Eine eingehende Änderung der Datenschutzrichtlinie angekündigt von TikTok gestern für Benutzer in Europa – das China zum ersten Mal als eines von mehreren Drittländern nennt, in denen „bestimmte“ Mitarbeiter des Unternehmens aus der Ferne auf Benutzerdaten zugreifen können, um angeblich „wichtige“ Funktionen auszuführen – ist Monate gelandet vor der erwarteten Bewegung einer über ein Jahr dauernden Untersuchung der Datenexporte der Plattform nach China gemäß der Datenschutz-Grundverordnung (DSGVO) des Blocks.
Die DSGVO-Untersuchung zur Rechtmäßigkeit der Datenübertragungen der Video-Sharing-Plattform nach China wird von der irischen Datenschutzkommission (DPC), TikToks führender Datenschutzbehörde in der Region, geleitet, die die Untersuchung vor etwas mehr als einem Jahr eingeleitet hat. Die DPC teilte Tech heute mit, dass sie erwartet, dass ihre Untersuchung zu TikTok-Datenübertragungen in den kommenden Monaten in die nächste Phase übergeht – mit einem Entscheidungsentwurf, der im ersten Quartal nächsten Jahres an andere EU-DPAs zur Überprüfung gesendet werden soll.
Dieser Überprüfungsprozess gemäß Artikel 60 könnte entweder zu einer Bestätigung des irischen Entscheidungsentwurfs führen – was dann in relativ kurzer Zeit die Herausgabe einer endgültigen Entscheidung ermöglichen würde (möglicherweise vor Mitte nächsten Jahres, wenn man sich die Fristen für vergangene Untersuchungen ansieht) . Wenn jedoch andere EU-Regulierungsbehörden Einwände gegen Irlands Entscheidungsentwurf erheben, müsste die Untersuchung in ein Streitbeilegungsverfahren nach „Artikel 65“ übergehen – was den Prozess um viele weitere Monate verlängern könnte, bevor eine endgültige Entscheidung erlassen werden könnte, da die Regulierungsbehörden des Blocks einen Konsens anstreben.
Es ist nicht klar, ob sich TikToks Ankündigung der Anpassung der Datenschutzrichtlinie auf diese übergreifende DSGVO-Untersuchung bezieht. Die eingehenden Änderungen, die ab dem 2. Dezember gelten sollen, beinhalten auch ein Update darüber, wie die Plattform Standortinformationen der Benutzer sammelt, damit sie sich nicht ausschließlich auf Datenübertragungen konzentrieren.
Aber die Offenlegung von chinesischen Mitarbeitern, die auf europäische Benutzerdaten zugreifen, könnte auch ein nicht sehr subtiler Versuch sein, der behördlichen Durchsetzung seiner Datenübertragungen zuvorzukommen – und versuchen, einen zukünftigen Schlag abzufedern, indem er auf bereits unternommene Schritte zur Verbesserung seiner Transparenz hinweisen kann Europäische Nutzer. (Allerdings ist dies nicht das einzige potenzielle regulatorische Problem in Bezug auf Datenexporte.)
Ein Sprecher von TikTok lehnte es ab, sich dazu zu äußern, ob seine aktualisierte Datenschutzrichtlinie in irgendeiner Weise mit der DSGVO-Untersuchung zusammenhängt – und sagte, er könne dies nicht tun, da die Untersuchung noch andauere.
Allerdings in einem Blogeintrag Bei der Ankündigung des Updates behauptete das Unternehmen, dass die Änderungen „mehr Transparenz darüber beinhalten, wie wir Benutzerinformationen außerhalb Europas teilen“.
Das ist bemerkenswert, weil Transparenz ein Schlüsselprinzip der DSGVO ist – während Verstöße gegen das Transparenzprinzip zu harten Strafen führen können (wie die Geldstrafe von 267 Millionen US-Dollar für WhatsApp im Besitz von Meta im vergangenen Jahr, nachdem eine von Irland geführte Untersuchung eine Reihe von Transparenzverstößen festgestellt hatte ).
Behaupten, dass Sie transparent sind und tatsächlich zu sein transparent ist natürlich nicht unbedingt dasselbe. Es ist daher erwähnenswert, dass die aktualisierte Datenschutzrichtlinie von TikTok wichtige Informationen – wie die vollständige Liste der Länder, in denen Mitarbeiter aus der Ferne auf die Daten europäischer Benutzer zugreifen können, und aus welchen spezifischen Gründen – über eine Reihe von zusammenklappbaren Menüs und Hyperlinks verteilt zu sein scheint Richtlinie, wodurch ein Benutzer aufgefordert wird, herumzuklicken, mehreren Links zu folgen und im Grunde nach relevanten Informationen inmitten eines größeren Datensumpfs zu suchen, um einen umfassenden Überblick darüber zu erhalten, was mit seinen Daten passiert (anstatt alles klar zu artikulieren und zu einem einzigen zusammenzufassen , leicht verdauliche Ansicht).
Wenn es also um Transparenz geht, sieht TikTok hier wirklich so aus, als hätte es noch Arbeit zu tun.
Ebenfalls noch in Arbeit für TikTok: Ein Datenlokalisierungsprojekt zur Speicherung der Daten europäischer Benutzer in der Region – das Anfang dieses Jahres angekündigt wurde, wurde erneut verschoben (bis 2023).
Wenn TikTok beabsichtigt, Mitarbeitern in Ländern ohne EU-Angemessenheitsabkommen, die bestätigen, dass sie im Wesentlichen gleichwertige Datenschutzstandards wie der Block haben, weiterhin den Fernzugriff auf die Informationen europäischer Benutzer zu ermöglichen, stellen sich Fragen zur Rechtmäßigkeit seiner internationalen Datenübertragungen wahrscheinlich fortbestehen.
Neben China nennt die Datenschutzrichtlinie von TikTok Brasilien, Malaysia, die Philippinen, Singapur und die USA (die derzeit nur ein vorläufiges Abkommen mit der EU für ein neues Datenübertragungsabkommen haben) als Länder, in denen Mitarbeiter Fernzugriff auf europäische Benutzerdaten haben ohne den Deckmantel einer Angemessenheitsvereinbarung – und sagt, dass es sich für diese Übertragungen auf Standardvertragsklauseln (SCCs) stützt.
Wie jedoch die EDPB-Leitlinien zu Datenübermittlungen hervorheben, muss jede Übermittlung in ein Drittland einzeln geprüft werden, und einige sind möglicherweise rechtlich nicht möglich, selbst wenn zusätzliche Maßnahmen ergriffen werden. Daher muss jede einzelne dieser Übertragungen einer behördlichen Prüfung standhalten.
Angesichts so vieler Drittlandübertragungen kann das europäische Datenlokalisierungsprojekt von TikTok – zumindest vorerst – nur als PR-Übung betrachtet werden. Und/oder ein Versuch, sich bei den lokalen Aufsichtsbehörden einzuschmeicheln, in der Hoffnung, dass sie den laufenden Datenexport freundlicher sehen. Es sei denn, oder bis es den Datenexport in Drittländer einstellt und einen Weg findet, seine Muttergesellschaft in China vollständig gegen den Zugriff auf die Daten europäischer Benutzer im Klartext zu schützen.
Der Sprecher von TikTok lehnte es ab, sich zu zukünftigen Plänen zu äußern, um seine Datenübertragungen angesichts dieser Herausforderungen weiter anzupassen, verwies jedoch darauf Blogeintrag – die ihren Ansatz zur Datenverwaltung in Europa als „zentriert auf die Begrenzung der Anzahl der Mitarbeiter mit Zugriff auf europäische Benutzerdaten, die Minimierung von Datenflüssen außerhalb der Region und die lokale Speicherung europäischer Benutzerdaten“ beschreibt.
Das größere Problem von TikTok besteht darin, dass es aufgrund von Sicherheitsbedenken in Bezug auf die Fähigkeit des chinesischen Staates, Zugang zu Daten zu erhalten, die kommerzielle Plattformen/Dienste von ihren Benutzern halten – mit nationalen Sicherheitsgesetzen in seiner Heimat – in der gesamten westlichen Welt einer verstärkten behördlichen Kontrolle ausgesetzt ist Land, das den üblichen Standardvertragsschutz außer Kraft setzt.
Seine Plattform sammelt auch eine Menge Benutzerdaten – was nur Bedenken hinsichtlich ihrer Fähigkeit schürt, als Daten-Honeypot für die staatliche Überwachung oder sogar für „Soft Power“-Operationen zur ausländischen Einflussnahme umfunktioniert zu werden.
Während die Nachverfolgung und Profilerstellung von Benutzern zu weiteren spezifischen regulatorischen Problemen in Europa führt – auf der Seite des Datenschutzes und des Verbraucherschutzes – die dem Betrieb einige Grenzen setzen.
Zum Beispiel hat TikTok kürzlich zugestimmt, eine umstrittene Änderung der Rechtsgrundlage, auf die es sich stützt, um zielgerichtete Werbung zu schalten, nach einer formellen Warnung der italienischen Datenschutzbehörde – und einer anschließenden „Engagement“ der DPC – wegen eines Plans zur Aufhebung der Zustimmung einzufrieren ( und ein berechtigtes Interesse geltend machen, gezielte Werbung zu schalten). Daher steht sein Profiling- und Ad-Targeting-Modell an mehreren Fronten vor Herausforderungen, selbst wenn es versucht, sein Geschäft gegen umfassendere, geopolitische Sicherheitsbedenken zu verteidigen.