TikTok mit 530 Millionen € wegen unrechtmäßiger Datenübertragungen nach China bestraft

Die irische Datenschutzkommission (DPC) hat eine wegweisende Geldstrafe von 530 Millionen € (ca. 600 Millionen $) gegen TikTok Technology Limited (TTL) verhängt, nachdem eine umfassende Untersuchung zur Handhabung persönlicher Daten von Nutzern der TikTok-Plattform im EWR an die Volksrepublik China („China“) durchgeführt wurde.

Die verhängte Strafe, eine der größten, die jemals im Rahmen der Datenschutz-Grundverordnung (DSGVO) verhängt wurde, folgt einer vierjährigen Untersuchung der irischen Datenschutzkommission (DPC), der führenden Aufsichtsbehörde der EU für TikTok aufgrund des europäischen Hauptsitzes in Dublin.

Inhaltsverzeichnis

• Frist für die Einhaltung
• Unternehmen wird Berufung einlegen

Frist für die Einhaltung

Die Entscheidung setzt auch eine Frist von sechs Monaten für die beliebte Kurzvideo-App, um ihre Verarbeitung vollständig mit dem EU-Recht in Einklang zu bringen. Wenn das Unternehmen diese Frist nicht einhält, könnte es mit einer Aussetzung aller Übertragungen von EWR-Nutzerdaten nach China konfrontiert werden.

„TikTok hat die DSGVO in Bezug auf seine Übertragungen von EWR [Europäischer Wirtschaftsraum] Nutzerdaten nach China und die Anforderungen an die Transparenz verletzt. Die Entscheidung umfasst Verwaltungsstrafen in Höhe von insgesamt 530 Millionen € und eine Anordnung, die TikTok verpflichtet, seine Verarbeitung innerhalb von 6 Monaten in Einklang zu bringen“, sagte die DPC in einer Erklärung am Freitag.

Laut der Untersuchung der DPC hat TikTok, das im Besitz des chinesischen Technologieriesen ByteDance ist, es versäumt, die persönlichen Daten von EU-Nutzern, auf die Mitarbeiter in China zugreifen, angemessen zu schützen, wie es innerhalb der EU erforderlich ist.

Insbesondere hat TikTok wesentliche Bestimmungen der Verordnung verletzt, nämlich Artikel 46(1) der DSGVO, indem es nicht ausreichend validiert hat, dass chinesische Gesetze und Praktiken einen „im Wesentlichen gleichwertigen“ Schutz innerhalb der EU bieten. Es hat auch Artikel 13(1)(f) verletzt, indem es versäumt hat, die Nutzer ordnungsgemäß über die Datenübertragungen und die Art der Verarbeitung zu informieren.

„Die Übertragungen von persönlichen Daten von TikTok nach China verletzten die DSGVO, weil TikTok es versäumt hat, zu überprüfen, zu garantieren und nachzuweisen, dass die persönlichen Daten von EWR-Nutzern, die von Mitarbeitern in China aus der Ferne abgerufen wurden, ein Schutzniveau erhielten, das im Wesentlichen dem innerhalb der EU gewährten Schutz entspricht“, sagte Graham Doyle, stellvertretender Kommissar, und betonte die Schwere der Feststellungen.

TikTok hatte chinesische Gesetze – darunter das Antiterrorgesetz, das Gegenspionagegesetz, das Cybersicherheitsgesetz und das nationale Geheimdienstgesetz – als wesentlich abweichend von den EU-Datenschutzstandards identifiziert. Dennoch sagte die DPC, dass das Unternehmen keine wirksamen ergänzenden Maßnahmen umgesetzt oder eine vollständige rechtliche Analyse durchgeführt hat, wie es die DSGVO verlangt. Solche Gesetze könnten den Zugang der Regierung zu persönlichen Daten ermöglichen und damit die Datenschutzbestimmungen der EU untergraben.

Die DPC fügte hinzu, dass TikTok während der gesamten Untersuchung behauptete, dass es keine EWR-Nutzerdaten auf Servern in China speichere. Im April 2025 gab TikTok jedoch bekannt, dass es im Februar 2025 entdeckt hatte, dass einige EWR-Daten tatsächlich auf chinesischen Servern gespeichert worden waren, was den früheren Aussagen des Unternehmens widerspricht.

„Die DPC nimmt diese aktuellen Entwicklungen bezüglich der Speicherung von EWR-Nutzerdaten auf Servern in China sehr ernst. Während TikTok die DPC informiert hat, dass die Daten nun gelöscht wurden, prüfen wir, welche weiteren regulatorischen Maßnahmen möglicherweise erforderlich sind, in Absprache mit unseren Kollegen der EU-Datenschutzbehörden“, fügte Doyle hinzu.

Christine Grahn, Leiterin der Abteilung für öffentliche Politik und Regierungsbeziehungen von TikTok für Europa, antwortete, dass das Unternehmen mit der Entscheidung der DPC nicht einverstanden sei und niemals europäische Nutzerdaten an chinesische Behörden weitergegeben habe und standardmäßige rechtliche Mechanismen für Datenübertragungen verwendet habe.

Unternehmen wird Berufung einlegen

Das Unternehmen plant auch, gegen die Entscheidung Berufung einzulegen und argumentiert, dass sie die erheblichen Verbesserungen der Datensicherheit, die durch TikToks neues „Projekt Clover“, eine Initiative zur Datenverwaltung zur Verbesserung der Compliance, eingeführt wurden, nicht ausreichend berücksichtigt.

Dies ist nicht das erste Mal, dass TikTok wegen Datenschutzes unter die Lupe genommen wird. Im Jahr 2023 verhängte die DPC eine Geldstrafe von 345 Millionen € gegen TikTok, weil das Unternehmen die Privatsphäre von Kindern nicht geschützt hatte, einschließlich der Tatsache, dass Konten von Nutzern im Alter von 13 bis 17 Jahren standardmäßig auf öffentlich gesetzt wurden, und es versäumt hatte, ausreichende Transparenzinformationen über die Datenschutzeinstellungen für Kinder bereitzustellen, gemäß den DSGVO-Regeln der EU.