Internationaler Datentransfer: 530 Mio. € Bußgeld für TikTok

Am 2. Mai 2025 hat die irische Datenschutzbehörde (DPC) ein Bußgeld in Höhe von 530 Millionen Euro gegen TikTok verhängt. Grund dafür ist die unzulässige Übermittlung europäischer Nutzendaten nach China, ohne dabei ein mit der DSGVO vergleichbares Schutzniveau zu gewährleisten. Dieser Beitrag beleuchtet die wesentlichen Kritikpunkte der DPC und erklärt, worauf internationale Konzerne beim grenzüberschreitenden Datentransfer besonders achten müssen.

Datenübermittlung nach China von TikTok

Die DPC stellte fest, dass Mitarbeitende von TikTok in China per Fernzugriff auf personenbezogene Daten von Nutzer*innen aus EU-Ländern zugreifen konnten. Ein solcher Fernzugriff aus einem Drittland gilt im Sinne der DSGVO als Datenübermittlung.

Obwohl TikTok EU-Standardvertragsklauseln (SCCs) abgeschlossen und ein Transfer Impact Assessment (TIA) durchgeführt hatte, kam die Untersuchung der DPC zu dem Schluss, dass das Unternehmen kein mit der DSGVO vergleichbares Schutzniveau gewährleisten konnte.

TikTok betonte, niemals Anfragen chinesischer Behörden zu europäischen Nutzerdaten erhalten oder entsprechende Daten weitergegeben zu haben. Aus Sicht der DPC reichen solche Erklärungen jedoch nicht aus: Der Schutz personenbezogener Daten endet nicht mit Absichtserklärungen – entscheidend ist, ob ein tatsächlicher Zugriff durch Dritte wirksam ausgeschlossen und rechtlich abgesichert ist.

DPC: Kein vergleichbares Schutzniveau in China

TikTok stützte sich beim internationalen Datentransfer auf SCCs – ein gängiges Instrument zur Absicherung von Datenübermittlungen nach der DSGVO – und führte zusätzlich ein TIA durch. Bemerkenswert ist, dass TikToks eigene TIA zu dem Ergebnis kam, dass das chinesische Recht kein mit der DSGVO vergleichbares Schutzniveau für personenbezogene Daten europäischer Nutzer*innen bietet.

TikTok argumentierte daher, keine Daten in China zu speichern, sondern lediglich in den USA, Singapur und Malaysia – der Fernzugriff durch Mitarbeitende in China sei zulässig und unterliege allerdings nicht dem chinesischen Recht.

Die DPC siehe jedoch, dass der Fernzugriff auf personenbezogene Daten aus einem Drittland im Ergebnis wie eine Datenübermittlung zu behandeln sei – und unterliege daher denselben Schutzanforderungen wie eine physische Speicherung im Drittland.

Die Behörde kritisierte insbesondere, dass TikTok nicht ausreichend geprüft habe, ob die eingesetzten Schutzmechanismen – die SCCs – im chinesischen Rechtsumfeld tatsächlich wirksam sind. Denn Gesetze wie das Anti-Terror-Gesetz, das Spionageabwehrgesetz, das Cybersecurity-Gesetz und das Gesetz über nationale Nachrichtendienste ermöglichen chinesischen Behörden umfassenden Zugriff auf Daten – ohne transparente Verfahren oder effektiven Rechtsschutz.

Aus Sicht der DPC fehlt damit ein „wesentlich gleichwertiges Schutzniveau“ im Sinne der DSGVO – ein zentraler Verstoß gegen Artikel 46 DSGVO.

Wesentliche Schritte eines TIA

Ein TIA ist eine Risikoprüfung, mit der Unternehmen analysieren, ob der Datenschutz im Empfängerland mit dem Schutzniveau der EU vergleichbar ist. Der Europäische Datenschutzausschuss (EDPB) empfiehlt dafür ein sechsstufiges Vorgehen:

1. Bestandsaufnahme: Der Datenexporteur muss alle relevanten Datenflüsse identifizieren und dokumentieren.
2. Überprüfung des gewählten Übermittlungsinstruments: Es ist zu prüfen, ob geeignete Instrumente wie SCCs oder verbindliche unternehmensinterne Vorschriften (BCRs) korrekt eingesetzt werden.
3. Rechtsbewertung des Drittlandes: Die rechtlichen Rahmenbedingungen des Empfängerlandes sind zu analysieren – insbesondere, ob sie die Wirksamkeit der eingesetzten Schutzmechanismen gefährden.
4. Auswahl und Anwendung der zusätzlichen Maßnahmen: Falls nötig, sind zusätzliche technische, organisatorische oder vertragliche Maßnahmen zu ergreifen.
5. Einleitung aller förmlichen Verfahrensschritte: Je nach Übermittlungsinstrument müssen ggf. behördliche Genehmigungen eingeholt oder Dokumentationspflichten erfüllt werden.
6. Laufende Überprüfung: Die Wirksamkeit der Schutzmaßnahmen ist regelmäßig zu überprüfen – insbesondere bei rechtlichen oder praktischen Änderungen im Drittland.

TikToks Versäumnisse

TikToks mangelnde rechtliche Bewertung dieser Rahmenbedingungen beeinträchtigte nicht nur die Wahl geeigneter Schutzmaßnahmen, sondern machte es auch unmöglich, die erforderliche „wesentliche Gleichwertigkeit“ beim Datenschutz zu garantieren.

Rechtliche Risiken in China

Die vollständige Entscheidungsbegründung der DPC liegt bislang nicht vor. Aus den bisherigen Mitteilungen lässt sich jedoch vermuten, dass die Bewertung unter anderem auf folgende chinesische Gesetze Bezug nimmt, die aus Sicht der DPC mit dem Schutzniveau der DSGVO nicht vereinbar sein dürften:

Article 51 Anti-Terrorism Law: The public security organs have the power to collect and gather related information and materials from relevant entities and individuals in the investigation of suspected terrorist activities. Such entities and individuals shall provide such information truthfully.

Article 22 Anti-Espionage Law When a state security organ investigates and inquires into an espionage conduct and gathers related evidence, the organizations and individuals concerned shall faithfully provide relevant information and may not refuse to do so.

Article 28 Cybersecurity Law: Network operators shall provide technical support and assistance to public security organs and national security organs that are safeguarding national security and investigating criminal activities in accordance with the law.

Artikel 14 National Intelligence Law: The state intelligence work organization shall carry out intelligence work according to law, and may require relevant organs,organizations and citizens to provide necessary support, assistance and cooperation.

Artikel 16 National Intelligence Law: When the staff of the state intelligence work organization performs tasks according to law, in accordance with the relevant provisions of the State, after obtaining the corresponding documents, they may enter the relevant areas and places that restrict access, and may understand and ask relevant information to relevant organs, organizations and individuals. You can check or retrieve relevant files, materials and articles.

Widerstand von TikTok und „Project Clover“

TikTok argumentierte, dass es sich lediglich um Fernzugriffe auf Daten handle, die auf Servern außerhalb Chinas gespeichert seien – das chinesische Recht sei daher nicht anwendbar. Die DPC ließ diese Argumentation jedoch nicht gelten und forderte ergänzende Schutzmaßnahmen.

TikTok kritisierte zudem, dass die DPC „Project Clover“ nicht angemessen gewürdigt habe. Die im Rahmen des Programms umgesetzten Sicherheitsmaßnahmen seien laut TikTok „die strengsten der Branche“ und würden von der renommierten europäischen Cybersicherheitsfirma NCC Group unabhängig überwacht. Wenn selbst solche Maßnahmen nicht ausreichen, sei unklar, welches Schutzniveau überhaupt noch als akzeptabel gelte.

Darüber hinaus verwies TikTok auf seine starke wirtschaftliche Rolle in Europa: 175 Millionen Nutzer*innen, über 6.000 Mitarbeitende und ein Beitrag von 4,8 Milliarden Euro zum europäischen BIP sowie die Schaffung von mehr als 51.000 Arbeitsplätze.

Trotz „Project Clover“ kam die DPC zu dem Schluss, dass die ergriffenen Maßnahmen nicht ausreichen würden, um ein mit der DSGVO vergleichbares Schutzniveau sicherzustellen. TikTok wurde daher verpflichtet, seine Datenverarbeitung innerhalb von sechs Monaten – nach Ablauf der Rechtsmittelfrist – mit Kapitel V der DSGVO in Einklang zu bringen.

TikTok kündigte an, rechtlich gegen die Entscheidung vorzugehen.

Offene Thema bei TikTok: Kinderdaten

Neben den grenzüberschreitenden Datenübermittlungen stand TikTok auch wegen des Umgangs mit Kinderdaten im Fokus der irischen Datenschutzaufsicht. Die DPC hatte am 14. September 2021 gleich zwei Verfahren gegen das Unternehmen eröffnet – eines davon bezog sich speziell auf den Datenschutz bei minderjährigen Nutzer*innen.

Am 15. September 2023 verhängte die DPC bereits eine Geldstrafe in Höhe von 345 Millionen Euro – unter anderem wegen der Voreinstellung öffentlicher Konten für Kinder, unzureichender Maßnahmen zur Altersüberprüfung, mangelnder Transparenz und Information gegenüber Kindern sowie dem Einsatz sogenannter „Dark Patterns“, um Kinder zu weniger datenschutzfreundlichen Einstellungen zu verleiten.

TikTok reichte gegen die EDPB-Entscheidung am 10. November 2023 Klage vor dem EU-Gericht ein – das Verfahren läuft aktuell noch.

Internationaler Datentransfer: Wenn das nicht reicht – was dann?

Ob das Bußgeld gegen TikTok vor Gericht Bestand haben wird, bleibt abzuwarten. Klar ist jedoch: Internationale Datenübermittlungen – einschließlich Fernzugriffen aus einem Drittland – bleiben ein erhebliches Risiko für Unternehmen, insbesondere wenn der Datenempfänger in einem Land mit weitreichenden staatlichen Zugriffsbefugnissen sitzt.

Unternehmen sollten deshalb genau prüfen, ob die Anforderungen von Kapitel V der DSGVO tatsächlich erfüllt sind – denn SCCs und eine TIA auf dem Papier genügen nicht, wenn das Recht im Drittland die Schutzmechanismen in der Praxis aushebelt.

Der Fall TikTok zeigt eindrücklich: Selbst milliardenschwere Sicherheitsprogramme wie „Project Clover“ genügen nicht, wenn das rechtliche Umfeld im Drittland nicht beherrschbar ist. Die Entscheidung der DPC dürfte daher weit über den Einzelfall hinaus Wirkung zeigen – und den Maßstab für künftige internationale Datentransfers setzen.