Datenschutz­woche

DPC untersucht TikToks Datenübertragungen nach China

Die irische Datenschutzkommission (DPC) hat am 10. Juli 2025 eine neue Untersuchung gegen TikTok Technology Limited eingeleitet. TikTok überträgt personenbezogene Daten von Nutzerinnen und Nutzern aus dem Europäischen Wirtschaftsraum (EWR) auf Server in China und speichert sie dort.

TikTok hatte zunächst erklärt, dass personenbezogene Daten lediglich per Fernzugriff aus China eingesehen, aber nicht dort gespeichert würden. Im April 2025 meldete TikTok der DPC, dass im Februar 2025 EWR-Nutzerdaten doch auf Servern in China gespeichert worden seien.

Die DPC leitete daher gemäß dem irischen Datenschutzgesetz ein neues Verfahren ein. Dieses greift unter anderem mögliche Verstöße gegen die Artikel 5 Absatz 2 (Rechenschaftspflicht), Artikel 13 Absatz 1 Buchstabe f (Informationspflichten bezüglich Drittlandübermittlungen), Artikel 31 (Zusammenarbeit mit der Aufsichtsbehörde) sowie Kapitel V (Drittlandübermittlungen) der DSGVO auf. Ziel der Untersuchung ist es festzustellen, ob TikTok seine datenschutzrechtlichen Verpflichtungen eingehalten hat. 

TikTok steht auch anderswo in der Kritik. In Großbritannien belegte das erstinstanzliche First-tier Tribunal (General Regulatory Chamber) am 4. Juli TikTok wegen Datenschutzverstößen mit einer Strafe in Höhe von 12,7 Millionen Pfund. Die UK General Data Protection Regulation stimmt weitgehend mit der DSGVO überein. Das Urteil ist noch nicht rechtskräftig, zeigt aber klar die länderübergreifende Tendenz, streng gegen datenschutzrechtliche Verstöße von TikTok vorzugehen.

EDSA und EDSB: Gemeinsame Stellungnahme zur geplanten DSGVO-Vereinfachung

Am 9. Juli 2025 haben der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) eine gemeinsame Stellungnahme zu einem Vorschlag der Europäischen Kommission veröffentlicht, der kleine und mittlere Unternehmen entlasten soll.

Konkret soll die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 5 DSGVO) gelockert werden. Die derzeitige Ausnahmeregelung für Unternehmen mit weniger als 250 Beschäftigten soll künftig für Unternehmen mit weniger als 750 Beschäftigten gelten, sofern keine Datenverarbeitung mit hohem Risiko für Betroffene erfolgt.

Der EDSA und der EDSB unterstützen grundsätzlich das Ziel, den Verwaltungsaufwand für KMU zu verringern. Dies dürfe nicht zulasten des Datenschutzes gehen.

EDSA und EDSB begrüßen, dass die grundlegenden Prinzipien der DSGVO und die daraus resultierenden Verpflichtungen jenseits der vorgeschlagenen, gezielten und begrenzten Änderungen unberührt bleiben sollen. Unklar sei noch, wie die Änderungen auf die Datenverarbeitung in Behörden anzuwenden sei. Außerdem müssten die Kriterien für ein „hohes Risiko für die Rechte und Freiheiten der betroffenen Personen im Sinne des Art. 30 Abs. 5 DSGVO“ präzisiert werden.

Internationale Nachrichten

Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat zwei neue Leitfäden zum Einsatz von Künstlicher Intelligenz (KI) in Schulen veröffentlicht, die helfen sollen, den Einsatz von KI im Bildungswesen verantwortungsvoll zu gestalten. Ziel ist es, Schulen und Lehrkräften Orientierung für einen datenschutzkonformen Umgang mit KI-Systemen zu geben und Transparenz gegenüber den Schülerinnen und Schülern und ihren Eltern herzustellen. Die CNIL warnt vor einer automatisierten Notenvergabe durch KI-Systeme.

Ein Leitfaden richtet sich an Verantwortliche wie Schulleitungen oder Bildungsministerien. Er thematisiert unter anderem die rechtliche Einordnung der Datenverarbeitung, die Auswahl geeigneter Systeme sowie die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung.

Der zweite Leitfaden wendet sich an Lehrkräfte. Er betont, dass die datenschutzrechtliche Verantwortung bei der Schule liegt – Lehrkräfte müssten den Einsatz von KI mit der Schulleitung abstimmen. 

Europäische Kommission: Die EU-Kommission wird die Vorgaben des neuen KI-Gesetzes wie geplant umsetzen. Forderungen nach einer Verschiebung, unter anderem von US-Unternehmen wie Alphabet und Meta sowie von europäischen Firmen wie Mistral und ASML, erteilte die Kommission eine klare Absage. „There is no stop the clock, there is no grace period, there is no pause. Why? We have legal deadlines established in the legal text. It is the Commission‘s obligation to enforce the legislation and to make sure that companies comply with the AI Act“, sagte Kommissionssprecher Thomas Regnier in einer Pressekonferenz. („Es gibt keine Unterbrechung, keine Gnadenfrist, keine Pause. Warum? Weil wir die in der Rechtsnorm gesetzliche Fristen festgelegt haben. Die Kommission ist verpflichtet, die Rechtsvorschriften durchzusetzen und dafür zu sorgen, dass die Unternehmen das KI-Gesetz einhalten.“

Bis Jahresende will die EU-Kommission Vorschläge zur Entlastung kleiner Unternehmen bei der Umsetzung der Pflichten aus der KI-Verordnung vorlegen.

Aktuelle Gerichtsentscheidungen

• LG Hannover, Beschluss vom 26.02.2025, Az. 128 OWiLG 1/24 (juris): Datenschutzinformationen – Der aus Art. 13 Abs. 3 DSGVO resultierenden Informationspflicht ist durch die allgemeinen Informationen in der Universellen Datenschutzerklärung, dem Informationsschreiben/FAQ vom 24.11.2017 sowie den „Wichtigen datenschutzrechtlichen Informationen im Zusammenhang mit dem Monitorship bei der Volkswagen AG vom 20.9.2018“ Genüge getan.
• OLG Köln, Urteil vom 13.06.2025, Az. 20 U 176/24 (Volltext): Recht auf Auskunft – Nur bei einem Teil der Angaben, die sich üblicherweise in einem Nachtrag zum Versicherungsschein finden, handelt es sich um Informationen objektiver und/oder subjektiver Natur über die in Rede stehende Person, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind.
• ArbG Nürnberg, Urteil vom 18.06.2025, Az. 10 Ca 2628/24 (Volltext): Recht auf Auskunft – Vor dem Hintergrund der erteilten Auskunft war es dem Kläger möglich und auch zumutbar, den Antrag dahingehend zu konkretisieren, welche weiteren personenbezogenen Daten über die bereits erteilte Auskunft hinaus von ihm begehrt werden. Ansonsten würden Unklarheiten ins Vollstreckungsverfahren verlagert, obwohl eine Klärung im Erkenntnisverfahren unschwer möglich wäre. Ist bereits eine Auskunft hinsichtlich konkreter personenbezogener Daten erteilt worden, erfordert der Rechtsschutzgedanke nicht, dass eine generalisierende Formulierung für zulässig erachtet wird.
• LAG Düsseldorf, Beschluss vom 29.06.2025, Az. 3 Ta 60/25 (BeckRS 2025, 15218): Rechtsweg – Wird im staatlichen Rechtsweg trotz vorrangiger kirchengerichtlicher Zuständigkeit geklagt, führt dies zur Unzulässigkeit der Klage. Bei – ggfs. zu unterstellender – Zuständigkeit staatlicher Gerichte sind für Klagen abgelehnter Bewerberinnen und Bewerber auf datenschutzrechtliche Auskunftserteilung und/oder Schadensersatz nach Art. 82 Abs. 1 DSGVO ausschließlich die Arbeitsgerichte nach § 2 Abs. 1 Nr. 3 lit. c ArbGG zuständig.

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzaufsicht Thüringen: „Grundrechte in Gefahr“ – Pressemitteilung vom 08.07.2025
• Datenschutzaufsicht Berlin: „Schulungen für Vereine, Start-ups und Kleinunternehmen“ – Pressemitteilung vom 09.07.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Landesbeauftragte empfiehlt Bundesratsinitiative zum Schutz von Mieter*innen in finanzieller Notlage“ – Pressemitteilung vom 10.07.2025
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): „Konsultation zum datenschutzkonformen Umgang mit personenbezogenen Daten in KI-Modellen“ – Pressemitteilung vom 10.07.2025
• Katholisches Datenschutzzentrum Frankfurt/M.: Tätigkeitsbericht 2024