DPC verhängt 530-Millionen-Euro-Strafe gegen TikTok

6. Mai 2025

Mit einem Millionenbußgeld und der Anordnung weitreichender Korrekturmaßnahmen hat die irische Datenschutzbehörde (Data Protection Commission, DPC) das Verfahren gegen TikTok abgeschlossen. Im Zentrum stand die Frage, ob das Unternehmen bei der Übermittlung personenbezogener Daten europäischer Nutzer in die Volksrepublik China die Vorgaben der DSGVO eingehalten hat. Nun verhängt die DPC laut Mitteilung vom 02.05.2025 eine 530-Millionen-Euro-Strafe gegen TikTok.

Datenschutzexport nach China

Die DSGVO stellt hohe Anforderungen an die Übermittlung personenbezogener Daten in Drittländer. Grundsätzlich sind solche Transfers nur dann erlaubt, wenn ein angemessenes Datenschutzniveau garantiert ist. Ein Angemessenheitsbeschluss, der dies bestätigt, liegt allerdings für Datentransfers nach China nicht vor. Zudem handelt es sich bei China um einen autoritären Überwachungsstaat, der über keine unabhängige Kontrollinstanz verfügt, die den Zugriff durch Behörden effektiv beschränken könnten. Das chinesische Datenschutzgesetz ist zwar gegen Datenschutzverletzung von Privatunternehmen recht effektiv, einen vergleichbaren Schutz gegen staatliche Eingriffe bietet es jedoch nicht. Insofern hatte beispielsweise im Januar die Bürgerrechtsorganisation noyb eine Datenschutzbeschwerde gegen verschiedene chinesische Tech-Giganten, darunter auch TikTok, in Österreich eingereicht.

Entscheidung der DPC

Gegenstand der Untersuchung der irischen Datenschutzaufsicht war nun einerseits die rechtliche Zulässigkeit der Übermittlung personenbezogener Daten von Nutzern aus dem Europäischen Wirtschaftsraum (EWR) nach China. Andererseits prüfte die DPC als federführende Datenschutzbehörde, ob TikTok seine Nutzer hinreichend über diese Datenübermittlungen informiert hatte.

In diesem Zusammenhang weist die DPC in ihrer Pressemitteilung insbesondere darauf hin, dass TikTok im Laufe des Verfahrens betont habe, dass keine EWR-Nutzerdaten auf Servern in China gespeichert würden. Im April 2025 habe das Unternehmen allerdings eingeräumt, dass im Februar doch – zumindest in geringem Umfang – EWR-Daten auf chinesischen Servern entdeckt worden seien. TikTok betone, diese Daten inzwischen gelöscht zu haben. Trotzdem kündigte die DPC an, diese Entwicklung separat zu prüfen und weitere Maßnahmen zu erwägen.

Datenschutzwidriger Drittlandtransfer

Im Rahmen der Prüfung stützte sich die DPC insbesondere auf Art. 46 Abs. 1 Datenschutzgrundverordnung (DSGVO), der beim Drittlandtransfer geeignete Garantien und durchsetzbare Betroffenenrechte vorschreibt. TikTok habe es versäumt, angemessen zu prüfen, ob chinesisches Recht – insbesondere im Bereich der staatlichen Zugriffsbefugnisse – ein solches Schutzniveau gewährleistet. Die von TikTok herangezogenen Maßnahmen seien daher nicht ausreichend gewesen, um eine rechtskonforme Übermittlung sicherzustellen.

Hinzu soll ein Verstoß gegen die Transparenzpflichten nach Art. 13 Abs. 1 lit. f DSGVO. Die DPC stellte fest, dass TikToks Datenschutzrichtlinie in der damals maßgeblichen Version aus Oktober 2021 die Empfängerländer der Datentransfers nicht namentlich benannte. Insbesondere fehle ein ausdrücklicher Hinweis auf China. Auch die Art der Verarbeitung – konkret der Zugriff chinesischer Mitarbeitender auf Daten, die physisch auf Servern in Singapur oder den USA lagen – sei nicht erläutert worden. Zwar holte TikTok diese Informationen in einer überarbeiteten Fassung der Datenschutzrichtlinie vom Dezember 2022 nach. Die DPC wies jedoch darauf hin, dass die Pflichtverletzung über einen Zeitraum von mehr als zwei Jahren fortbestand.

Geldbuße und Androhung von Datentransferverbot

In beiden Punkten kam die Behörde zu dem Ergebnis, dass TikTok zentrale Anforderungen der DSGVO verletzt hat. Zuvor hatte die DPC im Februar einen Entscheidungsentwurf im Rahmen des Kooperationsverfahrens nach Art. 60 DSGVO abgegeben, der keinen Widerspruch erfahren hatte.

Die DPC verhängt nun eine empfindliche 530-Millionen-Euro-Strafe gegen TikTok. Diese setzt sich zusammen aus einer Geldbuße in Höhe von 45 Millionen Euro wegen der Verletzung von Transparenzpflichten und einem 458-Millionen-Euro-Bußgeld wegen des Verstoßes gegen Art. 46 Abs. 1 DSGVO.

Daneben ordnete die Behörde auch konkrete Abhilfemaßnahmen an. TikTok muss innerhalb von sechs Monaten seine Datenübermittlungen nach China mit den Vorgaben der DSGVO in Einklang bringen. Sollte das Unternehmen dem nicht nachkommen, droht ein vollständiges Verbot des Datentransfers. Dass die DPC trotz bereits laufender datenschutzrechtlicher Umstrukturierungsmaßnahmen bei TikTok – bekannt unter dem Projektnamen „Project Clover“ – keine längere Umsetzungsfrist gewährte, unterstreicht die Ernsthaftigkeit der regulatorischen Erwartungshaltung.

Wie geht es weiter?

TikTok hat mittlerweile angekündigt, Rechtsmittel gegen die Entscheidung der DPC einzulegen. Insbesondere habe die DPC „Project Clover“, dass einen enormen Fokus auf Datenschutz lege, nicht hinreichend berücksichtigt. Interessant war auch ein fast drohend wirkender Hinweis auf die Bedeutung von TikTok für die europäische Wirtschaft.

Daneben soll das chinesische Auslandsministerium laut Euractiv erklärt haben, dass China weder in der Vergangenheit noch in der Zukunft jemals Unternehmen oder Privatpersonen dazu verpflichtet hat Daten illegal zu sammeln oder zu speichern. Außerdem soll es die EU und Irland aufgefordert haben „faire, gerechte und diskriminierungsfreie“ Gegebenheiten auch für ausländische Unternehmen zu schaffen.

Fazit

Mit ihrer Entscheidung gegen TikTok unterstreicht die irische Datenschutzbehörde einmal mehr die DSGVO-Vorgaben zu Drittlandtransfers und Transparenz. Unternehmen, die personenbezogene Daten außerhalb des EWR verarbeiten oder verarbeiten lassen, sollten ihre Übermittlungsprozesse und Begleitdokumentation regelmäßig kritisch hinterfragen – auch und gerade bei komplexen Konzernstrukturen.

Kategorien: Aufsichtsbehördliche Maßnahmen · Bußgeld · Datenschutz International · DSGVO · Internationaler Datenschutz · Online-Datenschutz · TikTok · Transparenz