Der TikTok-Präzedenzfall
Die Geldstrafe der irischen Datenschutzkommission im Mai 2025 in Höhe von 530 Millionen Euro gegen TikTok für die Übertragung von Nutzerdaten aus dem Europäischen Wirtschaftsraum nach China hat einen Durchsetzungspräzedenzfall geschaffen, der über soziale Medienunternehmen hinausgeht. Das Ergebnis der DPC: TikTok hat gegen Artikel 46(1) der GDPR verstoßen, indem es personenbezogene Daten in ein Drittland — China — ohne angemessene Schutzmaßnahmen übertrug. Der Übertrag war der Verstoß, nicht die anschließende Datenerhebung oder -verarbeitung.
Der Umfang des Präzedenzfalls: Jeder Übertrag von EU-Personenbezogenen Daten auf einen Nicht-EU-Server zur Verarbeitung — einschließlich der Verarbeitung durch ein legitimes, konformes Tool — ist ein Datenübertrag gemäß den Artikeln 44-49 der GDPR. Der Übertrag erfordert entweder eine Angemessenheitsentscheidung (die EU hat den Datenschutz des empfangenden Landes als angemessen erachtet), Standardvertragsklauseln (vertragliche Schutzmaßnahmen, die den Empfänger binden), verbindliche Unternehmensregeln (genehmigter interner multinationaler Rahmen) oder einen anderen Mechanismus gemäß Artikel 46.
Die kumulierten GDPR-Strafen beliefen sich bis 2025 auf 5,65 Milliarden Euro. Verstöße gegen Datenübertragungen belaufen sich jetzt im Durchschnitt auf 18 Millionen Euro pro Durchsetzungsmaßnahme (DLA Piper 2025), was sie zu einer der risikoreicheren Durchsetzungsarten macht.
Das Anonymisierungstool-Paradoxon
Eine Organisation, die ein in den USA ansässiges SaaS-Anonymisierungstool zur Verarbeitung von EU-Kundendaten verwendet, steht vor einem strukturellen GDPR-Problem. Der Workflow: EU-Kundendaten werden auf die US-Server des Anonymisierungstools hochgeladen, verarbeitet und anonymisiert zurückgegeben. Die anonymisierten Daten werden in der EU gespeichert und verwendet. Die Rohdaten — die ursprünglichen EU-Kundendaten — durchquerten während des Verarbeitungsschrittes US-Server.
Dieser Transit ist ein Datenübertrag gemäß der GDPR. Die Absicht der Organisation (die Daten zu anonymisieren, um den Anforderungen zu entsprechen) beseitigt nicht die Analyse gemäß den Artikeln 44-49. Die Tatsache, dass die Daten anschließend anonymisiert wurden, hebt den Übertrag der vor-anonymisierten personenbezogenen Daten nicht auf.
Die Analyse der irischen DPC zu TikTok ist direkt anwendbar: Der Verstoß ist der Übertrag personenbezogener Daten auf einen Nicht-EU-Server, unabhängig davon, welche Verarbeitung auf dem empfangenden Server erfolgt. Ein in den USA ansässiges Anonymisierungstool, das EU-Personenbezogene Daten auf US-Servern erhält, hat einen Übertrag von EU-Personenbezogenen Daten erhalten. Die Organisation, die das Tool verwendet, benötigt die gleiche Angemessenheitsentscheidung, SCCs oder BCRs wie jeder andere Datenübertrag.
Die Lösung der Zero-Knowledge-Architektur
Die Lösung ist architektonisch: Ein Anonymisierungstool, das niemals personenbezogene Daten erhält, kann nicht die Ursache eines Datenübertrags sein. Der Zero-Knowledge-Ansatz — bei dem die PII-Erkennung und -Ersetzung clientseitig erfolgt und nur die anonymisierte Ausgabe auf den Servern des Tools übertragen oder gespeichert wird — beseitigt das Problem des Datenübertrags.
Unter der Zero-Knowledge-Architektur: Die Rohdaten des Kunden aus der EU werden im Browser oder in der lokalen Anwendung des Benutzers verarbeitet. Die PII-Erkennung erfolgt lokal. Die anonymisierte Ausgabe (bei der echte PII durch Tokens oder verschlüsselte Werte ersetzt wird) ist die einzige Datenübertragung an den Server. Der Server erhält anonymisierte Daten — Daten, die, wenn die Anonymisierung vollständig ist, gemäß der GDPR keine personenbezogenen Daten sind.
Für Organisationen, die ihre Artikel 30 ROPA (Verzeichnis von Verarbeitungstätigkeiten) dokumentieren, ist dieser architektonische Unterschied wichtig: Der ROPA-Eintrag für ein EU-Server, Zero-Knowledge-Anonymisierungstool verzeichnet keinen grenzüberschreitenden Übertrag. Der ROPA-Eintrag für ein US-Server-Anonymisierungstool, das Rohdaten erhält, verzeichnet einen grenzüberschreitenden Übertrag, der eine Dokumentation der rechtlichen Grundlage erfordert.
Quellen:
- Irische DPC Mai 2025: 530M EUR Geldstrafe gegen TikTok wegen Verstoßes gegen die EWR-Datenübertragung
- DLA Piper 2025: Verstöße gegen Datenübertragungen belaufen sich im Durchschnitt auf 18M EUR pro Durchsetzungsmaßnahme
- GDPR Artikel 44-49: Anforderungen und rechtliche Grundlagen für Datenübertragungen