TikTok im Visier der Datenschutzbehörden: Mit einem Bußgeld in Rekordhöhe von 345 Millionen Euro setzt die EU ein klares Zeichen gegen DSGVO-Verstöße und mangelhaften Datenschutz – besonders beim Schutz von Kindern. Das DSGVO-Bußgeld gegen TikTok zählt damit zu den höchsten Sanktionen europäischer Datenschutzbehörden. Was hinter der Entscheidung der irischen Datenschutzbehörde steckt und welche DSGVO-Verstöße TikTok zur Last gelegt werden, analysieren wir im Detail.
Warum TikTok ein Rekord-Bußgeld zahlen musste
Die irische Datenschutzbehörde (Data Protection Commission – DPC) hat ein richtungsweisendes Bußgeld gegen TikTok in Höhe von 345 Millionen Euro verhängt. Der Vorwurf: gravierende Datenschutzverstöße bei TikTok, insbesondere zulasten von Kindern und Jugendlichen.
Die Entscheidung basiert auf einer Untersuchung, die bereits im Juli 2020 begann und TikToks Umgang mit personenbezogenen Daten Minderjähriger im Europäischen Wirtschaftsraum (EWR) beleuchtete. Der Fokus lag dabei auf den Voreinstellungen von Nutzerkonten, der Altersverifikation auf TikTok sowie der Transparenz der Datenschutzerklärung für junge Nutzer.
Die Entscheidung ist ein Weckruf für alle Social-Media-Plattformen, ihrer besonderen Verantwortung gegenüber Kindern im digitalen Raum gerecht zu werden – insbesondere unter Berücksichtigung von Artikel 5, 12, 13, 24 und 25 DSGVO.
TikTok & DSGVO: Datenschutzverstöße mit Folgen für Minderjährige
Öffentliche Kinderprofile – Verstoß gegen Art. 25 DSGVO
Ein zentrales Ergebnis der Untersuchung war, dass TikTok für Nutzer unter 18 Jahren öffentlich sichtbare Profile als Standardeinstellung verwendete. Diese Praxis von TikTok – bekannt als „Public-by-default“ – ermöglichte es jedem, einschließlich nicht eingeloggter Nutzer, auf Inhalte von Jugendlichen zuzugreifen.
Laut der DPC stellte dies von TikTok einen klaren Verstoß gegen Artikel 25 DSGVO dar, der die Pflicht zu datenschutzfreundlichen Voreinstellungen vorschreibt. Besonders problematisch: Viele Minderjährige auf TikTok waren sich nicht bewusst, dass ihre Inhalte öffentlich sichtbar waren.
Unzureichende Altersverifikation auf TikTok
Ein weiterer DSGVO-Verstoß betraf die mangelhafte Altersverifikation. TikTok ließ es zu, dass sich Kinder unter 13 Jahren ohne verlässliche Nachweise registrieren konnten – ein klarer Verstoß gegen die eigenen Nutzungsrichtlinien und gegen Artikel 24 DSGVO.
Damit wurde der Zugang zu personenbezogenen Daten von Kindern ohne angemessene Schutzmaßnahmen auf TikTok ermöglicht, was schwerwiegende Datenschutzrisiken für Kinder darstellt und das Bußgeld begründete.
Fehlende Transparenz für Kinder – Verstoß gegen Art. 12 und 13 DSGVO
Zudem bemängelte die DPC die unzureichende Transparenz der Datenschutzhinweise von TikTok. Kinder erhielten keine klaren und verständlichen Informationen über die Verarbeitung ihrer Daten. Risiken wie die Sichtbarkeit öffentlicher Profile, Datenweitergaben an Dritte oder die Nutzung durch andere Dienste wurden von TikTok nicht altersgerecht erklärt – ein Verstoß gegen Artikel 12 und 13 DSGVO, welcher ein hohes Bußgeld zur Folge hatte.
Kohärenzverfahren: EU-weite Entscheidung gegen TikTok
Die Entscheidung gegen TikTok wurde im Rahmen des Kohärenzverfahrens der DSGVO getroffen. Nachdem der irische Entscheidungsentwurf an andere EU-Aufsichtsbehörden übermittelt wurde, legten unter anderem deutsche und italienische Behörden Widerspruch ein.
Der Europäische Datenschutzausschuss (EDSA) übernahm daraufhin die Streitbeilegung gemäß Artikel 65 DSGVO und veröffentlichte im August 2023 einen verbindlichen Beschluss gegen TikTok.
Family Pairing und Datenschutzrisiken
Ein besonders kritischer Aspekt bei TikTok war das sogenannte „Family Pairing“-Feature. Es ermöglichte es erwachsenen Nutzern – ohne Nachweis einer Erziehungsberechtigung, Direktnachrichten mit Kinderkonten zu aktivieren.
Auch hier stellte die DPC einen Verstoß gegen die DSGVO durch Technikgestaltung (Artikel 25) und den Grundsatz der Verarbeitung nach Treu und Glauben (Artikel 5 DSGVO) fest.
Diese DSGVO-Vorschriften hat TikTok verletzt
Die von der DPC verhängten Sanktionen gegen TikTok beruhen auf DSGVO-Verstößen gegen:
- Artikel 5 DSGVO – Datenminimierung, Fairness
- Artikel 12 und 13 DSGVO – Informationspflichten
- Artikel 24 DSGVO – Verantwortlichkeit
- Artikel 25 DSGVO – Datenschutz durch Technikgestaltung
Insgesamt verhängten die Datenschutzbehörden ein DSGVO-Bußgeld gegen TikTok in Höhe von 345 Millionen Euro.
TikToks Reaktion auf das Bußgeld und zukünftige Entwicklungen im Datenschutz & der DSGVO
TikToks Stellungnahme & Änderungen in der Praxis
TikTok kündigte an, die Entscheidung rechtlich zu prüfen, betonte jedoch auch, dass viele der kritisierten Praktiken bereits überarbeitet worden seien. So wurden bei Nutzern unter 16 Jahren die Profile standardmäßig auf „privat“ gestellt, wodurch deren Inhalte nicht mehr im „Für dich“-Feed erscheinen. Auch in Bezug auf Datenschutzerklärungen und altersgerechte Inhalte habe es Verbesserungen gegeben, um die Einhaltung der DSGVO sicherzustellen.
Weitere DSGVO-Verfahren gegen TikTok
Die Entscheidung der DPC vom September 2023 war jedoch nicht das Ende der Auseinandersetzung gegen TikTok. Im Mai 2025 wurde ein weiteres Bußgeld in Höhe von 530 Millionen Euro gegen TikTok verhängt – diesmal wegen unzulässiger Übermittlung personenbezogener Daten nach China. Ein weiterer schwerwiegender Datenschutzverstoß bei TikTok.
Besonders schwer wog, dass TikTok im Rahmen einer vorherigen Untersuchung falsche Angaben gemacht hatte: Entgegen der ursprünglichen Aussage wurden Daten europäischer Nutzer doch auf chinesischen Servern gespeichert. Zunächst wurde lediglich behauptet, dass in China ansässige Mitarbeiter Zugriff auf die Daten hätten.
Juli 2025: Weitere DSGVO-Verstöße von TikTok im Fokus
Auch im Juli 2025 fanden erneute Untersuchungen gegen TikTok statt, welche sich fokussiert auf folgende DSGVO-Verstöße konzentrierten:
- Artikel 5 Abs. 2 DSGVO – Rechenschaftspflicht
- Artikel 13 Abs. 1 lit. f DSGVO – Transparenz bei Drittlandübermittlungen
- Artikel 31 DSGVO – Kooperation mit Aufsichtsbehörden
- Artikel 46 DSGVO – Sicherheit bei Datenübermittlung in Drittstaaten
Diese Entwicklung zeigt, dass TikTok trotz Nachbesserungen weiterhin im Visier der Datenschutzaufsicht steht und weitere Bußgelder wegen DSGVO-Verstößen nicht unwahrscheinlich sind.
Fazit: DSGVO setzt TikTok klare Grenzen
Der TikTok & DSGVO Kinderschutz markiert einen Wendepunkt in der Durchsetzung des europäischen Datenschutzrechts gegenüber globalen Plattformen. Insbesondere der Schutz von Kindern und Jugendlichen wird künftig verstärkt im Mittelpunkt regulatorischer Maßnahmen stehen.
TikTok dient als Beispiel für die Grenzen datengesteuerter Plattformen im europäischen Rechtsraum. Die Fälle machen auch deutlich: Datenschutz und DSGVO sind keine statischen Themen – sie entwickeln sich weiter, und Unternehmen wie TikTok, die auf den europäischen Markt drängen, müssen ihre Produkte und Prozesse daran ausrichten.
Fragen zum DSGVO-Verstoß oder zu Bußgeldern gegen TikTok?
Wenn Sie Fragen zu DSGVO-Verstößen, Datenschutzverletzungen oder möglichen Bußgeldern haben, unterstützen wir Sie gerne. Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie nicht nur zu TikTok und Social-Media-Plattformen, sondern auch zu Themen wie Datenschutz-Folgenabschätzungen, Drittlandübermittlungen, Transparenzpflichten und Compliance-Strukturen nach DSGVO.
Vereinbaren Sie gerne einen Beratungstermin!
❓ FAQ: Bußgeld gegen TikTok & DSGVO-Verstoß
Datenschutzverstöße bei TikTok verursachten 345 Mio. € Bußgeld zum Schutz von Kindern. Die DPC beanstandete öffentliche Kinderprofile, mangelhafte Altersverifikation und fehlende altersgerechte Transparenz. Diese Verstöße gegen Art. 5, 12, 24 und 25 DSGVO führten zu einer der höchsten Sanktionen in der EU.
Kinder gelten laut DSGVO als besonders schutzbedürftig. Sie können Risiken, Verarbeitungszwecke und ihre eigenen Rechte oft nicht einschätzen, weshalb Artikel 5, 6, 8 und 12 DSGVO besonders hohe Anforderungen an Plattformen stellt. Deshalb fordert die DSGVO klare Schutzmaßnahmen, eine kindgerechte Sprache in Datenschutzerklärungen und strenge Zugriffskontrollen – insbesondere bei Diensten wie TikTok, die sich primär an Minderjährige richten.
Das Kohärenzverfahren ist ein EU-weiter Abstimmungsmechanismus nach Artikel 63 DSGVO, der einheitliche Entscheidungen der Datenschutzbehörden bei grenzüberschreitenden Fällen sicherstellt. Es greift, wenn nationale Aufsichtsbehörden uneinig sind. In solchen Fällen entscheidet der Europäische Datenschutzausschuss (EDSA) verbindlich und sorgt für konsistente DSGVO-Durchsetzung.
Ja. Im Mai 2025 verhängte die irische Datenschutzbehörde (DPC) ein weiteres Bußgeld in Höhe von 530 Millionen Euro – diesmal wegen der unzulässigen Übermittlung personenbezogener Daten europäischer Nutzer nach China, was erneut einen DSGVO-Verstoß darstellte.
Zusätzlich leitete die DPC im Juli 2025 ein neues Verfahren gegen TikTok ein, in dem mögliche Verstöße gegen Artikel 13 (Transparenz), Artikel 31 (Mitwirkungspflichten) und Artikel 46 DSGVO (Drittlandübermittlungen) untersucht werden.
Eine endgültige Entscheidung über weitere Bußgelder gegen TikTok steht derzeit noch aus.
Artikel 25 DSGVO verpflichtet Verantwortliche, bereits bei der Gestaltung von Systemen und Prozessen („Privacy by Design & Default“) angemessene Datenschutzmaßnahmen zu integrieren. TikTok hat dagegen verstoßen, indem Kinderprofile standardmäßig öffentlich sichtbar waren. Dies wurde als besonders gravierend gewertet, da Kinder besondere Schutzbedürfnisse haben und TikTok eine überwiegend jugendliche Nutzerbasis besitzt. Der Verstoß gegen Artikel 25 war ein zentraler Faktor für das hohe Bußgeld.
Die DSGVO erlaubt Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Große Plattformen wie TikTok können daher Bußgelder in dreistelliger Millionenhöhe treffen, wenn systematische Datenschutzverstöße nachgewiesen werden. Dieser Rahmen gilt unabhängig von der Marktstellung.
TikTok ermöglichte Kindern unter 13 Jahren, sich ohne sichere Nachweismethoden zu registrieren. Die Plattform vertraute dabei überwiegend auf die reine Selbsteingabe des Geburtstags – ein System, das leicht manipulierbar ist und gegen die DSGVO verstößt.
Eine wirksame Altersverifikation erfordert zusätzliche Maßnahmen wie:
- ID-Checks
- Gesichtsanalyseverfahren („Age Estimation“)
- Elternfreigaben (Parental Consent)
Da TikTok diese Schutzmechanismen nicht implementierte, war der Kinder- und Jugendschutz unzureichend.
Das „Family Pairing“-Feature erlaubte die Verknüpfung von Erwachsenen- mit Kinderkonten, ohne einen Nachweis der elterlichen Sorge zu verlangen. Dadurch konnten auch unbefugte Erwachsene Funktionen wie Direktnachrichten aktivieren. Diese fehlende Schutzprüfung erhöhte das Missbrauchsrisiko für Minderjährige und verstieß gegen zentrale DSGVO-Grundsätze.
Das DSGVO-Bußgeld gegen TikTok hat klare Präzedenzwirkung für andere Social-Media-Plattformen. Datenschutzbehörden erwarten künftig konsequenten Kinderschutz, datenschutzfreundliche Default-Einstellungen und transparente Informationen. Öffentliche Profile für Minderjährige oder unzureichende Schutzmechanismen können zu hohen DSGVO-Bußgeldern führen. Plattformen müssen ihre Technikgestaltung und Voreinstellungen DSGVO-konform ausrichten.
Plattformen müssen beim Datenschutz von Kindern insbesondere Artikel 8, 12 und 25 DSGVO beachten. Dazu gehören eine wirksame Altersverifikation, altersgerechte Datenschutzhinweise sowie datenschutzfreundliche Voreinstellungen. Der Schutz minderjähriger Nutzer hat Vorrang, da Kinder als besonders schutzbedürftige Personengruppe gelten.
Ja, ein DSGVO-Verstoß kann weitreichende Folgen haben. Neben Bußgeldern drohen zusätzliche Aufsichtsmaßnahmen, Schadenersatzansprüche betroffener Personen und erhebliche Reputationsschäden. Zudem steigt das Risiko weiterer Prüfverfahren durch Datenschutzbehörden, was langfristig zu Vertrauensverlust bei Nutzern und Geschäftspartnern führen kann.
Weiterführende Themen
OLG Hamm Facebook-Datenleck und Art. 82 DSGVO
Das OLG Hamm verneint einen DSGVO-Schadensersatz beim Facebook-Datenleck. Trotz Datenschutzverstoß fehlt ohne konkreten immateriellen Schaden ein Anspruch nach Art. 82 DSGVO. Das Urteil ist richtungsweisend für Scraping-Fälle und Klagen gegen Meta.
DSGVO-Verstoß: Bußgeld gegen TikTok von 345 Mio. €
Die irische Datenschutzbehörde verhängt 345 Mio. € Bußgeld gegen TikTok wegen DSGVO-Verstößen beim Schutz von Kindern. Der Beitrag analysiert die Entscheidung, betroffene DSGVO-Artikel, weitere Verfahren und die Folgen für Social-Media-Unternehmen.