Autorin: Christine Grahn, Leiterin Public Policy & Government Relations – Europa

2. Mai 2025 – Heute hat die irische Datenschutzkommission (DPC) ihre endgültige Entscheidung in der Untersuchung zur Einhaltung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) durch TikTok bezüglich der Übermittlung personenbezogener Daten nach China veröffentlicht.

Die Entscheidung konzentriert sich in erster Linie auf einen ausgewählten Zeitraum vor der Einführung unseres 12-Milliarden-Euro-Datensicherheitsprojekts namens „Project Clover“ im Jahr 2023. Die DPC selbst hat in ihrem Bericht festgehalten, was TikTok immer gesagt hat: Es hat nie eine Anfrage der chinesischen Behörden nach Daten europäischer Nutzer*innen erhalten und hat ihnen auch nie Daten europäischer Nutzer*innen übermittelt.

Tatsache ist, dass Project Clover einige der strengsten Datenschutzmaßnahmen der Branche umfasst, darunter eine beispiellose unabhängige Überwachung durch die NCC Group, eines der führenden europäischen Cybersicherheitsunternehmen. Die Entscheidung der DPC berücksichtigt diese umfangreichen Datensicherheitsmaßnahmen nicht in vollem Umfang.

Mit 175 Millionen Nutzer*innen europaweit, mehr als 6.000 Mitarbeiter*innen in der Region und einer Plattform, durch die kleine Unternehmen 4,8 Milliarden Euro zum Bruttoinlandsprodukt und über 51.000 Arbeitsplätze beigetragen haben, ist TikTok stark in die europäische Wirtschaft eingebunden. Diese Entscheidung hat nicht nur Auswirkungen auf TikTok, sondern auf alle Unternehmen in Europa, die weltweit tätig sind. Wir sind mit dieser Entscheidung nicht einverstanden und werden sie in vollem Umfang anfechten.

TikTok hat die EU-eigenen Richtlinien befolgt

Dies ist nicht die erste Entscheidung der DPC zu Datenübermittlungen außerhalb Europas. Die Behörde verhängte 2023 eine Rekordstrafe von 1,2 Milliarden Euro gegen Meta und ordnete an, die Datenübermittlungen in die USA auszusetzen, mit der Begründung, dass die USA keinen „angemessenen“ Schutz für europäische personenbezogene Daten gewährleisten.

Nur 15 Länder haben mit der EU Abkommen über die Angemessenheit des Datenschutzes geschlossen – Vereinbarungen, die einen freien und vertrauenswürdigen grenzüberschreitenden Datenverkehr ermöglichen. Infolgedessen verlassen sich unzählige Unternehmen auf sogenannte Standardvertragsklauseln, vorab genehmigte rechtliche Rahmenbedingungen für den internationalen Datenaustausch, um den Fernzugriff auf Daten – sogenannte Datenübermittlungen – für Mitarbeiter*innen in Ländern zu ermöglichen, die diesen Status nicht haben.

Die DPC behauptet, dass wir keine erforderlichen Bewertungen durchgeführt haben. Wir bestreiten dies entschieden, da wir detaillierte Bewertungen unter Hinzuziehung externer Anwaltskanzleien und Expert*innen durchgeführt haben.

Abgesehen davon, dass die DPC es versäumt hat, die umfassenden, im Rahmen von Project Clover eingeführten Sicherheitsvorkehrungen ernsthaft zu berücksichtigen, sind wir enttäuscht, gezielt herausgegriffen zu werden, obwohl wir uns auf die gleichen rechtlichen Mechanismen stützen, die von tausenden anderen in Europa operierenden Unternehmen genutzt werden. Wie viele andere global tätige Unternehmen hat TikTok den Rechtsrahmen der EU, insbesondere die Standardvertragsklauseln, genutzt, um Mitarbeiter*innen in Ländern ohne Angemessenheitsbeschlüsse einen streng kontrollierten und begrenzten Zugriff zu gewähren.

Dieser Ansatz steht im Einklang mit den Vorschriften der Europäischen Union, und wir haben unsere Praktiken stets transparent dargestellt. Im Gegensatz zu einigen anderen Unternehmen erläutern wir diese Mechanismen klar in unserer Datenschutzerklärung und in unserer Kommunikation mit unserer europäischen Community, die mittlerweile über 175 Millionen Menschen umfasst.

Das Project Clover bietet bereits jetzt beispiellosen Schutz für europäische Nutzer*innendaten

Im Jahr 2023 begann TikTok mit der Einführung des Project Clover in Europa, einer Investition in Höhe von 12 Milliarden Euro, die beispiellose Sicherheitsvorkehrungen für europäische Nutzer*innendaten bietet. Vor kurzem haben wir einen wichtigen Meilenstein in unserem kontinuierlichen Engagement für Datensicherheit in Europa bekannt gegeben: eine Investition in Höhe von 1 Milliarde Euro in den Bau unseres ersten Datenzentrums in Finnland. Viele weltweit tätige Unternehmen mit Niederlassungen in Europa beschäftigen Mitarbeiter*innen in China – darunter auch unsere Wettbewerber. Aber keines hat die Schritte unternommen, die TikTok unternommen hat. Mit dem Project Clover sind wir weiter gegangen als alle anderen, um hypothetische Risiken mit realen, konkreten Schutzmaßnahmen anzugehen:

  • Unsere europäischen Datensicherheitsmaßnahmen im Rahmen des Project Clover, einschließlich Fernzugriffs- und Datenübertragungsprotokollen, werden rund um die Uhr von dem renommierten europäischen Cybersicherheitsunternehmen NCC Group unabhängig überwacht, überprüft und validiert – ein Maß an unabhängiger Kontrolle und Transparenz, das unter Online-Plattformen seinesgleichen sucht.
  • Unsere europäischen Nutzer*innendaten werden nun standardmäßig in einer speziellen europäischen Datenenklave gespeichert, die derzeit in Rechenzentren in Europa und den Vereinigten Staaten gehostet wird.
  • Wir haben zusätzliche digitale Sicherheitsbarrieren eingeführt, die als Sicherheitsgateways bezeichnet werden. Diese Gateways werden von der NCC Group unabhängig überwacht und sind Teil eines umfassenden Systems technischer Protokolle, die sicherstellen, dass nur autorisierte Mitarbeiter*innen auf bestimmte Arten von Daten zugreifen können. Dadurch wird der interne Zugriff durch Mitarbeiter*innen in China weiter eingeschränkt – einschließlich des Zugriffs auf vertrauliche Daten wie Telefonnummern, E-Mail-Adressen und IP-Adressen, die in der Enklave gespeichert sind.
  • Im Rahmen des Project Clover hat TikTok fortschrittliche Technologien zum Schutz der Privatsphäre (PETs) implementiert, wie z. B. Verschlüsselung beim Zugriff und differentielle Privatsphäre, um sicherzustellen, dass nicht eingeschränkte Daten anonymisiert werden, bevor sie von Mitarbeiter*innen in China abgerufen werden können. Entscheidend ist, dass unabhängige Cybersicherheitsexpert*innen der NCC Group überprüft haben, dass diese Sicherheitsvorkehrungen wie vorgesehen funktionieren.

Wenn die im Rahmen des Project Clover umgesetzten umfangreichen Maßnahmen, die die robustesten und strengsten Datenschutzvorkehrungen in unserer Branche und darüber hinaus darstellen, sowie die unabhängige Überwachung durch die NCC Group als unzureichend erachtet werden, ist es berechtigt zu fragen: Was würde als ausreichend angesehen werden? Es ist bedauerlich, dass die DPC diese umfassenden Schutzmaßnahmen offenbar nicht mit der gebotenen Sorgfalt geprüft hat.

Weitreichende Auswirkungen

Diese Entscheidung birgt die Gefahr, einen Präzedenzfall mit weitreichenden Folgen für Unternehmen und ganze Branchen in ganz Europa zu schaffen, die weltweit tätig sind. Sie ist ein Schlag für die Wettbewerbsfähigkeit der Europäischen Union. Mit dem Project Clover, einer freiwilligen Initiative in Höhe von mehreren Milliarden Euro, hat TikTok eine umfassende Lösung implementiert, die einen beispiellosen Schutz für europäische Nutzer*innendaten und die Privatsphäre bietet und gleichzeitig den globalen Datenfluss gewährleistet und weitere Innovationen unterstützt.

In einer Zeit, in der europäische Unternehmen und Volkswirtschaften Innovation, Wachstum und Arbeitsplätze brauchen, sollten Lösungen wie das Project Clover unserer Meinung nach von der EU begrüßt und unterstützt werden, um einen sicheren Datenfluss zwischen der EU und Ländern ohne angemessene Datenschutzstandards zu ermöglichen und gleichzeitig den bestmöglichen Schutz für die Datensicherheit und Privatsphäre in Europa zu gewährleisten.


Über TikTok
TikTok ist die führende Plattform für mobile Kurzvideos. Unsere Mission ist es, Menschen zu inspirieren und zu bereichern, indem wir ihnen ein kreatives Zuhause geben und ihnen ein authentisches, unterhaltsames und positives Erlebnis bieten. TikTok hat seine globalen Hauptsitze in Los Angeles sowie Singapur und weltweit Büros unter anderem in New York, London, Dublin, Paris, Berlin, Dubai, Jakarta, Seoul und Tokio. www.tiktok.com

Pressekontakt TikTok
Kommunikationsteam für Deutschland, Österreich und die Schweiz
dachcomms@tiktok.com