Rekordstrafe: TikTok muss 530 Millionen Euro wegen DSGVO-Verstößen zahlen

Die irische Datenschutzbehörde verhängt eine Rekordstrafe gegen TikTok wegen rechtswidriger Datenübertragungen nach China. TikTok verweist auf umfangreiche Sicherheitsmaßnahmen, kritisiert einseitige Bewertung durch die DPC und warnt vor einem gefährlichen Präzedenzfall für global tätige Unternehmen in Europa.

Lesezeit ca. 3 Minuten

Artikel teilen

Thema

Datenschutz, Europa, Recht, Social Media

Die irische Datenschutzbehörde DPC hat TikTok zu einer Geldstrafe in Höhe von 530 Millionen Euro verurteilt. Hintergrund ist ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) im Zusammenhang mit der Übertragung von Daten europäischer Nutzer nach China. Die Behörde sieht in ihrer Begründung wesentliche Mängel in der Transparenz sowie bei der Einhaltung von Schutzmaßnahmen vor Datenzugriffen durch chinesische Behörden.

Die Untersuchung der DPC stellte fest, dass TikTok die gesetzlich geforderten Prüfungen zu den rechtlichen Rahmenbedingungen in China nicht ausreichend durchgeführt hat. Insbesondere habe TikTok nicht nachgewiesen, dass Daten, auf die chinesische Mitarbeiter per Fernzugriff zugreifen konnten, einem dem EU-Niveau entsprechenden Schutz unterlagen. Die DPC verweist auf chinesische Gesetze wie das Anti-Terrorismus-Gesetz oder das Gesetz über nationale Sicherheit, die von EU-Standards abweichen.

Fehlende Transparenz und Speicherort in China

Auch bei der Information der Nutzer sieht die DPC klare Verstöße. In der Datenschutzerklärung von 2021 wurde weder angegeben, in welche Länder Daten übermittelt werden, noch welche Verarbeitungstätigkeiten stattfanden. Erst die überarbeitete Version von Ende 2022 erfüllte die Transparenzanforderungen gemäß DSGVO.

Ein weiterer belastender Punkt: TikTok hatte während der Untersuchung fälschlich angegeben, keine EEA-Nutzerdaten auf chinesischen Servern zu speichern. Erst im April 2025 gab das Unternehmen zu, dass dies zeitweise doch der Fall war – ein klarer Widerspruch zu früheren Aussagen gegenüber der Behörde. Die DPC prüft deshalb weitere aufsichtsrechtliche Schritte.

Kurzfristig Experten benötigt? Hier die passenden Freelancer auf Fiverr

Korrekturmaßnahmen und Ausblick

Neben der Strafzahlung muss TikTok innerhalb von sechs Monaten seine Datenverarbeitung in Einklang mit der DSGVO bringen. Andernfalls droht die Aussetzung sämtlicher Datenübertragungen nach China. Die Maßnahme gilt zusätzlich zu TikToks interner Initiative „Project Clover“, mit der das Unternehmen Datenschutzbedenken adressieren möchte.

TikTok weist Vorwürfe zurück und kündigt Rechtsmittel an

TikTok reagierte mit deutlicher Kritik auf die Entscheidung der irischen Datenschutzbehörde. In einer Stellungnahme betont Christine Grahn, Leiterin Public Policy & Government Relations Europa, dass die DPC zentrale Aspekte unberücksichtigt gelassen habe – insbesondere die umfangreichen Sicherheitsmaßnahmen des seit 2023 laufenden Programms „Project Clover“. Dieses beinhalte unter anderem eine unabhängige Überwachung durch das Cybersicherheitsunternehmen NCC Group sowie den Aufbau eines europäischen Datenzentrums in Finnland.

TikTok verweist zudem darauf, dass das Unternehmen sich bei der Übermittlung von Daten auf dieselben rechtlichen Mechanismen stütze wie viele andere international tätige Firmen in Europa, etwa auf die sogenannten Standardvertragsklauseln. Die Plattform habe laut eigener Aussage niemals Daten europäischer Nutzer an chinesische Behörden weitergegeben oder eine entsprechende Anfrage erhalten. TikTok kündigte an, die Entscheidung der DPC juristisch anzufechten.

Kritik an drohendem Präzedenzfall für internationale Unternehmen

Nach Einschätzung von TikTok setzt die Entscheidung der DPC einen bedenklichen Präzedenzfall für alle Unternehmen in Europa mit internationalen Strukturen. Grahn betont, dass TikTok mit dem Project Clover weitreichende Maßnahmen zur Datensicherheit umgesetzt habe – darunter streng kontrollierter Zugriff, Verschlüsselungstechnologien und separate Datenenklaven für Nutzerinformationen. Dennoch habe die Datenschutzbehörde diese Initiativen nicht ausreichend gewürdigt.

TikTok sieht durch die Entscheidung einen negativen Einfluss auf die Wettbewerbsfähigkeit Europas. In Zeiten, in denen Innovation und internationale Zusammenarbeit essenziell seien, brauche es regulatorische Ansätze, die sowohl Sicherheit als auch globalen Datenverkehr ermöglichen. Aus Sicht des Unternehmens sei Project Clover ein Modellprojekt, das genau diesen Ausgleich schaffe – und daher politisch wie regulatorisch unterstützt statt behindert werden sollte.