Den irske databeskyttelseskommission (DPC) har idømt TikTok en bøde på i alt 530 millioner euro (svarende til næsten 4 milliarder danske kroner) for ulovligt at have overført europæiske brugeres data til Kina, hvor moderselskabet ByteDance har hjemme.
Mere præcist er TikTok fundet skyldig i at have overtrådt to artikler i EU's databeskyttelseslov, GDPR, ved ikke at opfylde sine forpligtelser vedrørende datatransmission til Kina samt manglende gennemsigtighed.
De har nu seks måneder til at bringe sin databehandling i overensstemmelse med lovgivningen - eller stoppe enhver dataoverførsel til Kina. TikTok har afvist afgørelsen fra den irske tilsynsmyndighed og har meddelt, at de vil anke sagen i sin helhed.
TikTok versus EU
Som næstformand for DPC, Graham Doyle, understreger i en officiel erklæring, kræver GDPR, at det høje beskyttelsesniveau, der findes inden for EU, opretholdes, når personoplysninger overføres til tredjelande. Det har TikTok ifølge myndigheden ikke levet op til.
"TikToks overførsel af personoplysninger til Kina overtrådte GDPR, fordi TikTok ikke kunne verificere, garantere eller dokumentere, at EØS-brugeres data - som blev fjernadganget af medarbejdere i Kina - blev beskyttet på et niveau, der i det væsentlige svarer til beskyttelsen i EU," sagde Doyle.
EU's datatilsyn fandt specifikt, at TikTok overtrådte to GDPR-artikler: Artikel 46(1), som regulerer overførsel af EØS-brugerdata til Kina, samt gennemsigtighedskravene i Artikel 13(1)(f). DPC udstedte herefter to administrative bøder på henholdsvis 485 millioner og 45 millioner euro.
Doyle bemærkede, at TikToks manglende opfyldelse af GDPR-krav betød, at platformen ikke kunne imødegå potentielle dataadgange fra kinesiske myndigheder i henhold til kinesisk anti-terror-, kontraspionage- og anden lovgivning.
Flere problemer i sigte
TikTok er dog ikke færdig med problemerne endnu. Virksomheden blev også fundet skyldig i at have givet DPC forkerte oplysninger om, hvor europæiske brugeres data opbevares.
TikTok forsikrede først, at data ikke var lagret på servere i Kina. Dette blev imidlertid modsagt i april 2025, da TikTok indrømmede, at man i februar 2025 havde opdaget, at en begrænset mængde EØS-data befandt sig på kinesiske servere. DPC har varslet, at en beslutning om denne sag vil blive offentliggjort på et senere tidspunkt.
"Selvom TikTok har informeret DPC om, at disse data nu er slettet, overvejer vi, i samråd med vores europæiske databeskyttelseskolleger, hvilke yderligere reguleringsmæssige tiltag der måtte være nødvendige," sagde Doyle om dette ifølge TechRadar.
TikTok svarer igen
TikTok erklærede sig uenig i DPC's afgørelse og er klar til at anke alle anklager.
"Afgørelsen tager ikke tilstrækkeligt højde for Project Clover - vores industriledende datasikkerhedsinitiativ til 12 milliarder euro, som indeholder nogle af de strengeste databeskyttelsesforanstaltninger overhovedet," sagde Christine Grahn, TikToks chef for public affairs og myndighedsrelationer i Europa, i en officiel udtalelse.
"Den fokuserer i stedet på en begrænset periode for flere år siden - før Clover blev implementeret i 2023 - og afspejler ikke de nuværende sikkerhedsforanstaltninger."
Det er dog ikke første gang, TikTok er blevet idømt en bøde i Europa for at overtræde databeskyttelseslovgivningen. I 2023 modtog TikTok en bøde på 345 millioner euro fra DPC for brud på børns privatliv.
