1 Punkte von GN⁺ 2025-05-04 | 1 Kommentare | Auf WhatsApp teilen
  • Während die Regeln der EU für Datenübermittlungen in Drittländer erneut als Betriebsrisiko für Plattformen in den Fokus rücken, hat die irische Data Protection Commission TikTok nach einer vierjährigen Untersuchung mit einer Geldbuße von 530 Millionen Euro (rund 600 Millionen US-Dollar) belegt
  • Im Kern geht es darum, ob TikTok überprüft, gewährleistet und nachgewiesen hat, dass personenbezogene Daten europäischer Nutzer, auf die Mitarbeitende in China per Fernzugriff zugreifen konnten, einen Schutz genießen, der dem in der EU im Wesentlichen gleichwertig ist
  • Zudem informierte die damalige Datenschutzrichtlinie nicht ausreichend darüber, in welche Drittländer Daten übermittelt wurden, und erläuterte auch den Fernzugriff durch in China ansässiges Personal nicht klar
  • TikTok widerspricht der Entscheidung und will Berufung einlegen. Das Unternehmen entgegnet, der betroffene Zeitraum reiche nur bis Mai 2023 und man habe danach mit Project Clover europäische Datenzentren und eine unabhängige Aufsicht eingeführt
  • Die DSGVO erlaubt die Übermittlung europäischer Nutzerdaten außerhalb der EU, verlangt dafür aber ein gleichwertiges Schutzniveau; die nachträgliche Mitteilung, dass einige Daten auf Servern in China gespeichert wurden, könnte weitere regulatorische Maßnahmen nach sich ziehen

Geldbuße von 530 Millionen Euro und Anordnung zur Abhilfe binnen 6 Monaten

  • Die irische Data Protection Commission verhängte gegen TikTok eine Geldbuße von 530 Millionen Euro, rund 600 Millionen US-Dollar, weil Datenübermittlungen nach China gegen die EU-Datenschutzregeln verstoßen hätten
  • Die Entscheidung ist das Ergebnis einer vierjährigen Untersuchung, die im September 2021 begann; zudem wurde TikTok angewiesen, die Regeln innerhalb von 6 Monaten einzuhalten
  • Die Aufsichtsbehörde kam zu dem Schluss, dass die Datenübermittlungen nach China europäische Nutzer dem Risiko staatlicher Überwachung ausgesetzt hätten
  • Da sich TikToks europäischer Hauptsitz in Dublin befindet, fungiert die irische Aufsicht als federführende Datenschutzbehörde für TikTok in den 27 EU-Staaten

Fernzugriff aus China und Streit um ein EU-gleichwertiges Schutzniveau

  • Deputy Commissioner Graham Doyle vertritt die Auffassung, dass TikTok für personenbezogene Daten europäischer Nutzer, auf die Beschäftigte in China per Fernzugriff zugreifen konnten, kein Schutzniveau überprüft, gewährleistet und nachgewiesen habe, das dem in der EU im Wesentlichen gleichwertig ist
  • In der Untersuchung war insbesondere strittig, ob chinesische Behörden wegen chinesischer Gesetze zu Terrorismusbekämpfung, Spionageabwehr, Cybersicherheit und nationalen Nachrichtendiensten auf personenbezogene Daten europäischer Nutzer zugreifen könnten
  • Die irische Aufsicht bewertete diese chinesischen Gesetze als materiell abweichend von den EU-Standards

Transparenzprobleme in der Datenschutzrichtlinie

  • TikTok wurde auch dafür sanktioniert, Nutzer nicht ausreichend darüber informiert zu haben, wohin ihre personenbezogenen Daten gesendet werden
  • Die zum Zeitpunkt der Untersuchung geltende Datenschutzrichtlinie von TikTok nannte die Drittländer, in die Nutzerdaten übermittelt wurden, nicht ausdrücklich und führte darunter auch China nicht namentlich auf
  • Die Richtlinie wurde später aktualisiert, erklärte damals jedoch ebenfalls nicht, dass in Singapore und den United States gespeicherte personenbezogene Daten von in China ansässigem Personal per Fernzugriff verarbeitet werden konnten

TikToks Berufungspläne und Project Clover

  • TikTok ist mit der Entscheidung nicht einverstanden und plant Berufung einzulegen
  • Das Unternehmen entgegnet, die Entscheidung beziehe sich auf einen bestimmten Zeitraum, der im Mai 2023 endete, und man habe danach das Datenlokalisierungsprojekt Project Clover vorangetrieben
  • Project Clover umfasst den Plan zum Aufbau von 3 Rechenzentren in Europa
  • Christine Grahn, Leiterin für europäische Public Policy und Government Relations bei TikTok, erklärte, Project Clover verfüge über einige der strengsten Datenschutzmaßnahmen der Branche und umfasse eine unabhängige Aufsicht durch das europäische Cybersicherheitsunternehmen NCC Group
  • Grahn erklärte zudem, TikTok habe nie eine Anfrage chinesischer Behörden nach Daten europäischer Nutzer erhalten und auch nie Daten europäischer Nutzer an chinesische Behörden weitergegeben

DSGVO-Maßstäbe für Drittlandübermittlungen und TikToks Gegenargumente

  • Nach der General Data Protection Regulation der EU dürfen Daten europäischer Nutzer zwar außerhalb der EU übermittelt werden, dafür sind jedoch Garantien erforderlich, die ein gleichwertiges Schutzniveau sicherstellen
  • Grahn widersprach der Einschätzung der irischen Aufsichtsbehörde entschieden, TikTok habe die für Datenübermittlungen erforderlichen Bewertungen nicht durchgeführt
  • TikTok habe Rechtsanwaltskanzleien und Fachleute konsultiert, dieselben rechtlichen Mechanismen genutzt wie Tausende Unternehmen in Europa und sei der Ansicht, dass dieses Vorgehen mit den EU-Regeln im Einklang stehe
  • Grahn sagte, TikTok werde singled out

Mitteilung über Speicherung auf chinesischen Servern und Prüfung weiterer Maßnahmen

  • Weil die Muttergesellschaft ByteDance ein in China ansässiges Unternehmen ist, wird TikTok in Europa bereits seit Längerem wegen seines Umgangs mit personenbezogenen Nutzerdaten untersucht
  • Westliche Behörden haben wiederholt Bedenken geäußert, dass TikTok mit Blick auf nach China übermittelte Nutzerdaten ein Sicherheitsrisiko darstelle
  • Die irische Aufsicht hatte TikTok bereits 2023 in einer separaten Untersuchung zum Datenschutz von Kindern mit einer Geldbuße in Höhe von mehreren hundert Millionen Euro belegt
  • Während dieser Untersuchung hatte TikTok erklärt, keine Daten europäischer Nutzer auf Servern in China zu speichern; erst im April informierte das Unternehmen die Aufsicht darüber, dass tatsächlich einige Daten auf chinesischen Servern gespeichert worden waren, was im Februar entdeckt worden sei
  • Graham Doyle bezeichnete diese jüngsten Entwicklungen als sehr ernst und prüft, ob weitere regulatorische Maßnahmen erforderlich sind

1 Kommentare

 
GN⁺ 2025-05-04
Meinungen auf Hacker News
  • „massive“ – nach welchem Maßstab?
    Es wird Zeit, dass wir uns daran gewöhnen, Unternehmen mit einem angemessenen Anteil ihres Umsatzes zu bestrafen.
    Allein TikToks weltweiter Umsatz im vergangenen Jahr wird auf 20 bis 26 Milliarden US-Dollar geschätzt https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...

    • Damit eine Geldbuße genug schmerzt, um das Verhalten eines Unternehmens zu ändern, muss sie kein Anteil am weltweiten Umsatz sein, sondern ausreichend höher als der durch das rechtswidrige Verhalten erzielte Gewinn.
      Dem Artikel zufolge hat TikTok von den 20 Milliarden US-Dollar allein 10 Milliarden US-Dollar in den USA verdient, damit liegt die Obergrenze für den europäischen Umsatz bei 10 Milliarden US-Dollar.
      Da große Märkte wie Brasilien und Indonesien dabei nicht herausgerechnet sind, dürfte der tatsächliche europäische Umsatz deutlich niedriger sein.
      530 Millionen Euro sind etwa 600 Millionen US-Dollar, also mindestens 6 % des betreffenden Umsatzes von 2024, tatsächlich möglicherweise deutlich mehr.
      Ob das groß genug ist, um die durch Fehlverhalten erzielten Gewinne auszugleichen, weiß ich nicht, aber eine Lappalie ist es ganz sicher nicht.
    • Man kann es wohl mit anderen Geldbußen vergleichen.
      Nach der Summe scheint es bei Bußgeldern für einen einzelnen Vorfall ungefähr in den Top 20 aller Zeiten zu liegen, und bei europäischen Datenschutz-Bußgeldern in den Top 3.
      Dass man sich an solche Beträge gewöhnt, ändert ihre Einordnung nicht.
      Selbst wenn solche Zahlen häufiger werden, bleiben sie riesig, zumal es eigentlich keine Beträge sind, die häufig vorkommen sollten.
    • Als kleine Anmerkung: Man sollte es nicht als Anteil am Umsatz, sondern am Nettogewinn betrachten.
      Der Großteil des Umsatzes geht für Kosten drauf; wenn man Geldbußen als angemessenen Anteil am Umsatz bemisst, kann man Unternehmen schlicht in die Insolvenz treiben.
      Wenn das Ziel Verhaltensänderung ist, ist das nicht das gewünschte Ergebnis.
      Bei einem weltweiten Umsatz von 20 Milliarden US-Dollar und einer angenommenen Marge von 20 % läge der Nettogewinn bei 4 Milliarden US-Dollar, diese Geldbuße entspräche also 15 % des weltweiten Nettogewinns.
      Das ist eine enorme Strafe.
      Außerdem sind solche Regeln vage und stark auslegungsbedürftig, sodass Unternehmen und ihre Anwälte ehrlich glauben können, sie hielten sie ein, während ein Richter später anders entscheidet.
      Wenn einzelne Länder Geldbußen auf Basis des weltweiten Umsatzes verhängen, besteht zudem das Risiko mehrfacher Strafen für dasselbe Verhalten; am Ende führt das dann nicht zu Verhaltensänderungen, sondern zur Pleite eines Unternehmens.
    • Schlimmer als die geringe Höhe ist die Zeit, die es gedauert hat.
      Nimmt man die Vorwürfe für bare Münze, hat China vier Jahre lang einen erheblichen Teil der EU-Bürger überwacht und darf das noch weitere sechs Monate tun.
      Selbst danach ist es unwahrscheinlich, dass es tatsächlich aufhört, und am Ende bleibt eine Geldbuße von ein paar Dollar pro Opfer.
      Die USA handeln auch nicht schneller, und die meisten anderen Länder handeln überhaupt nicht.
      Das Ergebnis ist, dass ein potenziell feindlicher Staat eine riesige Überwachungsoperation lange Zeit ohne große Kosten betreiben kann, solange er nur lustige Videos und nervige Soundtracks dazwischenpackt.
    • Es gab die Idee, dass der Staat statt einer Geldbuße Anteile an dem Unternehmen übernehmen sollte.
      Das würde die Anteile der bisherigen Eigentümer verwässern und so schlechtes Verhalten bestrafen.
      Wenn der Staat Miteigentümer wird, kommt er ins Innere des Unternehmens, und Informationsanfragen oder Einblicksmöglichkeiten werden deutlich größer.
      Hält das schlechte Verhalten an, würde der Staat mit der Zeit die Kontrolle erlangen.
      Bei Unternehmen wie Tesla, deren Aktienkurs sehr hoch ist, deren Gewinne aber niedrig sind, kann eine am Gewinn orientierte Geldbuße wenig bewirken.
      Staatliche Kontrolle über Aktien würde jedoch sehr schnell die Aufmerksamkeit sowohl des Unternehmens als auch der Aktionäre gewinnen.
  • Das Є im HN-Einreichtitel ist kein Eurozeichen.
    Das Eurozeichen ist .

    • Beim Ändern des Titels wurde das Symbol hinzugefügt, aber ich kann den Titel nicht mehr bearbeiten.
      Hoffentlich korrigiert Dang das.
    • Heute gelernt: Є ist U+0404 Cyrillic Capital Letter Ukrainian Ie.
      https://codepoints.net/U+0404
    • Außerdem ist das €-Zeichen kein Präfix wie $, sondern ein Suffix nach dem Betrag.
  • In diesem Thread gibt es viel Frust und Zynismus, aber einige Missverständnisse scheinen das noch zu verstärken.
    Zunächst einmal ist Irland Teil der EU, und im One-Stop-Shop-System der DSGVO übernimmt das Land, in dem sich die EU-Zentrale befindet, die Durchsetzung für die gesamte EU.
    Da viele große Tech-Unternehmen ihre EU-Zentrale in Irland haben, handelt die irische Aufsichtsbehörde bei einer Geldbuße nach der DSGVO faktisch im Namen der gesamten EU.
    DSGVO-Bußgelder können sehr hoch sein; Sanktionen können sich nach dem höheren Wert aus einem Anteil am weltweiten Umsatz oder einem hohen festen Betrag richten.
    Dadurch spüren auch große Unternehmen die Wirkung.
    Solche Geldbußen werden öffentlich und transparent bekanntgegeben, sodass neben dem finanziellen Schaden auch ein Reputationsschaden entsteht.
    Diese Öffentlichkeit ist beabsichtigt, damit die Strafe nicht zu stillen Betriebskosten wird, sondern tatsächlich abschreckend wirkt.
    Es muss auch klargestellt werden, wohin die Bußgelder fließen.
    Sie landen nicht einfach nur in Irlands Tasche, sondern praktisch im EU-Haushalt, indem sie mit dem Beitrag verrechnet werden, den Irland normalerweise an den EU-Haushalt zahlen müsste.
    Wenn Menschen in anderen EU-Ländern betroffen waren, können auch diese Länder einen Teil der Geldbuße beanspruchen.
    Letztlich ist es also keine Struktur, in der Irland allein profitiert, sondern Irland ist der Einzugspunkt, weil die Unternehmen dort ansässig sind.
    Interessanterweise sagen manche, die Strafe sei zu hart, andere sagen, sie sei zu schwach.
    Tatsächlich sind solche Sanktionen so gestaltet, dass sie proportional zur Größe des Unternehmens und zum Ausmaß des Verstoßes sind und sich zugleich spürbar anfühlen; sie sollen Unternehmen nicht zerstören, sind aber keineswegs bedeutungslos.

    • Der Maßstab „höherer Wert aus einem Anteil am weltweiten Umsatz oder einem hohen festen Betrag“ dient dazu, die maximale Geldbuße festzulegen.
      Danach kann die Aufsichtsbehörde X % dieses Maximums als tatsächliche Geldbuße verhängen.
      Das ist auch ein Mechanismus, um zu verhindern, dass einzelne EU-Mitgliedstaaten die Bußgelder zu niedrig ansetzen, um Unternehmen anzuziehen.
      Das ist ein ähnlicher Kontext wie Irlands frühere Probleme mit zu niedriger Besteuerung.
    • Wenn Irland um x weniger Beitrag zahlen muss, ist das praktisch fast dasselbe, als würde es um x Geld verdienen.
      Für den Teil, den andere EU-Länder nicht beanspruchen, landet es am Ende also doch in Irlands Tasche.
    • Quellen zu den Details des Bußgeldflusses wären wirklich hilfreich.
      Jedes Mal, wenn die DSGVO zur Sprache kommt, gibt es hier Dutzende Beiträge, und genau über diesen Punkt wird immer wieder gestritten.
  • Es mag sich innerhalb des rechtlichen Rahmens bewegen, aber die größere Bedrohung sehe ich nicht darin, dass Daten nach außen gelangen, sondern darin, dass Einfluss in den Algorithmus der App gelangt und dadurch die Nutzer beeinflusst werden.

  • @dang Kannst du dieses Zeichen in den Titel aufnehmen?

    • Dieses Є muss raus
  • Mich interessieren zwei Dinge:
    Erstens, ob solche Bußgelder tatsächlich vollstreckt werden oder ob sie in endlosen Berufungen landen.
    Zweitens, wohin das Bußgeld geht.
    Wenn die Konstruktion so ist, dass TikTok in Ireland mit einem Bußgeld belegt wird, klingt es so, als ginge das Geld an die irische Regierung – das wäre seltsam.
    Wenn das Bußgeld im EU-weiten Kontext berechnet wird, die Einnahmen aber nur Ireland zufließen, ist die Struktur kaputt.

    • In Großbritannien zahlt die Regulierungsbehörde, die das Bußgeld verhängt hat, fast alles – abgesehen von einem Teil zur Kostendeckung – in den Consolidated Fund ein.
      Es landet also in demselben großen Topf wie Steuern.
      Da die EU kaum direkt Recht durchsetzt und das meiste von nationalen Regulierungsbehörden erledigt wird, ist das im Großen und Ganzen erwartbar.
      Das ist das Gegenteil des Apple-Falls: Damals verhängte die EU ein Bußgeld gegen die irische Regierung, weil sie von Apple nicht genug Steuern eingezogen hatte.
    • Korrigiert mich, falls ich falschliege, aber das Geld fließt am Ende in den gesamten EU-Haushalt und ist damit so ähnlich, als bekämen EU-Bürger einen winzigen Nachlass bei den Steuern.
      Allerdings scheint es je nach Land Unterschiede zu geben; Spain wirkt wie ein eher ungewöhnlicher Fall, in dem die Datenschutzaufsicht das Geld direkt behält.
    • Wenn es wirklich nur ein Bußgeld von Ireland wäre, könnte TikTok sich einfach aus diesem Land zurückziehen und das Bußgeld nicht zahlen.
      Vielleicht wäre genau das sogar das, was Ireland will.
      Ireland ist ein kleiner Markt, daher würde es sehr lange dauern, bis TikTok in Ireland 530 Millionen Euro Gewinn macht.
    • https://www.enforcementtracker.com/
  • 100 % des durch solche Bußgelder eingetriebenen Geldes sollten für Forschung zu und Offenlegung von Datenschutzverletzungen dieser Unternehmen verwendet werden.
    Im Grunde sollten sie die Kosten ihrer eigenen Kontrolle selbst tragen.
    Wir wissen nicht, wie die Daten, die sie in großem Maßstab sammeln, künftig durch AI missbraucht werden, und das ist ziemlich beängstigend.

  • Ich hoffe, dass das Geld dazu verwendet wird, die Lage für die Menschen vor Ort zu verbessern.

  • Etwas off topic, aber mich würde interessieren, wie die Regierung, die das Bußgeld verhängt hat, dieses Geld verwendet.
    Fließt es zum Beispiel in Aktivitäten oder Aufgaben rund um Datenschutz?

    • Steuern sind nur sehr selten an einen bestimmten Zweck gebunden.
      In den meisten Ländern heißt eine „Bärensteuer“ nicht, dass das Geld in einen großen Topf ausschließlich zur Bärenvernichtung wandert.
      Daher fließen solche Bußgelder normalerweise in die allgemeinen Mittel für Staatsausgaben.
      In Großbritannien werden Bußgelder wegen Datenschutzverstößen für die Betriebskosten der Durchsetzungsbehörde verwendet, und der Rest geht an den Staat zurück https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
    • In der EU bedeutet das, dass die Mitgliedstaaten im folgenden Jahr etwas weniger in den Haushalt einzahlen müssen.
      Der EU-Haushalt selbst ändert sich dadurch nicht wirklich; praktisch entsteht also nicht „mehr Geld“.
      Vielleicht überspringe ich hier einen Schritt, aber dieses Bußgeld ist nicht Ireland-spezifisch, sondern ein EU-weites Bußgeld und wird, soweit ich mich erinnere, an die EU gezahlt.
  • Solange nicht die persönlich Verantwortlichen mit Bußgeldern belegt werden, sind solche Bußgelder nutzlos und haben keine Wirkung.

    • Und wenn das Bußgeld niedriger ist als das damit verdiente Geld, dann ist es kein Bußgeld, sondern Betriebskosten.