TikTok und Datenschutz: Was Sie wissen müssen

TikTok gehört längst zum Alltag vieler Menschen – besonders der jüngeren Generation. Die App wird nicht nur zum Tanzen, Singen oder Teilen lustiger Clips genutzt, sondern ist auch Plattform für politische Meinungen, Bildungsinhalte und Marketingstrategien ganzer Unternehmen geworden. Inzwischen ist TikTok weit mehr als eine Unterhaltungs-App. Sie ist ein globaler Daten-Magnet – und genau das macht sie aus datenschutzrechtlicher Sicht so problematisch.

Was für viele Nutzer harmlos wirkt, hat hinter den Kulissen erhebliche juristische Relevanz: TikTok sammelt in großem Umfang personenbezogene Daten – oft still und leise, manchmal ohne informierte Zustimmung. Neben klassischen Informationen wie Name, E-Mail oder Standort geht es auch um sensible Daten wie Gesichtserkennung, Sprachmuster und Nutzungsverhalten. Hinzu kommt: Die dahinterstehende Firma ByteDance hat ihren Hauptsitz in China – was aus Sicht europäischer Datenschützer sofort alle Alarmglocken schrillen lässt.

Auch die öffentliche Debatte ist längst entbrannt: Datenschutzbehörden ermitteln, erste Millionen-Bußgelder wurden verhängt, und immer mehr Länder denken über Einschränkungen oder Verbote nach. Selbst in der Europäischen Union wird TikTok mittlerweile deutlich kritischer betrachtet – nicht zuletzt wegen des unklaren Umgangs mit den Daten von Kindern und Jugendlichen.

Doch was genau ist das Problem mit TikTok und dem Datenschutz? Wer ist eigentlich verantwortlich für die Datenverarbeitung? Und worauf müssen Sie als Nutzer oder als Unternehmen achten, wenn Sie TikTok privat oder geschäftlich nutzen?

Dieser Beitrag liefert Ihnen einen umfassenden Überblick über die datenschutzrechtlichen Fallstricke rund um TikTok – verständlich erklärt, rechtlich fundiert und mit konkreten Tipps für den Umgang mit der beliebten App.

Übersicht:

Wer steckt hinter TikTok? – Ein Blick auf die Unternehmensstruktur
Welche Daten sammelt TikTok eigentlich?
Einwilligung und DSGVO: Ist TikToks Datenerhebung rechtmäßig?
TikTok und Drittstaatentransfer: Ein Datenschutzproblem?
TikTok als Verantwortlicher nach der DSGVO – oder doch nicht?
Bußgelder und behördliche Verfahren gegen TikTok – ein Überblick
Was bedeutet das für Sie als Privatperson?
Pflichten für Unternehmen, die TikTok geschäftlich nutzen
TikTok und Minderjährige: Ein besonders sensibler Bereich
Fazit: TikTok bleibt datenschutzrechtlich ein Risiko – aber steuerbar

Wer steckt hinter TikTok? – Ein Blick auf die Unternehmensstruktur

Um TikTok aus datenschutzrechtlicher Sicht besser beurteilen zu können, lohnt sich ein Blick hinter die Kulissen. Denn die Strukturen des Unternehmens sind komplex – und nicht ohne Grund Gegenstand intensiver politischer und juristischer Diskussionen weltweit.

Betreiberunternehmen ByteDance – ein chinesischer Internet-Gigant

Hinter TikTok steht die chinesische Firma ByteDance Ltd., mit Sitz in Peking, China. ByteDance ist eines der weltweit größten Tech-Unternehmen und betreibt neben TikTok unter anderem auch die in China weit verbreitete Schwester-App Douyin sowie die Nachrichtenplattform Toutiao.

Anders als TikTok richtet sich Douyin ausschließlich an Nutzer in China. Die Apps sehen zwar ähnlich aus, laufen aber technisch getrennt – zumindest offiziell. ByteDance unterliegt als chinesisches Unternehmen jedoch den dort geltenden Gesetzen. Das bedeutet: Theoretisch können chinesische Behörden unter bestimmten Umständen Zugriff auf Daten verlangen – ein Szenario, das insbesondere in Europa für datenschutzrechtliche Bedenken sorgt.

Internationale Serverstandorte – wo landen die TikTok-Daten?

Ein zentrales Problem aus europäischer Sicht ist der Datenfluss über Ländergrenzen hinweg. TikTok selbst betont, dass viele Daten von EU-Nutzern heute auf Servern in Irland und Norwegen verarbeitet werden. Mit dem sogenannten „Project Clover“ will TikTok das Vertrauen in seine europäische Datenspeicherung stärken. Ziel ist es, möglichst viele Daten europäischer Nutzer innerhalb der EU zu halten.

Doch zugleich ist bekannt: Auch Server in den USA und Singapur sind in die Datenverarbeitung eingebunden. Damit fließen regelmäßig personenbezogene Informationen in sogenannte Drittländer, also Staaten außerhalb des Europäischen Wirtschaftsraums. Das ist aus Sicht der DSGVO nur unter strengen Voraussetzungen zulässig – insbesondere, wenn dort kein angemessenes Datenschutzniveau herrscht.

TikTok Inc. in Europa und den USA – wer ist verantwortlich?

In rechtlicher Hinsicht tritt TikTok in Europa durch die TikTok Technology Limited mit Sitz in Dublin, Irland auf. Dieses Unternehmen ist nach eigener Darstellung für Nutzer in der EU, der Schweiz und Großbritannien zuständig und soll damit auch die Pflichten aus der Datenschutz-Grundverordnung (DSGVO) erfüllen.

Gleichzeitig existiert in den USA die TikTok Inc., die wiederum für amerikanische Nutzer zuständig ist. TikTok Inc. ist eng mit ByteDance verbunden – was nicht nur die organisatorische Trennung schwierig macht, sondern auch Datenschutzprobleme aufwirft: Immer wieder wird vermutet, dass technische Systeme und Mitarbeitende über beide Gesellschaften hinweg zusammenarbeiten – mit unklarer Abgrenzung der Verantwortlichkeiten.

Diese Konzernverflechtung erschwert eine klare Zuweisung datenschutzrechtlicher Zuständigkeiten. Für europäische Aufsichtsbehörden stellt sich damit regelmäßig die Frage: Wird die DSGVO tatsächlich eingehalten – oder gibt es eine Umgehung durch den Rückgriff auf außereuropäische Ressourcen?

nach oben

Welche Daten sammelt TikTok eigentlich?

TikTok ist in erster Linie eine Plattform zur Unterhaltung. Doch wer glaubt, dass es bei der App nur um Musikvideos, Comedy und Lifestyle geht, der irrt gewaltig. Im Hintergrund arbeitet ein hochentwickeltes datengestütztes System, das Nutzer auf Schritt und Tritt beobachtet – mit dem Ziel, ein möglichst genaues Profil zu erstellen. Das Besondere: TikTok sammelt nicht nur offensichtliche Informationen wie Name oder Standort, sondern auch sensible und teilweise versteckte Daten über Ihre Person, Ihr Verhalten und sogar Ihre biometrischen Merkmale.

Für Datenschützer wirft das erhebliche rechtliche Fragen auf, insbesondere im Hinblick auf die DSGVO – denn TikTok erhebt nicht nur sehr viele Daten, sondern geht dabei oft auch sehr intransparent vor.

1. Umfang der Datenerhebung bei der App-Nutzung

Schon die bloße Installation der App kann weitreichende Folgen haben. Sobald Sie TikTok öffnen, beginnt die Anwendung, Informationen zu erfassen – und zwar unabhängig davon, ob Sie sich aktiv registrieren oder nicht.

TikTok erfasst unter anderem:

• Den Gerätetyp und die genaue Modellbezeichnung
• Das verwendete Betriebssystem
• Die Spracheinstellungen
• Die IP-Adresse (woraus sich der ungefähre Standort und die Internetverbindung ableiten lassen)
• Die Geräte-ID sowie MAC-Adresse
• Die Mobilfunknummer (sofern angegeben oder durch Zugriff auf SIM-Karten-Informationen erschlossen)
• Den Mobilfunkanbieter

Sobald Sie sich registrieren – etwa per E-Mail, Telefonnummer oder Social-Media-Login – kommen noch zusätzliche Informationen hinzu:

• Name
• Alter bzw. Geburtsdatum
• Geschlecht (optional)
• Profilbild
• ggf. Interessen (z. B. ausgewählt bei der Kontoerstellung)

Diese Informationen nutzt TikTok nicht nur zur Kontoerstellung, sondern auch, um Inhalte auf der sogenannten „For You Page“ algorithmisch zu personalisieren.

Doch TikTok geht noch weiter: Die App greift auf andere Funktionen des Smartphones zu – etwa Kamera, Mikrofon, Zwischenablage, Adressbuch oder Kalendereinträge – wenn entsprechende Zugriffsrechte gewährt wurden. Selbst Inhalte aus der Zwischenablage (also Texte oder Links, die Sie kopiert haben) können ausgelesen werden, was vor allem bei iPhones durch die Datenschutzfunktionen von Apple offengelegt wurde.

2. Standortdaten, Kontakte, biometrische Daten, Nutzungsverhalten

Ein zentraler Kritikpunkt betrifft die Vielfalt und Tiefe der erfassten Datenkategorien.

Standortdaten

TikTok kann – je nach Konfiguration – Ihren genauen GPS-Standort erfassen. Ist die Ortungsfunktion deaktiviert, nutzt die App dennoch andere Informationen, um Ihren Aufenthaltsort zu rekonstruieren. Dazu gehören:

• IP-Adresse
• WLAN-Informationen
• Bluetooth-Signale
• Mobilfunkzellen

Diese Standortdaten sind nicht nur für personalisierte Inhalte oder regionale Trends relevant, sondern vor allem für das zielgerichtete Schalten von Werbung. TikTok kann anhand Ihres Standorts ableiten, wo Sie wohnen, arbeiten oder sich regelmäßig aufhalten – und Ihnen dementsprechend Inhalte oder Werbeanzeigen zuspielen.

Kontakte und soziale Daten

Wenn Sie TikTok die Berechtigung geben, auf Ihre Kontakte zuzugreifen, übermittelt Ihr Gerät sämtliche gespeicherten Telefonnummern, E-Mail-Adressen und Namen an TikTok. Dies betrifft auch Personen, die selbst gar kein TikTok-Konto besitzen – eine aus datenschutzrechtlicher Sicht besonders problematische Praxis. Denn die betroffenen Dritten haben dieser Datenübermittlung in der Regel nicht zugestimmt, was einen Verstoß gegen Art. 6 DSGVO darstellen kann.

Biometrische Daten

TikTok steht im Verdacht, biometrische Informationen wie Gesichtsmerkmale, Stimmerkennung oder Bewegungsmuster zu analysieren – etwa zur Verbesserung der Videowiedergabe, zur Moderation von Inhalten oder zur Alterserkennung. In den USA hat TikTok bereits Klagen wegen angeblich unerlaubter Erhebung biometrischer Daten beigelegt.

In der EU gilt: Biometrische Daten fallen unter besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung oder ein gesetzlicher Erlaubnistatbestand vor. TikTok verweist in seiner Datenschutzerklärung zwar auf mögliche Erhebungen dieser Daten – bleibt aber vage und unkonkret, wie genau diese Verarbeitung erfolgt und auf welcher Rechtsgrundlage sie basiert.

Nutzungsverhalten & Profilbildung

TikTok beobachtet jede Interaktion:

• Welche Videos Sie wie lange anschauen
• Wo Sie scrollen, stoppen oder kommentieren
• Was Sie liken, teilen oder speichern
• Mit wem Sie interagieren

Aus diesen Verhaltensmustern erstellt TikTok personalisierte Nutzerprofile, die wiederum die Grundlage für den berühmten TikTok-Algorithmus bilden. Diese Profile dienen nicht nur der Inhaltssteuerung, sondern auch der zielgerichteten Werbung. Das geschieht oft durch das Einbinden externer Tracking-Tools, die über Websites und Apps hinweg Daten sammeln – was datenschutzrechtlich nur mit entsprechender Einwilligung erlaubt ist (vgl. Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TDDDG).

3. TikToks Umgang mit Kindern und Jugendlichen

Ein besonders kritischer Aspekt ist die Nutzung von TikTok durch Minderjährige. Zwar schreibt das Unternehmen in seinen Nutzungsbedingungen, dass das Mindestalter für die Nutzung 13 Jahre beträgt. In der Realität lässt sich diese Grenze jedoch leicht umgehen – ein falsches Geburtsdatum genügt.

TikTok bietet zwar seit einiger Zeit bestimmte Sicherheitsfunktionen für Jugendliche an, wie etwa:

• Voreinstellung des Kontos auf „privat“ bei unter 16-Jährigen
• Begrenzung der Kommentarfunktion
• Begleiteter Modus (Elternaufsicht)
• Einschränkungen bei Direktnachrichten

Doch die Wirksamkeit dieser Schutzmaßnahmen wird von Datenschützern bezweifelt. Die Altersangaben werden nicht überprüft, die Kontrollen sind leicht zu umgehen. Kritisiert wird zudem, dass auch bei jungen Nutzern umfangreiche Trackingmaßnahmen erfolgen, z. B. für personalisierte Inhalte und Werbung.

Nach Art. 8 DSGVO ist für die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren eine elterliche Einwilligung erforderlich. TikTok fordert eine solche Einwilligung aber nicht systematisch ein – was erhebliche rechtliche Risiken birgt und bereits zu Sanktionen durch europäische Aufsichtsbehörden geführt hat.

Fazit dieses Kapitels:
TikTok erfasst mehr Daten, als viele Nutzer vermuten – darunter besonders sensible Informationen, die unter das strengste Datenschutzrecht fallen. Die Intransparenz der Datenerhebung und die Reichweite der Verarbeitung werfen erhebliche Zweifel an der DSGVO-Konformität auf, insbesondere im Hinblick auf Minderjährige. Die nächsten Kapitel beleuchten, ob diese Praxis tatsächlich eine rechtliche Grundlage hat – oder ob TikTok gegen zentrale Prinzipien des europäischen Datenschutzes verstößt.

nach oben

Einwilligung und DSGVO: Ist TikToks Datenerhebung rechtmäßig?

Die Datenschutz-Grundverordnung (DSGVO) verlangt von Unternehmen, dass sie personenbezogene Daten rechtmäßig, transparent und zweckgebunden verarbeiten. Insbesondere wenn es – wie bei TikTok – um große Datenmengen und besonders sensible Informationen geht, sind die rechtlichen Anforderungen besonders hoch.

Ob TikTok diese Anforderungen erfüllt, ist Gegenstand zahlreicher aufsichtsbehördlicher Verfahren in Europa. Dabei geht es vor allem um drei zentrale Fragen:

1. Wird eine wirksame Einwilligung eingeholt?
2. Erfüllt TikTok seine Informations- und Transparenzpflichten?
3. Welche Rechtsgrundlage stützt die Datenverarbeitung – und ist diese zulässig?

1. Erforderlichkeit einer informierten Einwilligung

Die DSGVO sieht mehrere mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor – z. B. die Erfüllung eines Vertrags, ein berechtigtes Interesse oder eben die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Für besonders eingriffsintensive Verarbeitungen – wie etwa Tracking, Profilbildung oder Standortbestimmung – ist in der Regel eine ausdrückliche, informierte und freiwillige Einwilligung erforderlich.

Doch hier liegt ein zentrales Problem: TikToks Einwilligungsmechanismus ist oft undeutlich, vage und technisch verschachtelt. Viele Nutzer wissen nicht genau,

• welche Daten konkret erhoben werden,
• zu welchen Zwecken sie verwendet werden,
• ob die Daten an Dritte (z. B. Werbepartner oder Konzernfirmen) weitergegeben werden,
• und in welche Länder diese übertragen werden.

In der Praxis geschieht die Zustimmung häufig bereits durch das Akzeptieren der Nutzungsbedingungen, ohne dass die Nutzer im Sinne von Art. 4 Nr. 11 DSGVO tatsächlich aufgeklärt werden. Eine solche Einwilligung wäre aber nur dann wirksam, wenn sie:

• freiwillig,
• für den konkreten Fall,
• in informierter Weise
• und unmissverständlich erteilt wird.

Darüber hinaus muss die Einwilligung leicht widerrufbar sein – was bei TikTok ebenfalls nicht ohne weiteres gegeben ist.

Hinzu kommt: Bei Minderjährigen unter 16 Jahren ist die Einwilligung nur dann wirksam, wenn sie durch die Eltern erteilt wurde (Art. 8 DSGVO). TikTok verlässt sich jedoch auf Selbstauskünfte, ohne eine systematische Altersverifikation oder elterliche Bestätigung einzufordern – ein klarer Verstoß gegen die DSGVO.

2. Transparenzpflichten gemäß Art. 12–14 DSGVO

Neben der Einholung einer Einwilligung ist TikTok nach Art. 12–14 DSGVO verpflichtet, transparent und verständlich über die Datenverarbeitung zu informieren. Diese Informationspflicht umfasst insbesondere:

• die Identität des Verantwortlichen,
• den Zweck der Verarbeitung,
• die Rechtsgrundlage,
• die Kategorien der erhobenen Daten,
• eventuelle Empfänger oder Kategorien von Empfängern,
• etwaige Datenübermittlungen in Drittländer,
• die Dauer der Datenspeicherung,
• und die Rechte der betroffenen Personen.

Die Datenschutzerklärung von TikTok ist jedoch häufig zu abstrakt formuliert, technisch überfrachtet und teilweise nur in englischer Sprache vollständig verständlich. Kritisiert wird insbesondere:

• die fehlende Klarheit darüber, welche Daten für welchen konkreten Zweck verwendet werden,
• die unzureichende Information über Datenübertragungen in Drittstaaten,
• und die mangelhafte Erläuterung der automatisierten Entscheidungsfindung (z. B. durch den Empfehlungsalgorithmus).

Zudem ist die Information oft nicht altersgerecht aufbereitet. Gerade bei einer Plattform, die sich stark an Jugendliche richtet, müsste eine Version in einfacher, verständlicher Sprache vorliegen – auch das fordert die DSGVO ausdrücklich (Art. 12 Abs. 1 DSGVO).

Ein weiterer Punkt: Die Datenschutzerklärung von TikTok wird regelmäßig geändert, ohne dass Nutzer in geeigneter Weise auf wesentliche Änderungen hingewiesen oder um erneute Einwilligung gebeten werden. Auch das ist aus datenschutzrechtlicher Sicht problematisch.

3. Probleme mit der Rechtsgrundlage der Verarbeitung

TikTok beruft sich bei der Datenverarbeitung – soweit bekannt – auf verschiedene Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Doch diese Rechtsgrundlagen sind aus Sicht vieler Datenschutzbehörden nicht tragfähig, insbesondere wenn es um Tracking, Profilbildung oder Werbung geht.

➤ Vertragserfüllung:
TikTok versucht, bestimmte Verarbeitungen unter dem Vorwand der Vertragserfüllung zu rechtfertigen – etwa die Profilbildung zur Optimierung des Algorithmus. Doch der EuGH hat bereits in anderen Fällen entschieden, dass solche Zwecke nicht automatisch als „vertraglich erforderlich“ gelten, wenn sie über die Grundfunktion hinausgehen (z. B. bei Meta/Facebook).

➤ Berechtigtes Interesse:
TikTok könnte sich auch auf ein eigenes berechtigtes Interesse stützen – etwa zur Gewährleistung der IT-Sicherheit oder zur Anzeige interessengerechter Inhalte. Doch auch hier verlangt die DSGVO eine sorgfältige Abwägung mit den Interessen und Grundrechten der betroffenen Personen (sog. „Interessenabwägung“). Bei personalisierter Werbung, Gesichtsanalyse oder Verhaltensprofilen überwiegt meist das Schutzinteresse der Nutzer – vor allem, wenn es sich um Kinder oder Jugendliche handelt.

➤ Einwilligung:
Wie oben beschrieben, fehlt es häufig an einer rechtswirksamen Einwilligung. Damit entfällt die wichtigste rechtliche Grundlage für viele Verarbeitungsvorgänge – was ein Verstoß gegen die Grundanforderungen der DSGVO wäre.

Fazit dieses Kapitels

TikTok bewegt sich datenschutzrechtlich auf äußerst dünnem Eis. Die Datenerhebung ist umfangreich, teilweise intransparent und oft nicht durch eine wirksame Einwilligung gedeckt. Auch die Informationspflichten gemäß DSGVO werden nicht in der erforderlichen Form erfüllt. Vor allem die Verarbeitung sensibler oder biometrischer Daten sowie die Nutzung durch Kinder und Jugendliche verstärken die rechtlichen Bedenken.

Für Nutzer bedeutet das: Sie wissen oft nicht genau, was mit ihren Daten geschieht – und TikTok kann sich auf kaum eine rechtlich belastbare Grundlage für viele seiner Datenverarbeitungsvorgänge berufen. Die nächsten Kapitel zeigen, welche Rolle dabei der internationale Datentransfer spielt – und welche Folgen TikTok bereits durch Verfahren der Datenschutzaufsicht zu spüren bekommt.

nach oben

TikTok und Drittstaatentransfer: Ein Datenschutzproblem?

Ein zentrales datenschutzrechtliches Risiko bei der Nutzung von TikTok ergibt sich aus der Übermittlung personenbezogener Daten in sogenannte Drittländer – also Staaten außerhalb des Europäischen Wirtschaftsraums (EWR). Denn dort gelten häufig nicht dieselben hohen Datenschutzstandards wie in der EU. Besonders problematisch wird es, wenn personenbezogene Daten von EU-Bürgern in Länder wie China oder die USA übertragen werden, ohne dass dort ein gleichwertiger Schutz gewährleistet ist.

TikTok steht genau hier im Fokus: Die App wird zwar in Europa angeboten, ihre Datenverarbeitungsprozesse und Serverstandorte sind jedoch weltweit verteilt. Für europäische Datenschützer stellt sich deshalb die Frage: Sind diese Drittstaatentransfers mit der DSGVO vereinbar?

1. Übermittlung personenbezogener Daten in Drittländer

Nach Art. 44 ff. DSGVO ist die Übermittlung personenbezogener Daten in ein Drittland nur zulässig, wenn dort ein angemessenes Schutzniveau sichergestellt ist. Dabei gibt es mehrere Möglichkeiten:

• ein Angemessenheitsbeschluss der EU-Kommission (z. B. für Japan, Südkorea oder das Vereinigte Königreich),
• geeignete Garantien wie Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften (BCR),
• oder in Ausnahmefällen eine ausdrückliche Einwilligung der betroffenen Person.

TikTok verarbeitet Daten nicht nur in Europa (z. B. Irland oder Norwegen), sondern greift auch auf Server in den USA und Singapur zu. Darüber hinaus gibt es Verbindungen zum Mutterkonzern ByteDance in China, was für die Aufsichtsbehörden besonders kritisch ist.

TikTok beteuert zwar, dass die europäischen Daten in Rechenzentren innerhalb der EU gespeichert werden sollen („Project Clover“), gleichzeitig räumt das Unternehmen aber ein, dass bestimmte Mitarbeiter in anderen Ländern weiterhin Zugriff auf die Daten haben – etwa zu Zwecken der Moderation, Fehleranalyse oder Forschung. Auch das stellt eine Datenübermittlung im Sinne der DSGVO dar.

2. Rechtslage nach „Schrems II“ und aktuelle Praxis

Mit dem viel beachteten Urteil „Schrems II“ vom 16.07.2020 (EuGH, Rs. C-311/18) hat der Europäische Gerichtshof das sogenannte Privacy Shield – also den bis dahin geltenden Angemessenheitsbeschluss für die USA – für unwirksam erklärt. Begründung: In den USA haben Behörden wie die NSA weitreichende Zugriffsmöglichkeiten auf Daten europäischer Nutzer – ohne ausreichenden Rechtsschutz oder Klagemöglichkeit für EU-Bürger.

Das hat auch Folgen für TikTok: Denn wenn Daten in die USA oder nach China übertragen werden, muss das Unternehmen besonderen Anforderungen genügen, z. B. durch den Abschluss zusätzlicher Schutzmaßnahmen oder technischer Vorkehrungen wie Verschlüsselung oder Anonymisierung.

Der EuGH hat zudem klargestellt: Verantwortliche müssen selbst prüfen, ob ein angemessenes Datenschutzniveau im Empfängerland besteht – pauschale Verweise auf Standardlösungen reichen nicht aus.

In der Praxis bedeutet das:
TikTok müsste:

• prüfen, ob der Zugriff durch Dritte (z. B. US- oder chinesische Behörden) ausgeschlossen werden kann,
• ergänzende Maßnahmen ergreifen (z. B. durch technische Verschlüsselung),
• und den Nutzern offenlegen, wohin genau ihre Daten fließen und warum.

Ob TikTok diese Anforderungen erfüllt, ist zweifelhaft – zumal das Unternehmen gegenüber Aufsichtsbehörden und Nutzern bislang keine vollständige Transparenz schafft.

3. Rolle von Standardvertragsklauseln und EU-US Data Privacy Framework

Nach „Schrems II“ sind die EU-Standardvertragsklauseln (SCC) eines der wichtigsten Instrumente, um Datenübermittlungen abzusichern. Diese wurden 2021 von der EU-Kommission überarbeitet und verpflichten die Beteiligten zu umfangreichen Schutzmaßnahmen.

TikTok gibt an, SCCs zu verwenden, wenn Daten außerhalb der EU verarbeitet werden. Doch auch das genügt nicht automatisch: Die Standardvertragsklauseln müssen im konkreten Einzelfall wirksam umgesetzt und mit zusätzlichen Schutzmaßnahmen ergänzt werden – etwa durch technische Vorkehrungen (Verschlüsselung, Zugriffsbeschränkungen etc.) und organisatorische Maßnahmen (z. B. Auditierungen).

Ob TikTok solche zusätzlichen Maßnahmen tatsächlich trifft, ist nicht nachvollziehbar dokumentiert. Die Datenschutzaufsicht muss daher prüfen, ob die bloße Berufung auf SCCs ausreicht – oder ob Verstöße gegen Art. 44 ff. DSGVO vorliegen.

Ein weiterer aktueller Bezugspunkt ist das seit Juli 2023 geltende EU-US Data Privacy Framework. Dieses neue Abkommen soll Datenübermittlungen in die USA wieder ermöglichen, sofern das Empfängerunternehmen dort zertifiziert ist. Doch TikTok ist nicht Teil dieses Programms – und selbst wenn: Das Abkommen gilt nicht für China, sodass die Kritik an TikToks Datenflüssen in Richtung des Mutterkonzerns ByteDance nicht dadurch entschärft wird.

Fazit dieses Kapitels

TikTok steht aus datenschutzrechtlicher Sicht vor einem erheblichen Problem: Die internationale Datenverarbeitung – insbesondere mit Anbindung an China – lässt sich nach geltender DSGVO nicht ohne weiteres rechtfertigen. Die Anforderungen nach dem „Schrems II“-Urteil werden nur teilweise erfüllt, und die Rolle der Standardvertragsklauseln bleibt in der Praxis rechtlich angreifbar.

Für europäische Nutzer bedeutet das: Ihre Daten könnten in Länder gelangen, in denen kein gleichwertiger Schutz besteht – ohne dass sie davon wirklich erfahren oder Einfluss darauf nehmen können. Für TikTok selbst steigt dadurch das Risiko von aufsichtsbehördlichen Maßnahmen und Bußgeldern, die in späteren Kapiteln noch näher beleuchtet werden.

nach oben

TikTok als Verantwortlicher nach der DSGVO – oder doch nicht?

Wer personenbezogene Daten verarbeitet, muss sich datenschutzrechtlich auch verantworten. Die zentrale Frage lautet daher: Ist TikTok nach der DSGVO ein „Verantwortlicher“ im Sinne des Gesetzes – oder lediglich technischer Dienstleister ohne eigene Entscheidungshoheit?

Diese Unterscheidung ist von großer Bedeutung. Denn nur der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO unterliegt den umfangreichen Pflichten der DSGVO – und kann bei Verstößen mit Bußgeldern und Sanktionen belegt werden. TikTok selbst betont gern seine Rolle als Plattformanbieter – doch reicht diese „Schutzbehauptung“ tatsächlich aus?

1. Begriff des „Verantwortlichen“ nach Art. 4 Nr. 7 DSGVO

Die DSGVO definiert den „Verantwortlichen“ in Art. 4 Nr. 7 wie folgt:

„...die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Es geht also nicht darum, wer technisch die Daten verarbeitet, sondern wer inhaltlich bestimmt, warum und wie die Verarbeitung erfolgt.

Im Fall von TikTok ist klar:

• TikTok legt fest, welche Daten von Nutzern erhoben werden,
• wie lange diese gespeichert werden,
• zu welchen Zwecken sie genutzt werden (z. B. Personalisierung, Werbung, Forschung),
• welche Algorithmen eingesetzt werden,
• und ob eine Weitergabe an Dritte erfolgt.

Damit entscheidet TikTok eindeutig über die Zwecke und Mittel der Verarbeitung – und ist damit Verantwortlicher im Sinne der DSGVO. Die irische TikTok Technology Limited fungiert dabei offiziell als datenschutzrechtlich Verantwortlicher für alle Nutzer in der EU.

Für TikTok bedeutet das: Es trifft alle Verpflichtungen der DSGVO, unter anderem

• Informations- und Transparenzpflichten (Art. 12–14 DSGVO),
• Dokumentationspflichten (Art. 5 Abs. 2 DSGVO),
• Pflicht zur Datensicherheit (Art. 32 DSGVO),
• Meldung von Datenschutzverstößen (Art. 33 f. DSGVO),
• und die Pflicht zur Beachtung und Umsetzung von Betroffenenrechten (Art. 15–22 DSGVO).

2. Gemeinsame Verantwortlichkeit mit Content Creators oder Werbekunden?

Ein spannender und bislang wenig beachteter Aspekt betrifft die Frage: Ist TikTok möglicherweise „gemeinsam Verantwortlicher“ mit anderen Akteuren auf der Plattform? Die DSGVO kennt nämlich auch die gemeinsame Verantwortlichkeit (Art. 26 DSGVO), wenn mehrere Parteien gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden.

Das ist etwa denkbar in folgenden Fällen:

• Influencer und Unternehmen, die Werbeaktionen über TikTok umsetzen
• Content Creators, die Daten ihrer Follower erfassen (z. B. durch Gewinnspiele oder Umfragen)
• Werbekunden, die TikToks Tracking-Funktionen wie „Custom Audiences“ oder „Lookalike Audiences“ nutzen

Ein vergleichbarer Fall wurde bereits vom EuGH in der Rechtssache „Wirtschaftsakademie Schleswig-Holstein“ (C-210/16) entschieden: Dort wurde Facebook gemeinsam mit dem Betreiber einer Fanpage als gemeinsam Verantwortlicher eingestuft, weil beide an der Datenerhebung beteiligt waren.

Daraus ergibt sich:
Auch TikTok-Nutzer mit geschäftlichem Hintergrund – etwa Influencer, Agenturen oder Unternehmen, die Werbekampagnen betreiben – können datenschutzrechtlich mitverantwortlich sein, wenn sie auf TikTok personenbezogene Daten verarbeiten oder durch TikTok verarbeiten lassen. Hierzu zählen etwa:

• das Einbinden von TikTok-Pixeln auf der eigenen Website,
• das Targeting bestimmter Zielgruppen über TikTok Ads,
• oder das Einsetzen von TikTok zur Datenerhebung über App-Schnittstellen.

Ob TikTok hierfür ordnungsgemäß Art. 26 DSGVO umsetzt – also eine gemeinsame Verantwortlichkeit klar regelt und transparent macht –, ist bislang unklar. Jedenfalls dürfte für viele Werbepartner eine erhebliche Mitverantwortung bestehen, die auch bußgeldbewehrt ist.

3. Pflichten und mögliche Sanktionen

Als Verantwortlicher muss TikTok sämtliche Organisations-, Dokumentations- und Nachweispflichten der DSGVO erfüllen. Bei Verstößen drohen nicht nur Reputationsverluste, sondern auch erhebliche rechtliche Konsequenzen – insbesondere:

• Bußgelder nach Art. 83 DSGVO von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist),
• Anordnungen der Datenschutzaufsichtsbehörden (z. B. Einschränkungen, Nutzungsverbote, Löschverpflichtungen),
• zivilrechtliche Schadensersatzforderungen betroffener Nutzer (Art. 82 DSGVO),
• sowie Verpflichtungen zur Anpassung technischer und organisatorischer Maßnahmen.

Tatsächlich wurde TikTok in der Vergangenheit bereits mehrfach sanktioniert:

• Die irische Datenschutzbehörde (DPC) verhängte im September 2023 ein Bußgeld in Höhe von 345 Millionen Euro wegen mangelhafter Datenverarbeitung bei Kindern.
• In Frankreich wurde TikTok wegen fehlender Cookie-Einwilligungen sanktioniert.
• Auch in Großbritannien drohte ein Millionenbußgeld wegen unzulässiger Verarbeitung von Kinderprofilen.

Diese Verfahren zeigen: TikTok kann sich nicht auf eine bloße „Plattform“-Rolle zurückziehen. Als Verantwortlicher nach der DSGVO trägt das Unternehmen die volle datenschutzrechtliche Verantwortung – und muss sich regelmäßig vor europäischen Aufsichtsbehörden rechtfertigen.

Fazit dieses Kapitels

TikTok ist aus rechtlicher Sicht klar als Verantwortlicher im Sinne der DSGVO einzustufen – sowohl in Bezug auf die eigene Datenverarbeitung als auch möglicherweise im Rahmen einer gemeinsamen Verantwortlichkeit mit Geschäftskunden oder Creators.

Das Unternehmen trifft daher sämtliche Pflichten der DSGVO, insbesondere zur Information, Transparenz, Einwilligung, Sicherheit und Zusammenarbeit mit Aufsichtsbehörden. Die bestehenden Verfahren und Bußgelder zeigen, dass Datenschutzverstöße bei TikTok nicht abstrakt, sondern konkret und sanktionierbar sind.

Wer TikTok geschäftlich nutzt – ob als Unternehmen, Agentur oder Creator – sollte sich deshalb der möglichen Mitverantwortung unbedingt bewusst sein und die Zusammenarbeit mit TikTok datenschutzkonform gestalten.

nach oben

Bußgelder und behördliche Verfahren gegen TikTok – ein Überblick

Die Datenschutzbedenken gegenüber TikTok sind nicht nur theoretischer Natur. In den letzten Jahren wurde das Unternehmen in mehreren europäischen Staaten von Datenschutzaufsichtsbehörden untersucht, gerügt und mit erheblichen Bußgeldern belegt. Dabei ging es meist um gravierende Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) – insbesondere im Hinblick auf Minderjährige, mangelhafte Transparenz und unzulässige Datenübermittlungen in Drittländer.

Die folgende Übersicht zeigt, wie ernst die Datenschutzbehörden das Verhalten von TikTok einschätzen – und wie teuer die Missachtung der DSGVO sein kann.

1. Verfahren der irischen Datenschutzbehörde (DPC)

Da TikTok seine europäische Hauptniederlassung in Irland hat, ist die irische Datenschutzkommission (Data Protection Commission, DPC) für viele Fälle federführend zuständig. In einem aufsehenerregenden Verfahren verhängte die DPC im September 2023 ein Bußgeld in Höhe von 345 Millionen Euro – das bislang höchste gegen TikTok in Europa.

Der Vorwurf:

Die DPC beanstandete vor allem den unzureichenden Schutz von Minderjährigen:

• TikTok hatte neue Nutzerkonten von unter 16-Jährigen standardmäßig auf „öffentlich“ gesetzt – ohne deren ausdrückliche Zustimmung.
• Es gab keine hinreichende Altersverifikation, sodass sich auch deutlich jüngere Kinder problemlos registrieren konnten.
• Die Funktionen zur Sichtbarkeit von Kommentaren und Direktnachrichten waren nicht altersangemessen voreingestellt.
• Die Informationen zur Datenverarbeitung waren nicht ausreichend klar, verständlich oder kindgerecht aufbereitet.

Die DPC stellte zudem fest, dass TikTok nicht nachweisen konnte, ob eine wirksame Einwilligung zur Verarbeitung der Daten Minderjähriger tatsächlich vorlag – insbesondere im Hinblick auf personalisierte Werbung und Profilbildung.

Die Folge:

Neben dem Millionenbußgeld verpflichtete die DPC TikTok zur Umsetzung technischer und organisatorischer Maßnahmen. Der Konzern musste seine Einstellungen und Prozesse zur Altersverifikation, Privatsphäre und Transparenz deutlich überarbeiten.

2. Entscheidungen in Frankreich, Großbritannien und den Niederlanden

Frankreich – Sanktion der CNIL:

Auch die französische Datenschutzaufsicht CNIL hat TikTok ins Visier genommen. Im Januar 2023 verhängte sie ein Bußgeld in Höhe von 5 Millionen Euro – allerdings nicht wegen Minderjährigenschutz, sondern wegen fehlender Cookie-Einwilligungen.

Die CNIL kritisierte, dass:

• Nutzer beim Besuch der Website von TikTok keine echte Wahl zwischen „Alle Cookies akzeptieren“ und „Ablehnen“ hatten.
• Die Ablehnung von Cookies komplizierter und weniger intuitiv war als das Akzeptieren – was gegen das Erfordernis einer gleichwertigen Entscheidungsfreiheit verstößt.

Die Behörde stützte sich dabei nicht auf die DSGVO, sondern auf die französische Umsetzung des ePrivacy-Rechtsrahmens – das Ergebnis war jedoch vergleichbar.

Großbritannien – ICO mit Millionenstrafe:

In Großbritannien wurde TikTok im April 2023 von der Information Commissioner's Office (ICO) mit einer Strafe in Höhe von 12,7 Millionen Pfund (ca. 14,5 Mio. Euro) belegt.

Auch hier ging es um den ungeschützten Zugang Minderjähriger zur Plattform:

• Rund 1,4 Millionen Kinder unter 13 Jahren sollen TikTok im Zeitraum von Mai 2018 bis Juli 2020 genutzt haben – obwohl TikTok dies nach eigenen Angaben nicht zulässt.
• TikTok habe wissentlich keine Maßnahmen ergriffen, um diese Nutzer zu identifizieren und vom Dienst auszuschließen.

Die ICO warf TikTok zudem vor, keine ausreichenden Informationen über die Verarbeitung personenbezogener Daten zur Verfügung gestellt zu haben – ein Verstoß gegen Art. 13 DSGVO.

Niederlande – Verfahren der AP:

Die niederländische Datenschutzaufsicht (Autoriteit Persoonsgegevens, AP) verhängte bereits im Juli 2021 ein Bußgeld von 750.000 Euro gegen TikTok.

Der Grund: Die Datenschutzerklärung war ausschließlich auf Englisch verfügbar – obwohl sich TikTok ausdrücklich an niederländische Kinder richtete. Damit sei gegen die Pflicht zur transparenzgerechten Information in verständlicher Sprache verstoßen worden. Außerdem habe TikTok nicht nachvollziehbar erklärt, welche personenbezogenen Daten wie verarbeitet werden.

3. Höhe von Bußgeldern und Inhalte der Vorwürfe

Die bisherigen Bußgelder gegen TikTok zeigen eine klare Tendenz: Datenschutzbehörden werten das Verhalten des Unternehmens nicht als bloße Bagatelle, sondern als systematische Verletzung datenschutzrechtlicher Pflichten. Dabei spielen vor allem folgende Aspekte eine zentrale Rolle:

• Datenschutz von Kindern und Jugendlichen (Art. 8 DSGVO)
• Mangelnde Transparenz bei der Information der Nutzer (Art. 12–14 DSGVO)
• Fehlende oder fehlerhafte Einwilligungen (Art. 6 Abs. 1 lit. a DSGVO)
• Unzulässige Voreinstellungen („Privacy by Default“, Art. 25 DSGVO)
• Probleme bei der Datenübertragung in Drittländer (Art. 44 ff. DSGVO)
• Fehlende oder mangelhafte technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Auch wenn einzelne Bußgelder in ihrer Höhe unterschiedlich ausfallen, ist die Botschaft der Aufsichtsbehörden deutlich: Plattformen wie TikTok stehen unter strenger Beobachtung, vor allem wenn es um den Umgang mit besonders schutzbedürftigen Nutzergruppen wie Kindern geht.

Fazit dieses Kapitels

TikTok wurde bereits mehrfach von europäischen und britischen Datenschutzaufsichtsbehörden sanktioniert – mit Bußgeldern im dreistelligen Millionenbereich. Die Vorwürfe sind dabei keineswegs formal, sondern betreffen zentrale Grundprinzipien der DSGVO, wie Transparenz, Einwilligung und Minderjährigenschutz.

Die bisherigen Entscheidungen zeigen: TikTok kann sich nicht dauerhaft auf Ausflüchte berufen oder auf Nachsicht hoffen. Die europäischen Behörden sind bereit, Datenschutzverstöße konsequent zu verfolgen – und sie tun es auch.

Für TikTok-Nutzer, Eltern, Unternehmen und Werbetreibende ist es daher unerlässlich, die rechtlichen Risiken der Plattform realistisch einzuschätzen – und im Zweifel zu handeln, bevor es zu rechtlichen Konsequenzen kommt.

nach oben

Was bedeutet das für Sie als Privatperson?

TikTok ist eine Plattform, die schnell süchtig machen kann – das liegt nicht nur an der scheinbar endlosen Auswahl kreativer Kurzvideos, sondern auch am raffiniert programmierten Algorithmus. Doch so harmlos die App auf den ersten Blick wirkt, so tiefgreifend kann sie in Ihre persönlichen Daten eingreifen.

Wenn Sie TikTok als Privatperson nutzen, sollten Sie sich bewusst machen: Die App ist nicht kostenlos, sondern bezahlt wird mit Ihren Daten. Welche Risiken das birgt – und wie Sie sich schützen können – zeigt dieses Kapitel.

1. Datenschutzrechtliche Risiken bei Nutzung

Mit der Nutzung von TikTok gehen Sie automatisch in eine datenschutzrechtliche Beziehung zum Anbieter ein – ob Sie es wollen oder nicht. TikTok sammelt eine Vielzahl personenbezogener Daten über Sie: von technischen Informationen über Ihr Smartphone bis hin zu Ihrem Nutzungsverhalten, Ihren Kontakten und sogar Ihren biometrischen Merkmalen.

Das Problem:

• Viele dieser Datenverarbeitungen sind nicht transparent,
• sie erfolgen oft ohne klare Einwilligung,
• und sie können mit anderen Diensten und Datenquellen verknüpft werden, sodass sich daraus ein sehr genaues Bild Ihrer Persönlichkeit, Interessen und Gewohnheiten ergibt.

Zudem ist die grenzüberschreitende Datenverarbeitung durch TikTok kaum nachvollziehbar: Ihre Daten könnten – trotz europäischer Server – an Standorte außerhalb der EU (etwa in die USA oder nach China) gelangen, wo kein vergleichbarer Datenschutzstandard gilt. Sie verlieren damit ein Stück weit die Kontrolle darüber, was mit Ihren Daten geschieht – und wem sie zugänglich gemacht werden.

Auch im Alltag entstehen Risiken, etwa wenn:

• TikTok auf Ihre Kontakte zugreift und so auch Daten Dritter verarbeitet, ohne dass diese je zugestimmt haben,
• die App Ihr Nutzungsverhalten über andere Apps hinweg verfolgt (Cross-Tracking),
• Inhalte von Ihnen versehentlich öffentlich geteilt werden, obwohl Sie sie nur für einen eingeschränkten Kreis vorgesehen hatten,
• oder wenn Ihr Konto gehackt wird, weil Sie ein unsicheres Passwort verwenden.

2. Tipps für ein datensparsames Verhalten

Trotz aller Risiken ist es möglich, TikTok bewusst und datensensibel zu nutzen. Hier sind einige konkrete Maßnahmen, mit denen Sie Ihre Privatsphäre besser schützen können:

Einstellungen prüfen und anpassen

• Stellen Sie Ihr Konto in den Privatsphäre-Einstellungen auf „privat“, sodass nur genehmigte Personen Ihre Inhalte sehen können.
• Deaktivieren Sie personalisierte Werbung, um die Nutzung Ihrer Daten für Werbezwecke einzuschränken.
• Schalten Sie „interessenbasierte Inhalte“ aus, soweit TikTok diese Option bietet.

App-Berechtigungen begrenzen

• Gewähren Sie der App nur die nötigsten Zugriffsrechte: Verweigern Sie z. B. Zugriff auf Kontakte, Mikrofon oder GPS, wenn diese für Ihre Nutzung nicht notwendig sind.
• Verwenden Sie ein separates Nutzerkonto (z. B. mit Wegwerf-E-Mail-Adresse), wenn Sie TikTok nur zum Schauen und nicht zum Posten nutzen wollen.

Tracking verhindern

• Nutzen Sie den App-Tracking-Schutz auf Ihrem Smartphone (bei Android ab Version 12 oder auf iPhones in den Einstellungen unter „Datenschutz & Tracking“).
• Verwenden Sie nicht dieselben Zugangsdaten für TikTok wie für andere Dienste. So vermeiden Sie eine ungewollte Datenverknüpfung.

Transparenz schaffen

• Lesen Sie sich die Datenschutzerklärung von TikTok aufmerksam durch – auch wenn das mühsam ist. Dort sehen Sie zumindest, welche Datenkategorien TikTok erfasst.
• Nutzen Sie Ihr Auskunftsrecht nach Art. 15 DSGVO: TikTok ist verpflichtet, Ihnen auf Anfrage mitzuteilen, welche personenbezogenen Daten über Sie gespeichert sind.

Gelegentlich „aufräumen“

• Löschen Sie Inhalte, die Sie nicht mehr öffentlich sehen möchten.
• Prüfen Sie regelmäßig, welche Informationen in Ihrem Profil stehen – und ob diese überhaupt notwendig sind. Weniger ist mehr!

3. Umgang mit Kinderkonten und Familienfreigaben

Wenn Sie Kinder haben oder TikTok im Familienkontext genutzt wird, gelten besondere Vorsichtsmaßnahmen. Denn TikTok ist für viele Minderjährige ein digitaler Sozialraum – zugleich aber auch ein potenzielles Risiko.

TikTok und Kinder unter 13 Jahren

Offiziell dürfen Kinder unter 13 TikTok nicht nutzen. Die Altersabfrage bei der Registrierung ist allerdings leicht zu umgehen – es reicht ein falsches Geburtsdatum. In der Praxis nutzen Millionen Kinder TikTok trotz Verbots – meist ohne Wissen oder Zustimmung der Eltern.

Wenn Sie den Verdacht haben, dass Ihr Kind ein falsches Alter angegeben hat, können Sie TikTok dazu auffordern, das Konto zu löschen. Die DSGVO räumt Ihnen als Sorgeberechtigten entsprechende Rechte auf Auskunft, Berichtigung und Löschung ein (Art. 15–17 DSGVO).

Begleiteter Modus (Family Pairing)

TikTok bietet eine Funktion namens „Begleiteter Modus“ an. Damit können Eltern:

• Bildschirmzeiten einschränken,
• ungeeignete Inhalte blockieren,
• die Sichtbarkeit des Profils steuern,
• Direktnachrichten unterbinden oder zeitlich begrenzen.

Diese Funktion ist ein erster Schritt in Richtung digitaler Medienerziehung, ersetzt aber nicht Ihre aktive Aufsicht. Viele Inhalte auf TikTok sind für Kinder und Jugendliche nicht geeignet – auch wenn sie formal gegen keine Richtlinie verstoßen.

Tipps für Eltern:

• Begleiten Sie die TikTok-Nutzung aktiv – und sprechen Sie mit Ihrem Kind offen über Inhalte, Datenschutz und Risiken.
• Richten Sie gemeinsam mit Ihrem Kind ein privates Konto ein.
• Prüfen Sie regelmäßig die Einstellungen und veröffentlichte Inhalte.
• Vermitteln Sie den Unterschied zwischen privat und öffentlich, auch bei scheinbar harmlosen Videos.

Fazit dieses Kapitels

TikTok kann ein unterhaltsames soziales Medium sein – doch als Privatperson sollten Sie sich der datenschutzrechtlichen Risiken bewusst sein. Die App ist darauf ausgelegt, möglichst viele Informationen über Sie zu sammeln und daraus umfassende Nutzerprofile zu erstellen. Je weniger Daten Sie TikTok freiwillig zur Verfügung stellen, desto besser schützen Sie Ihre Privatsphäre.

Besonders im Umgang mit Kindern und Jugendlichen ist Vorsicht geboten: Hier tragen Sie als Eltern oder Erziehungsberechtigte eine wichtige Mitverantwortung. Nutzen Sie die vorhandenen Schutzfunktionen, bleiben Sie im Dialog – und behalten Sie die Kontrolle über die Daten, die Ihre Familie preisgibt.

nach oben

Pflichten für Unternehmen, die TikTok geschäftlich nutzen

TikTok ist längst nicht mehr nur Spielwiese für Privatnutzer. Auch Unternehmen entdecken die Plattform zunehmend als Marketingkanal, um insbesondere jüngere Zielgruppen anzusprechen. Ob durch organische Inhalte, bezahlte Werbeanzeigen oder Kooperationen mit Influencern: Der Einsatz von TikTok im geschäftlichen Umfeld bietet enormes Reichweitenpotenzial – aber auch datenschutzrechtliche Fallstricke.

Denn wer TikTok beruflich nutzt, bewegt sich nicht mehr im rein privaten Bereich, sondern ist verantwortliche Stelle im Sinne der DSGVO – mit allen damit verbundenen Pflichten.

1. Ist ein AV-Vertrag mit TikTok notwendig?

Viele Unternehmen fragen sich, ob mit TikTok ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO geschlossen werden muss. Die Antwort hängt davon ab, in welcher Rolle TikTok bei der Datenverarbeitung auftritt.

Ein AV-Vertrag ist immer dann erforderlich, wenn TikTok im Auftrag des Unternehmens personenbezogene Daten verarbeitet, das heißt:

• das Unternehmen bestimmt Zweck und Mittel der Verarbeitung,
• TikTok handelt nur als technischer Dienstleister (z. B. Hosting, Analyse, Kampagnenaussteuerung).

In der Realität ist TikTok jedoch nicht bloß Dienstleister, sondern trifft eigene Entscheidungen über die Datenverarbeitung:

• TikTok sammelt eigenständig Nutzerdaten (z. B. zur Algorithmussteuerung oder Profilbildung),
• führt Tracking durch,
• und nutzt die Daten auch für eigene Werbezwecke und Personalisierung.

Daher ist TikTok kein klassischer Auftragsverarbeiter, sondern eigener Verantwortlicher – oder steht in einer gemeinsamen Verantwortlichkeit mit dem werbenden Unternehmen, insbesondere wenn z. B. TikTok-Werbeanzeigen auf der Website des Unternehmens eingebunden sind (z. B. über TikTok Pixel).

Fazit: Ein AV-Vertrag ist nicht das richtige Instrument. Unternehmen sollten vielmehr prüfen, ob eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt – und ob TikTok dafür eine Transparenzregelung anbietet (wie etwa Facebooks "Page Controller Addendum"). Solche Regelungen fehlen bei TikTok derzeit weitgehend, was zu einer rechtlichen Grauzone führt.

2. Einsatz als Werbekanal: Datenschutzrechtliche Fallstricke

TikTok bietet Unternehmen vielfältige Werbeformate – etwa In-Feed Ads, TopView Ads, Branded Hashtag Challenges oder Branded Effects. Doch jede dieser Maßnahmen ist datengetrieben und kann mit personenbezogenen Informationen der Nutzer verknüpft sein – insbesondere durch Cookies, Tracking-Codes oder gerätebezogene Identifikatoren.

Datenschutzrechtlich besonders relevant ist:

• das Setzen von Cookies und Trackern, die nur mit wirksamer Einwilligung erlaubt sind (§ 25 TTDSG),
• die Verwendung von Nutzerdaten zur Zielgruppenansprache (Profiling),
• das Retargeting von Nutzern über mehrere Plattformen hinweg,
• und die Einbindung von TikTok Pixeln auf Unternehmenswebsites.

Hier gelten insbesondere folgende Pflichten:

• Transparente Information der Betroffenen über den Einsatz von TikTok-Technologien (Art. 13 DSGVO),
• Einholung einer wirksamen Einwilligung über ein Cookie-Banner (z. B. via Consent Management Platform),
• Nachweisfähigkeit der Einwilligung (Art. 7 Abs. 1 DSGVO),
• und ggf. gemeinsame Verantwortlichkeit mit TikTok bei der Auswertung der Kampagnendaten.

Unternehmen sollten nicht der Illusion erliegen, dass TikTok für alle datenschutzrechtlichen Aspekte verantwortlich ist. Sobald ein Unternehmen selbst personenbezogene Daten erhebt, verarbeitet oder weiterleitet, trägt es eigene Verantwortung – auch dann, wenn dies über TikTok-Schnittstellen geschieht.

3. Umgang mit Influencer-Marketing, Tracking und Custom Audiences

Der wohl beliebteste Werbeansatz auf TikTok ist Influencer-Marketing. Dabei kooperieren Unternehmen mit Creators, um Produkte oder Dienstleistungen auf authentische Weise zu bewerben. Was oft harmlos wirkt, kann datenschutzrechtlich schnell heikel werden – vor allem, wenn:

• persönliche Informationen von Followern ausgewertet werden,
• Gewinnspiele durchgeführt werden (z. B. „Markiere eine Person in den Kommentaren“) oder
• personenbezogene Daten der Influencer selbst (z. B. Namen, Bilder, Followerzahlen) veröffentlicht oder weiterverarbeitet werden.

Auch hier gilt: Unternehmen und Influencer sollten vertraglich regeln, wer für welche Datenverarbeitung verantwortlich ist. Zudem muss gewährleistet sein, dass alle datenschutzrechtlichen Pflichten erfüllt werden – inklusive Impressum, Datenschutzerklärung, ggf. Einwilligungseinholung und Hinweisen zur Datenverarbeitung.

Besonders riskant wird es beim Einsatz von Custom Audiences oder Lookalike Audiences über TikTok Ads:

• Hier laden Unternehmen bestehende Kundenlisten (z. B. E-Mail-Adressen oder Telefonnummern) bei TikTok hoch, um diese Nutzer gezielt mit Werbung zu erreichen oder ähnliche Zielgruppen zu identifizieren.
• Diese Datenübermittlung stellt eine eigenständige Verarbeitung dar, für die eine Rechtsgrundlage (meist Einwilligung oder berechtigtes Interesse) erforderlich ist.

Ohne vorherige Zustimmung der betroffenen Personen ist diese Praxis datenschutzrechtlich äußerst angreifbar – und war in ähnlicher Form bereits bei Facebook Gegenstand von Aufsichtsverfahren und Gerichtsprozessen.

Fazit dieses Kapitels

Wer TikTok geschäftlich nutzt, muss sich darüber im Klaren sein, dass dies keine datenschutzfreie Zone ist. Auch wenn TikTok als Plattformbetreiber einen Großteil der Technik stellt, sind Unternehmen selbst verantwortlich, wenn sie:

• Tracking-Tools wie den TikTok Pixel einsetzen,
• Daten an TikTok übermitteln,
• oder mit Influencern zusammenarbeiten.

Ein AV-Vertrag ist in der Regel nicht erforderlich, wohl aber eine sorgfältige datenschutzrechtliche Bewertung des konkreten Einsatzes – insbesondere bei personalisierter Werbung und Zielgruppenerstellung.

Fehlende Transparenz, nicht dokumentierte Einwilligungen oder unzulässige Datenübermittlungen können schnell zu Abmahnungen, Bußgeldern oder Reputationsverlust führen. Unternehmen sollten daher genau prüfen, wie sie TikTok nutzen – und ob sie dabei alle datenschutzrechtlichen Anforderungen erfüllen.

nach oben

TikTok und Minderjährige: Ein besonders sensibler Bereich

TikTok ist besonders bei Kindern und Jugendlichen beliebt. Gerade diese Zielgruppe prägt Trends, bringt Inhalte viral und ist äußerst aktiv auf der Plattform. Doch genau das macht TikTok aus datenschutzrechtlicher Sicht so brisant: Minderjährige gelten als besonders schützenswerte Nutzergruppe, und die Anforderungen an die Datenverarbeitung sind deutlich strenger als bei Erwachsenen.

Während TikTok öffentlich betont, Maßnahmen zum Schutz junger Nutzer zu treffen, zeigen unabhängige Untersuchungen und behördliche Verfahren, dass es in der Praxis oft an wirksamen Schutzvorkehrungen fehlt. Dieses Kapitel zeigt, warum die Nutzung durch Minderjährige datenschutzrechtlich besonders heikel ist – und welche Pflichten TikTok eigentlich treffen würden.

1. Altersgrenzen und Schutzmechanismen

Laut TikTok-Nutzungsbedingungen ist die App für Kinder unter 13 Jahren nicht zugelassen. Für Nutzer ab 13 bis 18 Jahren gelten – theoretisch – besondere Schutzmechanismen. Doch die Realität sieht anders aus:

Altersprüfung unzureichend

Die Altersverifikation bei TikTok basiert lediglich auf der Selbstauskunft beim Anlegen eines Kontos. Es gibt keine wirksame technische Alterskontrolle, keine Pflicht zur Vorlage eines Ausweisdokuments oder einer Bestätigung durch Erziehungsberechtigte. Dadurch können auch Kinder unter 13 Jahren ohne Weiteres ein Konto erstellen – was vielfach geschieht.

Untersuchungen ergaben, dass Millionen Kinder unter 13 TikTok aktiv nutzen, obwohl dies formell ausgeschlossen ist. TikTok weiß um dieses Problem, reagiert aber bislang nur halbherzig.

Schutzmechanismen ab 13 Jahren

TikTok hat für Nutzer zwischen 13 und 15 Jahren einige Schutzfunktionen eingeführt:

• Neue Konten werden standardmäßig auf „privat“ gestellt.
• Fremde können keine Direktnachrichten an diese Nutzer senden.
• Kommentare sind nur eingeschränkt möglich.
• Videos können nicht „geduettet“ werden (also nicht in Verbindung mit einem anderen Clip abgespielt werden).
• TikTok bietet einen „begleiteten Modus“ („Family Pairing“) an, mit dem Eltern Bildschirmzeit, Inhalte und Privatsphäre-Einstellungen ihrer Kinder mitsteuern können.

Diese Maßnahmen sind ein Schritt in die richtige Richtung, reichen aber nicht aus, um die besonderen Schutzpflichten nach europäischem Datenschutzrecht vollständig zu erfüllen. Die Nutzung durch Minderjährige bleibt ein Hochrisikobereich, insbesondere weil TikTok selbst kaum nachvollziehbare Prüfungen durchführt, ob die altersbezogenen Einstellungen tatsächlich korrekt angewendet werden.

2. DSGVO-Vorgaben zum Schutz von Kindern (Art. 8 DSGVO)

Die Datenschutz-Grundverordnung trägt der Schutzwürdigkeit von Kindern ausdrücklich Rechnung. Art. 8 DSGVO sieht vor, dass:

„Die Verarbeitung personenbezogener Daten eines Kindes […] nur rechtmäßig ist, wenn und soweit diese Einwilligung durch die Inhaberin oder den Inhaber der elterlichen Verantwortung erteilt oder genehmigt wurde.“

Die DSGVO setzt dabei eine Altersgrenze von 16 Jahren.

Das bedeutet:

• Kinder unter 16 Jahren dürfen personenbezogene Daten nur dann rechtmäßig übermitteln, wenn die Eltern ausdrücklich eingewilligt haben.
• TikTok ist verpflichtet, diese Einwilligung nachprüfbar einzuholen und zu dokumentieren.
• Ohne elterliche Zustimmung ist die Verarbeitung der Daten unzulässig – selbst, wenn das Kind selbst zustimmt.

Bislang verzichtet TikTok vollständig auf eine solche elterliche Einwilligungsprüfung. Das stellt einen klaren Verstoß gegen Art. 8 DSGVO dar. Behörden wie die irische Datenschutzaufsicht DPC oder das britische Information Commissioner’s Office (ICO) haben TikTok hierfür bereits mit hohen Bußgeldern belegt.

Zudem schreibt die DSGVO vor, dass alle Informationen zur Datenverarbeitung leicht verständlich und in altersgerechter Sprache bereitgestellt werden müssen (Art. 12 Abs. 1 DSGVO). Auch hier bestehen bei TikTok gravierende Mängel. Datenschutzerklärungen sind häufig technisch formuliert, juristisch schwer verständlich und in manchen Ländern sogar nur in Englisch abrufbar.

3. Problemfeld: Profilbildung und algorithmengesteuerte Inhalte

Neben den formalen Problemen rund um Einwilligungen und Transparenz gibt es ein weiteres, besonders sensibles Thema: die algorithmische Profilbildung bei Minderjährigen.

TikTok nutzt ein sehr leistungsfähiges Empfehlungssystem, das aus dem Nutzerverhalten in kürzester Zeit detaillierte Profile erstellt. Selbst wenn Kinder nur kurz scrollen, merkt sich TikTok, welche Inhalte sie wie lange ansehen, worauf sie reagieren und wie sie interagieren. Daraus entsteht ein dynamisches Nutzerprofil, das die App wiederum zur Ausspielung von neuen – oft noch extremeren – Inhalten verwendet.

Die datenschutzrechtlichen Probleme:

• Die Profilbildung erfolgt ohne nachvollziehbare Information darüber, welche Daten konkret analysiert werden.
• Es fehlt an einer rechtlichen Grundlage für die Verarbeitung besonders sensibler Daten (z. B. Verhalten, Emotionen, biometrische Merkmale).
• Die algorithmische Auswahl führt häufig zur Verstärkung bestimmter Verhaltensmuster (z. B. Essstörungen, Schönheitsideale, riskante Challenges).

Gerade für Kinder und Jugendliche, deren Persönlichkeit sich noch entwickelt, stellt diese Art der digitalen Beeinflussung ein ernstzunehmendes Risiko dar – psychologisch wie rechtlich. Die DSGVO betont in Erwägungsgrund 38 ausdrücklich, dass Kinder bei der Verarbeitung ihrer Daten einen besonderen Schutz verdienen, da sie sich der Risiken weniger bewusst sind.

Fazit dieses Kapitels

TikTok ist bei Kindern und Jugendlichen beliebt – aber aus datenschutzrechtlicher Sicht ein Problemfall mit hohem Gefahrenpotenzial. Die Altersverifikation ist faktisch unwirksam, die elterliche Einwilligung wird nicht eingeholt, und die algorithmengesteuerte Profilbildung kann tief in die Privatsphäre junger Nutzer eingreifen.

Trotz einzelner Schutzfunktionen bleibt TikTok hinter den Anforderungen der DSGVO zurück – insbesondere bei der Transparenz, dem Minderjährigenschutz und der Datensicherheit.

Eltern, Erziehungsberechtigte und Pädagogen sollten sich der Risiken bewusst sein und bei der Nutzung durch Kinder aktiv begleiten, aufklären und technische Schutzfunktionen nutzen. TikTok selbst steht weiterhin in der Pflicht, den gesetzlichen Vorgaben endlich gerecht zu werden – andernfalls drohen weitere Sanktionen und möglicherweise auch gesetzliche Nutzungsbeschränkungen in Europa.

nach oben

Fazit: TikTok bleibt datenschutzrechtlich ein Risiko – aber steuerbar

TikTok hat sich zu einer der einflussreichsten Social-Media-Plattformen der Welt entwickelt. Die App bietet kreative Möglichkeiten, Reichweite und Unterhaltung – doch sie tut das nicht ohne Preis. Aus datenschutzrechtlicher Sicht ist TikTok ein hochproblematischer Dienst, der mit großem technischen Aufwand und enormem Datenhunger operiert – auf Kosten der Privatsphäre seiner Nutzer.

1. Kurze Zusammenfassung der Risiken

Im Laufe dieses Beitrags wurde deutlich: Die Nutzung von TikTok ist mit erheblichen datenschutzrechtlichen Risiken verbunden. Die wichtigsten Punkte im Überblick:

• Datenflut: TikTok sammelt umfassend personenbezogene Daten – weit über das hinaus, was für den Betrieb der App notwendig wäre.
• Intransparenz: Die Informationen zur Datenverarbeitung sind für Nutzer oft unverständlich, unvollständig oder in englischer Sprache gehalten.
• Profilbildung: Der TikTok-Algorithmus erstellt detaillierte Persönlichkeitsprofile – auch von Minderjährigen – und nutzt diese für personalisierte Inhalte und Werbung.
• Kinder ohne Schutz: Die Altersverifikation ist leicht zu umgehen, elterliche Einwilligungen werden faktisch nicht eingeholt.
• Datenübertragung in Drittländer: Nutzerinformationen gelangen regelmäßig in Länder mit niedrigem Datenschutzniveau, insbesondere China und die USA.
• Unklare Verantwortlichkeit: TikTok tritt öffentlich als Plattformanbieter auf, nimmt aber tatsächlich in vielen Fällen eine datenschutzrechtliche Verantwortung wahr – ohne diese offen zu kommunizieren.
• Bußgelder und Verfahren: Mehrere europäische Aufsichtsbehörden haben TikTok bereits verurteilt und hohe Sanktionen ausgesprochen – insbesondere wegen mangelndem Minderjährigenschutz und fehlender Transparenz.

2. Was TikTok tun müsste – und wie Sie sich schützen können

Was TikTok ändern müsste:

Damit TikTok mit dem europäischen Datenschutzrecht in Einklang gebracht werden kann, müssten unter anderem folgende Maßnahmen umgesetzt werden:

• Verlässliche Altersverifikation, um Kinder unter der gesetzlichen Altersgrenze konsequent auszuschließen.
• Einholung und Nachweis elterlicher Einwilligungen bei Jugendlichen unter 14 Jahren in Deutschland.
• Vollständig transparente Datenschutzerklärungen in einfacher, verständlicher Sprache.
• Verzicht auf exzessive Datenerhebung, insbesondere bei sensiblen Informationen und biometrischen Merkmalen.
• Begrenzung der Profilbildung und algorithmischen Steuerung bei Minderjährigen.
• Klare Regelungen zur Datenübermittlung in Drittländer – samt umfassender Sicherheitsmaßnahmen und Offenlegung der Datenflüsse.

Was Sie als Nutzer tun können:

Sie selbst können einiges tun, um den Datenhunger von TikTok zumindest einzudämmen:

• Stellen Sie Ihr TikTok-Konto auf „privat“, und beschränken Sie die Sichtbarkeit Ihrer Inhalte.
• Erteilen Sie nur die nötigsten App-Berechtigungen, z. B. keinen Zugriff auf Standort, Kontakte oder Mikrofon.
• Deaktivieren Sie personalisierte Werbung und Tracking-Funktionen in den Einstellungen.
• Nutzen Sie TikTok ohne Registrierung, wenn Sie nur Inhalte anschauen wollen.
• Verzichten Sie auf die App, wenn Ihre Kinder unter 13 Jahre alt sind – und begleiten Sie deren Nutzung aktiv, falls sie älter sind.
• Ziehen Sie bei Bedarf Ihr Auskunfts- und Löschungsrecht nach der DSGVO in Erwägung – TikTok ist rechtlich verpflichtet, darauf zu reagieren.

3. Ausblick auf zukünftige Entwicklungen (EU Digital Services Act etc.)

Die datenschutzrechtliche Diskussion um TikTok wird nicht abreißen – im Gegenteil: Auf europäischer Ebene mehren sich die Stimmen, die eine striktere Regulierung digitaler Plattformen fordern. Ein zentrales Instrument dabei ist der seit Februar 2024 vollständig geltende Digital Services Act (DSA).

Der DSA verpflichtet große Online-Plattformen wie TikTok zu:

• mehr Transparenz bei Empfehlungssystemen,
• einem besseren Schutz von Minderjährigen,
• umfangreichen Offenlegungspflichten gegenüber Behörden,
• und der Möglichkeit für Nutzer, algorithmische Inhalte deaktivieren zu können.

Parallel dazu arbeiten Datenschutzbehörden weiter an der Durchsetzung der DSGVO – einschließlich neuer Bußgelder, Nutzungsbeschränkungen oder gerichtlicher Auflagen. In einigen Ländern gibt es zudem politische Initiativen, TikTok ganz oder teilweise zu verbieten, sofern keine rechtssicheren Lösungen gefunden werden.

Die Richtung ist klar: Die regulatorischen Daumenschrauben werden angezogen.

4. Eine eindringliche Warnung zum Schluss

TikTok ist keine harmlose Spielerei – auch wenn sie so aussieht. Hinter der App steht ein milliardenschwerer Konzern mit politischen Verbindungen, einem kaum durchschaubaren Datenapparat und einem Geschäftsmodell, das auf maximaler Nutzerüberwachung basiert.

Wenn Sie TikTok nutzen, zahlen Sie mit Ihren Daten – und vielleicht auch mit Ihrer Selbstbestimmung.
Gerade für Kinder und Jugendliche ist die Plattform ein digitales Risiko, das oft unterschätzt wird – nicht nur aus datenschutzrechtlicher, sondern auch aus psychologischer und gesellschaftlicher Sicht.

Als Privatperson sollten Sie TikTok kritisch hinterfragen. Als Unternehmen sind Sie rechtlich verpflichtet, Ihre Nutzung konform zur DSGVO zu gestalten. Und als Elternteil liegt es in Ihrer Verantwortung, Kinder vor einer Plattform zu schützen, die – Stand heute – nicht kindgerecht funktioniert.

TikTok bleibt ein datenschutzrechtliches Hochrisikofeld. Nutzen Sie es nur mit größter Vorsicht – oder besser gar nicht.

nach oben