Das TikTok-Urteil, das Datensouveränität neu definierte
Für 2026 aktualisiert
Im Mai 2025 verhängte die irische Datenschutzbehörde gegen TikTok eine Geldbuße von 530 Millionen Euro. Der Grund war einfach. TikTok leitete Daten von EU-Nutzern ohne angemessene Schutzmaßnahmen nach China weiter.
Dies ist die zweitgrößte DSGVO-Einzelstrafe aller Zeiten. Nur die Meta-Strafe von 1,2 Milliarden Euro aus dem Jahr 2023 ist höher. Auch diese wurde von der irischen DPC verhängt — für die illegale Übermittlung von EU-Daten an Facebook-Server in den USA.
Beide Fälle zeigen ein klares Muster. Grenzüberschreitende Übermittlungen ohne angemessene Schutzmaßnahmen ziehen die höchsten Strafen nach sich. Die Aufsichtsbehörden werden den Druck aufrechterhalten, bis Unternehmen ihr Verhalten ändern.
Die kumulativen DSGVO-Bußgelder erreichten bis 2025 5,65 Milliarden Euro. Durchsetzung ist kein Hintergrundrisiko mehr. Sie ist ein aktiver Kostenfaktor. Lesen Sie unseren DSGVO-Konformitätsleitfaden für einen praktischen Überblick.
Was das TikTok-Verfahren entschieden hat
In diesem Fall ging es nicht um eine Datenpanne. Es ging darum, wohin Nutzerdateien gelangen und auf welcher Rechtsgrundlage sie übermittelt werden.
TikTok speicherte Dateien von EU-Nutzern auf Servern. Mitarbeiter in China konnten auf diese Server zugreifen. Die DSGVO-Artikel 44–46 beschränken Übermittlungen in Länder ohne EU-Angemessenheitsbeschluss. China verfügt über keinen solchen Beschluss. TikTok argumentierte, es habe angemessene technische Maßnahmen umgesetzt. Die Behörden lehnten das ab.
Die Lehre ist eindeutig. Hosting in der EU reicht nicht aus, wenn Mitarbeiter außerhalb der EU auf die Dateien zugreifen können. Es reicht auch nicht, wenn das Unternehmen den Gesetzen eines nicht-angemessenen Landes unterliegt.
Das ist relevant bei der Auswahl von SaaS-Anbietern. Ein Anbieter sagt vielleicht: „Wir hosten in der EU." Aber wenn die Muttergesellschaft anderswo ansässig ist, gilt dasselbe Risiko. Wenn der Support-Mitarbeiter von außerhalb der EU auf Nutzerdateien zugreift, gilt dasselbe Risiko. Ihre Kunden tragen dieses Risiko mit. Prüfen Sie unsere Konformitätscheckliste, bevor Sie einen DPA unterzeichnen.
DSGVO-Bußgelder: 5,65 Milliarden Euro und steigend
| Durchsetzungsmaßnahme | Strafe | Jahr | Grundlage |
|---|---|---|---|
| Meta (Facebook) — DPC | 1,2 Mrd. € | 2023 | Illegale EU-US-Übermittlungen |
| TikTok — DPC | 530 Mio. € | 2025 | EU-China-Übermittlungen |
| Amazon — CNPD Luxemburg | 746 Mio. € | 2021 | Werbe-Targeting |
| WhatsApp — DPC | 225 Mio. € | 2021 | Transparenzmängel |
| Google — CNIL Frankreich | 150 Mio. € | 2022 | Cookie-Einwilligung |
Die Behörden haben den Übergang von der Regelaufstellung zur Durchsetzung vollzogen. Übermittlungsverstöße ziehen nun die höchsten Strafen nach sich. Erfahren Sie mehr über unsere Sicherheitsmaßnahmen.
Deutschland, die Schweiz und Branchenregeln
Die DSGVO-Artikel 44–46 gelten für alle Sektoren. Aber manche Branchen haben zusätzliche Regeln.
Deutsches Gesundheitswesen: Das Sozialgesetzbuch V (SGB V) begrenzt die Verarbeitung von Gesundheitsdokumenten auf deutsche Systeme. Eine deutsche Krankenkasse kann ein Cloud-De-Identifikations-Tool in Dublin verwenden — das ist EU. Aber es kann dennoch gegen das SGB V verstoßen, wenn der Anbieter kein deutsches Unternehmen ist.
Schweizer Bankwesen: Artikel 47 des Bankengesetzes verbietet die Weitergabe von Kundendokumenten an Dritte. Das schließt Cloud-Anbieter ohne ausdrückliche Zustimmung des Kunden ein. Kundendateien einer Schweizer Bank können diese Pflicht auslösen, selbst in einem EU-gehosteten Tool.
Öffentlicher Sektor Deutschland: BfDI-Leitlinien beschränken behördliche Dokumente auf staatlich betriebene Systeme. Ein De-Identifikations-Tool bei einem kommerziellen Cloud-Anbieter mit EU-Servern erfüllt diese Anforderung nicht.
Die Lehre: DSGVO-Konformität ist die Mindestanforderung, nicht das Ziel. Viele Branchen haben strengere Regeln. Unser Entitäts-Verarbeitungsüberblick zeigt, welche Regeln für welchen Sektor gelten.
Wer hat einen Angemessenheitsbeschluss?
Die DSGVO erlaubt den freien Informationsaustausch mit Ländern, für die die Europäische Kommission einen gleichwertigen Schutz festgestellt hat. Diese Länder sind gelistet:
Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Südkorea, Schweiz, UK, Uruguay und USA (Data Privacy Framework).
Ohne Beschluss: China, Indien, Russland, Brasilien, der Großteil des asiatisch-pazifischen Raums, des Nahen Ostens und Afrikas.
Das EU-US Data Privacy Framework ist wieder in Kraft. Aber es wird weiterhin vor Gericht angefochten. Dieselben rechtlichen Argumente, die Safe Harbor (Schrems I) und Privacy Shield (Schrems II) zu Fall gebracht haben, werden erneut angeführt. Unternehmen sollten Notfallpläne bereithalten.
Vier Schutzebenen für die Tool-Auswahl
Die Fälle TikTok und Meta schaffen eine klare Rangfolge für die Bewertung von SaaS-Tools.
Ebene 1 — EU-Hosting: Nutzerinformationen werden auf EU-Servern verarbeitet und gespeichert. Das erfüllt den DSGVO-Grundstandard für die meisten Anwendungsfälle.
Ebene 2 — EU-Betreiber: Die Muttergesellschaft des Anbieters hat ihren Sitz in der EU. Sie unterliegt nicht den Gesetzen eines nicht-angemessenen Landes. Das behebt das TikTok-Problem. EU-Hosting gepaart mit chinesischer Rechtsexposition für die Muttergesellschaft ist nicht sicher.
Ebene 3 — Zero-Knowledge-Design: Selbst wenn der Anbieter gehackt oder zu einer Herausgabe verpflichtet wird, kann er Ihre Dateien nicht lesen. Sie halten die Verschlüsselungsschlüssel. Der Anbieter hält nur Chiffrat. Lesen Sie über unseren Zero-Knowledge-Ansatz.
Ebene 4 — Lokale Verarbeitung: Ihre Dokumente verlassen nie Ihre eigenen Systeme. Die Verarbeitung findet auf lokaler Hardware oder staatlichen Systemen statt. Dies ist der einzige Weg, um deutsches SGB V, Schweizer Bankgeheimnis und BfDI-Anforderungen vollständig zu erfüllen. Informieren Sie sich über unsere Preispläne für Desktop-App-Optionen.
DPIAs nach TikTok
DSGVO-Artikel 35 verlangt eine Datenschutz-Folgenabschätzung für risikoreiche Verarbeitungen. Dies wird als DSFA bezeichnet. Wenn Nutzerdateien an Verarbeiter in Drittländern gehen, brauchen Sie auch eine Transfer-Folgenabschätzung.
Nach TikTok müssen DSFAs für Cloud-Schwärzungs-Tools vier Fragen beantworten.
Jurisdiktion der Muttergesellschaft: Unterliegt die Muttergesellschaft des Anbieters Gesetzen — CLOUD Act, chinesisches Cybersicherheitsrecht — die zur Herausgabe von EU-Nutzerdateien zwingen könnten?
Mitarbeiterzugang: Greifen Mitarbeiter in nicht-angemessenen Ländern im normalen Betrieb auf EU-Nutzerdateien zu?
Rechtsgrundlage: Welcher DSGVO-Artikel-46-Mechanismus gilt für Übermittlungen — SCCs, BCRs oder Ausnahmen?
Panne-Auswirkungen: Wenn der Anbieter gehackt wird oder Dokumente herausgeben muss, was wird offengelegt?
TikTok hat gezeigt, dass Verträge allein nicht ausreichen. Sie müssen auf Angemessenheit geprüft werden. Dokumentieren Sie Ihre Antworten. Lesen Sie unsere FAQ für häufige DSFA-Fragen.
Beschaffungsfragen 2026
DPOs stellen nun sehr spezifische Fragen, wenn sie SaaS-Anbieter für Tools zur Verarbeitung personenbezogener Informationen prüfen.
- Wo befinden sich die Server? (EU?)
- Wo hat die Muttergesellschaft ihren Sitz? (EU? USA? Andere?)
- Greifen Nicht-EU-Mitarbeiter auf EU-Kundendateien zu?
- Welches Recht regelt behördliche Anforderungen zu Dokumenten?
- Hält der Anbieter Verschlüsselungsschlüssel, oder Sie?
- Gibt es eine Option für lokale Verarbeitung?
Die Antworten auf diese Fragen — nicht allein DPA-Unterschriften — bestimmen echte Souveränitätskonformität. Erfahren Sie, wie anonym.legal gebaut wurde, um alle diese Fragen zu beantworten, in unserem Gründerstatement. Unser Glossar erklärt SCCs, BCRs und Angemessenheitsbeschlüsse.
Das Post-TikTok-Umfeld ist eindeutig. Behörden beobachten grenzüberschreitende Übermittlungen genau. Bußgelder sind hoch. Sie steigen. Ihre Anbieterauswahl ist jetzt eine regulatorische Entscheidung. Sie ist nicht nur eine technische.
anonym.legal nutzt EU-basierte Hetzner-Rechenzentren mit Zero-Knowledge-Design. Der Server sieht Ihre unverschlüsselten Inhalte nie. Ein vollständiger Server-Einbruch liefert nur AES-256-GCM-Chiffrat. Brauchen Sie lokale Verarbeitung? Die Desktop-App läuft vollständig auf Ihrem Gerät ohne externe Verbindungen.
Quellen
- Irische DPC: TikTok-Bußgeld von 530 Mio. € — VERIFIED-EXTERNAL
- Wire: Digitale Souveränität 2025 — VERIFIED-EXTERNAL
- GDPR.eu Durchsetzungs-Tracker — VERIFIED-EXTERNAL