Jens FischerTikTok ist in Deutschland wieder in den Schlagzeilen — und diesmal geht es nicht um Tanzvideos. Rund 20 Millionen deutsche Nutzer laufen derzeit Gefahr, Teil einer Sammelklage zu werden, während Unternehmen, die TikTok zu Marketingzwecken einsetzen, mit ernsthaften DSGVO-Konsequenzen rechnen müssen.
Was ist gerade passiert?
Im Juli 2025 eröffnete die irische Datenschutzkommission (DPC) eine neue Untersuchung gegen TikTok — diesmal wegen der Speicherung europäischer Nutzerdaten auf Servern in China, entgegen früherer Zusagen des Unternehmens. Parallel laufen in Deutschland Sammelklagen mit Forderungen zwischen 500 und 2.000 Euro pro Nutzer.
Die EU-Kommission hat außerdem festgestellt, dass TikTok europäisches Recht verletzt, indem es durch personalisierte Empfehlungen und Autoplay-Funktionen Suchtverhalten fördert. Das ist kein Randproblem mehr — es ist eine behördliche Feststellung.
Bereits seit 2023 ist TikTok auf allen deutschen Bundesbehörden-Dienstgeräten verboten. Der Bundesbeauftragte für den Datenschutz (BfDI) empfiehlt Behörden weiterhin ausdrücklich, die App zu meiden. Diese Warnung gilt seit April 2026 auch verstärkt für Unternehmen.
Warum Unternehmen jetzt handeln müssen
Wer TikTok geschäftlich nutzt — ob für TikTok Shop, Marketing-Kampagnen oder einfach als Social-Media-Kanal — trägt nach DSGVO eine Mitverantwortung für Datenschutzverletzungen.
Die Kernprobleme nach Artikel 44 DSGVO sind klar: TikTok überträgt EU-Nutzerdaten in Drittstaaten (China, USA, Singapur) ohne ausreichende Schutzgarantien. Gleichzeitig fehlt die erforderliche Transparenz darüber, zu welchen Zwecken Daten gesammelt und wie lange sie gespeichert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwar keine formellen Verbote ausgesprochen, verweist jedoch auf die Einschätzungen des BfDI — und die sind eindeutig.
Für Unternehmen bedeutet das konkret: Wer einen TikTok-Business-Account betreibt oder das TikTok-Pixel auf seiner Website eingebunden hat, muss einen Auftragsverarbeitungsvertrag (AVV) mit TikTok prüfen und sicherstellen, dass dieser den deutschen Anforderungen entspricht. Fehlt dieser Vertrag oder ist er unzureichend, drohen Bußgelder nach DSGVO-Art. 83 — im schlimmsten Fall bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Die drei größten Risiken für deutsche Unternehmen
Pixel-Tracking auf der Firmenwebsite. TikTok betreibt laut aktuellen Analysen mindestens 7 Tracking-Pixel auf Drittwebseiten. Wenn Sie den TikTok-Pixel eingebunden haben, übertragen Sie Besucherdaten — möglicherweise ohne ausreichende Einwilligung. Ein IT-Spezialist kann prüfen, ob Ihre Cookie-Einwilligung rechtskonform gestaltet ist.
Biometrische Datenerfassung in der App. Gesichtserkennung und ähnliche Funktionen innerhalb der App erfassen in manchen Fällen biometrische Merkmale — eine besonders sensible Datenkategorie nach DSGVO Art. 9. Unternehmen, die Mitarbeiter-Accounts für Marketing nutzen, sollten prüfen, ob sie hierüber ausreichend informiert und geschützt sind.
Fehlende Datenschutz-Folgenabschätzung (DSFA). Für Verarbeitungen mit hohem Risiko ist eine DSFA vorgeschrieben. TikTok-Marketing ohne vorherige DSFA kann bei einer Prüfung durch die Datenschutzaufsichtsbehörde zu unmittelbarem Handlungsbedarf führen.
Was IT-Spezialisten empfehlen
Die Empfehlung lautet nicht unbedingt „TikTok sofort löschen" — aber ein strukturiertes Compliance-Audit ist zwingend. Das umfasst:
- Bestandsaufnahme: Welche TikTok-Integrationen (Pixel, App, Accounts) nutzt das Unternehmen?
- AVV-Prüfung: Liegt ein gültiger Auftragsverarbeitungsvertrag mit TikTok vor?
- Cookie-Consent überprüfen: Entspricht das Consent-Management dem aktuellen Stand der Technik und der Rechtsprechung?
- DSFA durchführen: Insbesondere bei intensiver Nutzung des TikTok-Pixels für Werbekampagnen.
- Alternative prüfen: Lassen sich Marketingziele auch mit EU-konformen Plattformen erreichen?
Ein erfahrener IT-Spezialist kann diese Prüfung in der Regel innerhalb weniger Tage abschließen und einen klaren Handlungsplan entwickeln. Wer jetzt handelt, vermeidet nicht nur Bußgelder — er schützt auch das Vertrauen seiner Kunden.
Welche Branchen sind besonders betroffen?
Einige Sektoren tragen ein erhöhtes Risiko, da sie regelmäßig sensible Daten verarbeiten und gleichzeitig TikTok intensiv für Marketing nutzen:
Gesundheits- und Wellnessanbieter: Wer auf TikTok über Behandlungen, Produkte oder Therapien kommuniziert, riskiert die unbeabsichtigte Übertragung von Gesundheitsdaten an TikTok-Server — eine Datenkategorie mit besonderem Schutz nach DSGVO Art. 9.
E-Commerce-Unternehmen mit TikTok Shop: Der TikTok Shop ist in Deutschland stark gewachsen. Händler, die dort aktiv sind, übertragen Kunden- und Transaktionsdaten und müssen sicherstellen, dass die entsprechenden Verarbeitungsverträge rechtskonform sind.
Agenturen und Dienstleister: Wer TikTok-Marketing für Kunden betreibt, ist als Auftragsverarbeiter selbst verantwortlich. Ein Bußgeld trifft in diesem Fall auch die Agentur — nicht nur den Endkunden.
Bildungseinrichtungen und Jugendangebote: TikToks unzureichende Altersverifikation ist behördlich dokumentiert. Bildungsanbieter, die TikTok nutzen, um minderjährige Zielgruppen zu erreichen, laufen in eine besonders sensible Rechtslage.
Was die Bußgelder aus der Vergangenheit lehren
Die EU-Datenschutzbehörden haben bereits mehrfach zugeschlagen: 345 Millionen Euro durch die irische DPC im Jahr 2023, rund 530 Millionen Euro für illegalen Datenzugang aus China im Jahr 2025, 5 Millionen Euro durch die französische CNIL. Diese Summen betreffen zwar TikTok direkt — aber sie zeigen, dass Aufsichtsbehörden willens und fähig sind zu handeln. Und dass Drittparteien, die in Datenverstöße verwickelt sind, ebenfalls ins Visier geraten können.
Deutsche Unternehmen, die TikTok heute noch ohne strukturierte Compliance-Prüfung betreiben, sollten das Bußgeldregime der DSGVO nicht unterschätzen.
So schützen Sie sich
Das BfDI stellt auf seiner offiziellen Website unter https://www.bfdi.bund.de aktuelle Informationen und Handlungsempfehlungen für Bürger und Unternehmen bereit — einschließlich konkreter Hinweise zu TikTok.
Wenn Sie als Unternehmen prüfen möchten, ob Ihr TikTok-Einsatz DSGVO-konform ist, empfiehlt sich die Beratung durch einen zertifizierten IT-Sicherheitsfachmann. ExpertZoom vermittelt IT-Spezialisten, die auf Datenschutz und digitale Compliance spezialisiert sind — für eine erste Einschätzung Ihrer aktuellen Situation.
TikTok bleibt ein mächtiges Marketingwerkzeug. Aber in Deutschland zu nutzen, ohne die rechtlichen Grundlagen geprüft zu haben, wird 2026 immer riskanter. Die Frage ist nicht ob, sondern wann die nächste Untersuchung kommt — und ob Ihr Unternehmen darauf vorbereitet ist.
