TikTok-domen som omdefinierade datasuveränitet
I maj 2025 utfärdade den irländska dataskyddskommissionen en €530M GDPR-böter mot TikTok för att ha överfört EU-användardata till Kina utan adekvata skyddsåtgärder.
Böterna är nu den näst största individuella GDPR-penningen som någonsin utfärdats, endast överträffad av €1.2B Meta-böter från 2023, även den utfärdad av den irländska DPC, för olagliga EU-US datatransfer till Facebooks servrar i USA. Tillsammans etablerar dessa två fall ett klart genomdrivande mönster: gränsöverskridande datatransfer utan adekvata skyddsåtgärder är ett prioriterat genomdrivandeområde, och DPC kommer att ålägga böter i en skala som tvingar till beteendeförändring.
Med €5.65B i kumulativa GDPR-böter fram till 2025 (GDPR.eu genomdrivande tracker), är GDPR-genomdrivande inte längre en bakgrundsrisiko för efterlevnad — det är en aktiv affärskostnad som reglerande myndigheter aktivt påför.
Vad TikTok-fallet faktiskt avgjorde
TikTok-fallet handlade inte främst om säkerhetspraxis eller dataintrång. Det handlade om dataläge och den rättsliga grunden för internationella datatransfer.
TikToks EU-verksamhet lagrade och bearbetade EU-användardata på servrar som var tillgängliga för anställda i Kina. GDPR Artiklar 44-46 begränsar internationella datatransfer till länder utan ett EU-adekvansbeslut om inte specifika rättsliga mekanismer är på plats. Kina har inget EU-adekvansbeslut. TikToks argument om att de hade implementerat adekvata tekniska åtgärder accepterades inte.
Den strukturella lärdomen: "våra servrar är i EU" är inte tillräckligt om data kan nås av personal utanför EU, eller om organisationen är föremål för lagarna i ett land med statlig åtkomst som strider mot GDPR.
Detta är direkt relevant för organisationer som utvärderar SaaS-leverantörer. En leverantör som säger "vi värdar i EU" men vars moderbolag har huvudkontor i USA, eller vars supportpersonal har åtkomst från utanför EU, kan stå inför samma reglerande utmaning som TikTok stod inför — och så kan deras kunder.
Den kumulativa bilden: €5.65B i GDPR-böter
| Genomdrivande åtgärd | Böter | År | Grunder |
|---|---|---|---|
| Meta (Facebook) — DPC | €1.2B | 2023 | Olaga EU-US transfer |
| TikTok — DPC | €530M | 2025 | EU-Kina transfer |
| Amazon — CNPD Luxemburg | €746M | 2021 | Reklaminriktning |
| WhatsApp — DPC | €225M | 2021 | Transparensmisslyckanden |
| Google — CNIL Frankrike | €150M | 2022 | Cookie-samtycke |
Den kumulativa summan på €5.65B fram till 2025 återspeglar en mognad av GDPR-genomdrivande: reglerande myndigheter har gått från att etablera prejudikat till systematisk genomdrivande över kategorier av överträdelser. Överträdelser av datatransfer är nu den högsta böteskategorin, vilket återspeglar reglerande prioriteringar.
Det tyska sjukvårdsproblemet
GDPR Artiklar 44-46 gäller lika över alla sektorer, men vissa sektorer står inför ytterligare suveräna datakrav utöver GDPR.
Tysk sjukvård: Socialförsäkringslagen Bok V (SGB V) begränsar bearbetning av hälsodata till tyskkontrollerade system. En tysk sjukförsäkringsgivare som använder ett molnanonymiseringsverktyg som är värdat i Dublin — vilket tekniskt sett är EU — kan fortfarande vara icke-kompatibel med SGB V om verktygets operatör är en icke-tysk enhet med potentiella konflikter med tysk lag.
Schweizisk bankverksamhet: Den schweiziska banksekretesslagen (Artikel 47 Banklagen) förbjuder avslöjande av kundinformation till obehöriga parter, inklusive molntjänstleverantörer som inte omfattas av uttryckligt kundsamtycke. En schweizisk privatbanks kunddata som bearbetas genom något molnverktyg — även EU-värdat — kan utlösa banksekretessåtaganden.
Tysk offentlig sektor: BfDI (Federal Commissioner for Data Protection) vägledning begränsar myndighetsdata till statligt kontrollerad infrastruktur. Ett anonymiseringsverktyg som är värdat på en kommersiell molnleverantörs EU-servrar uppfyller inte detta krav.
Dessa fall illustrerar att GDPR-efterlevnad är golvet, inte taket. För reglerade industrier och offentliga sektorsorganisationer ålägger suveräna datakrav ofta ytterligare begränsningar som går bortom värdplats.
Landskapet för adekvansbeslut
GDPR:s ramverk för internationell överföring beror på att Europeiska kommissionen utfärdar "adekvansbeslut" för länder som anses ge motsvarande dataskydd. Det nuvarande adekvanslandskapet:
Länder med adekvansbeslut: Andorra, Argentina, Kanada (kommersiella organisationer), Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Nya Zeeland, Sydkorea, Schweiz, Storbritannien, Uruguay, USA (Data Privacy Framework — återinfört efter Schrems II ogiltigförklaring)
Länder utan adekvans: Kina, Indien, Ryssland, Brasilien, de flesta av APAC, de flesta av MENA, de flesta av Afrika
Data Privacy Framework (EU-US) återinfördes efter politiska förhandlingar, men det förblir juridiskt omstritt. Integritetsförespråkare har redan signalerat rättsliga utmaningar baserade på amerikansk övervakningslag som ogiltigförklarade dess föregångare (Safe Harbor i Schrems I, Privacy Shield i Schrems II).
Organisationer som förlitar sig på EU-US Data Privacy Framework som sin rättsliga grund för databehandling som är värdad i USA bör ha beredskapsplaner för en annan ogiltigförklaring.
Hur krav på datasuveränitet översätts till verktygsval
Den kumulativa bilden från TikTok, Meta och det underliggande reglerande ramverket skapar en hierarki av efterlevnadsförsäkran för val av SaaS-verktyg:
Nivå 1 — EU-värd: Data bearbetas och lagras på servrar som fysiskt ligger i EU. Detta uppfyller den grundläggande GDPR-kravet för data som inte kräver skydd på suverän nivå.
Nivå 2 — EU-baserad operatör: Leverantörens kontrollerande enhet är EU-baserad och inte föremål för lagarna i ett icke-adekvat land. Detta adresserar TikTok-problemet där EU-värd kopplades till exponering för kinesisk lag för moderbolaget.
Nivå 3 — Nollkännedomarkitektur: Även om leverantören blir utsatt för intrång, tvingas av rättsvårdande myndigheter, eller krävs att producera data av en utländsk regering, kan de inte få åtkomst till den okrypterade datan eftersom krypteringsnycklarna hålls exklusivt av kunden. Detta adresserar scenariot där även en helt GDPR-kompatibel leverantör får en rättslig begäran.
Nivå 4 — Lokal bearbetning: Data lämnar aldrig organisationens egen infrastruktur. Bearbetning sker på lokal hårdvara eller statligt kontrollerade system. Detta är det enda tillvägagångssättet som helt uppfyller tyska SGB V, schweizisk banksekretess, BfDI:s krav för offentlig sektor och liknande suveräna datamandat.
De praktiska konsekvenserna för GDPR DPIA:er
Data Protection Impact Assessments (DPIA:er) som krävs enligt GDPR Artikel 35 för hög-risk bearbetning måste inkludera en överföringspåverkan bedömning när data delas med tredje lands bearbetare. Efter TikTok-domen behöver DPIA:er för molnbaserade anonymiseringsverktyg uttryckligen adressera:
-
Moderbolagets jurisdiktion: Är leverantörens moderföretag föremål för lagar (CLOUD Act, kinesisk cybersäkerhetslag, etc.) som kan kräva produktion av EU-kunddata?
-
Supportpersonalens åtkomst: Har support- eller ingenjörspersonal i icke-adekvata länder åtkomst till EU-kunddata som en del av normala operationer?
-
Rättslig grund för överföringar: Vilken specifik GDPR Artikel 46 mekanism gäller för eventuella dataflöden till icke-adekvata länder (SCC:er, BCR:er, undantag)?
-
Intrångspåverkan analys: Om leverantören blir utsatt för intrång eller tvingas producera data, vilken EU-kunddata skulle exponeras?
För organisationer som använder molnbaserade anonymiseringsverktyg har dessa frågor konkreta svar som måste dokumenteras. TikTok-domen visade att "vi har avtal på plats" inte är tillräckligt om dessa avtal inte ordentligt bedömdes för adekvans.
Vad detta betyder för upphandlingar 2026
Efter TikTok-domen ställer DPO:er som granskar SaaS-leverantörer för databehandlingsverktyg mer specifika frågor än tidigare:
- Var ligger servrarna? (EU?)
- Var är moderbolaget registrerat? (EU? USA? Annat?)
- Har icke-EU-anställda åtkomst till EU-kunddata?
- Vilken lag gäller för rättsvårdande myndigheters databehov?
- Finns det en nollkännedomarkitektur, eller håller leverantören krypteringsnycklar?
- Finns det ett alternativ för lokal bearbetning?
Svar på dessa frågor — inte närvaron av DPA-signaturer — avgör faktisk efterlevnad av datasuveränitet i den post-TikTok reglerande miljön.
anonym.legal's webbplattform använder EU-baserade Hetzner datacenter med nollkännedomarkitektur — servern tar aldrig emot okrypterad kunddata, och en fullständig serverkompromiss ger endast AES-256-GCM ciphertext. För organisationer som kräver lokal bearbetning, bearbetar Desktop App all data på enheten utan extern nätverkskommunikation.
Källor: