Im Januar 2025 sorgte die Datenschutzorganisation noyb (None of Your Business) erneut für Aufsehen. Diesmal nahm sie sechs große chinesische Unternehmen ins Visier, darunter TikTok, AliExpress, SHEIN, Temu, WeChat und Xiaomi. Der Vorwurf: Unrechtmäßige Übermittlung personenbezogener Daten europäischer Nutzer nach China, ohne ausreichende Schutzmaßnahmen oder die Zustimmung der Betroffenen. Diese Beschwerden könnten weitreichende Folgen haben – sowohl für die betroffenen Unternehmen als auch für die Datenschutzlandschaft in der EU.
Warum sind Datenübertragungen nach China problematisch?
Die Datenschutz-Grundverordnung (DSGVO) regelt klar, dass personenbezogene Daten aus der EU nur in Länder übermittelt werden dürfen, die ein angemessenes Datenschutzniveau gewährleisten. Da China keine Angemessenheitsentscheidung der EU-Kommission besitzt, müssen Unternehmen strenge Schutzmaßnahmen ergreifen, bevor sie Daten dorthin übertragen. Dazu gehören insbesondere Standardvertragsklauseln (SCCs) und zusätzliche technische Maßnahmen, um den Zugriff durch Behörden oder Dritte zu verhindern.
Das Problem: Chinas Gesetzgebung ermöglicht es staatlichen Stellen, auf Unternehmensdaten zuzugreifen, selbst wenn diese ursprünglich aus dem Ausland stammen. Dies steht im Widerspruch zu den europäischen Datenschutzanforderungen und birgt erhebliche Risiken für die Privatsphäre der betroffenen Nutzer.
Welche Unternehmen stehen im Fokus?
Die Beschwerden von noyb richten sich gegen sechs große Plattformen, die in Europa weit verbreitet sind:
- TikTok – Die Videoplattform gibt in ihren Datenschutzrichtlinien offen an, dass sie Daten an verbundene Unternehmen und Dienstleister in China weitergibt.
- AliExpress – Der Online-Marktplatz gehört zur Alibaba Group und überträgt laut Datenschutzbestimmungen Daten in mehrere Länder, darunter auch China.
- SHEIN – Der Modehändler hat seinen Ursprung in China und verarbeitet personenbezogene Daten für Logistik- und Marketingzwecke, wobei unklar bleibt, welche Schutzmaßnahmen für europäische Nutzerdaten bestehen.
- Temu – Die Shopping-App boomt in Europa, gibt aber nur vage an, dass Daten in „Drittländer“ übertragen werden. Eine Nennung Chinas als spezifisches Zielland fehlt.
- WeChat – Als beliebteste Messenger-App in China unterliegt WeChat strengen nationalen Vorschriften, die es Behörden ermöglichen, auf Nutzerkommunikation zuzugreifen.
- Xiaomi – Der Smartphone-Hersteller sammelt Daten zur Verbesserung seiner Software-Dienste. Auch hier gibt es Hinweise auf Datenübertragungen nach China.
Die Beschwerden konzentrieren sich darauf, dass diese Unternehmen entweder keine ausreichenden Schutzmaßnahmen für Datenübertragungen getroffen haben oder nicht transparent genug mit den Informationen umgehen, wohin und in welcher Form Nutzerdaten weitergegeben werden.
Welche Risiken bestehen für europäische Nutzer?
Die potenzielle Datenweitergabe an chinesische Behörden ist der zentrale Kritikpunkt. In China existieren Gesetze, die Unternehmen zur Kooperation mit Sicherheitsbehörden verpflichten. Dadurch könnten personenbezogene Daten europäischer Bürger ohne deren Wissen eingesehen und ausgewertet werden.
Mögliche Risiken umfassen:
- Überwachung und Profilbildung: Daten könnten zur Analyse des Verhaltens und der Interessen von Personen genutzt werden.
- Gezielte Manipulation: Insbesondere Plattformen wie TikTok könnten theoretisch genutzt werden, um Inhalte zu steuern oder bestimmte Narrative zu verbreiten.
- Missbrauch sensibler Daten: Adressdaten, Kaufverhalten oder biometrische Informationen könnten in falsche Hände geraten.
Angesichts dieser Risiken fordert noyb, dass Datenübertragungen nach China sofort ausgesetzt werden und hohe Bußgelder verhängt werden.
Wie reagieren die Unternehmen und Behörden?
Bisher haben nicht alle betroffenen Unternehmen eine offizielle Stellungnahme abgegeben. Xiaomi kündigte eine interne Prüfung der Vorwürfe an und erklärte, mit den europäischen Datenschutzbehörden kooperieren zu wollen. Andere Firmen, wie TikTok und AliExpress, verwiesen auf ihre bestehenden Datenschutzmaßnahmen, ohne auf die spezifischen Anschuldigungen einzugehen.
Europäische Datenschutzbehörden prüfen derzeit die Beschwerden und könnten in den kommenden Monaten Untersuchungen einleiten oder sogar erste Maßnahmen verhängen. Je nach Schwere der Verstöße drohen den Unternehmen Geldbußen von bis zu 4 % ihres weltweiten Jahresumsatzes, was gerade für Firmen wie TikTok oder AliExpress Milliardenbeträge bedeuten könnte.
Fazit: noyb erhöht den Druck auf internationale Datenflüsse
Die aktuellen Beschwerden von noyb zeigen erneut, dass internationale Datenübertragungen unter der DSGVO streng reguliert sind und Verstöße nicht ohne Folgen bleiben. Besonders problematisch sind Datenflüsse in Länder mit autoritären Strukturen, in denen keine ausreichenden Garantien für die Privatsphäre der Nutzer bestehen.
Sollten die Datenschutzbehörden den Beschwerden von noyb stattgeben, könnte dies weitreichende Konsequenzen haben: Unternehmen, die personenbezogene Daten in Drittstaaten übertragen, müssten noch strengere Maßnahmen ergreifenoder ihre Geschäftsmodelle überdenken. Dies wäre ein weiterer Schritt zur Durchsetzung europäischer Datenschutzstandards, selbst gegenüber global agierenden Konzernen.
Die kommenden Monate werden zeigen, ob TikTok, SHEIN und Co. Änderungen an ihren Datenschutzpraktiken vornehmen müssen – oder ob sich europäische Behörden gegenüber den großen Tech-Konzernen durchsetzen können.
