Es ist der 23. Dezember 2025, kurz nach Mitternacht.

Ich öffne TikTok – nichts Besonderes, Routine. Doch statt eines Feeds erscheint eine Einblendung, die mich innehalten lässt. Kein festliches Overlay, keine Wohlfühlbotschaft zum Jahresende. Sondern ein juristisch trocken formulierter Hinweis, den ich mit einem einzigen Button quittieren soll: „Verstanden“.

Kein „Ablehnen“.

Kein „Später“.

Nur: Verstanden – oder du kommst hier nicht weiter.

Was dort steht, lässt alle Alarmglocken schrillen. Nicht die weihnachtlichen – die anderen.

TikTok teilt mir mit, dass die irische Datenschutzbehörde (DPC) festgestellt hat, dass EWR-Nutzerdaten per Fernzugriff aus China zugänglich gemacht wurden – und zwar nicht DSGVO-konform. TikTok habe dagegen geklagt. Ein Gericht habe die Anordnung vorläufig ausgesetzt. Deshalb gehe alles erst einmal weiter wie bisher.

Ich soll das „verstehen“.

Und dann weiterscrollen.

Ein Pop-up als Selbstoffenlegung

Was TikTok hier tut, ist bemerkenswert: Die Plattform bestätigt ungefragt beim App-Start, dass ein europäischer Datenschutzverstoß festgestellt wurde – und dass der Zugriff aus China trotzdem fortgesetzt wird, allein gestützt auf eine gerichtliche Zwischenentscheidung.

Das ist keine Transparenz aus Überzeugung.

Das ist Risikomanagement.

Juristisch heißt das: Wir haben informiert.

Politisch heißt es: Die Verantwortung liegt jetzt auch bei dir.

Was die irische Datenschutzbehörde tatsächlich festgestellt hat

Am 30. April 2025 hat die irische Data Protection Commission (DPC) eine der schärfsten Datenschutzentscheidungen gegen einen Tech-Konzern der letzten Jahre veröffentlicht.

Der Kernbefund ist eindeutig:

TikTok hat personenbezogene Daten von Nutzer:innen aus dem Europäischen Wirtschaftsraum nach China übermittelt – mittels Fernzugriff – ohne die Anforderungen der DSGVO einzuhalten.

Entscheidend ist das Wort Fernzugriff.

Die Daten müssen nicht physisch auf chinesischen Servern liegen. Es reicht, dass Mitarbeitende oder Systeme in China technisch darauf zugreifen können. Nach DSGVO-Logik ist das ein Drittlandtransfer.

Die DPC verhängte dafür 530 Millionen Euro Strafe:

• 485 Mio. € wegen Verstoßes gegen Art. 46 DSGVO (fehlender gleichwertiger Schutz bei Drittlandtransfer)

• 45 Mio. € wegen Verstoßes gegen Art. 13 DSGVO (unzureichende Transparenz)

Zusätzlich ordnete sie an, dass TikTok den Datenverkehr innerhalb von sechs Monaten DSGVO-konform umbauen oder einstellen müsse.

Warum China hier der Knackpunkt ist

Die DPC begründet ihre Entscheidung nicht abstrakt, sondern sehr konkret. TikTok selbst habe eingeräumt, dass chinesisches Recht – darunter:

• das National Intelligence Law

• das Counter-Espionage Law

• das Cybersecurity Law

Behördenzugriffe ermögliche, die nicht mit EU-Grundrechten vereinbar seien.

Damit greift exakt die Logik des EuGH-Urteils Schrems II:

Wenn ein Drittstaat strukturell Zugriff auf personenbezogene Daten erzwingen kann, reicht es nicht, Verträge zu unterschreiben oder Server umzuzäunen. Dann fehlt das „essentially equivalent level of protection“.

Oder nüchtern gesagt:

Man kann Datenschutz nicht outsourcen, wenn das Rechtssystem des Ziellandes ihn systematisch unterläuft.

Der Moment, in dem TikTok sich selbst widersprach

Besonders brisant: Während des laufenden Verfahrens hatte TikTok gegenüber der DPC erklärt, es würden keine EWR-Nutzerdaten in China gespeichert.

Im April 2025 musste TikTok jedoch nachmelden:

Man habe entdeckt, dass begrenzte Mengen europäischer Nutzerdaten sehr wohl auf Servern in China lagen – entgegen den zuvor gemachten Angaben. TikTok sprach von „inaccurate information“.

Für eine Datenschutzaufsicht ist das ein Alarmsignal.

Für Journalist:innen ist es ein struktureller Bruch in der Verteidigungslinie:

„Nur Zugriff, keine Speicherung“ – das hielt nicht.

Warum trotz allem nichts gestoppt wurde

TikTok legte Berufung ein.

Der High Court of Ireland setzte die Durchsetzungsmaßnahmen der DPC vorläufig aus, bis über die Klage entschieden ist.

Das Ergebnis dieser juristischen Schwebe:

• Die DPC sagt: Verstoß liegt vor.

• Das Gericht sagt: Noch nicht vollstrecken.

• TikTok sagt: Wir informieren – und machen weiter.

Genau dieser Zustand materialisiert sich in dem Pop-up, das ich um 00:02 Uhr wegklicken soll.

Der eigentliche Skandal: Die Normalisierung des Ausnahmezustands

Der wahre Kern dieser Geschichte ist nicht TikTok allein.

Es ist das System dahinter.

Europa entscheidet.

Konzerne klagen.

Gerichte pausieren.

Und währenddessen läuft der Datenverkehr weiter.

Jahre vergehen.

Milliarden Datensätze bleiben zugänglich.

Und Nutzer:innen bekommen einen Button: „Verstanden“.

Das ist kein Einzelfall, sondern ein Muster – und es erklärt, warum DSGVO-Durchsetzung bei globalen Plattformen so oft theoretisch scharf, praktisch stumpf bleibt.

Fazit: Kein Weihnachtsläuten, sondern ein Warnsignal

Diese Einblendung ist kein Detail.

Sie ist eine Selbstoffenlegung unter Zwang.

TikTok bestätigt:

• dass europäische Nutzerdaten aus China zugänglich sind,

• dass dies als rechtswidrig festgestellt wurde,

• und dass es nur aufgrund einer gerichtlichen Pause weitergeht.

Wer hier noch von „gefühlter“ Datenschutzbedrohung spricht, ignoriert die Aktenlage.

Meine Alarmglocken läuten nicht aus Ideologie.

Sondern, weil mir eine App mitten in der Nacht sagt:

Das ist passiert. Wir wissen das. Du weißt es jetzt auch.

Wenn du weitermachen willst: bestätige.

Und genau das ist der Punkt, an dem man nicht mehr weiterscrollen, sondern hinschauen sollte.