Zum Inhalt springen Zur Navigation springen
DPC-Entscheidung zu TikTok: Wichtige Erkenntnisse für die Praxis

DPC-Entscheidung zu TikTok: Wichtige Erkenntnisse für die Praxis

Artikel von Anqi Chen·22. Oktober 2025

Am 2. Oktober 2025 veröffentlichte die irische Datenschutzaufsicht (DPC) den vollständigen Entscheidungsbericht zu ihrem Bußgeldverfahren gegen TikTok. Über das 530-Millionen-Euro-Bußgeldverfahren hatten wir bereits im Mai berichtet. In diesem Beitrag greifen wir diesen DPC-Bericht nun auf und fassen die wesentlichen Punkte zusammen – insbesondere jene, aus denen Unternehmen mit internationalen Datenverarbeitungen wichtige Erkenntnisse für die Praxis mitnehmen können.

Was hat die DPC untersucht?

Die irischen Datenschutzaufsicht (DPC) leitete das Verfahren gegen TikTok Technology Limited (TikTok) bereits im Jahr 2021 ein und hat nun kürzlich den vollständigen Entscheidungsbericht veröffentlicht. Gegenstand war der Fernzugriff chinesischer Konzerngesellschaften auf personenbezogene Daten von EWR-Nutzern, die auf Servern in Singapur, den Vereinigten Staaten und teilweise Malaysia gespeichert waren.

Im Kern ging es um die Frage, ob TikTok für diese Zugriffe über ausreichende Garantien nach den Art. 44 ff. DSGVO verfügte.

Die DPC strukturierte ihre Untersuchung entlang von fünf zentralen Fragestellungen:

  • Rechtsgrundlage der Übermittlung: Prüfung der Verwendung der 2010 SCCs und 2021 SCCs für den Fernzugriff durch die China Group Entities.
  • Pflicht zur Drittlandtransfer-Prüfung nach Art. 46 (1) DSGVO: Ob TikTok das Datenschutzniveau in China ausreichend geprüft und dokumentiert hat, insbesondere durch eine Risikoanalyse problematischer Gesetze.
  • Wirksamkeit zusätzlicher Schutzmaßnahmen: Ob die ergänzenden technischen, organisatorischen und vertraglichen Maßnahmen ein im Wesentlichen gleichwertiges Schutzniveau gewährleisten konnten.
  • Berufung auf Ausnahmen nach Art. 49 DSGVO: Insbesondere Art. 49 Abs. 1 lit. b (Vertragserfüllung).
  • Informationspflicht nach Art. 13 (1) (f) DSGVO: Ob TikTok betroffene Nutzer ausreichend über die Transfers und die Fernzugriffe aus China informiert hat.

Der fast 200 Seiten umfassende Entscheidungsbericht enthält eine beeindruckend detaillierte Argumentation. Eine vollständige Darstellung würde den Rahmen sprengen – dieser Beitrag beschränkt sich daher auf ausgewählte, besonders praxisrelevante Punkte für Unternehmen mit Datenverarbeitungen in Drittländern.

Fernzugriff aus China als Datenverarbeitung in China

Es gilt inzwischen als allgemein anerkannt, dass Fernzugriffe durch Beschäftigte in Drittländern als Übermittlungen im Sinne der Art. 44 ff. DSGVO zu bewerten sind.

Die DPC beschreibt in ihrer Entscheidung die Eigenschaften dieser Zugriffe genauer und stellt klar, dass sie systematisch, wiederkehrend und fortdauernd erfolgten. Damit handele es sich nicht um gelegentliche Support-Zugriffe, sondern um eine dauerhafte Form konzerninterner Datenverarbeitung außerhalb des EWR.

„In light of both the factual description of the remote access, and the information furnished in respect of the nature of the processing, the DPC finds that the transfers were systematic, repetitive and continuous.“

Das von TikTok vorgebrachte Argument, wonach nach dem sogenannten Territorialitätsprinzip das chinesische Recht nur innerhalb des Staatsgebiets gelte und die chinesische Regierung daher keinen Zugriff auf Daten verlangen könne, die sich physisch auf Servern außerhalb Chinas befinden, ließ die DPC nicht gelten.

Hinsichtlich der Bewertung im Rahmen des Transfer Impact Assessments (TIA) ist nun deutlich: Zwischen einem Fernzugriff aus China und einer physischen Speicherung bzw. Verarbeitung in China besteht kein wesentlicher Unterschied. Sobald ein Zugriff von China aus erfolgt, findet die „Verarbeitung in China“ statt – unabhängig davon, wo die Server stehen.

TIA: Bewertung des Schutzniveaus in China

Ein TIA dient dazu, das Schutzniveau im Empfängerland zu bewerten und ggf. ergänzende Maßnahmen festzulegen. Typischerweise werden dabei die Rechtslage, die Zugriffsmöglichkeiten staatlicher Stellen, die Aufsichtsstrukturen sowie verfügbare Rechtsbehelfe geprüft.

Besonders interessant ist der TIA-Teil der Entscheidung – er zeigt, wie TikTok das chinesische Recht einschätzte und wie die DPC diese Bewertung überprüfte und bewertete. TikTok selbst kam in seiner TIA-Bewertung zu dem Ergebnis, dass das chinesische Recht kein im Wesentlichen gleichwertiges Datenschutzniveau gewährleistet.

Zuständigkeit für das TIA liegt beim Datenexporteur – nicht der DPC

TikTok versuchte, die Prüfpflicht nach Art. 46 DSGVO teilweise auf die Aufsichtsbehörde zu verlagern. Das Unternehmen argumentierte, ein unzureichendes TIA mache eine Übermittlung nicht automatisch rechtswidrig – vielmehr müsse die DPC selbst prüfen, ob die SCCs eingehalten werden könnten, bevor sie einen Transfer untersage.

Die DPC wies diese Sichtweise entschieden zurück: Die Pflicht, das Schutzniveau zu bewerten und zu dokumentieren, liegt allein beim Datenexporteur.

„The DPC does not accept TikTok Ireland’s submissions regarding the obligation to verify, guarantee and demonstrate an essentially equivalent level of protection. Article 46(1) GDPR places the obligation on the controller or processor to provide appropriate safeguards in respect of a transfer of personal data.“

Bewertung der chinesischen Rechtlage – DPC stützt sich auf lokale Experteneinschätzungen

Die DPC beabsichtigte zunächst, sich bei der Länderbewertung auf das bekannte Report „Government access to data in third countries“ zu stützen – ein allgemeines Referenzgutachten zu Drittstaatenrecht.

TikTok legte jedoch eigene Expertengutachten vor, erstellt von chinesischen Professoren und Kanzleien, die detailliert die Anwendung chinesischer Gesetze im Kontext von Unternehmensdatenübermittlungen erläuterten.

Die DPC ließ sich in Teilen überzeugen und nahm Abstand von einer ausschließlichen Bezugnahme auf das Milieu-Report. Stattdessen räumte sie der von TikTok Ireland vorgelegten Analyse des chinesischen Rechtsrahmens größeres Gewicht ein:

„The DPC considers that it must attach greater weight to the analysis of the legal framework in China that was put forward by TikTok Ireland than the analysis presented in the Milieu Report.“

Das Territorialitätsprinzip im chinesischen Recht wird von der DPC grundsätzlich verankert, jedoch im Fall von Remote Access aus China nicht greift, da der Zugriff selbst bereits eine „Verarbeitung in China“ darstellt.

Gleichwohl zeigt der Fall, dass eigene, von lokalen Experten erstellte Länderberichte im Rahmen eines TIA ein sinnvolles Instrument sein können, um die Bewertung des Schutzniveaus zu untermauern.

Wahrscheinlichkeit staatlicher Zugriffe als Bewertungskriterium

Obwohl TikTok die DPC nicht überzeugte, bestätigte die Behörde grundsätzlich, dass die Bewertung der Risiken nicht allein auf der Gesetzeslage beruhen muss.

Wenn ein Verantwortlicher nachweislich zu dem Ergebnis gelangt, dass ein staatlicher Zugriff nur theoretisch oder sehr unwahrscheinlich ist, kann diese Einschätzung – in Kombination mit ergänzenden Schutzmaßnahmen – geeignet sein, ein im Wesentlichen gleichwertiges Schutzniveau nachzuweisen.

„In this regard, a data controller’s assessment of risk as “theoretical or remote” or “hypothetical or very unlikely to materialise”, may be relevant in the particular circumstances to that data controller’s selection of supplementary measures to verify, guarantee and demonstrate an essentially equivalent level of protection.“

Die DPC erkennt damit ausdrücklich an, dass ein risk-based approach im Rahmen von Art. 46 DSGVO vertretbar sein kann – ein kleiner, aber wichtiger Schritt in Richtung mehr Praxisrealismus beim internationalen Datentransfer.

Informationenpflicht – DPC akzeptiert Angabe des Empfängerlands in zweiter Ebene

Ein zentraler Punkt betraf die Informationspflicht nach Art. 13 Abs. 1 lit. f DSGVO. TikToks ursprüngliche EEA-Privacy-Policy nannte keine konkreten Empfängerländer, sondern sprach pauschal von „allen anderen Drittländern“ – ein Verstoß gegen das Transparenzgebot.

Nach Ansicht der DPC müssen Nutzer nachvollziehen können, in welche Länder ihre Daten übermittelt werden. TikTok passte daraufhin im Dezember 2022 seine Policy an und ergänzte die Nennung „China“. Dies wirkte sich bußgeldmindernd aus: Die DPC bewertete den Verstoß nur bis zum Zeitpunkt der Aktualisierung – was den Zeitraum und damit die Höhe der Sanktion deutlich reduzierte. Eine schnelle Nachbesserung kann also im Verfahren bußgeldmindernd berücksichtigt werden!

Zudem akzeptierte die DPC, dass diese Information in einer zweiten Ebene zugänglich war, solange sie mit wenigen Klicks erreichbar blieb.

Art. 49 gilt nur für gelegentliche Datentransfers

TikTok berief sich in einzelnen Fällen auf die Ausnahme nach Art. 49 Abs. 1 lit. b DSGVO („Vertragserfüllung“). Das Unternehmen argumentierte, die häufig zitierte Einschränkung, wonach solche Übermittlungen nur „gelegentlich“ erfolgen dürfen, finde keine Grundlage im Gesetzestext. Erwägungsgrund 111 könne als bloßer Erwägungsgrund keine zusätzlichen materiellen Voraussetzungen schaffen.

Die DPC folgte dieser Argumentation nicht. Sie verwies auf den Zweck der Norm: Die Ausnahmetatbestände seien eng auszulegen und nicht für regelmäßige oder systematische Transfers bestimmt.

Mehr als nur ein Verfahren gegen TikTok

TikTok hat angekündigt, gegen die Entscheidung Berufung einzulegen. Auch wenn das letzte Wort noch nicht gesprochen ist, liefert der Fall bereits jetzt wertvolle Hinweise für die Praxis: Die DPC zeigt sehr deutlich, dass sie von Unternehmen eine eigenständige, nachvollziehbar dokumentierte Bewertung des Schutzniveaus erwartet – und zwar nicht erst bei großen Plattformen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.