Die irische Datenschutzkommission (Data Protection Commission, DPC) hat am 2. Mai 2025 eine Busse von EUR 530M gegen TikTok verhängt – EUR 485M für unrechtmässige Übermittlungen von Personendaten nach China und EUR 45M für eine Verletzung der Informationspflicht:
- Medienmitteilung (die Entscheidung selbst ist noch nicht verfügbar)
Im September 2023 war TikTok mit einer Busse von EUR 345M bestraft worden. Höher als die aktuelle Busse lagen bisher nur Bussen gegen Amazon (EUR 746M) und Facebook/Meta (EUR 1.2 Mia.). –
Die fragliche Übermittlung von Personendaten erfolgte durch den Remote-Zugriff durch TikTok-Mitarbeitende in China. TikTok hatte es offenbar unterlassen, diese Übermittlung als solche zu prüfen:
As a result of TikTok’s failure to undertake the necessary assessments, TikTok did not address potential access by Chinese authorities to EEA personal data under Chinese anti-terrorism, counter-espionage and other laws identified by TikTok as materially diverging from EU standards.
TikTok wurde weiter verpflichtet, seine Datenverarbeitung binnen sechs Monaten in Einklang mit der DSGVO zu bringen oder die Übermittlungen danach auszusetzen.
TikTok hat angekündigt, gegen die Entscheidung Berufung einzulegen. Die DPC habe Schutzmassnahmen von TikTok (“Project Clover”) nicht ausreichend berücksichtigt, und es habe niemals Anfragen chinesischer Behörden nach europäischen Nutzerdaten gegeben.