TikTok-avgörandet som omdefinerade datasuveräniteten
I maj 2025 utfärdade den irländska dataskyddsmyndigheten (DPC) en GDPR-bot på 530 miljoner euro mot TikTok för att ha överfört EU-användardata till Kina utan tillräckliga skyddsåtgärder.
Boten är nu den näst största enskilda GDPR-påföljden någonsin, näst efter 1,2 miljarder euro-boten mot Meta från 2023, också utfärdad av den irländska DPC, för olagliga EU-US-dataöverföringar till Facebooks amerikanska servrar. Tillsammans etablerar dessa två fall ett tydligt genomdrivningsmönster: gränsöverskridande dataöverföringar utan tillräckliga skyddsåtgärder är ett prioriterat genomdrivningsområde, och DPC kommer att utfärda böter i en skala som tvingar fram beteendeförändring.
Med 5,65 miljarder euro i samlade GDPR-böter till och med 2025 (GDPR.eu:s genomdrivningsspårare) är GDPR-genomdrivning inte längre en bakgrundsrisk för regelefterlevnad — det är en aktiv affärskostnad som tillsynsmyndigheter aktivt ålägger.
Vad TikTok-målet faktiskt slog fast
TikTok-målet handlade i grunden inte om säkerhetspraxis eller dataintrång. Det handlade om datalokalisering och den rättsliga grunden för internationella dataöverföringar.
TikToks EU-verksamhet lagrade och behandlade EU-användardata på servrar som var tillgängliga för anställda i Kina. GDPR:s artiklar 44-46 begränsar internationella dataöverföringar till länder utan ett EU-adekvansbelslut om inte specifika rättsliga mekanismer finns på plats. Kina har inget EU-adekvansbeslut. TikToks argument om att man hade implementerat tillräckliga tekniska åtgärder accepterades inte.
Den strukturella lärdomen: "våra servrar finns i EU" räcker inte om data kan nås av personal utanför EU, eller om organisationen är underkastad lagarna i ett land med statliga tillgångsbefogenheter som strider mot GDPR.
Detta är direkt relevant för organisationer som utvärderar SaaS-leverantörer. En leverantör som säger "vi hostar i EU" men vars moderbolag är USA-baserat, eller vars supportpersonal har tillgång från utanför EU, kan möta samma regulatoriska utmaning som TikTok mötte — och så kan deras kunder.
Den samlade bilden: 5,65 miljarder euro i GDPR-böter
| Genomdrivningsåtgärd | Bot | År | Grund |
|---|---|---|---|
| Meta (Facebook) — DPC | 1,2 miljarder euro | 2023 | Olagliga EU-US-överföringar |
| TikTok — DPC | 530 miljoner euro | 2025 | EU-Kina-överföringar |
| Amazon — CNPD Luxemburg | 746 miljoner euro | 2021 | Reklamanpassning |
| WhatsApp — DPC | 225 miljoner euro | 2021 | Transparensbrister |
| Google — CNIL Frankrike | 150 miljoner euro | 2022 | Cookie-samtycke |
Den samlade summan på 5,65 miljarder euro till och med 2025 speglar en mognad av GDPR-genomdrivningen: tillsynsmyndigheter har gått från att etablera prejudikat till systematisk genomdrivning inom överträdelsekategorier. Dataöverföringskränkningar är nu den kategori med högst böter, vilket speglar regulatoriska prioriteringar.
Det tyska sjukvårdsproblemet
GDPR:s artiklar 44-46 gäller lika för alla sektorer, men vissa sektorer möter ytterligare krav på suverän data utöver GDPR.
Tysk sjukvård: Sociallagboken V (SGB V) begränsar behandling av hälsodata till tyskkontrollerade system. Ett tyskt sjukförsäkringsbolag som använder ett molnbaserat anonymiseringsverktyg med datacenter i Dublin — vilket tekniskt sett är EU — kan ändå vara icke-regelefterlevande med SGB V om verktygets operatör är ett icke-tyskt bolag med potentiella tyskt-rättsliga konflikter.
Schweizisk bankverksamhet: Schweizisk banksekretesslagstiftning (artikel 47 i banklagen) förbjuder röjande av klientinformation till obehöriga parter, inklusive molntjänstleverantörer som inte täcks av explicit klientsamtycke. En schweizisk privatbanks kunddata som behandlas via ett molnverktyg — även EU-hostat — kan utlösa banksekretesskyldigheter.
Tysk offentlig sektor: BfDI:s (Federal Commissioner for Data Protection) vägledning begränsar myndighetsdokument till statsligt kontrollerad infrastruktur. Ett anonymiseringsverktyg hostat på en kommersiell molnleverantörs EU-servrar uppfyller inte detta krav.
Dessa fall illustrerar att GDPR-regelefterlevnad är golvet, inte taket. För reglerade branscher och offentliga sektorsorganisationer ålägger suveränitetskrav på data ofta ytterligare begränsningar som går bortom hostinglokalisering.
Adekvansbeslutslandskapet
GDPR:s internationella överföringsramverk är beroende av att Europeiska kommissionen utfärdar "adekvansbeslut" för länder som anses tillhandahålla likvärdig dataskyddsnivå. Det aktuella adekvanslandskapet:
Länder med adekvansbeslut: Andorra, Argentina, Kanada (kommersiella organisationer), Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Nya Zeeland, Sydkorea, Schweiz, Storbritannien, Uruguay, USA (Data Privacy Framework — återinfördes efter Schrems II-ogiltigförklaringen)
Länder utan adekvansbeslut: Kina, Indien, Ryssland, Brasilien, de flesta av Asien-Stillahavet, de flesta av Mellanöstern/Nordafrika, de flesta av Afrika
Data Privacy Framework (EU-US) återinfördes efter politiska förhandlingar, men det är fortfarande juridiskt ifrågasatt. Integritetsförespråkare har redan signalerat juridiska utmaningar baserade på amerikanska övervakningslagar som ogiltigförklarade dess föregångare (Safe Harbor i Schrems I, Privacy Shield i Schrems II).
Organisationer som förlitar sig på EU-US Data Privacy Framework som rättslig grund för USA-hostad databehandling bör ha beredskapsplaner för ytterligare en ogiltigförklaring.
Hur datasuveränitetskrav översätts till verktygsval
Den samlade bilden från TikTok, Meta och det underliggande regelverket skapar en hierarki av regelefterlevnadsgaranti för SaaS-verktygsval:
Nivå 1 — EU-hosting: Datan behandlas och lagras på servrar som är fysiskt belägna i EU. Detta uppfyller baslinjekravet för GDPR för data som inte kräver suverän-nivå skydd.
Nivå 2 — EU-baserad operatör: Leverantörens kontrollerande enhet är EU-baserad och inte underkastad lagarna i ett icke-adekvat land. Detta adresserar TikTok-problemet där EU-hosting parades med kinesisk-rättslig exponering för moderbolaget.
Nivå 3 — Zero-knowledge-arkitektur: Även om leverantören utsätts för intrång, tvingas av rättsvård, eller åläggs att producera data av en utländsk regering, kan de inte komma åt klartextdatan eftersom krypteringsnycklarna uteslutande innehas av kunden. Detta adresserar scenariot där även en fullt GDPR-regelefterlevande leverantör tar emot ett rättsligt krav.
Nivå 4 — Lokal bearbetning: Datan lämnar aldrig organisationens egen infrastruktur alls. Bearbetning sker på lokal hårdvara eller statsligt kontrollerade system. Detta är det enda tillvägagångssättet som fullt ut uppfyller tyska SGB V, schweizisk banksekretess, BfDI:s offentliga sektorkrav och liknande suveräna datamandat.
Den praktiska konsekvensen för GDPR DPIA:er
Konsekvensbedömningar för dataskydd (DPIA:er) som krävs enligt GDPR artikel 35 för högriskbearbetning måste innefatta en överföringskonsekvensbedömning när data delas med tredjelandsprocessorer. Efter TikTok-avgörandet behöver DPIA:er för molnbaserade anonymiseringsverktyg uttryckligen adressera:
-
Moderbolagets jurisdiktion: Är leverantörens moderbolag underkastat lagar (CLOUD Act, kinesisk cybersäkerhetslag etc.) som kan kräva produktion av EU-kunddata?
-
Supportpersonals tillgång: Har support- eller ingenjörspersonal i icke-adekvata länder tillgång till EU-kunddata som en del av normal verksamhet?
-
Rättslig grund för överföringar: Vilken specifik GDPR artikel 46-mekanism gäller för eventuella dataflöden till icke-adekvata länder (SCC:er, BCR:er, undantag)?
-
Intångskonsekvensbedömning: Om leverantören utsätts för intrång eller tvingas producera data, vilka EU-kunddata skulle exponeras?
För organisationer som använder molnbaserade anonymiseringsverktyg har dessa frågor konkreta svar som måste dokumenteras. TikTok-avgörandet visade att "vi har kontrakt på plats" inte räcker om dessa kontrakt inte korrekt bedömdes för adekvansstandarder.
Vad detta innebär för upphandlingen 2026
Efter TikTok-avgörandet ställer DPO:er som granskar SaaS-leverantörer för databearbetningsverktyg mer specifika frågor än tidigare:
- Var finns servrarna? (EU?)
- Var är moderbolaget registrerat? (EU? USA? Annat?)
- Har icke-EU-anställda tillgång till EU-kunddata?
- Vilken lag gäller för rättsvårdens datakrav?
- Finns det en zero-knowledge-arkitektur, eller håller leverantören krypteringsnycklarna?
- Finns det ett lokalt bearbetningsalternativ?
Svaren på dessa frågor — inte förekomsten av DPA-signaturer — avgör faktisk datasuveränitetsregelefterlevnad i det regulatoriska klimat som råder efter TikTok.
anonym.legals webbplattform använder EU-baserade Hetzner-datacenter med zero-knowledge-arkitektur — servern tar aldrig emot okrypterade kunddata, och ett fullständigt serverintrång ger bara AES-256-GCM-chiffertext. För organisationer som kräver enbart lokal bearbetning behandlar Desktop App-applikationen all data lokalt utan extern nätverkskommunikation.
Källor: