Blockierte Datenkopien bei TikTok, AliExpress und WeChat zeigen, wie schnell Art. 15 leerläuft

von
Kurz erklärt: Art. 15 DSGVO gibt Betroffenen das Recht zu erfahren, welche personenbezogenen Daten ein Unternehmen über sie verarbeitet, wofür sie genutzt werden, an wen sie weitergegeben werden und eine Kopie dieser Daten zu erhalten. Das Recht soll Kontrolle ermöglichen – nicht nur formale Textbausteine oder technische Scheinlösungen.

noyb hat heute Beschwerden gegen TikTok, AliExpress und WeChat in Belgien, Griechenland und den Niederlanden eingereicht. Der Vorwurf ist nicht bloß ein weiterer allgemeiner Plattformstreit, sondern trifft einen der praktisch wichtigsten Hebel der DSGVO: das Auskunftsrecht nach Art. 15. Laut noyb hat TikTok nur einen Teil der Daten in einer unstrukturierten Form geliefert, AliExpress eine Datei bereitgestellt, die faktisch nur einmal geöffnet werden konnte, und WeChat die Anfrage vollständig ignoriert. Heise berichtet ebenfalls, dass die Betroffenen dadurch nicht belastbar prüfen konnten, wie ihre Daten tatsächlich verarbeitet werden.

Gerade das macht den heutigen Fall so relevant. Das Auskunftsrecht ist kein freundlicher Zusatzservice, sondern die Voraussetzung dafür, dass Betroffene überhaupt erkennen können, ob Löschung, Berichtigung, Widerspruch oder Beschwerden sinnvoll sind. Wenn Unternehmen Daten massenhaft sammeln, aber bei der Auskunft nur Bruchstücke, kaputte Dateien oder pauschale Datenschutztexte liefern, wird aus formaler Compliance sehr schnell eine leere Hülle.

Der Streit dreht sich nicht um Höflichkeit, sondern um überprüfbare Kontrolle

noyb beschreibt drei klar unterschiedliche Fehlerbilder, die im Kern aber dasselbe Problem zeigen. Bei TikTok soll die Datenkopie unvollständig und so unstrukturiert gewesen sein, dass sie praktisch kaum verständlich war. Bei AliExpress soll die Datei technisch so mangelhaft gewesen sein, dass sie für Betroffene nicht verlässlich nutzbar war. Bei WeChat soll auf die Anfrage gar keine echte Auskunft erfolgt sein. In allen drei Varianten bleibt dasselbe Risiko: Die betroffene Person kann nicht sauber nachvollziehen, welche Daten vorhanden sind, wie sie verwendet wurden und ob weitere DSGVO-Pflichten eingehalten wurden.

Nach Darstellung von noyb haben die Betroffenen zunächst noch nachgefasst, um den Unternehmen Gelegenheit zur Korrektur zu geben. Statt einer individualisierten Nachbesserung seien aber nur Wiederholungen aus den allgemeinen Datenschutzhinweisen gekommen. Genau dort liegt für Unternehmen die operative Lehre. Eine Datenschutzerklärung erklärt abstrakt, was grundsätzlich passieren kann. Eine Auskunft nach Art. 15 muss dagegen konkret zeigen, was in genau diesem Einzelfall verarbeitet wurde. Wer beides verwechselt, baut keinen belastbaren DSAR-Prozess, sondern nur eine Textfassade.

Für Datenschutz-, Produkt- und Support-Teams ist das ein wichtiger Punkt. Viele Organisationen investieren inzwischen in Self-Service-Portale oder Download-Funktionen und halten das Problem damit für gelöst. Der heutige Fall zeigt, dass die eigentliche Messlatte anders liegt: Die Auskunft muss vollständig, verständlich, technisch nutzbar und einer konkreten Person zuordenbar sein. Ein Datenexport, den niemand lesen kann, erfüllt den Zweck des Auskunftsrechts genauso wenig wie eine Hotline, die auf Standardbausteine zurückfällt.

Warum aus drei Plattformfällen schnell ein Breitentest für Unternehmen wird

Der heutige Schritt steht zudem nicht isoliert im Raum. noyb knüpft die Beschwerden ausdrücklich an die schon früher aufgegriffene Frage an, wie chinesische Plattformen mit Daten europäischer Nutzer umgehen und ob Datenflüsse nach China rechtmäßig abgesichert werden können. Für den jetzigen Deep Dive ist dieser ältere Transferkontext aber eher Verstärker als Hauptgeschichte. Entscheidend ist heute etwas Grundsätzlicheres: Wer Auskunftsrechte nicht funktionsfähig abbildet, nimmt Betroffenen die Möglichkeit, die Rechtmäßigkeit der gesamten Verarbeitung überhaupt zu prüfen.

Das ist der Grund, warum der Fall weit über TikTok, AliExpress und WeChat hinausreicht. In vielen Unternehmen hängen Auskunftsanfragen immer noch zwischen Datenschutzteam, Kundensupport, CRM, Data Warehouse, Ticketing und externen Dienstleistern. Genau in solchen Übergaben entstehen die Schwachstellen, die noyb hier exemplarisch angreift: unvollständige Exporte, fehlende Kontextfelder, unlesbare Rohdaten, defekte Download-Strecken oder Standardantworten ohne Einzelfallbezug. Was bei einer globalen Plattform öffentlich sichtbar eskaliert, ist in kleinerer Form auch in europäischen Mittelstands- und Konzernprozessen keineswegs selten.

Hinzu kommt ein Governance-Problem. Nach den Beschwerden sollen die Aufsichtsbehörden feststellen, dass Verstöße gegen Art. 12 und 15 DSGVO vorliegen, die Erfüllung der Auskunft anordnen und zur Abschreckung Bußgelder prüfen. noyb verweist dabei auch auf den möglichen Sanktionsrahmen von bis zu 4 Prozent des weltweiten Jahresumsatzes; bei AliExpress könne das rechnerisch bis zu 147 Millionen Euro bedeuten. Ob die Behörden am Ende in dieser Größenordnung handeln, bleibt offen. Für Unternehmen reicht schon der heutige Signaleffekt: Das Thema wird nicht mehr als bloß nerviger Supportvorgang behandelt, sondern als überprüfbarer Compliance-Kernprozess.

Was Unternehmen aus dem Fall heute konkret mitnehmen sollten

Wer eigene Auskunftsprozesse verantwortet, sollte den heutigen Fall als Testmatrix lesen. Nicht die Existenz eines Formulars zählt, sondern die reale Qualität des Ergebnisses. Praktisch heißt das vor allem:

  • DSAR-Antworten stichprobenartig aus Sicht echter Betroffener prüfen: Sind Dateien lesbar, vollständig und verständlich?
  • nicht nur Rohdaten exportieren, sondern Kontext mitliefern, damit Datensätze, Zwecke und Empfänger nachvollziehbar bleiben;
  • Follow-up-Fragen nicht mit wiederverwerteten Policy-Texten abbügeln, sondern als Hinweis auf Lücken im Prozess ernst nehmen;
  • technische Download-Strecken, Dateiformate und Einmal-Links regelmäßig testen, statt sie nur dokumentiert für funktionsfähig zu halten;
  • klären, welche Teams bei Auskunftsersuchen wirklich verantwortlich sind, damit Fälle nicht zwischen Support, Legal und Engineering hängen bleiben.

Der heutige noyb-Schritt zeigt damit sehr sauber, woran belastbare DSGVO-Compliance im Alltag scheitert: nicht immer an fehlenden großen Programmen, sondern oft an der letzten operativen Meile. Unternehmen, die Auskunft nur formal beantworten, laufen in genau dieselbe Falle wie die jetzt angegriffenen Plattformen. Wer personenbezogene Daten in großem Stil verarbeitet, muss Betroffenen am Ende auch eine nutzbare Sicht auf diese Daten zurückgeben können.

Bildquelle: Pexels

Quellen: noyb, „How TikTok, AliExpress & WeChat ignore your GDPR rights“; heise online, „DSGVO-Auskunftsrecht: Noyb beschwert sich über AliExpress, TikTok und WeChat“; EconoTimes, „AliExpress, TikTok, and WeChat Face EU Privacy Complaints Over Data Access“.

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

Alle Blog-Einträge ansehen