TikTok hat den Zeitplan für die Eröffnung seines ersten Rechenzentrums in der Europäischen Union in Dublin, Irland, erneut verschoben – und erklärt, dass die Einrichtung voraussichtlich erst im nächsten Jahr vollständig betriebsbereit sein wird.
Das soziale Videonetzwerk verfolgt seit 2020 Pläne, die Daten von Nutzern aus der EU, dem EWR und dem Vereinigten Königreich in der Region zu speichern.
Dieses Rechenzentrum in Irland sollte ursprünglich Anfang 2022 in Betrieb gehen. Dieser Zeitplan wurde später verschoben Ende 2022. Jetzt wurde es ins Jahr 2023 verschoben.
Derzeit werden TikTok-Benutzerdaten außerhalb der Region gespeichert, entweder in Singapur oder in den USA.
Auf diese lange Verzögerung angesprochen, sagte eine TikTok-Sprecherin: „Wir haben zunächst unsere Absicht angekündigt, im August 2020 ein Rechenzentrum zu errichten. Die Herausforderungen, die sich aus der anhaltenden globalen Pandemie ergeben, haben unseren ursprünglichen Zeitplan erheblich beeinflusst.“
Ein europäisches „Transparenz- und Rechenschaftszentrum“ – das von TikTok im April 2021 als Drehscheibe angekündigt wurde, an der externe Experten Informationen über seine Plattformpraktiken in Bereichen wie Inhaltsmoderation, Sicherheit und Datenschutz erhalten können – ist seit letztem Jahr ebenfalls praktisch in Betrieb Angesichts der Coronavirus-Pandemie sagte das Unternehmen, dass 2022 auch in Irland ein physisches Zentrum eröffnet werde.
TikTok ist seit mehreren Jahren mit Bedenken hinsichtlich der Sicherheit von Benutzerdaten konfrontiert, da seine Muttergesellschaft, das in Peking ansässige Unternehmen ByteDance, dem chinesischen Internetsicherheitsgesetz unterliegt, das der Kommunistischen Partei Chinas seit 2017 weitreichende Befugnisse zum Abrufen von Daten einräumt von Digitalunternehmen.
Die irische Datenschutzkommission (DPC), die führende EU-Datenschutzbehörde von TikTok, kündigte im September 2021 zwei Untersuchungen zu den Datenverarbeitungsaktivitäten des Unternehmens an – eine davon konzentrierte sich auf internationale Datenübertragungen, die andere auf den Umgang mit Daten von Kindern. Obwohl es seitdem kein Update zum Fortschritt seiner Ermittlungen gab. (Wir haben nach der Datenübertragungsprobe gefragt und werden aktualisieren, wenn wir eine Antwort vom DPC erhalten.)
Die Frage des Exports personenbezogener Daten aus der EU ist seit Jahren von Rechtsunsicherheit geprägt, nachdem der NSA-Whistleblower Edward Snowden 2013 enthüllt hatte, dass staatliche Massenüberwachungsprogramme Daten aus Verbraucherdiensten wie sozialen Netzwerken extrahierten. (Facebook ist nach wie vor mit Unsicherheiten über die Rechtmäßigkeit seiner EU-US-Datenübermittlungen im Zusammenhang mit einer sehr lange laufenden Datenübertragungsbeschwerde konfrontiert, beispielsweise mit einem überarbeiteten Entscheidungsentwurf, der ihm im Februar zugesandt wurde.)
Während sich die Snowden-Enthüllungen auf das Abfangen von Massendaten durch die US-Regierung konzentrierten, ist die digitale Überwachung des Internets durch den chinesischen Staat aus Sicht des Datenschutzes ebenso (und für einige wahrscheinlich sogar noch problematischer). Das bringt TikTok als soziales Netzwerk in chinesischem Besitz in eine schwierige Lage in Bezug auf Datensicherheit und Datenverwaltung.
Die Datenlokalisierung wurde als eine Möglichkeit für Internetunternehmen vorgeschlagen, diese Art von rechtlichen Risiken auf der Grundlage von Datenübertragungen zu verringern und – in Bezug auf die EU – zu versuchen, die regionalen Datenschutzvorschriften einzuhalten, die verlangen, dass die personenbezogenen Daten der Europäer das gleiche Maß an Datenschutz genießen rechtliche Garantien, wenn es außerhalb des Blocks exportiert wird, wie es innerhalb des Blocks der Fall ist.
Ein globales soziales Netzwerk wie TikTok, das keine regionale Firewall-Nutzung durchführt, wird jedoch niemals in der Lage sein, die Speicherung von Daten basierend auf der Herkunftsregion des Benutzers vollständig zu isolieren. Ein in der EU ansässiger TikTok-Nutzer könnte beispielsweise das Video eines in den USA ansässigen TikTok-Nutzers kommentieren oder umgekehrt. Wo werden diese Daten gespeichert?
Allerdings kann es Fälle geben, in denen bestimmte Arten von internationalen Datenflüssen, die auf diesen Plattformen stattfinden, berechtigterweise eine Rechtsgrundlage als sogenannte „erforderliche Übermittlungen“ nach EU-Recht beanspruchen könnten – wie z. B. Nachrichten, die absichtlich zwischen Benutzern gesendet werden.
Und wenn der Großteil der Daten der EU-Nutzer von TikTok innerhalb des Blocks gespeichert wird, könnten die lokalen Datenschutzbehörden auch diese verbleibenden Datenexporte freundlicher sehen.
TikTok beschreibt seinen Plan, die Daten von EU-Nutzern in der Region zu lokalisieren, als „europäische Data-Governance-Strategie“ – und betont andere Maßnahmen, die es angeblich ergreift, wie die „strenge Beschränkung“ des Zugriffs von Mitarbeitern auf personenbezogene Daten und die Minimierung von Datenexporten – so scheint es seine Hoffnung sein.
Gleichzeitig lehnt sich das Unternehmen an die Besorgnis an, die den jüngsten Durchsetzungsmaßnahmen zur Datenübertragung durch EU-Regulierungsbehörden gefolgt ist – wie beispielsweise Entscheidungen, die Datenschutzverletzungen in Bezug auf die Verwendung von Produkten wie Google Analytics und Stripe feststellen –, indem es darauf hinweist, dass globale Produkte einige Daten benötigen, um einfließen zu können um gut funktionieren zu können.
„Ein solcher regionaler Ansatz zur Datenverwaltung ermöglicht es uns, mit den europäischen Zielen der Datensouveränität in Einklang zu bleiben“, argumentiert Elaine Fox, Head of Privacy bei TikTok in Europa Blogeintrag heute. „Gleichzeitig minimieren wir Datenflüsse außerhalb der Region auf eine Weise, die es uns ermöglicht, die globale Interoperabilität aufrechtzuerhalten, die erforderlich ist, um sicherzustellen, dass unsere Benutzer hier mit unserer 1 Milliarde starken Community verbunden bleiben – und die Vorteile eines globalen Produkts genießen Erfahrung.“
Der Export personenbezogener Daten aus der EU ist nicht illegal, Punkt. Das oberste Gericht des Blocks ließ in seinem Urteil vom Juli 2020, das ein großes EU-US-Datenübertragungsabkommen für ungültig erklärte, die Tür für Datenübertragungen in sogenannte Drittländer offen und sagte, es sei immer noch möglich, Daten mithilfe von Mechanismen wie Standardvertragsklauseln zu exportieren (was TikToks Fox sagt, dass das Unternehmen es verwendet) — bereitgestellt das die übergeordnete Bedingung eines angemessenen Schutzes der Informationen von Personen im Zielland erfüllt ist.
Der Europäische Datenschutzausschuss der EU folgte diesem Urteil mit Leitlinien zu sogenannten ergänzenden Maßnahmen, die Datenverantwortliche möglicherweise anwenden können, um das Schutzniveau auf das erforderliche gesetzliche Niveau anzuheben.
Und während TikTok behauptet, dass es eine Mischung solcher Maßnahmen anwendet, um Übertragungen zu sichern, geht es nicht ins Detail, was es tut. (Das ist vermutlich das, was das DPC in seiner Datenübertragungsanfrage beurteilen wird.)
„Wo Datenübertragungen außerhalb der Region erforderlich sind, verlassen wir uns auf zugelassene Methoden für die Datenübertragung aus Europa, wie beispielsweise Standardvertragsklauseln“, schreibt Fox. „Wir setzen auch eine Reihe ergänzender technischer, vertraglicher und organisatorischer Maßnahmen ein, damit diese Übertragungen ein gleichwertiges Datenschutzniveau wie im Vereinigten Königreich und im EWR erhalten. In der Praxis bedeutet dies, dass alle personenbezogenen Daten durch einen robusten Satz physischer und logischer Sicherheitskontrollen geschützt sind, zusammen mit verschiedenen Richtlinien und Datenzugriffskontrollen für Mitarbeiter.“
TikTok hat wohl mehr Anlass zur Sorge in Bezug auf die Datenübertragung als Internetdienste in den USA, da China von der EU einfach kein Transferabkommen gewährt wird (unabhängig davon, ob es sein eigenes Datenschutzregime verabschiedet hat; geopolitisch ist es nicht praktikabel). – während die USA und die EU im vergangenen Monat mit dem höchsten Tamtam verkündeten, dass sie eine politische Einigung über einen transatlantischen Ersatzdatentransfervertrag erzielt hätten. (Die Adoption wird jedoch wahrscheinlich Monate dauern.)
Das bedeutet, dass sich US-Technologieplattformen wie Facebook auf die Aussicht auf – zumindest – eine weitere verlängerte Gnadenfrist freuen können, während sie weiterhin Daten weitergeben und bevor eine neue rechtliche Anfechtung des Datenflusses zwischen der EU und den USA das Regime erneut entkräften könnte.
Als Unternehmen in chinesischem Besitz kann sich TikTok nicht auf einen solchen Backstop verlassen.
Daher ist es nicht verwunderlich, dass der Video-Sharing-Dienst an anderer Stelle in seinem Blogbeitrag versucht, den wirtschaftlichen Wert seiner regionalen Aktivitäten hochzuspielen, indem er schreibt: „Wir haben Tausende von Mitarbeitern in der gesamten Region, die an Bereichen wie Marken- und Urheberbindung, E-Commerce, Monetarisierung, Musik, Datenschutz, Produkt, öffentliche Ordnung, Forschung und Entwicklung sowie Vertrauen und Sicherheit. Wir haben feste Büros in zwei unserer wichtigsten globalen Drehkreuze, Dublin und London, angekündigt. Wir verstärken unsere lokalen Führungsteams in Frankreich, Italien und Spanien weiter und skalieren unser Geschäft in neuen Märkten wie Belgien und den Niederlanden.“
Datenübertragungen sind jedoch nicht die einzigen Probleme von TikTok in Europa.
Das soziale Netzwerk sieht sich auch im Hinblick auf den Verbraucherschutz einer zusätzlichen regionalen Prüfung gegenüber – nachdem die Europäische Kommission im vergangenen Jahr nach einer Reihe von Beschwerden einen formellen Dialog über ihre Nutzungsbedingungen eingeleitet hat.
In Großbritannien ist das Unternehmen auch Gegenstand einer Sammelklage im Stil einer Datenschutz-Sammelklage wegen der Verarbeitung von Daten von Kindern.