TikTok-afgørelsen, der ændrede datasoverænitet
Opdateret for 2026
I maj 2025 idømte Irlands databeskyttelsesmyndighed (DPC) TikTok en bøde på 530 millioner euro. Årsagen var enkel: TikTok overførte EU-brugeroplysninger til Kina uden tilstrækkelige sikkerhedsforanstaltninger.
Dette er den næststørste enkeltbøde i GDPR's historie. Kun Meta-bøden på 1,2 milliarder euro fra 2023 er større. Irlands DPC udstedte begge – Meta-bøden for overførsel af EU-data til Facebooks amerikanske servere.
Begge sager deler et klart mønster: Grænseoverskridende overførsler uden tilstrækkelige sikkerhedsforanstaltninger medfører de største bøder. Myndighederne vil fortsætte, indtil virksomhederne ændrer adfærd.
De samlede GDPR-bøder nåede 5,65 milliarder euro frem til 2025. Håndhævelse er ikke længere en baggrundrisiko. Det er en aktiv driftsomkostning. Se vores GDPR-overensstemmelsesvejledning for en praktisk oversigt.
Hvad TikTok-sagen afgjorde
Denne sag handlede ikke om et databrud. Den handlede om, hvor brugeroplysninger havner, og det juridiske grundlag for at flytte dem på tværs af grænser.
TikTok opbevarede EU-brugeroplysninger på servere. Medarbejdere i Kina havde adgang til disse servere. GDPR's artikler 44-46 begrænser overførsler til lande uden en EU-adækvansafgørelse. Kina har ingen sådan afgørelse. TikTok påstod at have tilstrækkelige tekniske foranstaltninger. Myndighederne sagde nej.
Læren er enkel: Hosting i EU er ikke nok, hvis personale uden for EU kan tilgå oplysningerne. Det er heller ikke nok, hvis virksomheden er underlagt lovgivning fra et land uden adækvansafgørelse.
Det er relevant, når du vælger SaaS-leverandører. En leverandør kan sige "vi hoster i EU". Men hvis moderselskabet er baseret et andet sted, gælder den samme risiko. Hvis supportmedarbejdere tilgår brugeroplysninger fra uden for EU, gælder den samme risiko. Og kunderne deler den risiko. Tjek vores tjekliste for compliancetilpasning inden du underskriver en DPA.
GDPR-bøder: 5,65 milliarder euro og stigende
| Håndhævelseshandling | Bøde | År | Grundlag |
|---|---|---|---|
| Meta (Facebook) – DPC | 1,2 mia. euro | 2023 | Ulovlige EU-US-overførsler |
| TikTok – DPC | 530 mio. euro | 2025 | EU-Kina-overførsler |
| Amazon – CNPD Luxembourg | 746 mio. euro | 2021 | Reklamemålretning |
| WhatsApp – DPC | 225 mio. euro | 2021 | Gennemsigtighedsbrist |
| Google – CNIL Frankrig | 150 mio. euro | 2022 | Cookie-samtykke |
Myndighederne er gået fra at fastsætte regler til at håndhæve dem. Overførselsovertrædelser medfører nu de største bøder. Læs om vores tilgang til sikkerhed og beskyttelse.
Tyskland, Schweiz og sektorregler
GDPR's artikler 44-46 gælder alle sektorer. Men visse brancher er underlagt yderligere regler oven på GDPR.
Tysk sundhedsvæsen: Sociallovbogens bind V (SGB V) begrænser helbredsoplysninger til tyske kontrollerede systemer. Et tysk forsikringsselskab kan bruge et cloud-anonymiseringsværktøj i Dublin – det er EU. Men det kan stadig overtræde SGB V, hvis værktøjets ejer er et ikke-tysk firma.
Schweizisk bankvirksomhed: Artikel 47 i bankloven forbyder deling af klientoplysninger med udenforstående parter, herunder cloud-leverandører, uden eksplicit klientsamtykke. En schweizisk banks kundeoplysninger kan udløse denne lov, selv i et EU-hostet værktøj.
Tysk offentlig sektor: BfDI's vejledning begrænser offentlige myndigheders dokumenter til statslige systemer. Et anonymiseringsværktøj på en kommerciel cloud-leverandørs EU-servere opfylder ikke denne standard.
Læren: GDPR-overensstemmelse er gulvet, ikke loftet. Mange sektorer er underlagt strengere regler. Vores oversigt over enheds-behandling kortlægger, hvilke regler der gælder pr. sektor.
Hvem har en adækvansafgørelse?
GDPR tillader frit udveksling af brugeroplysninger med lande, som Europa-Kommissionen anser for at yde tilsvarende beskyttelse. Disse lande kvalificerer:
Andorra, Argentina, Canada (kommercielle organisationer), Færøerne, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sydkorea, Schweiz, UK, Uruguay og USA (Data Privacy Framework).
Disse lande kvalificerer ikke: Kina, Indien, Rusland, Brasilien, det meste af Asien og Stillehavsregionen, det meste af Mellemøsten, det meste af Afrika.
EU-US Data Privacy Framework er tilbage i kraft. Men det er stadig under retlig prøvelse. De samme juridiske argumenter fældede Safe Harbor (Schrems I) og Privacy Shield (Schrems II). Virksomheder, der bruger dette framework, bør planlægge for endnu en ugyldiggørelse.
Fire beskyttelsesniveauer ved valg af værktøj
TikTok- og Meta-sagerne skaber et klart hierarki ved evaluering af SaaS-værktøjer.
Niveau 1 – EU-hosting: Brugeroplysninger behandles og opbevares på EU-servere. Dette opfylder GDPR-minimumsstandarden for de fleste anvendelsestilfælde.
Niveau 2 – EU-baseret operatør: Leverandørens moderselskab er EU-baseret og ikke underlagt lovgivning fra lande uden adækvansafgørelse. Dette løser TikTok-problemet. EU-hosting kombineret med eksponering over for kinesisk lovgivning for moderselskabet er ikke sikkert.
Niveau 3 – Zero-knowledge-design: Selv hvis leverandøren brydes eller modtager en retskendelse, kan de ikke læse dine filer. Du holder krypteringsnøglerne. De holder kun krypteringstekst. Læs om vores zero-knowledge-tilgang.
Niveau 4 – Lokal behandling: Dine dokumenter forlader aldrig dine egne systemer. Behandling kører på lokal hardware eller statslige systemer. Det er den eneste måde at opfylde tyske SGB V, schweizisk bankhemmelighed og BfDI-regler fuldt ud. Se vores prisplaner for Desktop App-muligheder.
Konsekvensanalyser (DPIA'er) efter TikTok
GDPR's artikel 35 kræver en konsekvensanalyse for databeskyttelse ved høj-risikobehandling – en DPIA. Når brugeroplysninger sendes til tredjelandsbehandlere, kræves desuden en overførselskonsekvensanalyse.
Efter TikTok skal DPIA'er for cloud-anonymiseringsværktøjer besvare fire spørgsmål.
Moderselskabets jurisdiktion: Er leverandørens moderselskab underlagt love – CLOUD Act, kinesisk cybersikkerhedslov – der kunne tvinge dem til at udlevere EU-brugeroplysninger?
Medarbejderadgang: Har medarbejdere i lande uden adækvansafgørelse adgang til EU-brugeroplysninger i normal drift?
Juridisk grundlag: Hvilken GDPR-artikel 46-mekanisme dækker eventuelle overførsler – SCC'er, BCR'er eller undtagelser?
Brudets virkning: Hvis leverandøren brydes eller tvinges til at udlevere dokumenter, hvad afsløres da?
TikTok viste, at kontrakter alene ikke er nok. Du skal vurdere dem for adækvansstandarder. Dokumentér dine svar. Se vores FAQ for hyppige DPIA-spørgsmål.
Indkøbsspørgsmål i 2026
Databeskyttelsesrådgivere stiller nu meget specifikke spørgsmål, når de gennemgår SaaS-leverandører til behandling af personoplysninger.
- Hvor er serverne placeret? (EU?)
- Hvor er moderselskabet baseret? (EU? USA? Andet?)
- Har ikke-EU-medarbejdere adgang til EU-kundeoplysninger?
- Hvilken lovgivning styrer retskendelser om personoplysninger?
- Holder leverandøren krypteringsnøglerne, eller gør du det?
- Er der en lokal behandlingsmulighed?
Svarene på disse spørgsmål – ikke blot DPA-signaturer – afgør den reelle tilpasning til datasoverænitet. Læs om, hvordan anonym.legal er bygget til at besvare dem alle, i vores stiftererklæring. Du kan også se vores ordliste over nøglebegreber for hurtige definitioner af SCC'er, BCR'er og adækvansafgørelser.
Miljøet efter TikTok er klart. Myndighederne overvåger grænseoverskridende overførsler tæt. Bøderne er store. De stiger. Dit valg af leverandør er nu en regulatorisk beslutning – ikke blot en teknisk.
anonym.legal anvender EU-baserede Hetzner-datacentre med zero-knowledge-design. Serveren ser aldrig dit klartekstindhold. Et fuldt serverbrud giver kun AES-256-GCM-krypteringstekst. Behøver du lokal behandling alene? Desktop App'en kører udelukkende på din enhed uden eksterne forbindelser.
Kilder
- Irish DPC: TikTok 530 mio. euro-afgørelse – VERIFIED-EXTERNAL
- Wire: Digital Sovereignty 2025 – VERIFIED-EXTERNAL
- GDPR.eu Enforcement Tracker – VERIFIED-EXTERNAL