530-Millionen-Euro-Strafe gegen TikTok verhängt

5. Mai 2025

Die irische Datenschutzkommission hat ihre endgültige Entscheidung nach einer Untersuchung gegen TikTok Technology Limited („TikTok“) bekannt gegeben. Diese Untersuchung wurde von der DPC in ihrer Funktion als federführende Aufsichtsbehörde für TikTok eingeleitet, um die Rechtmäßigkeit der Übermittlung personenbezogener Daten [1] von Nutzern der TikTok-Plattform im EWR an die Volksrepublik China („China“) durch TikTok zu prüfen. Darüber hinaus wurde im Rahmen der Untersuchung geprüft, ob die Bereitstellung von Informationen für Nutzer im Zusammenhang mit diesen Übermittlungen den Transparenzanforderungen von TikTok gemäß der DSGVO entsprach.

Die Entscheidung, die von den Datenschutzbeauftragten Dr. Des Hogan und Dale Sunderland getroffen und TikTok mitgeteilt wurde, kommt zu dem Schluss, dass TikTok gegen die DSGVO hinsichtlich der Übermittlung von Daten von Nutzern aus dem EWR nach China [2] und hinsichtlich seiner Transparenzanforderungen [3] verstoßen hat. Die Entscheidung umfasst Verwaltungsstrafen in Höhe von insgesamt 530 Millionen Euro und eine Anordnung, wonach TikTok seine Verarbeitung innerhalb von sechs Monaten in Einklang mit den Vorschriften bringen muss. Die Entscheidung enthält auch eine Anordnung, die die Übermittlungen von TikTok nach China aussetzt, wenn die Verarbeitung nicht innerhalb dieser Frist in Einklang mit den Vorschriften gebracht wird.

Der stellvertretende DPC-Kommissar Graham Doyle erklärte: „Die DSGVO verlangt, dass das hohe Schutzniveau innerhalb der Europäischen Union auch bei der Übermittlung personenbezogener Daten in andere Länder gewährleistet bleibt. Die Übermittlung personenbezogener Daten durch TikTok nach China verstieß gegen die DSGVO, da TikTok nicht überprüft, garantiert und nachgewiesen hat, dass die personenbezogenen Daten von Nutzern aus dem EWR, auf die Mitarbeiter in China aus der Ferne zugreifen, ein Schutzniveau genießen, das im Wesentlichen dem innerhalb der EU garantierten Schutzniveau entspricht.

Da TikTok die erforderlichen Bewertungen nicht durchgeführt hat, hat TikTok den potenziellen Zugriff chinesischer Behörden auf personenbezogene Daten aus dem EWR gemäß chinesischen Gesetzen zur Terrorismusbekämpfung, Spionageabwehr und anderen Gesetzen, die von TikTok als wesentlich von den EU-Standards abweichend identifiziert wurden, nicht berücksichtigt.“

Die DPC hat am 21. Februar 2025 gemäß Artikel 60 der DSGVO einen Entscheidungsentwurf an den DSGVO-Kooperationsmechanismus übermittelt. Gegen den Entscheidungsentwurf der DPC wurden keine Einwände erhoben. Die DPC ist dankbar für die Zusammenarbeit und Unterstützung ihrer EU-/EWR-Aufsichtsbehörden in diesem Fall.

Falsche Angaben gegenüber der Untersuchungsbehörde

Während der gesamten Untersuchung teilte TikTok der DPC mit, dass keine Daten von Nutzern aus dem EWR auf Servern in China gespeichert würden. Im April 2025 informierte TikTok die DPC jedoch über ein Problem, das im Februar 2025 entdeckt worden war und demnach entgegen den Angaben von TikTok gegenüber der Untersuchungsbehörde tatsächlich begrenzte Daten von Nutzern aus dem EWR auf Servern in China gespeichert worden waren. TikTok teilte der DPC mit, dass diese Entdeckung bedeute, dass TikTok der Untersuchung unrichtige Informationen vorgelegt habe.

Der stellvertretende Kommissar Doyle fügte hinzu: „Die DPC nimmt diese jüngsten Entwicklungen hinsichtlich der Speicherung von Daten von Nutzern aus dem EWR auf Servern in China sehr ernst. TikTok hat der DPC zwar mitgeteilt, dass die Daten inzwischen gelöscht wurden, wir prüfen jedoch in Absprache mit unseren EU-Datenschutzbehörden, welche weiteren regulatorischen Maßnahmen erforderlich sein könnten.“

Die DPC wird die vollständige Entscheidung und weitere relevante Informationen zu gegebener Zeit veröffentlichen.

[1] Das Gesetz über Datenübermittlungen außerhalb der EU

Die DSGVO gewährleistet ein hohes Schutzniveau für personenbezogene Daten im gesamten EWR und gewährt Einzelpersonen Datenschutzrechte. Wenn personenbezogene Daten außerhalb des EWR übermittelt werden, kann dies die Ausübung der Rechte von Einzelpersonen beeinträchtigen und das hohe Schutzniveau unterlaufen. Daher ist es von entscheidender Bedeutung, dass das durch die DSGVO gewährte Schutzniveau bei solchen Übermittlungen nicht untergraben wird. Dementsprechend dürfen Übermittlungen personenbezogener Daten nur erfolgen, wenn die in Kapitel V der DSGVO festgelegten Bedingungen erfüllt sind. Dadurch wird sichergestellt, dass das hohe Schutzniveau innerhalb der Europäischen Union auch bei der Übermittlung personenbezogener Daten in ein Drittland gewahrt bleibt.

Artikel 45 Absatz 1 DSGVO sieht vor, dass eine Übermittlung personenbezogener Daten an ein Drittland durch eine Entscheidung der Europäischen Kommission genehmigt werden kann, wonach das Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren innerhalb dieses Drittlandes ein angemessenes Schutzniveau gewährleisten („Angemessenheitsentscheidung“).

Bislang hat die Europäische Kommission Angemessenheitsbeschlüsse für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich, die USA und Uruguay erlassen.

Gemäß der DSGVO kann eine Organisation („Verantwortlicher“) personenbezogene Daten nur dann in ein Drittland außerhalb der EU/des EWR übermitteln, wenn zwischen der EU und diesem Drittland keine Angemessenheitsentscheidung besteht und andere anwendbare Bestimmungen der DSGVO (Kapitel V) erfüllt sind, wie z. B. Standardvertragsklauseln. Diese Bestimmungen legen die Verantwortung auf die Organisation, zu überprüfen, zu gewährleisten und nachzuweisen, dass die Gesetze und Praktiken dieses Landes ein Schutzniveau gewährleisten, das im Wesentlichen dem innerhalb der EU garantierten Schutzniveau entspricht.

[2] Die Feststellungen der DPC zur Rechtmäßigkeit der Übermittlungen

Im Rahmen dieser Untersuchung musste TikTok Ireland prüfen, ob das chinesische Recht ein im Wesentlichen gleichwertiges Schutzniveau wie das EU-Recht gewährleistet. Die Entscheidung kommt zu dem Schluss, dass die Übermittlungen von TikTok nach China gegen Artikel 46 Absatz 1 DSGVO verstoßen, da das Unternehmen nicht überprüft, gewährleistet und nachgewiesen hat, dass die ergänzenden Maßnahmen und die Standardvertragsklauseln („SCC“) wirksam sind, um sicherzustellen, dass die personenbezogenen Daten von EWR-Nutzern, die über Fernzugriff übermittelt werden, ein Schutzniveau genießen, das dem in der EU garantierten Schutzniveau im Wesentlichen gleichwertig ist. Während TikTok behauptet, dass Übermittlungen über Fernzugriff nicht den fraglichen Gesetzen und Praktiken unterliegen, hat TikTok in seiner eigenen Bewertung des chinesischen Rechts, die der DPC im Rahmen der Untersuchung vorgelegt wurde, dargelegt, inwiefern Aspekte des chinesischen Rechtsrahmens eine Feststellung der wesentlichen Gleichwertigkeit mit dem EU-Recht ausschließen. Die DPC berücksichtigte diese Bewertung und die von TikTok identifizierten chinesischen Gesetze, die erheblich von den EU-Standards abweichen, wie das Antiterrorismusgesetz, das Spionageabwehrgesetz, das Cybersicherheitsgesetz und das Nationale Geheimdienstgesetz. Insbesondere stellte die DPC fest, dass die unzureichende Bewertung des Schutzniveaus, das die chinesischen Gesetze und Praktiken für die personenbezogenen Daten von EWR-Nutzern bieten, die Gegenstand der Übermittlungen sind und deren Verarbeitung in China erfolgt, nicht nur direkte Auswirkungen auf die Fähigkeit von TikTok hatte, geeignete Garantien und ergänzende Maßnahmen zu wählen, sondern TikTok auch daran hinderte, ein im Wesentlichen gleichwertiges Schutzniveau zu überprüfen und zu gewährleisten.

Bei der Ausübung seiner Korrekturbefugnisse berücksichtigte die DPC auch die laufenden Änderungen, die TikTok im Rahmen des „Project Clover“ vorgenommen hat. Ungeachtet dieser Änderungen hielt es die DPC für angemessen, notwendig und verhältnismäßig, die Aussetzung der Datenübermittlungen anzuordnen und TikTok aufzufordern, seine Verarbeitungsvorgänge innerhalb von sechs Monaten nach Ablauf der Frist für die Einlegung eines Rechtsbehelfs gegen die endgültige Entscheidung der DPC mit Kapitel V der DSGVO in Einklang zu bringen. Die DPC hält einen Zeitraum von sechs Monaten für angemessen, um TikTok unter den gegebenen Umständen die Möglichkeit zu geben, die Übermittlungen einzustellen.

[3] Feststellungen der DPC zur Transparenz

Artikel 13 Absatz 1 Buchstabe f DSGVO verpflichtet Datenverantwortliche, den betroffenen Personen Informationen über die Übermittlung personenbezogener Daten an ein Drittland zur Verfügung zu stellen. Die DPC hat die EWR-Datenschutzrichtlinie von TikTok vom Oktober 2021 geprüft und festgestellt, dass diese Richtlinie in zwei wesentlichen Punkten für die Zwecke des Artikels 13 Absatz 1 Buchstabe f DSGVO unzureichend ist.

Erstens wurden in der Datenschutzerklärung von TikTok aus dem Jahr 2021 die Drittländer, einschließlich China, in die personenbezogene Daten übermittelt wurden, nicht genannt. Zweitens wurde in der Datenschutzerklärung aus dem Jahr 2021 nicht erläutert, welcher Art die Verarbeitungsvorgänge sind, die die Übermittlung darstellen. Insbesondere wurde in der Datenschutzerklärung aus dem Jahr 2021 nicht angegeben, dass die Verarbeitung den Fernzugriff auf personenbezogene Daten umfasst, die in Singapur und den Vereinigten Staaten gespeichert sind und auf die Mitarbeiter mit Sitz in China zugreifen können.

TikTok aktualisierte seine Datenschutzerklärung im Laufe der Untersuchung und legte der DPC seine EWR-Datenschutzerklärung vom Dezember 2022 vor. In dieser Datenschutzerklärung wurden die Drittländer genannt, in die Daten von EWR-Nutzern übermittelt wurden. Außerdem wurden EWR-Nutzer darüber informiert, dass personenbezogene Daten auf Servern in den Vereinigten Staaten und Singapur gespeichert waren und von Unternehmen der TikTok-Unternehmensgruppe mit Sitz in Brasilien, China, Malaysia, den Philippinen, Singapur und den Vereinigten Staaten per Fernzugriff abgerufen werden konnten.

Die DPC bewertete die EWR-Datenschutzrichtlinie von TikTok vom Dezember 2022 als konform mit den Anforderungen des Artikels 13 Absatz 1 Buchstabe f DSGVO in Bezug auf die Datenübermittlungen, die in den sachlichen Anwendungsbereich der Entscheidung fallen. Daher bezieht sich die Dauer des Verstoßes gegen Artikel 13 Absatz 1 Buchstabe f DSGVO in der Entscheidung auf den Zeitraum vom 29. Juli 2020 bis zum 1. Dezember 2022.

Die DPC verhängt in dieser Entscheidung Verwaltungsstrafen in Höhe von insgesamt 530 Millionen Euro, bestehend aus einer Geldbuße von 45 Millionen Euro wegen Verstoßes gegen Artikel 13 Absatz 1 Buchstabe f DSGVO und einer Geldbuße von 485 Millionen Euro wegen Verstoßes gegen Artikel 46 Absatz 1 DSGVO.

Bild/Quelle: https://depositphotos.com/de/home.html

Teile diesen Beitrag: