Logo Heussen
  • Home
  • Über Uns
  • Expertise
  • Team
  • Aktuelles
  • Karriere
  • Kontakt
  • LinkedIn

Home Aktuelles News

IT/Datenschutz

530 Millionen Euro Geldbuße für TikTok wegen Datenübermittlung nach China

Am 2. Mai 2025 hat die irische Datenschutzbehörde (Data Protection Commission, DPC) eine Geldbuße von 530 Millionen Euro gegen TikTok verhängt. Die App gehört zum chinesischen Konzern Bytedance mit Hauptsitz in Peking, hat aber auch seine europäische Niederlassung in Irland.

TikTok hat personenbezogene Daten europäischer Nutzer unzulässig nach China übertragen, ohne dabei das von der Datenschutz-Grundverordnung (DS-GVO) geforderte Schutzniveau sicherzustellen.

Die irische Datenschutzaufsichtsbehörde stellte fest, dass TikTok-Mitarbeiter in China per Fernzugriff auf personenbezogene Daten von EU-Nutzern zugreifen konnten. Zwar hatte TikTok sogenannte Standardvertragsklauseln (SCCs) abgeschlossen und eine Risikoprüfung für die Datenverarbeitung im EU-Ausland durchgeführt, doch die DPC sah keinen ausreichenden Schutz vor Zugriffen durch chinesische Behörden. Die chinesischen Gesetze erlauben weitreichende und intransparente staatliche Zugriffe auf Daten, was nach der irischen Datenschutzaufsichtsbehörde einen Datenschutzverstoß darstellt.

Die Kritikpunkte im Überblick:

  • Unzulässige Datenübermittlung: TikTok konnte nicht nachweisen, dass ein mit der DS-GVO vergleichbares Schutzniveau bei der Übertragung nach China gewährleistet ist.
  • Mangelnde Transparenz: Die Datenschutzerklärung von TikTok war nicht transparent genug.  Es wurde nicht dargestellt, dass personenbezogen Daten nach China übertragen werden, und der Umfang der Verarbeitung wurde nicht ausreichend beschrieben.
  • Fehlende Kontrolle: Es wurde bemängelt, dass TikTok den tatsächlichen Zugriff durch Dritte – insbesondere chinesische Behörden – nicht wirksam ausgeschlossen und rechtlich abgesichert hat.
     

Sanktion für TikTok

Neben der Geldbuße muss TikTok seine Datenverarbeitung innerhalb von sechs Monaten an die europäischen Datenschutzregeln anpassen. Andernfalls droht ein vollständiger Stopp des Datentransfers nach China.

Verteidigung von TikTok

TikTok verwies in seiner Verteidigung auf ihre umfangreiche technischen und organisatorischen Maßnahmen im Rahmen seines europäischen Schutzprogramms „Project Clover“ hin. Die DPC gelangte jedoch zu der Einschätzung, dass diese Maßnahmen keinen hinreichenden Schutz vor dem Zugriff durch staatliche Behörden in China bieten.

TikTok kündigte bereits an, gegen die Entscheidung vorzugehen und betonte, dass keine Daten europäischer Nutzer an chinesische Behörden weitergegeben worden seien.

Warum ist der Fall so bedeutsam?

Unternehmen müssen nicht nur auf dem Papier, sondern auch praktisch ein angemessenes Datenschutzniveau sicherstellen.

Unternehmen, die personenbezogene Daten in Drittländer übertragen, müssen dabei die datenschutzrechtlichen Anforderungen einhalten – sonst drohen empfindliche Strafen und massive Reputationsschäden.

Aktuelles

Autor

Faussner Kreis

Ihr Ansprechpartner

Dr. Robert Faußner, M.A. T +49 89 290 97 161 robert.faussner@heussen-law.de