Anfang Mai schloss die irische Datenschutzkommission (DPC) ihre Untersuchung zu TikTok ab und erließ eine Entscheidung, in der das Unternehmen wegen Verstößen gegen die DSGVO verantwortlich gemacht wurde. Als Sanktion verhängte die DPC Verwaltungsstrafen in Höhe von insgesamt 530 Millionen Euro und wies TikTok an, seine Praktiken beim Datentransfer innerhalb von sechs Monaten in Einklang mit der DSGVO zu bringen. Sollte TikTok dieser Anordnung nicht nachkommen, muss das Unternehmen die Übermittlung personenbezogener Daten nach China aussetzen.
Die DPC stellte zwei wesentliche Verstöße fest, die sich auf die Übermittlung personenbezogener Daten von Nutzern im Europäischen Wirtschaftsraum (EWR) nach China und auf die Nichterfüllung von Transparenzpflichten beziehen.
Zum einen führte TikTok keine angemessene Bewertung der rechtlichen Rahmenbedingungen in China durch und stellte auch nicht sicher, dass die ergänzenden Maßnahmen und Standardvertragsklauseln (SCCs) ein mit dem EU-Schutzniveau im Wesentlichen gleichwertiges Datenschutzniveau gewährleisteten. Darüber hinaus unterließ das Unternehmen, fallweise Bewertungen der konkreten Übermittlungsszenarien vorzunehmen. Die DPC wies TikToks Argument zurück, dass eine Speicherung der Daten in Europa ausreichend sei, und stellte fest, dass der Fernzugriff durch in China ansässige Entwickler faktisch einen Datentransfer darstelle. Aufgrund dieses Verstoßes gegen Artikel 46 Absatz 1 der DSGVO wurde gegen TikTok eine Geldbuße in Höhe von 485 Millionen Euro verhängt.
Darüber hinaus verhängte die DPC eine weitere Geldbuße in Höhe von 45 Millionen Euro wegen eines Verstoßes gegen Artikel 13 Absatz 1 Buchstabe f der DSGVO, da die Version der Datenschutzrichtlinie aus dem Jahr 2021 keine ausreichende Klarheit hinsichtlich internationaler Datenübermittlungen bot.
Grenzüberschreitende Übermittlungen personenbezogener Daten sind keine Seltenheit und müssen mit Sorgfalt und unter Beachtung der gesetzlichen Vorgaben erfolgen. Diese Verantwortung trifft nicht nur große Konzerne, sondern auch kleine und mittelständische Unternehmen, die an Datentransfers beteiligt sind. In einem kürzlich geführten Gespräch mit der IAPP betonte der stellvertretende Datenschutzbeauftragte der DPC, dass Unternehmen die spezifischen Pfade ihrer Datenübermittlungen kartieren und jedes Szenario einzeln bewerten sollten. Wenn eine wesentliche Gleichwertigkeit nicht gewährleistet werden kann, können Organisationen in Erwägung ziehen, sich auf die Ausnahmeregelungen gemäß Artikel 49 zu stützen.
Es ist außerdem wichtig zu beachten, dass konzerninterne Datenübermittlungen in multinationalen Unternehmen nicht automatisch geringeren Anforderungen unterliegen, nur weil sie innerhalb einer Unternehmensgruppe erfolgen. Um den Aufwand separater Verträge zwischen verschiedenen Rechtsträgern zu vermeiden, kann ein Intra-Group-Data-Transfer-Agreement (IGDTA) in Ergänzung mit einer Rechtsgrundlagen für die Datenverarbeitung eine wirksame und effiziente Lösung zur Einhaltung der Vorschriften darstellen.
Neue ePrivacy Vorlage für ein Intra-Group-Data-Transfer-Agreement (IGDTA)
Wir haben eine neue Vorlage für ein IGDTA entwickelt, die den vertraglichen Abschluss über die Übermittelung von Daten innerhalb eines Konzerns erleichtert. Sprechen Sie uns gerne an, wenn wir Sie bei dem Abschluss eines solchen IGDTA unterstützen sollen.