Die irische Datenschutzbehörde (DPC) hat am 10.07.2025 neue Untersuchungen gegen TikTok Technology Limited wegen der Datenübermittlung nach China eingeleitet. Im Mittelpunkt steht der Vorwurf, dass personenbezogene Daten von Nutzern aus dem Europäischen Wirtschaftsraum (EWR) auf Servern in China gespeichert worden seien.
Datenschutzexport nach China
Die Datenschutzgrundverordnung (DSGVO) stellt hohe Anforderungen an die Übermittlung personenbezogener Daten in Drittländer. Grundsätzlich sind solche Transfers nur dann erlaubt, wenn ein angemessenes Datenschutzniveau garantiert ist. Ein Angemessenheitsbeschluss, der dies bestätigt, liegt allerdings für Datentransfers nach China nicht vor. Zudem handelt es sich bei China um einen autoritären Überwachungsstaat, der über keine unabhängige Kontrollinstanz verfügt, die den Zugriff durch Behörden effektiv beschränken könnten. Das chinesische Datenschutzgesetz ist zwar gegen Datenschutzverletzung von Privatunternehmen recht effektiv, einen vergleichbaren Schutz gegen staatliche Eingriffe bietet es jedoch nicht. Insofern hatte beispielsweise im Januar die Bürgerrechtsorganisation noyb eine Datenschutzbeschwerde gegen verschiedene chinesische Tech-Giganten, darunter auch TikTok, in Österreich eingereicht.
Widersprüchliche Angaben zu Datenspeicherungen in China
TikTok hatte sich bereits in einem früheren Verfahren im Frühjahr 2025 zur Frage geäußert, ob und in welchem Umfang Daten von EWR-Nutzern nach China übertragen werden. Damals stellte das Unternehmen klar, dass es sich lediglich um Zugriffe per Fernwartung handele und damit kein physischer Datenspeicherort in China vorliege. Auf dieser Grundlage hatte die DPC im Rahmen des One-Stop-Shop-Verfahrens keine Verstöße im Zusammenhang mit einer lokalen Speicherung in China geprüft.
Doch im April 2025 informierte TikTok die DPC darüber, dass man bereits im Februar desselben Jahres festgestellt habe, dass doch in begrenztem Umfang personenbezogene Daten von EWR-Nutzenden auf chinesischen Servern gespeichert worden seien. Diese Information stand im Widerspruch zu den im vorangegangenen Verfahren gemachten Angaben. Die DPC reagierte in ihrer aktuellen Pressemitteilung mit deutlicher Kritik. Man nehme die Diskrepanz im Vergleich zur ersten Äußerung sehr ernst. Deshalb habe man nun auch das förmliche Untersuchungsverfahren eingeleitet. Daneben verhängte die DPC gegen TikTok schon Anfang Mai ein Bußgeld in Höhe von 530 Millionen Euro.
Untersuchungsgegenstand: DSGVO-Verstöße bei internationalen Transfers
Die neue Untersuchung der DPC zielt auf die Frage ab, ob TikTok bei der Speicherung und Übermittlung personenbezogener Daten nach China gegen Bestimmungen der Datenschutzgrundverordnung (DSGVO) verstoßen hat. Konkret geht es um die Einhaltung der Regelungen zu Drittstaatentransfers gemäß Kapitel V DSGVO sowie um die Transparenzpflichten gemäß Art. 13 Abs. 1 lit. f DSGVO. Auch das Prinzip der Rechenschaftspflicht (Art. 5 Abs. 2) sowie die Kooperationspflicht mit Aufsichtsbehörden nach Art. 31 DSGVO sind Gegenstand der Prüfung.
Fazit
Mit der neuen Untersuchung gegen TikTok betont die DPC einmal mehr die Bedeutung korrekter und transparenter Angaben bei internationalen Datenübermittlungen. Verstöße gegen Kapitel V DSGVO werden zunehmend konsequent geahndet. Das gilt insbesondere in Fällen, in denen es um Speicherorte in autoritären Drittstaaten wie China geht. Unternehmen sollten die Entwicklungen aufmerksam verfolgen und sich frühzeitig mit den Anforderungen an rechtmäßige Datentransfers auseinandersetzen. Die Einhaltung von Transparenz-, Dokumentations- und Kooperationspflichten ist dabei ebenso entscheidend wie die technische und organisatorische Absicherung der Datenverarbeitung selbst.
