Sachverhalt
Die irische Datenschutzbehörde (Data Protection Commission, DPC) untersuchte TikToks Datenverarbeitungspraxis im Zeitraum vom 31. Juli 2020 bis 31. Dezember 2020. Die Untersuchung betraf insbesondere die Einhaltung der Datenschutz-Grundverordnung (DSGVO) bei der Verarbeitung personenbezogener Daten von Kindern und Jugendlichen auf der Plattform und der Übermittlung der Daten in ein unsicheres Drittland.
In der Entscheidung, die von den Datenschutzbeauftragten Dr. Des Hogan und Dale Sunderland getroffen und TikTok mitgeteilt wurde, wird festgestellt, dassTikTok in Bezug
-
auf die Übermittlung von EWR-Nutzerdaten nach China und
- die Transparenzanforderungen
gegen die Datenschutz-Grundverordnung verstoßen hat.
Die Entscheidung umfasst Geldbußen in Höhe von insgesamt 530 Millionen Euro und eine Anordnung, die TikTok verpflichtet, seine Verarbeitung innerhalb von 6 Monaten in Einklang mit der Verordnung zu bringen.
Die Entscheidung beinhaltet auch eine Anordnung, die Übermittlungen von TikTok nach China auszusetzen, wenn die Verarbeitung nicht innerhalb dieses Zeitrahmens in Einklang gebracht wird.
1. Die Regelungen zur Datenübermittlung in "unsichere Drittländer"
Die Datenschutz-Grundverordnung bietet ein hohes Maß an Schutz für personenbezogene Daten im gesamten EWR und räumt dem Einzelnen Datenschutzrechte ein.
Wenn personenbezogene Daten außerhalb des EWR übermittelt werden, kann dies die Ausübung der Rechte des Einzelnen behindern und dieses hohe Schutzniveau umgehen.
Daher ist es von entscheidender Bedeutung, dass das durch die Datenschutz-Grundverordnung gewährleistete Schutzniveau bei
solchen Übermittlungen nicht unterminiert wird. Dementsprechend können Übermittlungen personenbezogener Daten nur stattfinden, wenn die in Kapitel V der
Datenschutz-Grundverordnung festgelegten Bedingungen eingehalten werden. Damit wird sichergestellt, dass das hohe Schutzniveau, das innerhalb der Europäischen Union geboten wird, auch bei der
Übermittlung personenbezogener Daten in ein Drittland erhalten bleibt.
Artikel 45 Absatz 1 DSGVO sieht vor, dass die Übermittlung personenbezogener Daten in ein Drittland durch einen Beschluss der Europäischen
Kommission genehmigt werden kann, der besagt, dass das Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren in diesem Drittland ein angemessenes Schutzniveau gewährleisten
(„Angemessenheitsbeschluss“).
Bisher hat die Europäische Kommission Angemessenheitsbeschlüsse für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey,
Neuseeland, die Republik Korea, die Schweiz, das Vereinigte Königreich, die USA und Uruguay erlassen.
Beabsichtigt eine Organisation („für die Verarbeitung Verantwortlicher“), personenbezogene Daten außerhalb der EU/des EWR in ein Drittland zu übermitteln, und liegt kein Angemessenheitsbeschluss
zwischen der EU und diesem Land vor, gilt die DSGVO.
2. Die Beurteilung des Datentransfers durch TikTok:
In der Entscheidung der irischen Aufsischtsbehörde wird festgestellt, dass TikTok mit seinen Übermittlungen nach China gegen Artikel 46 Absatz 1 DSGVO verstoßen hat, weil das
Unternehmen nicht überprüft, garantiert und nachgewiesen hat, dass die zusätzlichen Maßnahmen und die Standardvertragsklauseln („SCC“) wirksam waren, um sicherzustellen, dass die
personenbezogenen Daten der EWR-Nutzer, die über den Fernzugriff übermittelt wurden, ein Schutzniveau genießen, das im Wesentlichen dem in der EU garantierten Schutzniveau entspricht.
TikTok behauptet zwar, dass Übermittlungen über Fernzugriff nicht den fraglichen Gesetzen und Praktiken unterliegen, doch hat TikTok in seiner eigenen Bewertung des chinesischen Rechts, die dem DPC während der Untersuchung vorgelegt wurde, dargelegt, inwiefern Aspekte des chinesischen Rechtsrahmens einer Feststellung der wesentlichen Gleichwertigkeit mit dem EU-Recht entgegenstehen.
Insbesondere stellte die Aufsichtsbehörde fest, dass TikToks Versäumnis, das Schutzniveau angemessen zu bewerten, das das chinesische Recht und die
chinesische Praxis für die personenbezogenen Daten von EWR-Nutzern, die Gegenstand von Übermittlungen sind, bieten, und dass die besagten personenbezogenen Daten in China verarbeitet werden, sich
nicht nur unmittelbar auf TikToks Fähigkeit auswirkte, angemessene Garantien und ergänzende Maßnahmen auszuwählen, sondern TikTok auch daran hinderte, ein im Wesentlichen gleichwertiges
Schutzniveau zu überprüfen und zu gewährleisten.
Bei der Ausübung der Anordnungsbefugnissee berücksichtigte die Aufsichtsbehörde auch die laufenden Änderungen, die TikTok im Rahmen des „Project Clover“ vorgenommen hatte.
Ungeachtet dieser Änderungen befand die Aufsichtsbehörde jedoch, dass es angemessen, erforderlich und verhältnismäßig ist, die Aussetzung der
Datenübermittlungen anzuordnen und TikTok anzuweisen, seine Verarbeitungen nach Ablauf einer Frist von sechs Monaten ab der Frist für die Einlegung eines Rechtsbehelfs gegen die endgültige
Entscheidung des DSK in Einklang mit Kapitel V der DSGVO zu bringen.
Kommentar schreiben