Der Fall:
Die irische Datenschutzbehörde (DPC) hat in ihrer Entscheidung vom 2. Mai 2025 festgestellt, dass TikTok gegen zentrale Vorgaben der DSGVO verstoßen hat, indem persönliche Daten von EWR‑Nutzern per Remote‑Zugriff von China aus verarbeitet wurden, ohne dass ein dem EU‑Niveau entsprechender Schutz gewährleistet war. Nach Prüfung kam die DPC zu dem Schluss, TikTok habe weder hinreichend nachgewiesen noch garantiert, dass chinesische Gesetze den in der EU geforderten Schutzstandards genügen, zumal nationale Vorschriften etwa zur Terrorismus‑ oder Spionagebekämpfung erheblich von denen der EU abweichen (“Anti‑Terrorism Law”, “Counter‑Espionage Law” etc.).
Darüber hinaus bemängelte die DPC, dass TikTok seine Informationspflichten nach Art. 13 DSGVO nicht erfüllt habe: In der Privacy Notice von Oktober 2021 wurden die Drittstaaten, in die Daten transferiert werden, nicht namentlich genannt und der Umstand, dass Daten per Remote‑Zugriff in China verarbeitet werden, nicht hinreichend erläutert. Erst mit der im Verlauf des Verfahrens aktualisierten Fassung von Dezember 2022 wurden diese Angaben ergänzt und entsprechen nun den Transparenzanforderungen.
Die Folge:
Auf Grundlage dieser Verstöße verhängte die DPC ein Bußgeld in Höhe von insgesamt 530 Mio. EUR – 485 Mio. EUR entfallen auf die unrechtmäßigen Datenübermittlungen (§ 46 DSGVO), 45 Mio. EUR auf die mangelhafte Transparenz (§ 13 Abs. 1 f DSGVO). Zudem wurde TikTok verpflichtet, binnen sechs Monaten alle Datenübertragungen nach China so anzupassen, dass sie den Vorgaben des Kapitel V DSGVO genügen. Andernfalls hat TikTok die Transfers auszusetzen.
Implikation für Unternehmen:
Für Unternehmen bedeutet dieses Urteil, dass sie bei jeglichen Datenexporten in Drittländer – und ganz besonders bei Remote‑Zugriffen – zwingend sicherstellen müssen, dass das Datenschutzniveau nicht hinter dem der EU zurückbleibt. Insbesondere ist Transparenz gegenüber den Betroffenen in den Informationspflichten klar und vollständig herzustellen, um wirksame Kontrolle und Rechtsschutz zu garantieren.
Fazit
TikTok-Verstöße gegen Transparenz- und Drittland-Transferregeln der DSGVO haben ein 530 Mio. EUR-Bußgeld und strikte Auflagen nach sich gezogen – ein Weckruf für alle Anbieter, Datenexporte und Informationspflichten lückenlos EU‑konform zu gestalten.
FAQ
Warum sind Datentransfers nach China problematisch?
Datentransfers nach China sind aus mehreren rechtlichen und praktischen Gründen besonders kritisch:
Zum einen existiert für die Volksrepublik China keine sogenannte „Angemessenheitsentscheidung“ der Europäischen Kommission. Nach Art. 45 DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn die EU-Kommission festgestellt hat, dass dort ein dem EU‑Niveau vergleichbarer Datenschutz gilt. Ohne diese Entscheidung müssen Unternehmen auf zusätzliche Garantien wie verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder standardisierte Vertragsklauseln (Standard Contractual Clauses) zurückgreifen. Fehlen diese – oder sind sie unzureichend umgesetzt – liegt ein formeller Verstoß gegen Art. 46 DSGVO vor.
Zum anderen erlaubt das chinesische Recht der Regierung weitreichenden Zugriff auf Daten von in China ansässigen Unternehmen. Insbesondere das 2017 in Kraft getretene Nationale Geheimdienstgesetz („National Intelligence Law“) verpflichtet Unternehmen zur Kooperation mit staatlichen Sicherheitsbehörden und zur Herausgabe von Informationen, auch wenn diese von EU‑Bürgern stammen. Ein effektiver Rechtsschutz der betroffenen Personen – wie er in der EU etwa über unabhängige Gerichte oder Datenschutzaufsichtsbehörden gewährleistet ist – existiert in dieser Form nicht
