Die irische Datenschutzbehörde DPC (Data Protection Commission) hat gegen die Videoplattform TikTok eine Strafe von 530 Millionen Euro wegen Datenschutzverstößen verhängt. TikTok habe Daten europäischer Nutzerinnen und Nutzer nach China weitergeleitet und gegen Transparenzanforderungen verstoßen, erklärte die DPC am 2. Mai in einer Mitteilung.
Hintergrund des Verfahrens gegen TikTok
Die DPC handelte in ihrer Rolle als federführende Aufsichtsbehörde für TikTok im Sinne des One-Stop-Shop-Verfahrens nach Art. 56 DSGVO. Gegenstand der Untersuchung war einerseits die Rechtmäßigkeit der Datenübermittlungen in Drittstaaten gemäß Kapitel V DSGVO, insbesondere in Länder ohne Angemessenheitsbeschluss der EU-Kommission.
Zum anderen prüfte die Behörde, ob TikTok seiner Transparenzpflicht nach Art. 13 Abs. 1 lit. f DSGVO ordnungsgemäß nachgekommen ist.
Rechtswidrige Datenübermittlungen nach China
Nach den Feststellungen der DPC hat TikTok insbesondere gegen Art. 46 Abs. 1 DSGVO verstoßen. Das Unternehmen konnte nicht hinreichend gewährleisten, dass personenbezogene Daten von EWR-Nutzern beim Zugriff durch chinesische Mitarbeiter ein Schutzniveau genießen, das dem der DSGVO „im Wesentlichen gleichwertig“ ist.
Besonders kritisch: TikToks eigene Bewertung des chinesischen Rechts ergab bereits erhebliche Abweichungen von europäischen Datenschutzstandards – etwa durch das chinesische Antiterrorgesetz, das Spionageabwehrgesetz und das nationale Nachrichtendienstgesetz.
Obwohl TikTok sogenannte Standardvertragsklauseln (SCC) verwendete, stellte die DPC außerdem fest, dass keine wirksamen zusätzlichen Schutzmaßnahmen getroffen wurden, um den Datenzugriff durch chinesische staatliche Stellen zu verhindern oder zu kontrollieren. Die im Rahmen des EuGH-Urteils “Schrems II” geforderten zusätzlichen technischen, organisatorischen und rechtlichen Maßnahmen waren nicht ausreichend dokumentiert oder umgesetzt worden. Dies betraf unter anderem die Verschlüsselung sensibler Daten bei Fernzugriffen sowie das Fehlen transparenter Zugriffsprotokolle.
Dieser Mangel führte zur Beanstandung der gesamten Übermittlungspraxis von TikTok. Die DPC wies darauf hin, dass die Bewertung des chinesischen Rechts durch TikTok selbst keine “essential equivalence” mit der DSGVO zulasse und damit die Grundlage für die Auswahl und Wirksamkeit von Sicherheitsmaßnahmen fehle.
TikTok verwies im Verfahren auf das laufende Infrastrukturprogramm “Project Clover”, das eine lokale Datenspeicherung innerhalb der EU (insbesondere in Irland und Norwegen) sowie unabhängige Kontrollmechanismen vorsieht. Die DPC erkannte dieses Projekt als positiven Schritt an. Sie machte die Fortsetzung der Datenübermittlungen nach China jedoch weiterhin von der vollständigen Umsetzung der DSGVO-konformen Schutzmechanismen abhängig.
Mangelhafte Transparenz gegenüber Nutzern
Ein zentrales Element der DPC-Entscheidung betrifft das Versäumnis von TikTok, den Nutzern im Europäischen Wirtschaftsraum klare und vollständige Informationen über die grenzüberschreitende Verarbeitung ihrer personenbezogenen Daten zur Verfügung zu stellen. Nach Art. 13 Abs. 1 lit. f DSGVO sind Unternehmen verpflichtet, die betroffenen Personen transparent darüber zu informieren, ob und in welche Drittstaaten ihre Daten übermittelt werden und wie diese Übermittlung erfolgt.
Diesen Anforderungen genügte die Datenschutzrichtlinie von TikTok vom Oktober 2021 in wesentlichen Punkten nicht: Weder wurden die konkret betroffenen Drittstaaten – insbesondere China – explizit benannt, noch wurden die genauen Umstände der Datenübermittlungen offengelegt. Insbesondere blieb unklar, dass es sich bei den Übermittlungen auch um Datenfernzugriffe durch chinesische Mitarbeiter handelte, die auf Server in Singapur und den USA zugriffen. Diese mangelnde Transparenz hinderte die Nutzer daran, ihre Datenschutzrechte in Kenntnis der Sachlage wahrzunehmen.
Im Laufe des Verfahrens überarbeitete TikTok seine Datenschutzrichtlinie und legte der DPC eine neue Fassung vom Dezember 2022 vor. Diese Neufassung erfüllte nach Auffassung der Behörde die Anforderungen des Art. 13 Abs. 1 lit. f DSGVO, da sie nicht nur die Drittstaaten namentlich benannte, sondern auch die Art des Zugriffs und die Serverstandorte näher erläuterte. Der von der DPC festgestellte Verstoß bezog sich damit auf den Zeitraum vom 29. Juli 2020 bis zum 1. Dezember 2022, in dem TikTok seinen Transparenzpflichten nicht ausreichend nachgekommen ist.
Lese-Tipp: Verstöße gegen DMA – EU verhängt 700 Millionen Euro Bußgelder gegen Apple und Meta
Fehlinformationen während des Verfahrens
Ein besonders schwerwiegender Aspekt der Entscheidung betrifft die mangelhafte Informationspolitik von TikTok gegenüber dem DPC während des laufenden Verfahrens. TikTok hatte im Rahmen der Untersuchung mehrfach versichert, dass keine personenbezogenen Daten von Nutzern aus dem EWR auf Servern in China gespeichert würden. Diese Zusicherungen bildeten eine wesentliche Grundlage für die Beurteilung der Datenflüsse durch die DPC.
Im April 2025 teilte TikTok der DPC jedoch mit, dass es bereits im Februar 2025 festgestellt habe, dass entgegen den vorherigen Zusicherungen eine begrenzte Menge von EWR-Nutzerdaten auf Servern in China gespeichert worden sei. TikTok erklärte, dass dies auf einen internen Fehler und ein Missverständnis bei der internen Datenklassifizierung zurückzuführen sei. Die betroffenen Daten seien inzwischen gelöscht worden.
Die DPC hat diese nachträgliche Offenlegung sehr ernst genommen. In der Entscheidung wird betont, dass die Erteilung unrichtiger oder irreführender Auskünfte im Rahmen von Aufsichtsverfahren ein schwerwiegendes Hindernis für eine wirksame Kontrolle darstellt. Derartige Fehlinformationen können nicht nur das Vertrauen der Behörde untergraben, sondern auch die datenschutzrechtliche Risikobewertung erheblich verzerren.
Die Behörde kündigte daher ein separates Verfahren an, um zu prüfen, ob das Verhalten von TikTok im Hinblick auf die verspätete Mitteilung der Datenspeicherung weitere aufsichtsrechtliche Maßnahmen rechtfertigt. Sollte ein vorsätzliches oder grob fahrlässiges Verhalten festgestellt werden, könnte dies zu weiteren Sanktionen führen.
Bußgeld in Millionenhöhe gegen TikTok
Die DPC verhängte ein Bußgeld in Höhe von insgesamt 530 Millionen Euro:
- 485 Millionen Euro wegen Verstoßes gegen Art. 46 Abs. 1 DSGVO (rechtswidrige Datenübermittlung),
- 45 Millionen Euro wegen Verstoßes gegen Art. 13 Abs. 1 lit. f DSGVO (mangelnde Transparenz).
TikTok wurde zudem verpflichtet, innerhalb von sechs Monaten nach Ablauf der Beschwerdefrist alle Verarbeitungsvorgänge mit der DSGVO in Einklang zu bringen. Andernfalls droht die Aussetzung aller Datentransfers nach China.
Bewertung des Verfahrens gegen TikTok
Die Entscheidung der DPC hat weitreichende Bedeutung über TikTok hinaus. Sie unterstreicht die strengen Maßstäbe für internationale Datenübermittlungen aus der EU – insbesondere in Länder ohne Angemessenheitsbeschluss. Unternehmen sind verpflichtet, tiefgreifende rechtliche Bewertungen vorzunehmen und technische sowie organisatorische Maßnahmen zu ergreifen, die ein gleichwertiges Datenschutzniveau garantieren.
Darüber hinaus wird erneut die Bedeutung transparenter Nutzerinformationen betont. Datenschutzrichtlinien müssen klar, vollständig und verständlich sein – insbesondere bei grenzüberschreitender Verarbeitung.
Nicht zuletzt zeigt die Entscheidung, dass unvollständige oder irreführende Angaben gegenüber den Aufsichtsbehörden erhebliche Konsequenzen haben können. Die DPC prüft bereits weitere regulatorische Schritte gegen TikTok wegen der verspäteten Offenlegung der Speicherung von EWR-Daten in China.
Quelle: Mitteilung der Irish Data Protection Commission zum Bußgeld gegen TikTok
🌍 Sie wollen ein Transfer Impact Assessments (TIA) durchführen und das Datenschutzniveau im Empfängerland bewerten und notwendige Maßnahmen ergreifen? Dann nehmen Sie Kontakt zu uns auf! Wir bieten Ihnen eine maßgeschneiderte Lösung.
German 
English 
Italian 
French