Die Auseinandersetzung zwischen TikTok und der irischen Datenschutzaufsicht (DPC) hat eine neue Wendung genommen. Mit Beschluss vom 13.11.2025 hat der Irish High Court die Vollstreckung wesentlicher DPC-Maßnahmen gegen TikTok vorerst gestoppt. Damit bleibt TikTok die sofortige Umsetzung einer Aussetzung der Datentransfers nach China zumindest bis das Hauptsacheverfahren entschieden ist erspart. Allerdings muss TikTok eine besondere Transparenzverpflichtung befolgen.
Hintergrund zum Verfahren: Problematische Datentransfer nach China
Die Datenschutzgrundverordnung (DSGVO) stellt hohe Anforderungen an die Übermittlung personenbezogener Daten in Drittländer. Grundsätzlich sind solche Transfers nur dann gestattet, wenn ein angemessenes Datenschutzniveau garantiert ist. Für Datentransfers nach China liegt jedenfalls kein Angemessenheitsbeschluss vor.
Zudem handelt es sich bei China um einen autoritären Überwachungsstaat, der über keine unabhängige Kontrollinstanz verfügt, die den Zugriff durch Behörden effektiv beschränken könnte. Das chinesische Datenschutzgesetz ist zwar gegen Datenschutzverletzung von Privatunternehmen recht effektiv, einen vergleichbaren Schutz gegen staatliche Eingriffe bietet es jedoch nicht. Insofern hatte beispielsweise im Januar die Bürgerrechtsorganisation noyb eine Datenschutzbeschwerde gegen verschiedene chinesische Tech-Giganten, darunter auch TikTok, in Österreich eingereicht.
Verfahren gegen TikTok mit Sprengkraft
Gegenstand der Untersuchung der irischen Datenschutzaufsicht war einerseits die rechtliche Zulässigkeit der Übermittlung personenbezogener Daten von TikTok-Nutzern aus dem Europäischen Wirtschaftsraum (EWR) nach China. Andererseits prüfte die DPC als federführende Datenschutzbehörde, ob TikTok seine Nutzer hinreichend hierüber informiert hatte.
TikTok habe im Laufe des Verfahrens betont, dass keine EWR-Nutzerdaten auf Servern in China gespeichert würden. Im April 2025 habe das Unternehmen allerdings eingeräumt, dass im Februar doch, zumindest in geringem Umfang, EWR-Daten auf chinesischen Servern entdeckt worden seien. In diesem Fall läuft bereits ein weiteres Verfahren.
In beiden Punkten kam die Behörde letztlich zu dem Ergebnis, dass TikTok zentrale Anforderungen der DSGVO verletzt hat. Die DPC verhängte deshalb im April 2025 eine empfindliche 530-Millionen-Euro-Strafe gegen TikTok. Daneben ordnete die Behörde auch konkrete Abhilfemaßnahmen an. TikTok muss hiernach innerhalb von sechs Monaten seine Datenübermittlungen nach China mit den Vorgaben der DSGVO in Einklang bringen. Sollte das Unternehmen dem nicht nachkommen, droht ein vollständiges Verbot des Datentransfers.
Trotz bereits laufender datenschutzrechtlicher Umstrukturierungsmaßnahmen bei TikTok, bekannt unter dem Begriff „Project Clover“, gewährte die DPC keine längere Umsetzungsfrist. Daraufhin legte TikTok Berufung ein und beantragte gleichzeitig einen gerichtlichen Aufschub gegen die Abhilfemaßnahmen.
Irish High Court setzt Maßnahmen aus
Der irische High Court gewährte TikTok einen sogenannten „Stay“, der verhindert, dass die Maßnahmen der Aufsicht bis zur finalen gerichtlichen Entscheidung im Hauptverfahren vollzogen werden. Das Gericht betont zudem, dass die Bußgeldzahlung durch das laufende Rechtsmittelverfahren ohnehin ruht.
Irreparable Schäden für TikTok
Ausschlaggebend für die Entscheidung war die Frage, ob TikTok irreparable Schäden drohten, wenn die tiefgreifenden technischen und organisatorischen Vorgaben sofort umgesetzt werden müssten und wie dieser im Verhältnis zu den Grundrechten der EWR-Nutzer steht. Das Gericht entschied hier zugunsten des Tech-Giganten.
TikTok habe detaillierte Nachweise vorgelegt, wonach die kurzfristige Umstrukturierung globaler Datenarchitekturen massive Eingriffe in Kernprozesse nach sich ziehen würde. Das könne von weitreichenden operativen Störungen über erhebliche finanzielle Belastungen bis hin zu Know-how-Verlusten reichen. Der High Court hielt diese Risiken für plausibel und so gravierend, dass sie bei einem späteren Obsiegen im Hauptsacheverfahren nicht mehr kompensiert werden könnten. Schadensersatzansprüche gegen die Aufsicht seien in Irland in der Praxis kaum durchsetzbar. Auch aufgrund der Komplexität der Berechnung eines möglichen Schadens, wäre ein vollständiger Ersatz kaum möglich.
Begrenztes Risiko für EWR-Daten
Für die Nutzer im EWR bewertet das Gericht das kurzfristige Risiko hingegen als vergleichsweise gering. Diese Einschätzung begründet es unter anderem damit, dass TikTok in den vergangenen Monaten zusätzliche Sicherheitsmaßnahmen, wie etwa Project Clover, implementiert habe und dass die DPC selbst keine konkreten Datenschutzverletzungen festgestellt habe, sondern lediglich die Missachtung von Nachweispflichten. Auch sei unbestritten, dass chinesische Behörden keinen Zugang zu den Daten verlangt haben. Zentral sei zudem, dass die Aufsicht ihrerseits kein Dringlichkeitsverfahren nach Art. 66 DSGVO eingeleitet hatte, was ein starkes Indiz dafür sei, dass die Lage nicht als akut zu bewerten ist.
Transparenzauflage für TikTok
Trotz des Aufschubs verlangt der High Court von TikTok eine Transparenzmaßnahme von erheblicher Tragweite. Das Unternehmen müsse sämtliche EWR-Nutzer klar und verständlich darüber informieren, dass die DPC Datenschutzverstöße festgestellt hat und ein Berufungsverfahren läuft. TikTok dürfe im Gegenzug in dieser Mitteilung zugleich auf seine Rechtsmittel und den gewährten Aufschub hinweisen. Das Gericht stellt damit sicher, dass Nutzer selbst einschätzen können, ob sie die Plattform weiterhin verwenden möchten.
Fazit
Das Gericht hat die DPC-Maßnahmen gegen TikTok zwar vorerst gestoppt, eine finale Entscheidung steht allerdings noch aus. Hier wird sich entscheiden, ob TikTok das Bußgeld zahlen und die Abhilfemaßnahme vollständig umsetzen muss.
Für Unternehmen zeigt der Fall exemplarisch, von welchen Unsicherheit internationale Datentransfers immer noch geprägt sind. Selbst umfangreiche zusätzliche Maßnahmen bieten keine absolute Rechtssicherheit, solange Aufsichtsbehörden den Nachweis eines „gleichwertigen Schutzniveaus“ unterschiedlich bewerten. Zugleich macht das Verfahren deutlich, dass Gerichte in Eilverfahren durchaus bereit sind, regulatorische Maßnahmen zu begrenzen, wenn diese tiefgreifende wirtschaftliche oder technische Auswirkungen haben und keine dringende Gefährdung personenbezogener Daten vorliegt.
