TikTok übermittelt derzeit weiterhin personenbezogene Daten von Nutzer:innen nach China sowie in andere Drittstaaten. Dieses Vorgehen steht im Widerspruch zu einer gemeinsamen Entscheidung der europäischen Datenschutz-Aufsichtsbehörden, welche festgestellt haben, dass diese Datenübermittlungen gegen die Datenschutz-Grundverordnung (DSGVO) verstossen.

Seit Kurzem blendet TikTok den Nutzerinnen und Nutzern zumindest eine warnende Benachrichtigung ein, die über diese Datenverarbeitungen informiert. Die europäischen Datenschutz-Aufsichtsbehörden, einschliesslich der Datenschutzstelle (DSS), erachten es als wesentlich, dass betroffene Personen die Tragweite dieser Datenübermittlungen für ihre Privatsphäre verstehen. Sie rufen Nutzer:innen und Organisationen daher dazu auf, sorgfältig zu prüfen, ob sie TikTok – oder andere Dienste, die personenbezogene Daten in Staaten ausserhalb des EU/EWR-Raums übermitteln – weiterhin verwenden möchten.

Bedeutung der TikTok-Benachrichtigung
TikTok hat gegen die Entscheidung der europäischen Datenschutz-Aufsichtsbehörden beim zuständigen irischen Gericht Berufung eingelegt. Diese Entscheidung stellte fest, dass die Übermittlung personenbezogener Daten nach China gegen die DSGVO verstösst.

Das Gericht in Irland setzte die von der irischen Datenschutzbehörde angeordneten Massnahmen – insbesondere den Stopp der Datenübermittlung – vorübergehend aus. Aus diesem Grund setzt TikTok die Übertragung personenbezogener Daten derzeit fort. Gleichzeitig wurde TikTok verpflichtet, die Nutzer:innen mittels einer klaren Warnmeldung über diese Situation zu informieren.

Aus der Benachrichtigung geht hervor, dass:

• TikTok weiterhin personenbezogene Daten europäischer Nutzer:innen in Länder ausserhalb des EU/EWR-Raums, darunter China, übermittelt;
• die irische Datenschutzbehörde in Zusammenarbeit mit den übrigen europäischen Datenschutz-Aufsichtsbehörden entschieden hat, dass diese Übermittlungen gegen die DSGVO verstossen;
• das irische Gericht die angeordneten Massnahmen vorläufig ausgesetzt hat, während die inhaltliche Entscheidung der Aufsichtsbehörden weiterhin Bestand hat.

Datenschutzrechtliche Einordnung
Wie zahlreiche andere Online-Plattformen erhebt und verarbeitet TikTok umfangreiche personenbezogene Daten, darunter etwa Informationen zum Nutzungsverhalten, Standortdaten, Kontaktdaten und in bestimmten Fällen auch Finanzdaten. Insbesondere Minderjährige sind sich des Umfangs dieser Datenverarbeitungen und der damit verbundenen Risiken häufig nicht ausreichend bewusst.

Innerhalb des EU/EWR-Raums gelten strenge datenschutzrechtliche Schutzstandards. In Drittstaaten – wie etwa China – bestehen andere rechtliche Rahmenbedingungen, und betroffene Personen verfügen dort regelmässig über deutlich eingeschränkte Einfluss- und Rechtsschutzmöglichkeiten. Vor diesem Hintergrund halten es die europäischen Datenschutz-Aufsichtsbehörden für erforderlich, dass sowohl Einzelpersonen als auch Organisationen die Nutzung solcher Dienste kritisch hinterfragen.

Empfehlungen an TikTok-Nutzer:innen
Die europäischen Datenschutz-Aufsichtsbehörden empfehlen Nutzer:innen von TikTok insbesondere:

• die Informationen von TikTok zum internationalen Datentransfer sowie die Datenschutzerklärung sorgfältig zu lesen;
• die Privatsphäre-Einstellungen zu überprüfen, insbesondere den Zugriff der App auf Kamera, Mikrofon, Kontakte und Standort;
• bewusst zu entscheiden, ob TikTok unter diesen Umständen weiterhin genutzt werden soll; gegebenenfalls kann die App vorübergehend gelöscht oder das Nutzerkonto deaktiviert werden;
• zurückhaltend mit der Weitergabe von Informationen umzugehen und insbesondere keine sensiblen Daten über die Plattform zu teilen.

Empfehlungen an Organisationen
Organisationen, die TikTok einsetzen, werden von den Datenschutz-Aufsichtsbehörden aufgefordert:

• die mit der Nutzung verbundenen Risiken für betroffene Personen systematisch zu identifizieren, etwa im Rahmen einer Datenschutz-Folgenabschätzung (DSFA), wobei zu berücksichtigen ist, dass die Datenübermittlung durch TikTok als rechtswidrig eingestuft wurde;
• sorgfältig abzuwägen, ob eine weitere Nutzung von TikTok verantwortbar ist; insbesondere öffentliche und öffentlichkeitsnahe Organisationen tragen hierbei eine Vorbildfunktion;
• bei fortgesetzter Nutzung transparent gegenüber den jeweiligen Zielgruppen zu kommunizieren und klar über die bestehenden datenschutzrechtlichen Risiken zu informieren.