NOYB: Beschwerden gegen TikTok, AliExpress und Co.

Am 16. Januar 2025 hat die Datenschutzorganisation noyb (None of Your Business) Beschwerden bei fünf europäischen Datenschutzbehörden gegen sechs mit China verbundene Unternehmen eingereicht. Betroffen sind TikTok, Xiaomi, AliExpress, SHEIN, WeChat und Temu. Der zentrale Vorwurf lautet: Unrechtmäßiger Datentransfer nach China.

Wer ist noyb?

Die Organisation noyb (kurz für „None of Your Business“) wurde 2017 von dem österreichischen Datenschutzaktivisten Max Schrems gegründet. Schrems wurde bekannt durch die Fälle Schrems I und Schrems II, die zur Aufhebung der EU-US-Datenabkommen Safe Harbor und Privacy Shield führten.

Seit Dezember 2024 ist noyb als „qualifizierte Einrichtung“ zugelassen. Dieser Status erlaubt es der Organisation, Verbandsklagen im gesamten Gebiet der Europäischen Union einzureichen, um Verstöße gegen die DSGVO anzufechten.

Die aktuellen Beschwerden gegen TikTok, WeChat und andere sind die ersten dieser Art, die speziell auf den Datentransfer europäischer Daten nach China konzentrieren.

Worum geht es in den Beschwerden?

Die aktuellen Beschwerden richten sich laut noyb gegen Unternehmen aus verschiedenen Branchen wie soziale Medien, Online-Shopping und Kommunikationsdienste. Im Mittelpunkt steht der Vorwurf, dass personenbezogene Daten europäischer Verbraucher nach China transferiert werden – ein Land, das laut noyb nach EU-Maßstäben kein ausreichendes Datenschutzniveau bietet.

Betroffene Länder und Unternehmen:

• TikTok und Xiaomi in Griechenland
• SHEIN in Italien
• AliExpress in Belgien
• WeChat in den Niederlanden
• Temu in Österreich

Unrechtmäßiger Datentransfer nach China

Nach der DSGVO dürfen personenbezogene Daten nur dann in Länder außerhalb der EU übertragen werden, wenn dort ein mit der EU vergleichbares Datenschutzniveau garantiert ist. Da ein solcher Angemessenheitsbeschluss für China fehlt, müssen Unternehmen auf Standardvertragsklauseln (SCC) zurückgreifen.

Ähnlich wie in den Fällen Schrems I und Schrems II kritisiert noyb jedoch, dass SCCs allein nicht ausreichen, um die Rechte europäischer Nutzer effektiv zu schützen. Unternehmen müssten zusätzlich eine Datenübertragungsfolgenabschätzung (TIA) durchführen, um sicherzustellen, dass:

• das Zielland keine Gesetze hat, die die Rechte der Betroffenen gefährden,
• behördliche Zugriffe auf Daten beschränkt und kontrollierbar sind und
• unabhängige Rechtsmittel für Betroffene verfügbar sind.

Warum China laut noyb nicht DSGVO-konform ist:

• Unbeschränkter behördlicher Zugriff: Chinesische Gesetze, wie das Cybersecurity-Gesetz, ermöglichen Behörden nahezu uneingeschränkten Zugriff auf Daten.
• Fehlende unabhängige Kontrolle: Es gibt keine Institutionen, die den staatlichen Datenzugriff effektiv überwachen könnten.
• Eingeschränkte Rechte für Betroffene: Europäische Verbraucher haben kaum Möglichkeiten, sich gegen unrechtmäßige Zugriffe durch chinesische Behörden zu wehren.

Interessant ist, dass noyb auf den Transparenzbericht von Xiaomi verwies, um das Risiko von Datenzugriffen durch chinesische Behörden zu belegen. In diesen Berichten wird dokumentiert, dass Behörden in der Praxis häufig uneingeschränkten Zugriff auf Daten beantragen und Xiaomi diesen Anfragen fast immer nachkommt.

Weitere Kritikpunkte von noyb

Auskunftsersuchen nicht beantwortet

Noyb berichtet, dass mehrere Verbraucher Anfragen nach Artikel 15 DSGVO gestellt haben, um Informationen über die Übertragung ihrer Daten nach China zu erhalten. Die Unternehmen hätten jedoch entweder nicht oder nur unzureichend geantwortet.

Datenflüsse laut den Datenschutzerklärungen

Laut noyb liefern die Datenschutzerklärungen und öffentliche Informationen der betroffenen Unternehmen klare Hinweise auf Datenflüsse nach China:

„Laut ihren Datenschutzerklärungen übermitteln AliExpress, SHEIN, TikTok und Xiaomi Daten nach China. Temu und WeChat erwähnen Übertragungen in Drittländer. Gemäß der Unternehmensstruktur von Temu und WeChat schließt dies höchstwahrscheinlich China ein.“

In ihren Datenschutzerklärungen geben TikTok, Xiaomi und andere Unternehmen an, sich auf SCC zu berufen, ohne jedoch eine ausreichende TIA vorzulegen.

Erfüllung gesetzlicher Anforderungen?

Einige Unternehmen geben in ihren Datenschutzerklärungen an, dass Datenübertragungen auf gesetzlichen Vorschriften, legitimen Anfragen von Aufsichtsbehörden oder Gerichtsentscheidungen beruhen, ohne jedoch klarzustellen, dass diese ausschließlich auf EU-Recht basieren. Laut noyb könnte dies ein Risiko darstellen, da solche Formulierungen potenziell auch die Zusammenarbeit mit chinesischen Behörden rechtfertigen könnten.

Fragwürdige EU-Präsenz und „Briefkastenfirmen“

Ein weiterer Vorwurf betrifft die scheinbare Präsenz der Unternehmen in der EU. Laut noyb nutzen viele der Unternehmen lediglich formale Adressen, um den Anschein zu erwecken, den DSGVO-Anforderungen zu entsprechen, während die tatsächliche Kontrolle außerhalb der EU liegt.

Ein Beispiel ist Temu, dessen europäische Adresse laut noyb nur ein Postfach ist. Die Geschäftsführung und die zentralen Aktivitäten würden aus China gesteuert. LinkedIn-Recherchen von noyb zeigen, dass einige dieser „EU-Firmen“ nur wenige Mitarbeiter beschäftigen, was ihre Funktion als unabhängige Datenverantwortliche infrage stellt.

Forderungen von noyb an die Datenschutzbehörden

Noyb fordert von den europäischen Datenschutzbehörden konkrete Maßnahmen, um die Rechte der Betroffenen zu schützen. Dazu gehören:

• Sofortiger Stopp der Datenübertragungen nach China gemäß Artikel 58(2)(j) DSGVO.
• Umfassende Untersuchung der Datenverarbeitungspraktiken, insbesondere die Vorlage von TIA-Berichten sowie die Überprüfung der genutzten SCC-Dokumentationen.
• Anpassung der Datenverarbeitungspraktiken an die DSGVO, insbesondere im Hinblick auf Transparenz und die Einhaltung von Betroffenenrechten wie Auskunftspflichten.
• Verhängung wirksamer Geldstrafen gemäß Artikel 83 DSGVO. Diese könnten bis zu 4 % des weltweiten Jahresumsatzes der Unternehmen betragen. Für Xiaomi wären dies bis zu 1,75 Milliarden Euro, für Temu bis zu 1,35 Milliarden Euro.

Mehr als nur ein Risiko des Datentransfers

Die von nyob angestoßenen Verfahren könnten potenziell erhebliche Auswirkungen auf die betroffenen Unternehmen haben, deren Umfang jedoch abzuwarten bleibt.

Gleichzeitig dient dieser Fall als Weckruf für alle Unternehmen, die sich bei internationalen Datenübertragungen auf SCC verlassen. Ohne umfassende Risikoprüfungen, klare Transparenzmaßnahmen und eine sorgfältige Umsetzung der DSGVO können schwerwiegende rechtliche und finanzielle Folgen drohen.

Selbst mangelnde Antworten auf Anfragen oder fehlende Transparenz sind problematisch. Transparenz, die strikte Einhaltung von Betroffenenrechten und eine klare Verantwortlichkeit sind entscheidend, um nicht nur rechtliche Anforderungen zu erfüllen, sondern auch das Vertrauen der Verbraucher nachhaltig zu gewährleisten.