TikTok: 530 Millionen Euro Bußgeld wegen Datenübermittlung nach China
Am 2. Mai 2025 verhängte die irische Datenschutzbehörde (DPC) ein Bußgeld in Höhe von 530 Millionen Euro gegen TikTok. Hintergrund der Entscheidung ist die unzulässige Übermittlung personenbezogener Daten europäischer Nutzer*innen nach China, ohne dabei ein mit der Datenschutz-Grundverordnung (DSGVO) vergleichbares Schutzniveau sicherzustellen.
Bußgeldentscheidung der DPC: Datenübermittlung ohne angemessenes Schutzniveau
Die DPC stellte fest, dass Mitarbeitende von TikTok in China per Fernzugriff auf personenbezogene Daten aus der EU zugreifen konnten. Solche Zugriffe gelten als Datenübermittlungen in ein Drittland und unterliegen den strengen Anforderungen von Kapitel V der DSGVO. Trotz des Einsatzes von Standardvertragsklauseln (SCCs) und durchgeführter Transfer Impact Assessments (TIAs) sah die Behörde keinen ausreichenden Schutz vor Zugriffen durch chinesische Behörden. Insbesondere Gesetze wie das chinesische National Intelligence Law und das Cybersecurity Law erlauben weitreichende und intransparente staatliche Zugriffe, was aus Sicht der DPC einen klaren Verstoß gegen Artikel 46 DSGVO darstellt.
Mangelnde Transparenz und Risiken bei Kinderdaten
Ein weiterer Kritikpunkt betraf die mangelnde Transparenz gegenüber Nutzer*innen. TikTok informierte nicht hinreichend über Art und Umfang der Datenverarbeitung. Erst im Laufe des Verfahrens räumte das Unternehmen ein, dass in begrenztem Umfang Daten auf chinesischen Servern gespeichert wurden – entgegen früherer Aussagen. Besonders problematisch war aus Sicht der DPC der Umgang mit Kinderdaten. Bereits 2023 hatte TikTok in einem separaten Verfahren ein Bußgeld in Höhe von 345 Millionen Euro wegen DSGVO-Verstößen im Zusammenhang mit der Verarbeitung von Daten Minderjähriger erhalten.
Sicherheitsprogramm „Project Clover“ reicht nicht aus
TikTok verwies in seiner Verteidigung auf umfangreiche technische und organisatorische Maßnahmen im Rahmen seines europäischen Schutzprogramms „Project Clover“, das unter anderem durch die NCC Group überwacht wird. Die DPC kam jedoch zu dem Schluss, dass diese Maßnahmen keinen ausreichenden Schutz vor Zugriffen durch staatliche Stellen in China gewährleisten können. TikTok kündigte an, gegen die Entscheidung rechtlich vorzugehen.
Konsequenzen für internationale Datentransfers
Die Entscheidung der DPC unterstreicht, dass internationale Unternehmen beim Transfer personenbezogener Daten aus der EU in Drittländer strenge rechtliche Vorgaben einhalten müssen. Zentral ist dabei der Nachweis eines angemessenen Datenschutzniveaus – etwa durch Angemessenheitsbeschlüsse der EU-Kommission, SCCs oder Binding Corporate Rules. Diese Instrumente müssen jedoch im Empfängerland auch tatsächlich durchsetzbar und wirksam sein. Ergänzend ist eine sorgfältige Rechtsbewertung des Drittlandes erforderlich: Unternehmen müssen analysieren, ob lokale Gesetze oder Praktiken, etwa weitreichende staatliche Zugriffsbefugnisse, die Wirksamkeit der Schutzmechanismen untergraben. Wo nötig, sind zusätzliche Maßnahmen wie Verschlüsselung, Zugriffsbeschränkungen oder Pseudonymisierung zu ergreifen.
Ebenso wichtig ist eine transparente und verständliche Information der Betroffenen über Art, Umfang, Zweck und Risiken der Datenübermittlung. Zudem sollten Unternehmen ihre Schutzmaßnahmen regelmäßig überprüfen und anpassen, insbesondere bei Änderungen der Rechtslage im Empfängerland.
Das Fazit der DPC ist deutlich: Vertragliche Zusicherungen und Sicherheitsprogramme reichen nicht aus, wenn das rechtliche Umfeld im Drittland grundlegende Datenschutzprinzipien unterläuft. Unternehmen müssen nicht nur auf dem Papier, sondern auch praktisch und nachweislich sicherstellen, dass die Daten europäischer Nutzer*innen geschützt sind – sonst drohen empfindliche Sanktionen.
Neueste Beiträge
Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.
Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.
Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.
Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.
