heise PlusAbo
Anzeige

TikTok-Strafe erhält Applaus

Die irische Datenschutzaufsicht verhängt eine 530-Millionen-Euro-Strafe und prüft weitere Maßnahmen, nachdem in China Daten von EU-Bürgern gespeichert wurden.

vorlesen Druckansicht 53 Kommentare lesen
TikTok-Logo auf einem Smartphone, im Hintergrund die Flaggen der USA und Chinas

(Bild: Boumen Japet/Shutterstock.com)

Update
Stand:
Lesezeit: 6 Min.
Von
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Nach einem Bescheid der Data Protection Commission Ireland als zuständiger Aufsichtsbehörde steht nun fest: Die TikTok-Mutterfirma hatte die Aufsichtsbehörden über Jahre angelogen. Jetzt soll sie eine Strafe zahlen, was von Datenschützern sehr begrüßt wird. Zumindest einige Daten von EU-Nutzern waren auf Servern in China gespeichert, wie TikTok-Betreiber Bytedance im April eingestehen musste. Angeblich erst im Februar 2025 hatte Bytedance demnach selbst festgestellt, dass die vorherigen Angaben unzutreffend waren.

Bytedance musste China-Speicherung einräumen

"Die DPC nimmt diese kürzlichen Entwicklungen sehr ernst", sagt der stellvertretende Vorsitzende der irischen Datenschutzaufsichtsbehörde, Graham Doyle. "Auch wenn TikTok der DPC mitgeteilt hat, dass die Daten nun gelöscht wurden, prüfen wir gemeinsam mit den anderen EU-Datenschutzaufsichtsbehörden, welche weiteren regulatorischen Maßnahmen nötig sind." TikTok hatte auch öffentlich vielfach beteuert, dass Nutzerdaten, die der Datenschutzgrundverordnung unterliegen, nicht in China gespeichert würden: So heißt es etwa bis heute auf einer "Mythen und Fakten"-Seite des Betreibers Bytedance, dass Daten in den USA, Singapur und Malaysia, aber nicht in China gespeichert würden. Daran bestanden seit langem Zweifel. Mit dem Eingeständnis im irischen Datenschutzverfahren ist die bisherige Behauptung der Firma nun widerlegt.

Geldbuße in Höhe von 530 Millionen Euro

In dem Verfahren, das bereits seit 2021 lief, hat die DPC nun eine Geldbuße in Höhe von 530 Millionen Euro gegen den TikTok-Betreiber verhangen. Dass eine Strafe in dieser Höhe im Raum stehe, war bereits Anfang April durch Medienberichte bekannt geworden. Die irische Aufsichtsbehörde ist aufgrund des Europasitzes der Firma federführend für die Durchsetzung der Datenschutzgrundverordnung zuständig.

DatenschĂĽtzer und Wissing applaudieren

"Die Rekordstrafe gegen Tiktok ist richtig und setzt ein klares Zeichen: Unsere europäischen Regeln gelten für alle – auch für internationale Digitalkonzerne", sagte der am Dienstag aus dem Amt scheidende Bundesminister für Digitales und Verkerh Volker Wissing am Freitagnachmittag. Der scheidende Minister betonte: "Auch die laufenden Verfahren der EU-Kommission gegen Tiktok und andere Plattformen müssen mit Nachdruck geführt werden, um Risiken wie Desinformation und Manipulationen konsequent zu begegnen."

Auch die Berliner Landesdatenschutzbeauftragte Meike Kamp, für die deutschen Aufsichtsbehörden zuständig, begrüßte das Vorgehen der irischen Amtskollegen und betonte die enge Zusammenarbeit mit den dortigen Behörden. Sie sei "erstaunt darüber, dass TikTok kurz vor Ende der Ermittlung – und entgegen anderslautender Aussagen im Verfahren – nun zugab, dass die Daten nicht nur von China aus zugänglich waren, sondern dass europäische Daten auch direkt auf chinesischen Servern gespeichert wurden."

DSGVO und Speicherung in China kaum vereinbar

Die DPC ordnete an, dass TikTok nach Rechtswirksamkeit des Bescheides innerhalb von sechs Monaten seine Datenverarbeitung in Einklang mit der DSGVO zu bringen habe und Datentransfers nach China einstellen müsse, wenn diese nicht DSGVO-konform erfolgen. Dazu müsste Bytedance belegen, dass der Schutz der Daten auch bei einer Speicherung dort dem EU-Schutzniveau grundsätzlich vergleichbar stattfindet.

Videos by heise

Die Gesetzgebung der Volksrepublik selbst steht dem im Wege: Der totalitäre Einparteienstaat genehmigt sich im Sicherheitsrecht massive Zugriffsrechte und Mitwirkungspflichten für chinesische Staatsbürger und ob das geschriebene Recht Chinas in Fällen der nationalen Sicherheit überhaupt eine größere Rolle spielt, wird von vielen Experten bezweifelt. Nur über technische Maßnahmen zum Schutz von EU-Daten würde eine Datenübertragung in die Volksrepublik daher überhaupt zulässig sein können.

TikTok habe es aber versäumt, "zu überprüfen, zu garantieren und nachzuweisen, dass die personenbezogenen Daten von Nutzern aus dem Europäischen Wirtschaftsraum, auf die Mitarbeiter in China aus der Ferne zugreifen, ein Schutzniveau genießen, das im Wesentlichen dem in der EU garantierten Schutzniveau entspricht", heißt es in einer Mitteilung der DPC nun. Damit habe TikTok einen "potenziellen Zugriff chinesischer Behörden auf personenbezogene Daten aus dem Europäischen Wirtschaftsraum im Rahmen der chinesischen Gesetze zur Terrorismusbekämpfung, zur Spionageabwehr und anderer Gesetze nicht berücksichtigt."

Rechenzentrum in Norwegen soll Problem richten

Dass diese Problematik besteht, hatte Bytedance selbst in seinen eingereichten Unterlagen angegeben und auch deshalb das sogenannte "Project Clover" gestartet: Daten aus den Ländern, die unter die DSGVO fallen (alle 27 EU-Mitgliedstaaten sowie Norwegen, Liechtenstein und Island) sollen künftig in sicheren EU-Rechenzentren gespeichert werden. Vor allem ein Rechenzentrum im norwegischen Hamar, nördlich der Hauptstadt Oslo, soll dafür in Zukunft Sorge tragen und ging Anfang April laut Bytedance ans Netz. Dass der physische Standort des Rechenzentrums allein jedoch nicht ausreicht, thematisiert die irische Datenschutzaufsicht allerdings ebenfalls -- es gehe auch dann darum, den Zugriff durch Mitarbeiter entsprechend den Vorgaben der DSGVO abzusichern.

Bytedance sieht sich ungerecht behandelt

In einer Reaktion auf die Entscheidung der DPC Ireland sieht sich TikTok-Betreiber Bytedance zu Unrecht an den Pranger gestellt. Bytedance habe, anders als von der DPC behauptet, bei der Nutzung der Standardvertragsklauseln sehr wohl die erforderlichen Bewertungen vorgenommen. Bytedance will den Bescheid der irischen Datenschutzaufsicht anfechten.

Einen Zugriff durch chinesische Behörden auf Daten aus der EU schließt die Firma kategorisch aus: "Es hat nie eine Anfrage der chinesischen Behörden nach Daten europäischer Nutzer*innen erhalten und hat ihnen auch nie Daten europäischer Nutzer*innen übermittelt", schreibt Christine Grahn, Leiterin der Abteilung für Public Policy bei Bytedance Europe darin. Das festgestellte Problem mit nach China übermittelten Daten sei durch eigene Teams festgestellt und der DPC gemeldet worden, was Bytedance als vorbildlich verstanden wissen will. Der Betreiber gebe Milliarden für eine sichere Infrastruktur und unabhängige Überwachung der Datenflüsse aus, heißt es in der Stellungnahme weiter.

Update

Stellungnahme von Bytedance, Wissing und der Berliner Datenschutzbeauftragten ergänzt.

(mack)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten