TikTok im Visier der Datenschutzbehörden: Mit einem Bußgeld in Rekordhöhe von 345 Millionen Euro setzt die EU ein klares Zeichen gegen DSGVO-Verstöße und mangelhaften Datenschutz – besonders beim Schutz von Kindern. Was hinter der Entscheidung der irischen Datenschutzbehörde steckt und welche DSGVO-Verstöße TikTok zur Last gelegt werden, analysieren wir im Detail.
Warum TikTok ins Visier der Datenschutzbehörden geriet und jetzt ein hoßes Bußgeld zahlen muss
Die irische Datenschutzbehörde (Data Protection Commission – DPC) hat ein richtungsweisendes Bußgeld gegen TikTok in Höhe von 345 Millionen Euro verhängt. Der Vorwurf: schwerwiegende Verstöße gegen die DSGVO, insbesondere im Hinblick auf den Datenschutz von Kindern und Jugendlichen.
Die Entscheidung basiert auf einer Untersuchung, die bereits im Juli 2020 begann und TikToks Umgang mit personenbezogenen Daten Minderjähriger im Europäischen Wirtschaftsraum (EWR) beleuchtete. Der Fokus lag dabei auf den Voreinstellungen von Nutzerkonten, der Altersverifikation auf TikTok sowie der Transparenz der Datenschutzerklärung für junge Nutzer.
Die Entscheidung ist ein Weckruf für alle Social-Media-Plattformen, ihrer besonderen Verantwortung gegenüber Kindern im digitalen Raum gerecht zu werden – insbesondere unter Berücksichtigung von Artikel 5, 12, 13, 24 und 25 DSGVO.
TikTok & DSGVO: Datenschutzverstöße mit Folgen für Minderjährige
Öffentliche Profile als Standardeinstellung verletzen Artikel 25 DSGVO
Ein zentrales Ergebnis der Untersuchung war, dass TikTok für Nutzer unter 18 Jahren öffentlich sichtbare Profile als Standardeinstellung verwendete. Diese Praxis von TikTok – bekannt als „Public-by-default“ – ermöglichte es jedem, einschließlich nicht eingeloggter Nutzer, auf Inhalte von Jugendlichen zuzugreifen.
Laut der DPC stellte dies von TikTok einen klaren Verstoß gegen Artikel 25 DSGVO dar, der die Pflicht zu datenschutzfreundlichen Voreinstellungen vorschreibt. Besonders problematisch: Viele Minderjährige auf TikTok waren sich nicht bewusst, dass ihre Inhalte öffentlich sichtbar waren.
Unzureichende Altersverifikation auf TikTok gefährdet den Kinderschutz
Ein weiterer DSGVO-Verstoß betraf die mangelhafte Altersverifikation. TikTok ließ es zu, dass sich Kinder unter 13 Jahren ohne verlässliche Nachweise registrieren konnten – ein klarer Verstoß gegen die eigenen Nutzungsrichtlinien und gegen Artikel 24 DSGVO.
Damit wurde der Zugang zu personenbezogenen Daten von Kindern ohne angemessene Schutzmaßnahmen auf TikTok ermöglicht, was schwerwiegende Datenschutzrisiken für Kinder darstellt und das Bußgeld begründete.
Fehlende Transparenz gegenüber jungen Nutzern von TikTok – ein Verstoß gegen Artikel 12 & 13 DSGVO
Zudem bemängelte die DPC die unzureichende Transparenz der Datenschutzhinweise von TikTok. Kinder erhielten keine klaren und verständlichen Informationen über die Verarbeitung ihrer Daten. Risiken wie die Sichtbarkeit öffentlicher Profile, Datenweitergaben an Dritte oder die Nutzung durch andere Dienste wurden von TikTok nicht altersgerecht erklärt – ein Verstoß gegen Artikel 12 und 13 DSGVO, welcher ein hohes Bußgeld zur Folge hatte.
Kohärenzverfahren & EU-weite Entscheidung im Fall TikTok
Die Entscheidung gegen TikTok wurde im Rahmen des Kohärenzverfahrens der DSGVO getroffen. Nachdem der irische Entscheidungsentwurf an andere EU-Aufsichtsbehörden übermittelt wurde, legten unter anderem deutsche und italienische Behörden Widerspruch ein.
Der Europäische Datenschutzausschuss (EDSA) übernahm daraufhin die Streitbeilegung gemäß Artikel 65 DSGVO und veröffentlichte im August 2023 einen verbindlichen Beschluss gegen TikTok.
Family Pairing bei TikTok: Direkte Kommunikation mit Kindern ohne Schutzmechanismen
Ein besonders kritischer Aspekt bei TikTok war das sogenannte „Family Pairing“-Feature. Es ermöglichte es erwachsenen Nutzern – ohne Nachweis einer Erziehungsberechtigung, Direktnachrichten mit Kinderkonten zu aktivieren.
Auch hier stellte die DPC einen Verstoß gegen die DSGVO durch Technikgestaltung (Artikel 25) und den Grundsatz der Verarbeitung nach Treu und Glauben (Artikel 5 DSGVO) fest.
Bußgeld gegen TikTok: Diese DSGVO-Artikel wurden verletzt
Die von der DPC verhängten Sanktionen gegen TikTok beruhen auf DSGVO-Verstößen gegen:
- Artikel 5 DSGVO – Datenminimierung, Fairness
- Artikel 12 und 13 DSGVO – Informationspflichten
- Artikel 24 DSGVO – Verantwortlichkeit
- Artikel 25 DSGVO – Datenschutz durch Technikgestaltung
Insgesamt wurden 345 Millionen Euro Bußgeld gegen TikTok verhängt, verteilt auf die drei schwerwiegendsten DSGVO-Verstöße.
TikToks Reaktion auf das Bußgeld und zukünftige Entwicklungen im Datenschutz & der DSGVO
TikToks Stellungnahme & Änderungen in der Praxis
TikTok kündigte an, die Entscheidung rechtlich zu prüfen, betonte jedoch auch, dass viele der kritisierten Praktiken bereits überarbeitet worden seien. So wurden bei Nutzern unter 16 Jahren die Profile standardmäßig auf „privat“ gestellt, wodurch deren Inhalte nicht mehr im „Für dich“-Feed erscheinen. Auch in Bezug auf Datenschutzerklärungen und altersgerechte Inhalte habe es Verbesserungen gegeben, um die Einhaltung der DSGVO sicherzustellen.
Weitere Bußgelder und neue Prüfverfahren gegen TikTok: DSGVO bleibt Dauerbrenner
Die Entscheidung der DPC vom September 2023 war jedoch nicht das Ende der Auseinandersetzung gegen TikTok. Im Mai 2025 wurde ein weiteres Bußgeld in Höhe von 530 Millionen Euro gegen TikTok verhängt – diesmal wegen unzulässiger Übermittlung personenbezogener Daten nach China. Ein erneuter Verstoß gegen die DSGVO.
Besonders schwer wog, dass TikTok im Rahmen einer vorherigen Untersuchung falsche Angaben gemacht hatte: Entgegen der ursprünglichen Aussage wurden Daten europäischer Nutzer doch auf chinesischen Servern gespeichert. Zunächst wurde lediglich behauptet, dass in China ansässige Mitarbeiter Zugriff auf die Daten hätten.
Juli 2025: Weitere DSGVO-Verstöße von TikTok im Fokus
Auch im Juli 2025 fanden erneute Untersuchungen gegen TikTok statt, welche sich fokussiert auf folgende DSGVO-Verstöße konzentrierten:
- Artikel 5 Abs. 2 DSGVO – Rechenschaftspflicht
- Artikel 13 Abs. 1 lit. f DSGVO – Transparenz bei Drittlandübermittlungen
- Artikel 31 DSGVO – Kooperation mit Aufsichtsbehörden
- Artikel 46 DSGVO – Sicherheit bei Datenübermittlung in Drittstaaten
Diese Entwicklung zeigt, dass TikTok trotz Nachbesserungen weiterhin im Visier der Datenschutzaufsicht steht und weitere Bußgelder wegen DSGVO-Verstößen nicht unwahrscheinlich sind.
Fazit: DSGVO setzt TikTok klare Grenzen
Die Bußgeldentscheidungen gegen TikTok markieren einen Wendepunkt in der Durchsetzung der DSGVO gegenüber globalen Social-Media-Konzernen. Insbesondere der Schutz von Kindern und Jugendlichen wird künftig verstärkt im Mittelpunkt regulatorischer Maßnahmen stehen.
TikTok dient als Beispiel für die Grenzen datengesteuerter Plattformen im europäischen Rechtsraum. Die Fälle machen auch deutlich: Datenschutz und DSGVO sind keine statischen Themen – sie entwickeln sich weiter, und Unternehmen wie TikTok, die auf den europäischen Markt drängen, müssen ihre Produkte und Prozesse daran ausrichten.
Sie benötigen anwaltliche Unterstützung zur Umsetzung der DSGVO? Unsere spezialisierten Anwälte im IT- und Datenschutzrecht beraten Sie gerne. Hier können Sie einen Termin vereinbaren.
❓ FAQ: Bußgeld gegen TikTok & DSGVO-Verstoß
TikTok wurde wegen mehrerer schwerwiegender Datenschutzverstöße gegen die DSGVO sanktioniert. Die irische Datenschutzbehörde (DPC) stellte unter anderem fest, dass TikTok Kinderprofile standardmäßig öffentlich machte („public-by-default“), eine mangelhafte Altersverifikation implementiert hatte und keine altersgerechte Transparenz bei Datenschutzhinweisen bot.
Kinder gelten laut DSGVO als besonders schutzbedürftig. Sie sind sich der Risiken, Folgen und ihrer Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten häufig nicht bewusst. Deshalb fordert die DSGVO klare Schutzmaßnahmen, eine verständliche Sprache in Datenschutzerklärungen und strenge Zugriffskontrollen – insbesondere bei Plattformen wie TikTok, die sich primär an Minderjährige richten.
Das Kohärenzverfahren nach Artikel 63 DSGVO dient der Abstimmung zwischen den europäischen Datenschutzaufsichtsbehörden bei grenzüberschreitenden Fällen. Im Fall TikTok hatte die irische Aufsicht den Lead, jedoch intervenierten u. a. deutsche und italienische Behörden, was zur Einschaltung des Europäischen Datenschutzausschusses (EDSA) führte. Dieser traf schließlich die verbindliche Entscheidung für das Bußgeld.
Ja. Im Mai 2025 verhängte die irische Datenschutzbehörde (DPC) ein weiteres Bußgeld in Höhe von 530 Millionen Euro – diesmal wegen der unzulässigen Übermittlung personenbezogener Daten europäischer Nutzer nach China, was erneut einen DSGVO-Verstoß darstellte.
Zusätzlich leitete die DPC im Juli 2025 ein neues Verfahren gegen TikTok ein, in dem mögliche Verstöße gegen Artikel 13, 31 und 46 DSGVO im Zusammenhang mit Drittlandübermittlungen sowie mangelnder Kooperation mit Aufsichtsbehörden untersucht werden.
Eine Entscheidung über mögliche Bußgelder gegen TikTok steht derzeit noch aus.
Artikel 25 DSGVO verpflichtet Verantwortliche, bereits bei der Gestaltung von Systemen und Prozessen („Privacy by Design & Default“) Datenschutzmaßnahmen zu integrieren. TikTok hat dagegen verstoßen, indem Kinderprofile standardmäßig öffentlich sichtbar waren. Das wurde von der Aufsichtsbehörde als besonders gravierend gewertet, weil die Plattform sich auch an Minderjährige richtet.
Die DSGVO erlaubt Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dieser Rahmen gilt für alle Verantwortlichen und Auftragsverarbeiter, unabhängig von ihrer Marktstellung.
TikTok ermöglichte Kindern unter 13 Jahren, sich ohne sichere Nachweismethoden zu registrieren. Die Plattform vertraute dabei zu sehr auf die Selbstangabe von Geburtsdaten – ein System, das leicht umgangen werden kann und damit gegen die DSGVO verstößt. Eine wirksame Altersverifikation erfordert zusätzliche technische Maßnahmen (z. B. ID-Check, Gesichtsanalyse oder Elternfreigabe). Ohne diese fehlt der Nachweis, dass Nutzungsbedingungen tatsächlich eingehalten werden.
Mit dem Feature „Family Pairing“ von TikTok konnten Erwachsene mit Kinderkonten verknüpft werden, um z. B. Zeitlimits oder Inhalte zu steuern. Problematisch war, dass kein Nachweis einer elterlichen Sorgeverpflichtung verlangt wurde. So konnten theoretisch auch fremde Erwachsene mit Kinderkonten interagieren – inklusive Direktnachrichten. Dies stellt ebenfalls einen DSGVO-Verstoß dar, konkret von Artikel 5 und 25 DSGVO.