开的个人数据，以换取费用、个人或第三人获益或故意伤害他人；

3. 欺诈性获取非公开的个人数据以换取费用、个人或第三人获益或故意伤害他人。

六、实用信息源

1. 欧盟《通用数据保护条例》：

https://gdpr-info.eu/

2. 德国联邦数据保护法：

https://www.gesetze-im-internet.de/englisch_bdsg/index.html#gl_p0012

3. 德国数据保护专员（BfDI）：

https://bfdi.bund.de/EN/Home/home_node.html

4. 《企业对外投资国别（地区）营商环境指南》，中国国际贸易促进委员会

5. 《对外投资合作国别（地址）指南》，商务部