Die irische Datenschutzbehörde möchte verhindern, dass die beliebte Kurzvideo-App TikTok ihren EU-Sitz in Datenschutzangelegenheiten nach Irland verlegt. Einen solchen Schritt hatte TikTok zu Jahresbeginn angekündigt. In einem Brief an TikTok, der netzpolitik.org vorliegt, zählen die irischen Datenschützer:innen über mehrere Seiten ihre erheblichen Bedenken gegen eine solche Niederlassung auf.
Die vor allem bei Teenagern beliebte Kurzvideo-App wird von den europäischen Datenschutzbehörden seit einer Weile skeptisch beäugt. Im Visier der Untersuchungen von Behörden in Dänemark, Niederlande und Frankreich steht die Frage, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking.
Aufgrund der Vorwürfe gründete der Europäische Datenschutzausschuss im Juni eine eigene „TikTok-Taskforce“, um die Arbeit der Behörden zu unterstützen.
Warum Irland bei Konzernen beliebt ist
TikTok bemüht sich seit einigen Monaten, seinen Datenschutzsitz nach Irland zu verlegen. Die dort registrierte TikTok Technology Limited verwaltet laut Angaben der Firma seit Ende Juli die Daten aller Nutzer:innen im europäischen Wirtschaftsraum und der Schweiz.
Bislang hat TiKTok keinen EU-weiten Sitz. Das führt zu einiger Verwirrung unter den Behörden selbst, die sich bislang nicht auf eine Zuständigkeit einigen konnten. Gibt es keinen EU-Sitz, können Datenschutzbehörden in jedem EU-Land eigenständig gegen TikTok ermitteln. Gibt es hingegen einen zentralen Sitz, führt die dortige Behörde federführend alle Verfahren. Und TikTok wünscht sich dafür offenbar Irland.
Die irische Datenschutzbehörde wird von Datenschützer:innen seit langem als träge kritisiert. Sie führt seit Wirksamkeit der Datenschutzgrundverordnung mehrere große Verfahren gegen Facebook und Google, machte aber bislang in keinem entscheidende Fortschritte. Die Aufsicht gilt als unzureichend ausgestattet, das Parlament verweigerte jüngst eine Aufstockung der Mittel. Der Bundesdatenschutzbeauftragte Ullrich Kelber bat Irland mehrfach Unterstützung bei den großen Fällen an, bislang jedoch ohne Ergebnis. Der Datenschützer Max Schrems wirft der irischen Behörde sogar geheime Absprachen mit Facebook vor.
Das dürfte den fehlenden Appetit in Irland für die Aufsicht über einen weiteren problembehafteten Datenkonzern erklären. Bereits Anfang August wurde bekannt, dass die irische Behörde prüft, ob die Niederlassung TikToks rechtmäßig ist. In einem auf den 13. August datierten Brief an TikToks europäische Datenschutzbeauftragte Caroline Goulding, der netzpolitik.org vorliegt, schildert der irische Vize-Behördenchef Cathal Ryan seine Einwände gegen die datenschutzrechtliche Niederlassung von TikTok.
Irische Bedenken
Besonders pikant: Gegenüber anderen Datenschutzbehörden kommuniziert TikTok bereits, dass sein Hauptstandort in der EU nun in Irland sei – und die Aufsicht damit in die Zuständigkeit der dortigen Behörde fällt. Die irische Datenschutzbehörde sieht dies offenbar anders.
Offene Fragen hat sie etwa wegen des britischen Tochterunternehmens von TikTok, TikTok Information Technologies UK Limited, das gemeinsam mit der Niederlassung in Irland über die Datenverarbeitung entscheiden soll. Die irische Behörde will wissen, wer die Entscheidungen über den Schutz heikler Daten trifft. Sie verweist auf den geplanten britischen Ausstieg aus EU-Verträgen, der mit Jahresende den ungehinderten Datenfluss zwischen der EU und Großbritannien in Frage stellt.
Hauptbedenken der irischen Datenschützer:innen ist die Stabilität der irischen TikTok-Niederlassung. Erst seit einem Jahr hat der Konzern dort überhaupt Beschäftigte, die Firma wächst seither rasant. Laut dem Schreiben sollen es im Juni bereits 250 Angestellte gewesen sein und die Firma stellt in Irland massives Wachstum in Aussicht. 76 weitere Stellen in Dublin hat TikTok derzeit auf LinkedIn ausgeschrieben.
Die irische Behörde bemerkt allerdings, dass das Büro der Firma in einem Gebäude der Coworking-Firma WeWork angesiedelt sei, was wie ein „von seiner Natur her temporäres Arrangement wirkt“, wie Ryan in dem Brief schreibt. An diesen Zweifeln ändere auch die Einrichtung eines kurz zuvor angekündigte TikTok-Datenzentrum in Irland wenig. TikTok hat angekündigt, die Daten der europäischen Nutzer:innen ab 2022 dort speichern zu wollen.
Die irische Behörde hinterfragt auch das Timing von TikTok. Der Konzern habe der Behörde erstmals am 16. Januar eröffnet, dass es der irischen Aufsicht unterliegen wolle. Als Stichtag dafür habe TikTok den 29. Juli festgelegt, allerdings ohne den Grund für das Datum zu erklären.
Die irische Behörde wollte auf Nachfrage von netzpolitik.org die Entwicklungen seit dem Brief im August nicht kommentieren. Ein Sprecher betonte lediglich, eine Taskforce in der Behörde beschäftigte sich weiterhin mit der Sache. TikTok selbst wollte sich zu den Vorgängen nicht äußern solange die Gespräche mit der irischen Behörde weiter laufen.
Stellenboom in der Berliner Niederlassung
Was die Behörde ebenfalls irritiert: TikTok wachse jenseits von Irland auch in Deutschland sehr rasch und schreibe teils sehr ähnliche Stellen aus, so die irische Behörde. Laut dem Schreiben soll TikTok die Zahl seiner Angestellten in Deutschland seit Anfang des Jahres von 0 auf 100 erhöht haben.
Zugleich erwägt der Konzern nach Berichten, abseits der Datenschutzaufsicht seine Europa-Zentrale in Frankfurt anzusiedeln. „Zusammengenommen bieten diese Faktoren der [Behörde] keine Sicherheit, dass die derzeit getroffenen Arrangements länger anhaltend sind oder eine stabile Entscheidungsbasis bieten“, schreiben die irischen Datenschützer:innen.
TikTok selbst betont auf Anfrage von netzpolitik.org, es habe „derzeit keinen ausgewiesenen globalen Hauptsitz, aber wir haben Büros auf der ganzen Welt, darunter Dublin, London, Berlin und Paris.“ In jüngster Zeit habe es viele Spekulationen zu diesem Thema gegeben, aber dabei handle es sich eben bloß um Spekulationen. „Wir haben 1.600 Mitarbeiter in Europa und investieren und wachsen weiter, um unsere monatlich 100 Millionen aktiven Nutzer zu bedienen.“
Die irische Behörde spielt in ihrem Brief den Ball nach Brüssel. Sie wolle nun gemeinsam mit weiteren Behörden in der TikTok-Taskforce den Sachverhalt prüfen und dort auftauchende Fragen beantworten, bevor sie über eine Niederlassung des Konzerns in Irland entscheide.
Sollte Irland tatsächlich zur leitenden Behörde für TikTok werden, müssten die Aufsichtsbehörden in Dänemark, Niederlande und Frankreich ihre laufenden Untersuchungen dorthin übergeben. Dänemark, das seit Juni eine Untersuchung auf den Weg gebracht hat, sagte gegenüber Politico, die Entscheidung über eine Übergabe sei davon abhängig, wie weit das Verfahren fortgeschritten sei. Wann das passieren könnte? Dafür gebe es keinen Präzedenzfall.
Frage an den/die Autor*in: Mit welcher Metapher kann ich es meinen Kindern – die allesamt Tik Tok sehr lieben – am ehesten erklären? Ist Irland eher eine Datenschutz-Oase oder ist der europäische Datenschutz eher eine Fata Morgana – also eine (optische) Täuschung infolge einer „luftigen“ Spiegelung.
Will man TikTok in Irland vielleicht nicht, weil man es dann wie Facebook behandeln müsste – und so ganz schnell die sehr zahme Sonderbehandlung von Facebook (die mMn sicher auf irgendwelchen Geheimabsprachen beruht) noch viel deutlicher erkennbar werden würde?
Die irische Datenschutzbehörde ist keine. Was diese Behördensimulation sich redlich über die Jahre verdient hat, ist eine Welle von Anzeigen u.a. wegen Strafvereitelung im Amt, am besten gleich ganz dichtmachen und die Zuständigkeit an ein anderes Land übertragen. Hier wird mE dauerhaft EU-Recht gebrochen und dadurch Grundrechte von Millionen Menschen außer Kraft gesetzt. Schaut bei beliebigen verwanzten (also fast allen) Seiten die privacy-Erklärungen an, und dann, wo die jeweiligen außereuropäischen Datenhehler in der EU registriert sind und auf welcher Grundlage. Da steht durch die Bank „Republic of Ireland“ und EU-Privacy Shield“.