29. Mai 2025
Im September 2021 startete die irische Datenschutzkommission (DPC) eine umfassende Untersuchung, um TikToks Einhaltung der Datenschutz-Grundverordnung (GDPR) zu überprüfen. Ziel war es, das Alter der Nutzer zu verifizieren und die Rechtmäßigkeit der Datenübermittlungen in die Volksrepublik China zu prüfen. Diese erste Untersuchung endete mit einer bemerkenswerten Entscheidung am 2. Mai 2025. TikTok wurde mit einer Geldbuße von 530 Millionen Euro belegt, aufgrund der identifizierten Verstöße gegen die GDPR, welche auch eine fehlende Transparenz gegenüber Nutzern beinhaltet.
Die gravierendsten Verstöße von TikTok lagen in der missbräuchlichen Übermittlung von Nutzerdaten in Richtung China. Es stellte sich heraus, dass das durch TikTok nicht gewährleistet wurde, dass die in China gespeicherten oder abgerufenen Daten durch einen gleichwertigen Schutz wie in der EU geschützt sind. Dies führte zu zwei zentralen Verstößen: Der Bereitstellung inkorrekter Informationen während der Untersuchung und einem unzureichenden Risikoassessment bezüglich des möglichen Zugriffs chinesischer Behörden auf in die EU zugehörige personenbezogene Daten.
TikTok wurde auch vorgeworfen, unzureichende und irreführende Informationen über die Datentransfers in ihrer Datenschutzerklärung bereitzustellen. Dies betraf insbesondere die unzureichende Deklaration der Empfängerländer und die Möglichkeit des Fernzugriffs von China aus. Diese Verstöße wurden zwischen den Jahren 2020 und 2022 festgestellt, bevor TikTok letztlich die Datenschutzerklärung im Jahr 2022 aktualisierte.
Ein klarer und transparenter Datenschutzhinweis ist entscheidend, um das Vertrauen der Nutzer zu gewinnen und die Einhaltung der GDPR sicherzustellen. Unternehmen müssen sicherstellen, dass sie ihre Nutzer deutlich über die Verarbeitung ihrer Daten informieren. Dies umfasst sowohl die Gründe der Datenerhebung als auch die potenziellen Empfängerländer bei internationalen Datenübertragungen.
Das Beispiel TikTok verdeutlicht die Verantwortung von Unternehmen, die personenbezogene Daten außerhalb des EWR transferieren möchten. Der Transfer Impact Assessment (TIA) ist eine wesentliche Aufgabe, die sicherstellt, dass das Schutzniveau des Empfängerlands dem der EU entspricht. Unternehmen müssen nachweisen können, dass keine unangemessenen Risiken für die personenbezogenen Daten der Nutzer bestehen.
Benötigen Sie Unterstützung bei der Sicherstellung der GDPR-Konformität Ihrer Datenverarbeitung oder haben Sie Fragen zu internationalen Datentransfers? Kontaktieren Sie uns gerne bei AZ-Datenschutz – wir stehen Ihnen mit unserem Fachwissen zur Seite!
Input your search keywords and press Enter.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen