Die irische Datenschutzbehörde (Data Protection Commission) hat dem chinesischen Unternehmen Bytedance als Eigentümer von TikTok eine Geldstrafe von 530 Millionen Euro auferlegt, weil Nutzerdaten nach China abgeflossen sind. Zudem gab es Anordnungen, bestimmte Sachverhalte zu korrigieren.
Die irische Datenschutzkommission (Irish Data Protection Commission, kurz DPC) hat zum 2. Mai 2025 mitgeteilt, dass sie im Anschluss an eine Untersuchung von TikTok Technology Limited („TikTok“) zu einer endgültigen Entscheidung gelangt sei.
Untersuchung gegen TikTok
Von der DPC war als federführende Aufsichtsbehörde untersucht worden, ob die von TikTok vorgenommene Übermittlung personenbezogener Daten von Nutzern der TikTok-Plattform im europäischen Wirtschaftsraum (EWR) an die Volksrepublik China („China“) rechtmäßig war. Im Rahmen der Untersuchung wurde auch geprüft, ob die Bereitstellung von Informationen für die Nutzer im Zusammenhang mit solchen Übermittlungen den Transparenzanforderungen von TikTok gemäß der Datenschutz-Grundverordnung entsprach.
Von den Datenschutzbeauftragten Dr. Des Hogan und Dale Sunderland wurde in der TikTok mitgeteilten Entscheidung wird festgestellt, dass die Plattform in Bezug auf die Übermittlung von EWR-Nutzerdaten nach China sowie bezüglich der Transparenzanforderungen gegen die Datenschutz-Grundverordnung verstoßen hat.
Geldbuße von 530 Millionen Euro
Daher verhängte die DPC Geldbußen in Höhe von insgesamt 530 Millionen Euro gegen TikTok. Zudem wurde eine Anordnung erlassen, die TikTok verpflichtet, seine Verarbeitung innerhalb von 6 Monaten in Einklang mit der Verordnung zu bringen. Die Entscheidung beinhaltet auch eine Anordnung, Überweisungen von TikTok nach China auszusetzen, wenn die Handhabung von Benutzerdaten nicht innerhalb dieses Zeitrahmens in Einklang mit der DSGVO und anderen EU-Regularien gebracht wird.
Der stellvertretende DPC-Kommissar Graham Doyle kommentierte die Entscheidung so: „Die Datenschutz-Grundverordnung verlangt, dass das hohe Schutzniveau, das in der Europäischen Union geboten wird, auch dann gilt, wenn personenbezogene Daten in andere Länder übermittelt werden.“
DSGVO-Verstoß durch Datentransfer nach China
Die von TikTok vorgenommenen Übermittlungen personenbezogener Daten nach China verstießen nach Ansicht der DPC gegen die Datenschutz-Grundverordnung, da der Anbieter es versäumt hat, zu überprüfen, zu garantieren und nachzuweisen, dass die personenbezogenen Daten von EWR-Nutzern, auf die Mitarbeiter in China remote zugreifen, ein Schutzniveau genießen, das im Wesentlichen dem in der EU garantierten Schutzniveau entspricht.
Da TikTok es versäumt hat, die erforderlichen Bewertungen vorzunehmen, hat die Plattform den potenziellen Zugriff chinesischer Behörden auf personenbezogene Daten aus dem EWR im Rahmen der chinesischen Gesetze zur Terrorismusbekämpfung, zur Spionageabwehr und anderer Gesetze, die TikTok als wesentlich von den EU-Standards abweichend identifiziert hat, nicht berücksichtigt.
Die DPC hatte bereits zum 21. Februar 2025 einen Entwurf des heutigen Beschlusses an die zuständigen Länder-Datenschutzbeauftragte (über den Kooperationsmechanismus der Datenschutz-Grundverordnung) verteilt. Es wurden seitens dieses Gremiums keine Einwände gegen den Entscheidungsentwurf des DPC erhoben.
Fehlerhafte Angaben von TikTok
Ein Problem waren wohl auch fehlerhafte Informationen, die von TikTok der Datenschutzbehörde vorgelegt wurden. Während der gesamten Untersuchung teilte TikTok dem DPC mit, dass es keine EWR-Nutzerdaten auf Servern in China speichere. Im April 2025 informierte TikTok den DPC jedoch über ein im Februar 2025 entdecktes Problem, bei dem entgegen den Angaben von TikTok bei der Untersuchung tatsächlich begrenzte EWR-Nutzerdaten auf Servern in China gespeichert worden waren. TikTok teilte dem DPC mit, dass diese Entdeckung bedeute, dass TikTok im Rahmen der Untersuchung unrichtige Angaben gemacht habe.
Der stellvertretende Kommissar Doyle sagte dazu: „Die Datenschutzbehörde nimmt die jüngsten Entwicklungen in Bezug auf die Speicherung von Nutzerdaten aus dem EWR auf Servern in China sehr ernst. TikTok hat die Datenschutzbehörde zwar darüber informiert, dass die Daten inzwischen gelöscht wurden, aber wir prüfen in Absprache mit den anderen EU-Datenschutzbehörden, welche weiteren regulatorischen Maßnahmen gerechtfertigt sein könnten.“ Die DPC wird die vollständige Entscheidung und weitere Informationen zu gegebener Zeit veröffentlichen.
TikTok zeigt sich in dieser Erwiderung nicht mit der DPC-Entscheidung einverstanden und verweist auf sein 12 Milliarden teures Projekt „data security initiative“ zur Absicherung der Daten. TikTok habe stets erklärt, dass es nie eine Anfrage nach europäischen Nutzerdaten von den chinesischen Behörden erhalten hat und ihnen auch nie europäische Nutzerdaten zur Verfügung gestellt hat.
Weiterhin versucht man die Karte „tiefe Integration in die europäische Wirtschaft“ mit 175 Millionen Nutzern in ganz Europa, mehr als 6.000 Mitarbeitern und einer Plattform, die kleinen Unternehmen geholfen hat, 4,8 Milliarden Euro zum BIP beizutragen und über 51.000 Arbeitsplätze zu schaffen, zu ziehen.
Ganze !!! 0,176 Prozent !!! des geschätzten Marktwertes – als nicht börsenorientiertes Unternehmen läßt sich nur diese Grundlage nehmen. Die Chinesen fangen schon mal an und steigen auf ihre Stühle…
Naja,
andererseits sind es ’nur‘ die Daten der Nutzer, die diese im Wissen um die Verbindungen nach China selbst da reingekippt haben. Hätten sie nicht tun müssen.
Ich würde es sehr begrüßen, wenn solche Maßstäbe wie hier auch bei Speichervorgängen angewandt werden, die nicht direkt von mir initiiert wurden, ich der Speicherung also nicht konkludent zugestimmt habe.
Aktuelles Beispiel:
Ich bestelle einen Aktikel bei einem ebay-Anbieter.
Drei Tage später klingelt mein Handy, angezeigt wird eine Nummer von Amazon mit einem SPAM-Warnhinweis (so einen hatte ich noch nie).
Also mal drangegangen (auflegen kann ich immer noch), und da ist auch tatsächlich ein Amazon-Mitarbeiter (offensichtlich ein Zusteller) dran, der meinen Namen kennt und mich ’nicht findet‘, da die Zustelladresse unvollständig wäre. Er kennt aber Name und Hausnummer meiner üblichen Zustelladresse.
Ich ihm also die fehlende Information (Firmenname) gegeben und ihn dann 3 Minuten auch tatsächlich live vor mir. Ich habe aber nichts bei Amazon bestellt…
Nach öffnen des Päckchens stellt sich heraus, es ist meine ebay-Bestellung, also alles legitim. Abgesehen davon, dass jetzt Amazon meine Telefonnummer hat, was nie vorgesehen war. Ein korrektes Adressetikett hätte genügt. Die Telefonnummer war zur Auftragsabwicklung nicht notwendig (Notwendige Informationen zur Vertragsabwicklung sind nach DSGVo abgedeckt – Ich habe keinen Vertrag mit Amazon).
Wem trete ich da jetzt vors Schienbein? Und zudem, an wen hat mein Handy die Nummer des Amazon-Mitarbeiters geschickt um die Spam Meldung zu generieren – auch einer solchen Weitergabe habe ich nicht bewusst zugestimmt.
Da ist noch sehr viel zu tun beim Datenschutz.