TikTok: 530 Millionen Euro Bußgeld wegen Datenübermittlung nach China
Am 2. Mai 2025 verhängte die irische Datenschutzbehörde (DPC) ein Bußgeld in Höhe von 530 Millionen Euro gegen TikTok. Hintergrund der Entscheidung ist die unzulässige Übermittlung personenbezogener Daten europäischer Nutzer*innen nach China, ohne dabei ein mit der Datenschutz-Grundverordnung (DSGVO) vergleichbares Schutzniveau sicherzustellen.
Bußgeldentscheidung der DPC: Datenübermittlung ohne angemessenes Schutzniveau
Die DPC stellte fest, dass Mitarbeitende von TikTok in China per Fernzugriff auf personenbezogene Daten aus der EU zugreifen konnten. Solche Zugriffe gelten als Datenübermittlungen in ein Drittland und unterliegen den strengen Anforderungen von Kapitel V der DSGVO. Trotz des Einsatzes von Standardvertragsklauseln (SCCs) und durchgeführter Transfer Impact Assessments (TIAs) sah die Behörde keinen ausreichenden Schutz vor Zugriffen durch chinesische Behörden. Insbesondere Gesetze wie das chinesische National Intelligence Law und das Cybersecurity Law erlauben weitreichende und intransparente staatliche Zugriffe, was aus Sicht der DPC einen klaren Verstoß gegen Artikel 46 DSGVO darstellt.
Mangelnde Transparenz und Risiken bei Kinderdaten
Ein weiterer Kritikpunkt betraf die mangelnde Transparenz gegenüber Nutzer*innen. TikTok informierte nicht hinreichend über Art und Umfang der Datenverarbeitung. Erst im Laufe des Verfahrens räumte das Unternehmen ein, dass in begrenztem Umfang Daten auf chinesischen Servern gespeichert wurden – entgegen früherer Aussagen. Besonders problematisch war aus Sicht der DPC der Umgang mit Kinderdaten. Bereits 2023 hatte TikTok in einem separaten Verfahren ein Bußgeld in Höhe von 345 Millionen Euro wegen DSGVO-Verstößen im Zusammenhang mit der Verarbeitung von Daten Minderjähriger erhalten.
Sicherheitsprogramm „Project Clover“ reicht nicht aus
TikTok verwies in seiner Verteidigung auf umfangreiche technische und organisatorische Maßnahmen im Rahmen seines europäischen Schutzprogramms „Project Clover“, das unter anderem durch die NCC Group überwacht wird. Die DPC kam jedoch zu dem Schluss, dass diese Maßnahmen keinen ausreichenden Schutz vor Zugriffen durch staatliche Stellen in China gewährleisten können. TikTok kündigte an, gegen die Entscheidung rechtlich vorzugehen.
Konsequenzen für internationale Datentransfers
Die Entscheidung der DPC unterstreicht, dass internationale Unternehmen beim Transfer personenbezogener Daten aus der EU in Drittländer strenge rechtliche Vorgaben einhalten müssen. Zentral ist dabei der Nachweis eines angemessenen Datenschutzniveaus – etwa durch Angemessenheitsbeschlüsse der EU-Kommission, SCCs oder Binding Corporate Rules. Diese Instrumente müssen jedoch im Empfängerland auch tatsächlich durchsetzbar und wirksam sein. Ergänzend ist eine sorgfältige Rechtsbewertung des Drittlandes erforderlich: Unternehmen müssen analysieren, ob lokale Gesetze oder Praktiken, etwa weitreichende staatliche Zugriffsbefugnisse, die Wirksamkeit der Schutzmechanismen untergraben. Wo nötig, sind zusätzliche Maßnahmen wie Verschlüsselung, Zugriffsbeschränkungen oder Pseudonymisierung zu ergreifen.
Ebenso wichtig ist eine transparente und verständliche Information der Betroffenen über Art, Umfang, Zweck und Risiken der Datenübermittlung. Zudem sollten Unternehmen ihre Schutzmaßnahmen regelmäßig überprüfen und anpassen, insbesondere bei Änderungen der Rechtslage im Empfängerland.
Das Fazit der DPC ist deutlich: Vertragliche Zusicherungen und Sicherheitsprogramme reichen nicht aus, wenn das rechtliche Umfeld im Drittland grundlegende Datenschutzprinzipien unterläuft. Unternehmen müssen nicht nur auf dem Papier, sondern auch praktisch und nachweislich sicherstellen, dass die Daten europäischer Nutzer*innen geschützt sind – sonst drohen empfindliche Sanktionen.
Neueste Beiträge
TikTok: 530 Millionen Euro Bußgeld wegen Datenübermittlung nach China20. Mai 2025 - 13:06Die irische Datenschutzbehörde hat TikTok ein Bußgeld von 530 Millionen Euro auferlegt – wegen unzulässiger Datenübermittlung europäischer Nutzer*innen nach China. Trotz Sicherheitsmaßnahmen wie „Project Clover“ sah die DPC gravierende Mängel beim Schutz vor staatlichen Zugriffen und bei der Transparenz. Besonders sensibel: der Umgang mit Kinderdaten
BGH stärkt Verbraucherrechte: Datenschutzverstöße als Wettbewerbsverstöße14. Mai 2025 - 10:21Am 27. März 2025 hat der Bundesgerichtshof (BGH) mit drei wegweisenden Urteilen (I ZR 186/17, I ZR 222/19, I ZR 223/19) die Verbraucherrechte gestärkt und klargestellt, dass Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) auch als wettbewerbswidrige Handlungen einzustufen sind. Damit können künftig nicht nur Aufsichtsbehörden, sondern auch Verbraucherschutzverbände und Mitbewerber Datenschutzverstöße zivilrechtlich verfolgen. Dieser Paradigmenwechsel hat erhebliche Auswirkungen auf Unternehmen und deren rechtliche Risikolage.
Ein ehemaliger, angestellter Werbetechniker klagte gegen seinen früheren Arbeitgeber auf Schadensersatz. Während des laufenden Arbeitsverhältnisses hatte der Arbeitgeber Fotos und Videos des Klägers zu Werbezwecken auf der Firmenwebsite verwendet. Nach seinem Wechsel zu einem direkten Wettbewerber im Mai 2019 forderte der Kläger die Entfernung dieser Bildaufnahmen. Der ehemalige Arbeitgeber kam dieser Aufforderung jedoch erst im Februar 2020 vollständig nach.
- AG Mainz: DSGVO-Rüge zur Kundengewinnung ist rechtsmissbräuchlich14. Mai 2025 - 9:48
Ein Webdesigner hatte einen Zahnarzt per E-Mail auf angebliche DSGVO-Verstöße hingewiesen – verbunden mit einem kostenpflichtigen Dienstleistungsangebot. Als der Zahnarzt nicht reagierte, machte der Webdesigner Auskunfts- und Schadensersatzansprüche geltend (1.160,25 € für ein Gutachten seines Bruders).
Das Amtsgericht Mainz (Urteil vom 27.03.2025 – Az. 88 C 200/24) wies die Klage ab: Das Vorgehen sei rechtsmissbräuchlich (§ 242 BGB). Der Kläger habe keine echte Betroffenheit i.S.d. DSGVO dargelegt, sondern den Datenschutz nur vorgeschoben, um Kunden zu akquirieren.
Ein Auskunftsanspruch nach Art. 15 DSGVO sowie ein Schadenersatzanspruch nach Art. 82 DSGVO bestünden nicht. Auch das Gutachten sei unnötig und geschäftlich motiviert gewesen.
