Am 10. Juli 2025 hat die irische Datenschutzkommission (DPC) ein neues Untersuchungsverfahren gegen TikTok eingeleitet. Anlass dafür ist die Speicherung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) auf Servern in China – entgegen früheren Aussagen des Unternehmens im Rahmen eines vorangegangenen Verfahrens.
Der Inhalt im Überblick
Hintergrund: Was ist passiert?
TikTok war bereits Gegenstand einer DPC-Untersuchung, die mit Entscheidung vom 30. April 2025 abgeschlossen wurde. Damals hatte das Unternehmen erklärt, dass ein Fernzugriff auf EWR-Nutzerdaten durch Mitarbeitende in China zwar möglich sei, die Daten jedoch ausschließlich auf Servern außerhalb Chinas gespeichert würden.
Im April 2025 informierte TikTok die DPC jedoch darüber, dass bereits im Februar desselben Jahres – wenn auch in begrenztem Umfang – doch EWR-Nutzerdaten physisch auf Servern in China gespeichert worden seien. Diese späte Offenlegung widerspricht den zuvor gemachten Angaben und wurde von der DPC mit großer Besorgnis aufgenommen. Die Behörde prüft seither weitere regulatorische Schritte.
Die damalige Entscheidung der DPC konnte daher die physische Speicherung in China nicht berücksichtigen – dieser Aspekt wird nun nachträglich untersucht.
Schwerpunkte der neuen Untersuchung
Die aktuelle Untersuchung erfolgt auf Grundlage von Section 110 des irischen Data Protection Act 2018. Sie soll klären, ob TikTok gegen zentrale Vorschriften der DSGVO verstoßen hat, insbesondere:
- Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)
- Art. 13 Abs. 1 lit. f DSGVO (Informationspflichten bei Drittlandübermittlungen)
- Art. 31 DSGVO (Zusammenarbeit mit Aufsichtsbehörden)
- Kapitel 5 DSGVO (Voraussetzungen für Übermittlungen in Drittländer)
Im Zentrum steht die Frage, ob für die Datenübermittlung nach China eine gültige Rechtsgrundlage vorliegt. Die DSGVO verlangt hierfür entweder einen Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) oder geeignete Garantien (z. B. Standardvertragsklauseln gemäß Art. 46 DSGVO). Entscheidend ist dabei, dass im Drittland ein mit der EU vergleichbares Datenschutzniveau sichergestellt ist.
Da für China bislang kein Angemessenheitsbeschluss besteht, obliegt es TikTok, den angemessenen Schutz der übermittelten Daten nachzuweisen.
Transparenzpflicht und Zusammenarbeit mit Aufsichtsbehörden im Fokus
Ein reiner Fernzugriff durch Mitarbeitende aus Drittländern – selbst wenn die Daten physisch im EWR gespeichert bleiben – stellt bereits eine Drittlandübermittlung im Sinne von Kapitel 5 DSGVO dar. Es spielt allenfalls eine geringere Rolle, ob die Daten die EU verlassen: Solche Zugriffskonstellationen unterliegen denselben datenschutzrechtlichen Anforderungen wie physische Datenübertragungen.
Beide Verfahren der DPC – das abgeschlossene wie auch das neue – befassen sich mit grenzüberschreitenden Datenübermittlungen. Sie unterscheiden sich primär in der konkreten Ausprägung (Fernzugriff vs. Speicherung), nicht jedoch in ihrer rechtlichen Relevanz. Beide Szenarien werden durch Kapitel 5 DSGVO abgedeckt.
Dabei dürfte bereits im Rahmen des ersten Verfahrens deutlich geworden sein, dass TikTok keine tragfähige Rechtsgrundlage für die Drittlandübermittlung nach China vorweisen konnte.
In der Pressemitteilung zum Abschluss der ersten Untersuchung zeigte sich die DPC „deeply concerned“ darüber, dass TikTok unzutreffende Informationen geliefert hatte. Die Behörde kündigte an, die Vorgänge „very seriously“ zu nehmen und prüfte in enger Abstimmung mit anderen EU-Aufsichtsbehörden weitere Maßnahmen. Die Einleitung des neuen Verfahrens ist unmittelbare Folge dieser Einschätzung und unterstreicht die zentrale Rolle von Transparenz und vertrauensvoller Zusammenarbeit mit Aufsichtsbehörden.
Internationale Dimension: Weitere Kritik an TikTok
TikTok steht nicht nur in Irland in der Kritik. Am 4. Juli 2025 verhängte das britische First-tier Tribunal (General Regulatory Chamber) eine Geldbuße in Höhe von 12,7 Mio. Pfund wegen Datenschutzverstößen. Die UK General Data Protection Regulation stimmt weitgehend mit der DSGVO überein. Das Urteil ist noch nicht rechtskräftig, zeigt aber klar die länderübergreifende Tendenz, streng gegen datenschutzrechtliche Verstöße von TikTok vorzugehen.
Unvollständige oder unwahre Angaben können teurer werden
Unvollständige oder unwahre Angaben gegenüber Datenschutzaufsichtsbehörden können erhebliche Folgen für Unternehmen haben — sowohl rechtlich, als auch reputationsbezogen.
Wahrheitsgemäße Kommunikation setzt in der Regel eine transparente und belastbare interne Dokumentation voraus. Eine sorgfältige, strukturierte und nachvollziehbare Erfassung aller relevanten Prozesse ist essenziell, um im Prüfungsfall die erforderliche Transparenz sicherstellen zu können.
