TikTok muss Nutzer über Datenübermittlungen nach China informieren: Ein Wendepunkt für den digitalen Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) basiert auf dem Grundsatz der Transparenz. Artikel 13 und 14 schreiben vor, dass jede Person das Recht hat, zu erfahren, wer ihre Daten verarbeitet und wohin diese fließen. Wenn ein Unternehmen wie TikTok (betrieben durch ByteDance) Daten aus dem europäischen Wirtschaftsraum (EWR) exportiert, greifen verschärfte Regeln.

China gilt im Sinne der DSGVO als "unsicheres Drittland". Im Gegensatz zu Ländern wie Kanada oder Japan gibt es für China keinen Angemessenheitsbeschluss der EU-Kommission. Das bedeutet: Das Schutzniveau für personenbezogene Daten ist dort nicht mit dem europäischen Standard vergleichbar. Behörden verlangen daher, dass Nutzer:innen explizit darauf hingewiesen werden. Nur so können sie entscheiden, ob sie das Risiko eines potenziellen staatlichen Zugriffs in China eingehen wollen oder nicht.

TikTok sammelt eine enorme Menge an Informationen, um den berüchtigten "For You"-Algorithmus zu füttern. Zu den übermittelten Daten gehören:

• Interaktionsdaten: Welche Videos schaust du wie lange? Was überspringst du?
• Biometrische Merkmale: In einigen Regionen werden Gesichts- und Stimmdaten für Filter und Effekte analysiert.
• Geräteinformationen: IP-Adresse, Betriebssystem, installierte Apps und Tastaturanschlagmuster.
• Standortdaten: Sowohl grobe GPS-Daten als auch Informationen aus WLAN-Netzwerken.

Das Risiko: In China sind Unternehmen gesetzlich verpflichtet, mit den Sicherheitsbehörden zusammenzuarbeiten (Nationales Sicherheitsgesetz von 2017). Kritiker:innen befürchten, dass europäische Nutzerprofile für Spionage, Einflussnahme oder Social Engineering genutzt werden könnten. Selbst wenn die Daten "nur" zu Wartungszwecken von chinesischen Ingenieur:innen eingesehen werden, stellt dies rechtlich eine Übermittlung dar.

Der rechtliche Rahmen für Datentransfers wurde durch das wegweisende "Schrems II"-Urteil des Europäischen Gerichtshofes (EuGH) massiv beeinflusst. Das Urteil stellte klar, dass der Schutz der Daten den Daten folgen muss. Wenn ein Unternehmen Daten in ein Drittland schickt, muss es garantieren, dass dort ein "wesentlich gleichwertiger Schutz" herrscht.

Da China diesen Schutz nicht per Gesetz garantiert, muss TikTok auf Standardvertragsklauseln (SCCs) zurückgreifen. Diese allein reichen jedoch oft nicht aus. Es müssen zusätzliche technische und organisatorische Maßnahmen (TOMs) getroffen werden – etwa eine starke Verschlüsselung, auf die selbst der Anbieter im Drittland keinen Zugriff hat. Die Informationspflicht ist hierbei das unterste Fundament: Ohne das Wissen der Nutzer:innen über den Transfer ist jede weitere Verarbeitung rechtswidrig.

Um dem regulatorischen Druck zu begegnen, hat TikTok das "Project Clover" ins Leben gerufen. Dabei handelt es sich um eine Sicherheitsstrategie, die speziell für Europa entwickelt wurde:

• Lokale Datenspeicherung: TikTok investiert Milliarden in Rechenzentren in Irland und Norwegen, um Daten europäischer Nutzer lokal zu speichern.
• Prüfung durch Drittanbieter: Eine externe europäische Sicherheitsfirma soll die Datenflüsse überwachen und sicherstellen, dass kein unbefugter Zugriff aus China erfolgt.
• Datenminimierung: Der Zugriff von Mitarbeitenden außerhalb Europas soll auf ein absolutes Minimum beschränkt werden.

Trotz dieser Maßnahmen bleibt die Pflicht zur Information bestehen, solange technische Schnittstellen oder Support-Strukturen nach China existieren.

Transparenz ist das Gegengift zur Ohnmacht der Verbraucher:innen. Wenn TikTok klar kommunizieren muss, profitieren Nutzer:innen auf mehreren Ebenen:

1. Informierte Einwilligung: Du entscheidest nicht mehr basierend auf einem vagen Gefühl, sondern auf Fakten.
2. Auskunftsrecht (Art. 15 DSGVO): Du kannst detailliert erfragen, welche spezifischen Datenbestandteile in China gelandet sind.
3. Recht auf Löschung: Wer mit den Transferbedingungen nicht einverstanden ist, kann die Löschung seines Kontos und der damit verbundenen Daten verlangen.
4. Bewusstseinsschärfung: Die Debatte fördert die digitale Medienkompetenz. Nutzer:innen lernen, den "Preis" kostenloser Apps kritisch zu hinterfragen.

TikTok ist eine Geldmaschine, die primär von personalisierter Werbung lebt. Jede Einschränkung des Datenflusses hat direkte wirtschaftliche Konsequenzen:

• Targeting-Präzision: Wenn Datenflüsse eingeschränkt oder strenger kontrolliert werden, könnte die Effizienz der Werbe-Algorithmen sinken. Werbetreibende könnten höhere Streuverluste erleiden.
• Compliance-Kosten: Unternehmen, die TikTok für Marketing nutzen, müssen ihre eigenen Datenschutzerklärungen anpassen und prüfen, ob sie durch das Einbinden von TikTok-Pixeln auf ihren Websites mitverantwortlich für rechtswidrige Datentransfers sind.
• Markenimage: Große Brands sind vorsichtiger geworden. Ein Datenschutzskandal bei TikTok strahlt auf die Unternehmen ab, die dort werben. "Brand Safety" umfasst heute auch die rechtliche Sicherheit der Nutzerdaten.

Der TikTok-Fall ist eng verknüpft mit dem Streben der EU nach digitaler Souveränität. Gesetze wie der Digital Services Act (DSA) und der Digital Markets Act (DMA) zielen darauf ab, die Macht der großen Tech-Konzerne zu begrenzen und europäische Standards weltweit durchzusetzen.

Datenschutzbehörden (wie die irische DPC oder der deutsche Bundesbeauftragte für den Datenschutz) agieren hier zunehmend als politische Akteure. Sie fordern nicht nur Transparenz, sondern stellen das Geschäftsmodell der Datenmonopolisten grundsätzlich infrage. Die Botschaft an globale Konzerne ist klar: Wer am europäischen Markt teilhaben will, muss nach europäischen Regeln spielen – unabhängig davon, wo der Hauptsitz liegt.

Für Nutzer:innen:

• Datenschutzeinstellungen prüfen: Gehe in der App zu "Einstellungen und Datenschutz" -> "Datenschutz". Deaktiviere ggf. die "Personalisierte Werbung".
• Berechtigungen minimieren: Entziehe der App den Zugriff auf Kontakte oder den genauen Standort, wenn dies nicht zwingend erforderlich ist.
• Drittanbieter-Logins vermeiden: Nutze nicht deinen Facebook- oder Google-Account zum Login, um das Cross-Platform-Tracking zu erschweren.
• Auskunft verlangen: Sende eine Anfrage nach Art. 15 DSGVO an TikTok, um zu erfahren, welche Daten über dich gespeichert sind.

Für Unternehmen & Marketer:

• Audit der Datenflüsse: Prüft, wo TikTok-Pixel oder SDKs in euren eigenen digitalen Produkten eingesetzt werden.
• Datenschutzerklärung aktualisieren: Informiert eure Kunden explizit über die Nutzung von TikTok-Tools und die damit verbundenen Risiken des Drittstaaten Transfers.
• Alternativen prüfen: Evaluiere Werbekanäle, die weniger datenschutzrechtliche Risiken bergen, um die Abhängigkeit zu reduzieren.
• Rechtliche Beratung: Lass eure Social-Media-Strategie im Hinblick auf die neuesten Urteile zum Datentransfer prüfen.

Die neue Informationspflicht für TikTok ist ein Sieg für den europäischen Verbraucherschutz. Sie zwingt eines der verschlossensten Unternehmen der Welt zu mehr Offenheit. Doch Transparenz allein löst das Problem nicht – sie ist lediglich das Werkzeug, das es uns ermöglicht, Verantwortung zu übernehmen.

Für Unternehmen bedeutet diese Entwicklung, dass "Privacy by Design" kein Marketing-Schlagwort mehr sein darf, sondern über die Zukunftsfähigkeit entscheidet. Wer heute in datenschutzkonforme Prozesse investiert, baut das Vertrauen auf, dass morgen die wichtigste Währung im Wettbewerb sein wird.

Warum ist China als Datenziel so problematisch?

Es fehlt an unabhängiger richterlicher Kontrolle über staatliche Überwachungsmaßnahmen. Europäische Bürger:innen haben in China kaum rechtliche Handhabe, wenn ihre Daten missbraucht werden.

Gilt die Informationspflicht nur für neue Nutzer:innen?

Nein, sie gilt für alle. Bestandskunden müssen über Updates der Datenschutzrichtlinien proaktiv informiert werden, meist durch In-App-Benachrichtigungen oder E-Mails.

Kann ich die Datenübermittlung nach China komplett untersagen?

Als Einzelnutzer:in ist das schwierig, da bestimmte technische Prozesse bei TikTok global vernetzt sind. Wenn du den Bedingungen widersprichst, bleibt oft nur die Löschung des Accounts.

Was passiert, wenn TikTok die Auflagen nicht erfüllt?

Es drohen Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes. Zudem könnten Behörden im Extremfall einen Stopp der Datenübermittlung anordnen, was einem faktischen Verbot der App in der EU gleichkäme.

Sind andere Apps wie Instagram oder WhatsApp sicherer?

Auch US-Unternehmen stehen wegen des Cloud Acts in der Kritik. Der Unterschied ist jedoch, dass zwischen der EU und den USA mit dem "Data Privacy Framework" ein (wenn auch umstrittenes) Abkommen besteht, das für China völlig fehlt.