Internationale Datentransfers: China Edition
28.05.2025
Zusammenfassung
Die irische Datenschutzbehörde hat TikTok wegen unzureichender Schutzmaßnahmen beim Datentransfer nach China mit einer Strafe in Höhe von 530 Millionen Euro belegt. Sie begründet dies damit, dass TikTok den Schutz europäischer Nutzerdaten gegenüber dem Zugriff durch chinesische Behörden nicht ausreichend gewährleisten konnte. Zwar verweist TikTok auf eigene Sicherheitsinitiativen wie „Project Clover“, doch die Behörde sieht weiterhin gravierende Verstöße gegen die DSGVO. Die Entscheidung könnte wegweisend für andere Unternehmen mit Datenübertragungen nach China sein.
4 Minuten Lesezeit
Die irische Datenschutz-Aufsichtsbehörde (Data Protection Commission) hat die europäische Betreibergesellschaft der Social-Media-Plattform TikTok mit einer Geldbuße über 530 Millionen Euro belegt. Darüber hinaus verlangt die Behörde in Dublin zusätzliche, konkrete Schutzmaßnahmen hinsichtlich der Absicherung von Übermittlungsvorgängen europäischer Nutzerdaten an die chinesische Muttergesellschaft.
Unzureichende Schutzmaßnahmen
„The GDPR requires that the high level of protection provided within the European Union continues where personal data is transferred to other countries. TikTok’s personal data transfers to China infringed the GDPR because TikTok failed to verify, guarantee and demonstrate that the personal data of EEA users, remotely accessed by staff in China, was afforded a level of protection essentially equivalent to that guaranteed within the EU. As a result of TikTok’s failure to undertake the necessary assessments, TikTok did not address potential access by Chinese authorities to EEA personal data under Chinese anti-terrorism, counter-espionage and other laws identified by TikTok as materially diverging from EU standards.“ (so DPC Deputy Commissioner Graham Doyle)
Die DPC stellte fest, dass TikTok es versäumt hat, sicherzustellen, dass personenbezogene Daten von Nutzern aus dem Europäischen Wirtschaftsraum (EWR), die von Mitarbeitern in China aus der Ferne abgerufen wurden, ein Schutzniveau genießen, das mit dem innerhalb der EU vergleichbar ist. Dies sei insbesondere relevant im Hinblick auf chinesische Gesetze wie das Anti-Terrorismus-Gesetz, das Gesetz zur nationalen Sicherheit und das Gesetz zur Cybersicherheit, die erheblich von den EU-Standards abweichen.
Da es für China keine Angemessenheitsentscheidung der EU-Kommission gibt, müssen Unternehmen gemäß Art. 46 DSGVO geeignete Garantien nutzen, um einen rechtmäßigen Datentransfer sicherzustellen. Im Rahmen eingesetzter Standardvertragsklauseln ist es allerdings notwendig, dass „zusätzliche Maßnahmen“ getroffen werden, um sicherzustellen, dass Rechte und Freiheiten betroffener Nutzer in vergleichbarer Weise geschützt bleiben. Das sei man auf Unternehmensseite schuldig geblieben.
„Project Clover“
TikTok selbst hält den Anschuldigungen im Rahmen einer Stellungnahme entgegen, denn man selbst hätte mit der Einführung des sogenannten „Project Clover“ in Europa anspruchsvolle Datensicherheitsmaßnahmen geschaffen. So würden unter anderem Fernzugriffs- und Datenübertragungsprotokolle von unabhängiger Stelle überwacht, worunter auch umfassende Zugriffsbeschränkungen für Unternehmensmitarbeiter fielen. Außerdem setze man auf Privacy Enhancing Technologies (auch bekannt als „PETs“), wie Verschlüsselung bei Zugriff oder Differential Privacy. – Bleibt die Frage: Wenn selbst diese Maßnahmen nicht genügen, was müsste dann geschehen?
„In exercising corrective powers, the DPC also considered ongoing changes brought about by TikTok under “Project Clover”. Notwithstanding these changes, the DPC found that it is appropriate, necessary and proportionate to order the suspension of the Data Transfers and to order TikTok to bring its processing operations into compliance with Chapter V of the GDPR following a period of 6 months from the period allowed for an appeal against the DPC’s final Decision. The DPC considers 6 months to being a reasonable period to provide TikTok to put an end to the transfers in the circumstances.“ (siehe Statement der DPC)
Die irische Aufsicht bleibt dabei noch etwas zurückhaltend und spricht die freiwilligen Maßnahmen von TikTok lediglich am Rande an. Konkret wird man nur bei dem Zeitraum, in dem die Maßnahmen nachgereicht werden sollen.
Fazit: One size fits all?
Wie TikTok selbst klarstellt, hat diese Entscheidung das Potenzial einer Präzedenzentscheidung, denn es gäbe auch viele andere Unternehmen in Europa die regelmäßig oder unregelmäßig personenbezogene Daten nach China transferierten. – Dieser Hinweis auf andere Unternehmen mit ähnlichen Transfers begründet zwar keine Rechtfertigung solcher Übermittlungen, wirft jedoch die grundsätzliche Frage auf, ob – und so ist die Datenschutz-Grundverordnung konzipiert – derartige Anforderungen auch auf die vielen anderen Datentransfers übertragen werden müssten. In anderen Worten: Ist ein Datentransfer nach China dann im Rahmen von Standardvertragsklauseln überhaupt noch in dem bisherigen Umfang möglich? Oder deutet sich hier auch für chinesische Tochtergesellschaften eine vollständige Trennung der Datenverarbeitungsregionen in EU einerseits und China andererseits ab?
