TikTok in Europa

Deutsche Datenschützer kritisieren Aufsichtsvakuum

100 Millionen Europäer:innen nutzen die chinesische Video-App TikTok, doch bei der Datenschutzaufsicht klafft eine Lücke von der Größe Irlands. Das ärgert die Datenschutzbehörden in Hamburg und Bonn.

Datenschutz bei TikTok
Gemeinfrei-ähnlich freigegeben durch unsplash.com Solen Feyissa

Mehr als 100 Millionen Menschen in Europa nutzen regelmäßig TikTok, das sagt zumindest die Video-Plattform selbst. Doch trotz der immensen Beliebtheit des sozialen Netzwerks insbesondere bei Kindern und Jugendlichen ist weiterhin unklar, welche Behörde in Europa den Datenschutz bei der chinesischen App federführend kontrollieren soll.

Die Frage nach dem Datenschutz bei TikTok ist brisant, denn in drei EU-Staaten untersuchen die Behörden, ob TikTok die Privatsphäre seiner vorwiegend jungen Nutzenden ausreichend schützt. Untersucht wird auch, ob der Konzern womöglich persönliche Daten aus Europa illegal in Drittstaaten speichert, etwa an seinem Stammsitz in China.

Eine Schlüsselrolle spielt Irland. Dort hat TikTok im Sommer seinen europäischen Sitz angemeldet, zumindest den in Datenschutzfragen. Der chinesische Konzern habe die Zahl seiner Beschäftigten in Dublin seit Januar von 20 auf 1.100 Köpfe erhöht und heuere weiteres Datenschutz-Personal an, prahlt dieser Tage der irische Finanzminister Leo Varadkar.

Datenschutzbehörde wehrt sich gegen Niederlassung

Doch die oberste irische Datenschützerin Helen Dixon ist weniger begeistert. Ihre Behörde weigert sich bislang, ihre Zuständigkeit für TikTok anzuerkennen. In einem Brief an TikTok, aus dem netzpolitik.org zuletzt zitierte, zählt die Behörde ihre Bedenken gegen die Niederlassung des Konzerns auf. Sie zweifelt, ob der chinesische Konzern, der mit der Errichtung eines neuen Europasitzes in Frankfurt oder London liebäugelt, sich wirklich dauerhaft in Dublin einrichtet.

Seit Gültigkeit der Datenschutzgrundverordnung (DSGVO) ist die irische Datenschutzbehörde für Verfahren gegen die dort mit ihren EU-Zentralen ansässigen großen Technologiekonzerne wie Google, Facebook und Twitter federführend. Beschwerden gegen die Konzerne aus allen Staaten der Europäischen Union müssen nach Irland gemeldet werden, die irische Aufsicht entscheidet über die wesentlichen Verfahrensschritte. Das ist als One-Stop-Shop-Prinzip bekannt.

Doch die irische Behörde ist für ihre immense Aufgabe nicht mit dem nötigen Personal und ausreichenden Ressourcen ausgestattet. Ihr zögerliches Vorgehen verärgert Aktivist:innen wie Max Schrems, aus Deutschland gingen sogar Unterstützungsangebote nach Irland. Der wachsende Druck dürfte erklären, warum die irische Behörde nun die Zuständigkeit für TikTok wieder loswerden möchte.

Die fehlende Klarheit zu TikTok verärgert deutsche Datenschützer. „Die Verortung einer zuständigen Aufsichtsbehörde ist nicht nur im Fall von TikTok ein Problem, sondern belastet den Vollzug der EU-Datenschutzverordnung insgesamt und führt zu erheblichen Rechtsunsicherheiten und Rechtsschutzlücken“, sagte ein Sprecher des Hamburgischen Datenschutzbeauftragten Johannes Caspar zu netzpolitik.org.

„Riesige DSGVO-Lücke schließen“

Es sei nicht sinnvoll, dass eine einzelne Aufsichtsbehörde allein über ihre Zuständigkeit für eine Firma entscheide, betont das Amt des Bundesbeauftragten für Datenschutz, Ulrich Kelber. Es verweist auf eine eigene TikTok-Taskforce im Europäischen Datenschutzausschuss, einem Gremium aller EU-Datenschutzbehörden. Diese beschäftigt sich seit fünf Monaten mit TikToks Datenschutzpraktiken, hat aber bislang keine Ergebnisse vorgelegt. Es sei zu früh, um Updates aus der Arbeit zu melden, sagt eine Sprecherin.

Wegen des ungeklärten Niederlassung von TikTok bleibe es den einzelnen Behörden überall in Europa überlassen, selbst direkt gegenüber TikTok vorzugehen. „Die Situation ist für TikTok ideal: Die Behörde am Ort der Hauptniederlassung hält sich bislang nicht für zuständig, und andere Behörden können auf Distanz gehalten werden“, heißt es vom der Behörde in Hamburg. Es sei an der Zeit, diese „riesige Lücke zu schließen“ und endlich die DSGVO durchzusetzen.

Der Bundesdatenschutzbeauftragte Kelber betont, er vertraue auf die Zusammenarbeit der europäischen Datenschutzbehörden bei dem Thema. Zugleich wünscht er sich, dass TikTok Schritte setzt, wenn sich der Konzern für eine Niederlassung in Irland entscheide. „Sollte TikTok seinen Plan verwirklichen ein Datenzentrum in Irland einzurichten, so befürwortet der BfDI die Verlagerung des Speicherorts der Daten von TikTok-Nutzern in die EU.“

Unzufriedenheit auch in Twitter-Verfahren

Verärgerung in Deutschland gibt es nicht nur wegen TikTok, sondern auch in einem irischen Verfahren gegen Twitter. Vor wenigen Tagen nutzte der Ausschuss aller Datenschutzbehörden erstmals ein neues Verfahren zu Streitbeilegung, um über eine Strafe wegen einem Datenleck bei Twitter zu entscheiden. Der Ausschuss stimmte mit Zweidrittelmehrheit für einen Vorschlag aus Irland, gegen die Stimmen deutscher Behörden.

Welche Strafe Twitter nun erhalten soll, bleibt unklar. Nach der Entscheidung hat die irische Behörde einen Monat Zeit, um dem US-Konzern einen Strafbescheid zu schicken. Im Verfahren habe die Behörde in Dublin zahlreiche Einwände aus Deutschland als „nicht maßgeblich und begründet zurückgewiesen“, klagt die national zuständige Hamburgische Datenschutzbehörde.

In Hamburg wird nun laut über rechtliche Schritte gegen die Entscheidung des Europäischen Datenschutzausschusses im irischen Verfahren nachgedacht. Die rechtliche Möglichkeit, gegen die Entscheidung eine Nichtigkeiterklärung vor dem Europäischen Gerichtshof (EuGH) einzubringen, liege auf dem Tisch, heißt es aus der Behörde von Caspar. Das weitere Vorgehen werde „mit den beteiligten nationalen Aufsichtsbehörden erörtert“. Bald könnte also nach den jüngsten Urteilen zu Privacy Shield und der Vorratsdatenspeicherung ein weiterer richtungweisender Datenschutzfall vor dem EU-Gericht landen.

 

Korrektur vom 16.11.2020: Zunächst hieß es irrtümlicherweise im letzten Absatz, in Hamburg werde über rechtliche Schritte gegen die irische Entscheidung nachgedacht. Tatsächlich gelten die Überlegungen der Entscheidung des EDSA im irischen Fall. Die Angaben wurden nachträglich korrigiert.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.