[English]Die Datenschutzorganisation noyb hat am 17. Juli 2025 DSGVO-Beschwerden gegen AliExpress, TikTok und WeChat eingereicht. Alle drei Tech-Unternehmen haben es versäumt, Auskunftsersuchen gemäß Artikel 15 DSGVO nachzukommen.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Auskunftsersuchen nicht beantwortet
noyb hat an alle drei Tech-Unternehmen ein Auskunftsersuchen gemäß Artikel 15 DSGVO gestellt. Die Datenschutzorganisation wollte wissen, wie die chinesischen Firmen mit persönlichen Daten umgehen. Das ist bei den meisten großen Tech-Firmen kein Problem, da diese in großem Stil DSGVO-Auskunftsersuchen automatisiert bearbeiten können. Meist existiert sogar eine Funktion zum Herunterladen der eigenen Daten für die Benutzer.
Bezüglich der von noyb gestellten DSGVO-Auskunftsersuchen ging dies aber bei den drei genannten chinesischen Firmen in die Hose. noyb schreibt, dass sich weder TikTok noch AliExpress die Mühe gemacht haben, den Betroffenen alle Daten gemäß Artikel 15 DSGVO zur Verfügung zu stellen.
- TikTok übermittelte nur einen Teil der Daten in einer unstrukturierten Form, die unmöglich zu verstehen war.
- AliExpress stellte eine defekte Datei zur Verfügung, die nur einmal geöffnet werden konnte.
- WeChat hingegen ignorierte die Anfrage der beschwerdeführenden Person einfach gänzlich.
Die Beschwerdeführer schickten TikTok und AliExpress eine Reihe von Folgefragen, um den Unternehmen eine weitere Chance zu geben. Anstatt die fehlenden Daten nachzuliefern, wiederholten beide Unternehmen lediglich den Inhalt ihrer Datenschutzrichtlinien ohne jegliche individuelle Informationen, so noyb. Dies machte es den Beschwerdeführern oder Beschwerdeführerinnen unmöglich zu überprüfen, ob ihre Daten im Einklang mit der DSGVO verarbeitet wurden.
Kleanthi Sardeli, Datenschutzjuristin bei noyb sagt dazu: "Tech-Unternehmen lieben es, so viele Daten wie möglich über ihre Nutzer:innen zu sammeln – weigern sich aber vehement, ihnen vollen Zugang im Einklang mit dem EU-Recht zu geben. Die DSGVO stellt klar, dass Unternehmen ihren Nutzer:innen konkrete Informationen über die von ihnen verarbeiteten Daten geben müssen. Nur weil sie viele Anfragen bekommen, heißt das nicht, dass sie Informationen verweigern dürfen."
Nach EU-Recht sind Datentransfers in Länder außerhalb der EU nur dann zulässig, wenn das Zielland den Datenschutz nicht untergräbt. Da chinesische Gesetze den Behördenzugriff auf persönliche Daten nicht einschränken, können EU-Daten realistischerweise nicht geschützt werden.
noyb hatte im Januar 2025 rechtliche Schritte gegen TikTok, AliExpress, SHEIN, Temu, WeChat und Xiaomi wegen unrechtmäßiger Datentransfers nach China eingeleitet. Im Laufe des Verfahrens haben SHEIN, Temu und Xiaomi den Beschwerdeführern zusätzliche Informationen zur Verfügung gestellt. TikTok, AliExpress und WeChat haben unterdessen weiterhin gegen die DSGVO verstoßen.
noyb hat deshalb drei Beschwerden bei den Datenschutzbehörden in Belgien, Griechenland und den Niederlanden eingereicht. TikTok, AliExpress und WeChat haben gegen Artikel 12 und 15 DSGVO verstoßen. Wir fordern die Unternehmen deshalb auf, die Auskunftsersuchen der Beschwerdeführer:innen zu erfüllen. Wir schlagen den Datenschutzbehörden außerdem die Verhängung einer administrativen Geldstrafe vor, um ähnliche Verstöße in Zukunft zu verhindern. Diese Strafe kann bis zu 4 % des Jahresumsatzes betragen. Für AliExpress könnte das zum Beispiel € 147 Millionen ausmachen (Jahresumsatz von € 3,68 Milliarden).
Ähnliche Artikel:
DeepSeek AI-Apps in Deutschland wegen Datenübermittlung nach China blockiert
Zwei File-Manager-Apps im Google Play Store transferieren Daten nach China
Die Schweiz lässt ihre staatlichen Daten in China und den USA speichern
Irische Datenschutzbehörde verhängt 530 Millionen Euro-Strafe gegen TikTok
Datenschutzverfahren gegen chinesischen E-Auto-Hersteller Nio
MVP: 2013 – 2016
Da gibt es jetzt 50.000€ Strafe und dann machen die das ganz sicher nie wieder!
Was für ein Kommentar…
Regelmäßig werden die großen Player zu empfindlichen Strafen verdonnert.
Beispiele gefällig?
https://www.datenschutzkanzlei.de/bussgeld-radar/
Wie will man denn genau "bestrafen"? Den Zugang zur Internetseite sperren? Die Apss aus den Stores nehmen?
Und selbst wenn die Unternehmen eine "äußerlich" dem Art. 15 entsprechende Auskunft geben, wie stellt man denn sicher, dass die in China auch danach gehandelt haben/handeln? Z. B. wird der Staat dort Zugriff auf ALLE Daten haben, wird das so in der Art. 15 Auskunft stehen? Wie will man Profiling und KI-Fütterungen nachweisen, wenn das in der Art. 15 Auskunft verneint wurde?
Ich vermute den Sack Reis dahinter. Nett gemeint aber an der Realität gescheitert.
Ich lass mich gern vom Gegenteil überzeugen …
Konsequenz? Wir schaffen die DSGVO ab, zumindest für alle Anbieter in Drittländern?
Zum Glück ist es aber nicht ganz so einfach, sich einfach dahinter zu verstecken, dass der Arm europäischer Gesetze nicht ins eigene Land reicht und man sich daher konsequenzlos über diese hinwegsetzen kann.
Als Ultima Ratio käme auch eine Netzsperre in Betracht.
Das ist immer das Problem mit der Auskunft.
Kann man sicher sein, dass das Unternehmen wirklich alle erfassten Daten dem Auskunft Ersuchenden mitteilt?
Unabhängig davon, wo das Unternehmen seinen Sitz hat.
Das bezweifle ich.
Da gabs vor einigen Jahren einen Fall, bei dem jemand seine Daten haben wollte, die ein soziales Netzwerk von ihn während seiner doch rel. kurzen Mitgliedschaft gespeichert hatte.
Er hat die Daten auch bekommen.
Das waren über 200 dicht beschriebene Seiten!
Es ist abwegig, zu glauben, das Facebook, X, TikTok, etc. etc. heute weniger Daten über einzelne Personen speichern.
Bei einem Auskunftsersuchen an diese Unternehmen müssten immer viele GB an Daten von denen geliefert werden, wenn sie denn tatsächlich alle gespeicherten Daten über eine Person mitteilen würden.
Ja diese Strafen werden gerne mal medial werbewirksam verhängt… das die beklagten Firmen dann gerne mal dagegen klagen, was erstmal lange Gerichtsverfahren bedeutet und dann die Strafen extrem abgemildert werden oder sogar ganz abgewiesen… fällt in der Presse dann aber unter den Tisch! So zum Beispiel bei 1&1 von der "Millionen Strafe" letztendlich nur noch Peanuts aus der Portokosten übrigblieben.
Es bräuchte da tatsächlich mal eine Gegenüberstellung von Anfangs verhängter Strafe zur dann tatsächlich gezahlter Strafe… gibt es so aber leider nicht. Ist dann eher Zufall wenns ans Tageslicht kommt.
"eine defekte Datei .., die nur einmal geöffnet werden konnte."
Wie könnte man sich das vorstellen? Sowas wie ein Link zum Download der nach einmaligem Abruf abgelaufen ist?
Oder ein Script, das beim Öffnen den Inhalt der Datei lesbar macht und danach einfach einen Flag in der Datei setzt, der verhindert, das das Script ein zweites Mal ausgeführt wird.