Das TikTok-Urteil, das die Datensouveränität neu definierte
Im Mai 2025 verhängte die irische Datenschutzkommission eine €530M GDPR-Geldstrafe gegen TikTok für die Übertragung von EU-Nutzerdaten nach China ohne angemessene Schutzmaßnahmen.
Die Geldstrafe ist nun die zweitgrößte individuelle GDPR-Strafe, die jemals verhängt wurde, nur übertroffen von der €1,2B Meta-Geldstrafe aus dem Jahr 2023, die ebenfalls von der irischen DPC verhängt wurde, für illegale EU-US-Datenübertragungen zu Facebooks US-Servern. Zusammen bilden diese beiden Fälle ein klares Durchsetzungs-Muster: grenzüberschreitende Datenübertragungen ohne angemessene Schutzmaßnahmen sind ein vorrangiges Durchsetzungsgebiet, und die DPC wird Geldstrafen in einem Umfang verhängen, der Verhaltensänderungen erzwingt.
Mit €5,65B an kumulierten GDPR-Geldstrafen bis 2025 (GDPR.eu Durchsetzungs-Tracker) ist die Durchsetzung der GDPR nicht mehr ein Hintergrundrisiko für die Einhaltung — sie ist ein aktiver Geschäftskostenfaktor, den die Regulierungsbehörden aktiv auferlegen.
Was der TikTok-Fall tatsächlich entschied
Der TikTok-Fall drehte sich nicht primär um Sicherheitspraktiken oder Datenverletzungen. Es ging um den Standort der Daten und die rechtliche Grundlage für internationale Datenübertragungen.
Die EU-Operationen von TikTok speicherten und verarbeiteten EU-Nutzerdaten auf Servern, die von Mitarbeitern in China zugänglich waren. Die Artikel 44-46 der GDPR beschränken internationale Datenübertragungen in Länder ohne eine EU-Angemessenheitsentscheidung, es sei denn, es sind spezifische rechtliche Mechanismen vorhanden. China hat keine EU-Angemessenheitsentscheidung. Das Argument von TikTok, dass es angemessene technische Maßnahmen implementiert habe, wurde nicht akzeptiert.
Die strukturelle Lehre: "Unsere Server befinden sich in der EU" ist nicht ausreichend, wenn Daten von Personal außerhalb der EU abgerufen werden können, oder wenn die Organisation den Gesetzen eines Landes unterliegt, dessen staatliche Zugriffsrechte mit der GDPR in Konflikt stehen.
Dies ist direkt relevant für Organisationen, die SaaS-Anbieter bewerten. Ein Anbieter, der sagt "wir hosten in der EU", dessen Muttergesellschaft jedoch ihren Sitz in den USA hat oder dessen Support-Mitarbeiter von außerhalb der EU Zugriff haben, könnte mit denselben regulatorischen Herausforderungen konfrontiert werden, denen TikTok gegenüberstand — und so könnten es auch ihre Kunden.
Das kumulative Bild: €5,65B an GDPR-Geldstrafen
| Durchsetzungsmaßnahme | Geldstrafe | Jahr | Gründe |
|---|---|---|---|
| Meta (Facebook) — DPC | €1.2B | 2023 | Illegale EU-US-Übertragungen |
| TikTok — DPC | €530M | 2025 | EU-China-Übertragungen |
| Amazon — CNPD Luxemburg | €746M | 2021 | Werbung-Zielgruppen |
| WhatsApp — DPC | €225M | 2021 | Transparenzversagen |
| Google — CNIL Frankreich | €150M | 2022 | Cookie-Zustimmung |
Die kumulierten €5,65B bis 2025 spiegeln eine Reifung der Durchsetzung der GDPR wider: Die Regulierungsbehörden haben sich von der Schaffung von Präzedenzfällen zur systematischen Durchsetzung über Kategorien von Verstößen bewegt. Verstöße gegen Datenübertragungen sind nun die Kategorie mit den höchsten Geldstrafen, was die regulatorischen Prioritäten widerspiegelt.
Das deutsche Gesundheitsproblem
Die Artikel 44-46 der GDPR gelten gleichermaßen für alle Sektoren, aber bestimmte Sektoren sehen zusätzliche souveräne Datenanforderungen über die GDPR hinaus vor.
Deutsche Gesundheitsversorgung: Das Sozialgesetzbuch V (SGB V) beschränkt die Verarbeitung von Gesundheitsdaten auf in Deutschland kontrollierte Systeme. Ein deutscher Krankenversicherer, der ein Cloud-Anonymisierungstool verwendet, das in Dublin gehostet wird — was technisch gesehen EU ist — könnte dennoch nicht konform mit dem SGB V sein, wenn der Betreiber des Tools eine nicht-deutsche Einheit mit potenziellen Konflikten mit deutschem Recht ist.
Schweizer Banken: Das Schweizer Bankgeheimnisgesetz (Artikel 47 Bankengesetz) verbietet die Offenlegung von Kundeninformationen an unbefugte Dritte, einschließlich Cloud-Dienstanbieter, die nicht durch ausdrückliche Kunden-Zustimmung abgedeckt sind. Die Kundendaten einer Schweizer Privatbank, die über ein Cloud-Tool verarbeitet werden — selbst wenn es in der EU gehostet wird — könnte Bankgeheimnisverpflichtungen auslösen.
Deutscher öffentlicher Sektor: Die BfDI (Bundesbeauftragte für den Datenschutz) Richtlinien beschränken die Daten von Regierungsbehörden auf staatlich kontrollierte Infrastruktur. Ein Anonymisierungstool, das auf den Servern eines kommerziellen Cloud-Anbieters in der EU gehostet wird, erfüllt diese Anforderung nicht.
Diese Fälle zeigen, dass GDPR-Konformität der Boden und nicht die Decke ist. Für regulierte Branchen und öffentliche Sektororganisationen stellen souveräne Datenanforderungen häufig zusätzliche Einschränkungen dar, die über den Standort des Hostings hinausgehen.
Die Landschaft der Angemessenheitsentscheidungen
Der internationale Übertragungsrahmen der GDPR hängt von der Europäischen Kommission ab, die "Angemessenheitsentscheidungen" für Länder erlässt, die als gleichwertig im Datenschutz gelten. Die aktuelle Angemessenheitslandschaft:
Länder mit Angemessenheitsentscheidungen: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Südkorea, Schweiz, UK, Uruguay, USA (Data Privacy Framework — nach der Ungültigkeit von Schrems II wiederhergestellt)
Länder ohne Angemessenheit: China, Indien, Russland, Brasilien, die meisten APAC-Länder, die meisten MENA-Länder, die meisten afrikanischen Länder
Das Data Privacy Framework (EU-US) wurde nach politischen Verhandlungen wiederhergestellt, bleibt jedoch rechtlich umstritten. Datenschutzbefürworter haben bereits rechtliche Herausforderungen signalisiert, die auf Argumenten des US-Überwachungsrechts basieren, die seine Vorgänger ungültig machten (Safe Harbor in Schrems I, Privacy Shield in Schrems II).
Organisationen, die sich auf das EU-US Data Privacy Framework als rechtliche Grundlage für die Verarbeitung von in den USA gehosteten Daten verlassen, sollten Notfallpläne für eine weitere Ungültigkeit haben.
Wie sich die Anforderungen an die Datensouveränität auf die Auswahl von Tools auswirken
Das kumulative Bild aus TikTok, Meta und dem zugrunde liegenden regulatorischen Rahmen schafft eine Hierarchie der Compliance-Sicherung für die Auswahl von SaaS-Tools:
Stufe 1 — EU-Hosting: Die Daten werden auf Servern verarbeitet und gespeichert, die physisch in der EU angesiedelt sind. Dies erfüllt die grundlegende Anforderung der GDPR für Daten, die keinen Schutz auf souveräner Ebene erfordern.
Stufe 2 — EU-basierter Betreiber: Die kontrollierende Einheit des Anbieters hat ihren Sitz in der EU und unterliegt nicht den Gesetzen eines nicht-angemessenen Landes. Dies adressiert das TikTok-Problem, bei dem EU-Hosting mit der Exposition gegenüber chinesischem Recht für die Muttergesellschaft verbunden war.
Stufe 3 — Zero-Knowledge-Architektur: Selbst wenn der Anbieter gehackt wird, von der Strafverfolgung gezwungen wird oder von einer ausländischen Regierung zur Datenproduktion aufgefordert wird, kann er die unverschlüsselten Daten nicht abrufen, da die Verschlüsselungsschlüssel ausschließlich beim Kunden liegen. Dies adressiert das Szenario, in dem selbst ein vollständig GDPR-konformer Anbieter eine rechtliche Aufforderung erhält.
Stufe 4 — Lokale Verarbeitung: Die Daten verlassen niemals die eigene Infrastruktur der Organisation. Die Verarbeitung erfolgt auf lokaler Hardware oder staatlich kontrollierten Systemen. Dies ist der einzige Ansatz, der vollständig den Anforderungen des deutschen SGB V, dem Schweizer Bankgeheimnis, den Anforderungen des BfDI im öffentlichen Sektor und ähnlichen souveränen Datenmandaten entspricht.
Die praktischen Konsequenzen für GDPR-DPIAs
Datenschutz-Folgenabschätzungen (DPIAs), die gemäß Artikel 35 der GDPR für risikobehaftete Verarbeitung erforderlich sind, müssen eine Übertragungsfolgenabschätzung enthalten, wenn Daten mit Verarbeitern aus Drittländern geteilt werden. Nach dem TikTok-Urteil müssen DPIAs für cloudbasierte Anonymisierungstools ausdrücklich adressieren:
-
Rechtsordnung der Muttergesellschaft: Unterliegt die Muttergesellschaft des Anbieters Gesetzen (CLOUD Act, chinesisches Cybersicherheitsgesetz usw.), die die Produktion von EU-Kundendaten erfordern könnten?
-
Zugriff des Support-Personals: Haben Support- oder Ingenieurmitarbeiter in nicht-angemessenen Ländern im Rahmen des normalen Betriebs Zugriff auf EU-Kundendaten?
-
Rechtsgrundlage für Übertragungen: Welcher spezifische Mechanismus des Artikels 46 der GDPR gilt für Datenflüsse in nicht-angemessene Länder (SCCs, BCRs, Ausnahmen)?
-
Analyse der Auswirkungen von Verstößen: Wenn der Anbieter gehackt wird oder zur Datenproduktion gezwungen wird, welche EU-Kundendaten wären betroffen?
Für Organisationen, die cloudbasierte Anonymisierungstools verwenden, haben diese Fragen konkrete Antworten, die dokumentiert werden müssen. Das TikTok-Urteil hat gezeigt, dass "wir haben Verträge abgeschlossen" nicht ausreichend ist, wenn diese Verträge nicht ordnungsgemäß auf Angemessenheit geprüft wurden.
Was das für die Beschaffung 2026 bedeutet
Nach dem TikTok-Urteil stellen DPOs, die SaaS-Anbieter für Datenverarbeitungstools überprüfen, spezifischere Fragen als zuvor:
- Wo sind die Server? (EU?)
- Wo ist die Muttergesellschaft eingetragen? (EU? USA? Andere?)
- Haben nicht-EU-Mitarbeiter Zugriff auf EU-Kundendaten?
- Welches Recht gilt für Datenanforderungen der Strafverfolgung?
- Gibt es eine Zero-Knowledge-Architektur oder hält der Anbieter die Verschlüsselungsschlüssel?
- Gibt es eine lokale Verarbeitungsoption?
Die Antworten auf diese Fragen — nicht das Vorhandensein von DPA-Unterschriften — bestimmen die tatsächliche Konformität mit der Datensouveränität im regulatorischen Umfeld nach TikTok.
Die Webplattform von anonym.legal verwendet EU-basierte Hetzner-Rechenzentren mit Zero-Knowledge-Architektur — der Server erhält niemals unverschlüsselte Kundendaten, und ein vollständiger Serverkompromiss ergibt nur AES-256-GCM-Ciphertext. Für Organisationen, die nur lokale Verarbeitung benötigen, verarbeitet die Desktop-App alle Daten auf dem Gerät ohne externe Netzwerkkommunikation.
Quellen: