Datenschutz und TikTok im Unternehmen

Vertrieb und Marketing waren schon immer wichtig für die Umsatzsteigerung in Unternehmen. Aufgrund der Reichweite verlegte sich die Öffentlichkeitsarbeit von Unternehmen, Vereinen, Behörden etc. in den letzten Jahren zunehmend in die digitale Welt. Soziale Medien erleben seit dem einen Aufschwung und gewinnen immer mehr Nutzer. Einer der aktuellen Spitzenreiter dabei scheint aktuell TikTok zu sein – und diese Plattform nutzen insbesondere gern Verantwortliche, die möglichst modern auftreten möchten. Wie sieht es also aus mit dem Datenschutz und TikTok im Unternehmen? Folgend beleuchten wir dieses Thema.

TikTok

Für den Fall, dass jemandem TikTok bisher noch nicht bekannt ist, erklären wir kurz, worum es sich bei dieser Plattform handelt: TikTok zählt zu den sozialen Medien. Hier kann man sich scheinbar unendlich viele Kurz-Videos ansehen, teilen, kommentieren oder einfach kurz anzeigen, dass es einem gefällt („like“). Zielgruppe vom TikTok-Anbieter sind für gewöhnlich Teenager und Personen in ihren 20er Jahren. Das bedeutet allerdings nicht, dass Personen aus anderen Altersgruppen nicht auch ein TikTok-Profil haben und Zielgruppen sein können.

Die Problematik von Tiktok

Verantwortliche, die TikTok im Unternehmen einsetzen, sollten verschiedene Aspekte dieser Plattform beachten:

Übermittlung personenbezogener Daten in ein unsicheres Drittland

Zum einen handelt es sich hierbei um ein Unternehmen mit einem Hauptsitz in einem datenschutzrechtlich unsicheren Drittland. Dieses Mal geht es dabei nicht um die Vereinigten Staaten von Amerika. Wir reden in diesem Fall von China. Auch für dieses Land gibt es zum jetzigen Zeitpunkt keinen Angemessenheitsbeschluss der EU-Kommission über ein angemessenes Datenschutzniveau im Drittland gemäß Art. 45 DSGVO. Es sind also die Anforderungen nach Art. 46 ff DSGVO zu erfüllen, damit das Datenschutzniveau, welches die DSGVO für Daten von EU-Bürgern fordert, nicht durch den Export von Daten in Drittländer unterlaufen wird.

Niederlassung in Irland – Übermittlung der Daten nach China?

Nun hat der TikTok-Anbieter zwar eine Niederlassung in Irland (TikTok Technology Ltd.), aber es stellt sich dennoch die Frage, inwiefern die Niederlassung in Irland personenbezogene Daten zum Hauptstandort in China übermittelt. – TikTok ist ein Produkt des Unternehmens ByteDance Ltd. mit Hauptsitz in Peking. – Der Grund besteht u. a. darin, dass es Gerüchte gibt, wonach es in China einen Super-Administrator gibt (Link). Ob dies wahr ist, ist ebenso wenig bekannt, wie ob der Super-Administrator personenbezogene Daten von Europäern in China verarbeitet.

Datenschutzhinweis

Der TikTok-Anbieter unterliegt nach Art. 3 Abs.. 2 lit. b) DSGVO dem EU-Datenschutzrecht, weil das Nutzungsverhalten von EU-Bürgern auf TikTok beobacht wird. Deshalb klärt tikTok nach Art. 13 DSGVO die Nutzer (betroffene Personen) natürlich über die Verarbeitung ihrer personenbezogenen Daten auf. Wir reden hierbei vom Datenschutzhinweis bzw. von Datenschutzinformationen. – Den von TikTok kann man sich unter diesem Link durchlesen. (Bitte beachten Sie, dass TikTok die Datenschutzinformation jederzeit aktualisieren kann. Um die aktuellste Version einsehen zu können, bitten wir Sie, sich direkt auf der Webseite von TikTok zu informieren.) – In diesem kommuniziert ByteDance u. a. darüber, dass es

1)  Nutzerinhalte erhebt – und dies schon zum Zeitpunkt der Erstellung und ggf. auch aus der Zwischenablage des Geräts des Nutzers.

2)  Standortinformationen verarbeitet.

3)  Nachrichteninhalte einsieht.

4)  von den Informationen, die dem Betreiber vorliegen, Rückschlüsse auf etwaige andere Eigenschaften zieht – je nachdem, welche Schlüsse der TikTok-Anbieter zieht, verarbeitet er eventuell sogar personenbezogene Daten besonderer Kategorien.

5)  personenbezogene Daten innerhalb des gesamten Konzerns austauscht.

Wer sich besonders Nummer 5 anschaut, dem wird bewusst, dass es nicht auszuschließen ist, dass personenbezogene Daten von EU-Bürgern in einem unsicheren Drittland verarbeitet werden. Dies führt uns auch zur Problematik beim folgenden Punkt.

Gemeinsame Verantwortlichkeit

Ein Verantwortlicher, der TikTok im Unternehmen einsetzt, ist mit dem Anbieter dieser Plattform gemeinsam Verantwortlicher. Demnach benötigt der Verantwortliche eine Rechtsgrundlage, z. B. eine wirksame Einwilligung nach Art. 49 DSGVO, für die Übermittlung der Daten der Profilbesucher in ein unsicheres Drittland. Folglich ist ein Vertrag zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO zwischen dem jeweiligen Verantwortlichen und dem TikTok-Anbieter abzuschließen. Dies regelt, welche der Vertragsparteien für welche Verarbeitung verantwortlich ist, wer wie auf Betroffenenanfragen reagiert und auch welche Partei welche technischen und organisatorischen Maßnahmen implementiert. – Zum Inhalt eines solchen Vertrages können Sie weitere Informationen hier finden. –

Facebook beispielsweise bietet zwar einen solchen Vertrag an, jedoch genügt dieser nach Ansicht der Datenschutzaufsichtsbehörden nicht den datenschutzrechtlichen Anforderungen. Daher ist die Nutzung bzw. der Betrieb von Facebook-Fanpages nach Ansicht der Aufsichtsbehörde nicht rechtskonform möglich. Eine entsprechende Untersagungsverfügung wurde bereits gerichtlich bestätigt. Ob TikTok eine solche Vereinbarung anbietet, ist uns nicht bekannt. Jedenfalls müsste die Vereinbarung datenschutzrechtlich geprüft werden, inwiefern diese den gesetzlichen Anforderungen genügt.

Vergleichbare Dienste

Beim Lesen dieses Beitrages kommt bei mancher Person eventuell das Gefühl auf, inhaltlich Ähnliches schon einmal gehört zu haben. Wir denken hierbei beispielsweise an Instagram und Facebook von Meta Platforms, Inc. (EU-Niederlassung: Meta Platforms Ireland Limited) – am 5. Juni 2018 entschied der EuGH, dass Betreiber von Facebook-Fanpages gemeinsam Verantwortliche für die Datenverarbeitung mit Facebook sind (Link) – oder auch Snapchat von Snap Inc. etc. Daher bietet es sich an, sich an den Äußerungen der Aufsichtsbehörden und Urteil zu diesen Plattformen zu orientieren, da es noch sehr wenig konkrete Verlautbarungen zur Nutzung von TikTok gibt.

Fazit

Der Einsatz von TikTok in der EU ist nach aktuellem Stand für Verantwortliche genauso problematisch wie die Nutzung von Facebook. Aktuell konzentrieren sich die Datenschutzaufsichtsbehörden auf die Vereinigten Staaten von Amerika und Facebook. Folglich ist genau abzuwägen, ob Tiktok bei einem Verantwortlichen tatsächlich zum Einsatz kommen soll. Dabei ist die datenschutzkonforme Einbindung von TikTok auf der Webseite und anderen Unternehmensseiten und -profilen umzusetzen. Auch sollte es eine Dokumentation geben, weshalb sich eine Einrichtung für den Einsatz dieser Plattform entschieden hat. Des Weiteren ist es empfehlenswert, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Ein Transfer Impact Assessment sollte auch nicht fehlen. Neben den oben genannten Dokumenten darf ein Verantwortlicher natürlich auch nicht die – sozusagen – Grunddokumentation zum Datenschutz vergessen wie den Datenschutzinformation, das Verzeichnis von Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen sowie Prozesse zur Beachtung der Betroffenenrechte etc.

Bei der Umsetzung der oben genannten Anforderungen und beim Datenschutz in Ihrer Einrichtung können wir Sie unterstützen und beraten. Kontaktieren Sie uns gern noch heute.

___________________________________________________________________

Update (08.11.2022):

In aktuellen Meldungen bestätigt TikTok die Verarbeitung personenbezogener Daten von EU-Bürgern in China (Link).