CapCut Datenschutz: Ist die Video-App DSGVO-konform?

Was ist CapCut?

CapCut ist eine kostenlose Video-Bearbeitungs-App, die sich innerhalb weniger Jahre zu einer der weltweit beliebtesten Anwendungen für die Erstellung von Kurzvideos entwickelt hat. Mit über 500 Millionen Downloads und einer intuitiven Benutzeroberfläche bietet CapCut umfangreiche Funktionen: Von einfachen Schnitten über Texteinblendungen und Übergänge bis hin zu aufwändigen Effekten, Filtern und KI-gestützten Bearbeitungstools. Die App ist sowohl für iOS und Android als auch als Desktop-Version und Web-App verfügbar.

Besonders beliebt ist CapCut bei der Erstellung von Social-Media-Content — insbesondere für TikTok, Instagram Reels und YouTube Shorts. Die App bietet trendige Vorlagen, automatische Untertitel-Generierung und eine umfangreiche Musikbibliothek. Doch hinter der benutzerfreundlichen Oberfläche verbergen sich erhebliche Datenschutz-Bedenken, die insbesondere für Unternehmen relevant sind.

CapCut und ByteDance — der TikTok-Eigentümer

Was viele Nutzer nicht wissen: CapCut wird von ByteDance entwickelt und betrieben — dem gleichen chinesischen Technologiekonzern, der auch hinter TikTok steht. ByteDance wurde 2012 in Peking gegründet und gehört heute zu den wertvollsten privaten Unternehmen der Welt. Der Konzern betreibt neben TikTok und CapCut weitere Plattformen wie Douyin (die chinesische Version von TikTok), Lark (Bürokommunikation) und die Nachrichtenapp Toutiao. Die Datenschutzproblematik von TikTok und der DSGVO ist dabei eng mit den Risiken von CapCut verknüpft.

Die Verbindung zu ByteDance ist aus Datenschutz-Sicht besonders brisant. Chinesische Unternehmen unterliegen dem chinesischen Cybersicherheitsgesetz und dem Nationalen Geheimdienstgesetz, die staatliche Behörden berechtigen, von Unternehmen die Herausgabe von Daten zu verlangen. Obwohl ByteDance betont, dass europäische Nutzerdaten in Rechenzentren in Singapur und den USA gespeichert werden, bleiben erhebliche Bedenken hinsichtlich möglicher Zugriffe durch chinesische Behörden bestehen.

Die EU-Kommission und mehrere europäische Regierungen haben bereits TikTok auf Dienstgeräten verboten. Diese Entscheidungen betreffen zwar nicht direkt CapCut, werfen aber ein Schlaglicht auf das grundsätzliche Misstrauen gegenüber ByteDance-Produkten im europäischen Umfeld. Für Unternehmen stellt sich die Frage, ob die Nutzung von CapCut mit den eigenen Datenschutz- und Sicherheitsanforderungen vereinbar ist.

Datenschutz-Risiken von CapCut im Detail

Datentransfer nach China und in Drittländer

Eines der gravierendsten Datenschutz-Risiken bei CapCut ist der internationale Datentransfer. Gemäß der Datenschutzrichtlinie von CapCut können Nutzerdaten in Länder übermittelt werden, in denen ByteDance oder seine Partner Server betreiben — darunter China, Singapur und die USA. Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU gelten nach Art. 44 ff. DSGVO strenge Anforderungen.

Während für die USA seit 2023 das EU-US Data Privacy Framework als Angemessenheitsbeschluss gilt, existiert für China kein solcher Beschluss. Datentransfers nach China müssen daher auf Standardvertragsklauseln (SCCs) oder andere Garantien nach Art. 46 DSGVO gestützt werden. Angesichts der weitreichenden Zugriffsrechte chinesischer Behörden ist fraglich, ob diese Garantien in der Praxis ausreichenden Schutz bieten.

Umfangreiche Berechtigungen und Datensammlung

CapCut fordert bei der Installation weitreichende Berechtigungen an, die weit über das hinausgehen, was für eine Video-Bearbeitungs-App notwendig wäre. Dazu gehören unter anderem:

• Zugriff auf Kamera und Mikrofon (für Aufnahmen erforderlich)
• Zugriff auf die Fotobibliothek und alle gespeicherten Medien
• Zugriff auf Kontakte und Adressbuch
• Zugriff auf Standortdaten
• Zugriff auf Geräte-Identifikatoren und Netzwerkinformationen
• Zugriff auf die Zwischenablage (Clipboard)

Besonders problematisch ist der Zugriff auf die Zwischenablage, da dort häufig sensible Informationen wie Passwörter, Adressen oder Kreditkartennummern temporär gespeichert werden. Apple hat in iOS 16 eine Warnung implementiert, die Nutzer informiert, wenn eine App die Zwischenablage ausliest — bei CapCut wurde diese Warnung von zahlreichen Nutzern gemeldet.

Nutzungsbedingungen und Datenschutzrichtlinie

Die Nutzungsbedingungen von CapCut räumen ByteDance weitreichende Rechte ein. Nutzer gewähren dem Unternehmen eine weltweite, nicht-exklusive, kostenlose und übertragbare Lizenz zur Nutzung aller mit der App erstellten Inhalte. Dies bedeutet, dass ByteDance theoretisch Videos, die mit CapCut erstellt wurden, für eigene Zwecke verwenden kann.

Die Datenschutzrichtlinie ist in weiten Teilen vage formuliert und lässt erheblichen Spielraum bei der Datenverarbeitung. Formulierungen wie „wir können Ihre Daten für verschiedene Zwecke nutzen“ oder „wir teilen Ihre Daten mit verbundenen Unternehmen“ sind aus DSGVO-Sicht problematisch, da sie nicht den Anforderungen an eine transparente und präzise Information nach Art. 13 und 14 DSGVO entsprechen.

Gesichtserkennung und biometrische Daten

CapCut bietet zahlreiche Gesichtsfilter und Beauty-Effekte, die auf Gesichtserkennung basieren. Die Verarbeitung biometrischer Daten fällt unter Art. 9 DSGVO als besondere Kategorie personenbezogener Daten und erfordert eine ausdrückliche Einwilligung. Es ist unklar, ob und wie CapCut biometrische Daten speichert und verarbeitet.

In den USA wurde ByteDance bereits wegen der Erhebung biometrischer Daten ohne Einwilligung verklagt (insbesondere im Zusammenhang mit TikTok und dem Illinois Biometric Information Privacy Act). Für europäische Nutzer und Unternehmen bedeutet dies ein zusätzliches Risiko, insbesondere wenn Mitarbeitergesichter mit CapCut-Filtern bearbeitet werden.

CapCut für Unternehmen — besondere Risiken

Für Unternehmen, die CapCut für die Erstellung von Marketing-Content nutzen, ergeben sich spezifische Datenschutz-Risiken, die über die individuelle Nutzung hinausgehen:

Firmengeheimnisse: Wenn Mitarbeiter CapCut auf Firmengeräten installieren, erhält die App potenziell Zugriff auf geschäftliche Fotos, Videos und andere Medien. Produktfotos, Prototypen, Werbekonzepte oder interne Veranstaltungen könnten unbeabsichtigt an ByteDance-Server übermittelt werden.

Personenbezogene Daten: Videos von Kunden, Mitarbeitern oder Geschäftspartnern enthalten biometrische Daten und können weitere personenbezogene Informationen offenbaren. Die Verarbeitung dieser Daten durch CapCut und ByteDance muss im unternehmensinternen Datenschutzkonzept berücksichtigt werden.

Haftungsrisiken: Als Unternehmen tragen Sie die Verantwortung für die DSGVO-konforme Verarbeitung personenbezogener Daten — auch wenn diese durch Drittanbieter-Apps erfolgt. Wenn personenbezogene Daten über CapCut unrechtmäßig verarbeitet werden, können Sie als Verantwortlicher haftbar gemacht werden.

Reputationsrisiken: Die öffentliche Diskussion um TikTok und ByteDance kann auch auf Unternehmen zurückfallen, die CapCut nutzen. Kunden und Geschäftspartner könnten die Nutzung eines ByteDance-Produkts als Zeichen mangelnden Datenschutzbewusstseins werten.

DSGVO-Bewertung von CapCut

Rechtsgrundlage für die Datenverarbeitung

Die Nutzung von CapCut im Unternehmenskontext erfordert eine gültige Rechtsgrundlage nach Art. 6 DSGVO. In Betracht kommen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die Einwilligung müsste freiwillig, informiert und spezifisch sein. Angesichts der vagen Datenschutzrichtlinie von CapCut ist es fraglich, ob Nutzer tatsächlich informiert einwilligen können, da der Umfang der Datenverarbeitung nicht transparent dargestellt wird.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Ein berechtigtes Interesse an der Videobearbeitung besteht grundsätzlich. Allerdings dürfen die Interessen der betroffenen Personen nicht überwiegen. Angesichts der umfangreichen Datensammlung und des Datentransfers nach China dürfte die Interessenabwägung in vielen Fällen zugunsten der Betroffenen ausfallen.

Ist eine Datenschutz-Folgenabschätzung erforderlich?

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Bei der Nutzung von CapCut im Unternehmenskontext sprechen mehrere Faktoren für die Notwendigkeit einer DSFA:

• Verarbeitung biometrischer Daten (Gesichtserkennung)
• Datentransfer in ein Drittland ohne Angemessenheitsbeschluss (China)
• Einsatz neuer Technologien (KI-gestützte Bildbearbeitung)
• Umfangreiche Profilerstellung durch den App-Anbieter

Unternehmen, die CapCut regelmäßig für die Erstellung von Content nutzen, sollten daher eine DSFA durchführen und dokumentieren. Das Ergebnis dieser Bewertung wird in den meisten Fällen dazu führen, dass zusätzliche Schutzmaßnahmen erforderlich sind oder die Nutzung eingeschränkt werden sollte.

Sichere Alternativen zu CapCut

Für Unternehmen, die auf eine DSGVO-konforme Videobearbeitung Wert legen, gibt es mehrere empfehlenswerte Alternativen:

DaVinci Resolve (Blackmagic Design)

DaVinci Resolve ist eine professionelle Videobearbeitungssoftware, die in einer kostenlosen Version mit umfangreichen Funktionen verfügbar ist. Das Programm wird lokal auf dem Computer installiert und verarbeitet alle Daten offline — es findet kein Datentransfer an externe Server statt. DaVinci Resolve bietet professionelle Schnitt-, Farbkorrektur-, Audio- und Visual-Effects-Tools und ist damit selbst für anspruchsvolle Videoprojekte geeignet. Verfügbar für Windows, macOS und Linux.

iMovie (Apple)

iMovie ist Apples kostenlose Videobearbeitungs-App für macOS und iOS. Die Verarbeitung erfolgt lokal auf dem Gerät, und Apple ist für seinen vergleichsweise hohen Datenschutzstandard bekannt. iMovie eignet sich hervorragend für einfache bis mittlere Videoprojekte und bietet eine intuitive Bedienung. Die App ist in das Apple-Ökosystem integriert und unterstützt nahtloses Arbeiten zwischen iPhone, iPad und Mac.

Adobe Premiere Rush

Adobe Premiere Rush ist eine vereinfachte Version von Adobe Premiere Pro, die sich speziell an Content Creator richtet. Adobe ist ein US-amerikanisches Unternehmen mit EU-Rechenzentren und umfangreichen Datenschutz-Zertifizierungen. Die Datenverarbeitung ist transparenter dokumentiert als bei CapCut, und Adobe unterliegt dem EU-US Data Privacy Framework. Premiere Rush bietet plattformübergreifendes Arbeiten und Cloud-Synchronisation.

Canva Video

Canva bietet neben der bekannten Grafikdesign-Plattform auch eine leistungsfähige Videobearbeitungsfunktion. Das australische Unternehmen speichert europäische Daten in EU-Rechenzentren und hat eine transparente Datenschutzrichtlinie. Canva Video eignet sich besonders für Social-Media-Content und bietet zahlreiche Vorlagen, Stock-Videos und Musik. Die Zusammenarbeit im Team ist ein besonderer Vorteil für Unternehmen.

Vergleich der Datenschutz-Aspekte

Im direkten Vergleich schneiden die Alternativen deutlich besser ab als CapCut:

DaVinci Resolve: Keine Cloud-Anbindung, vollständig lokale Verarbeitung, kein Datentransfer — aus Datenschutz-Sicht die beste Wahl.
iMovie: Lokale Verarbeitung, Apple-Datenschutzstandards, kein Drittland-Transfer — sehr gut.
Adobe Premiere Rush: Cloud-basiert, aber EU-Rechenzentren, transparente Datenschutzrichtlinie, DPA verfügbar — gut.
Canva Video: Cloud-basiert, EU-Rechenzentren, transparente Richtlinien, DPA verfügbar — gut.
CapCut: Cloud-basiert, Datentransfer nach China, vage Datenschutzrichtlinie, kein DPA — problematisch.

CapCut auf Firmengeräten — erlauben oder verbieten?

Immer mehr Unternehmen stehen vor der Frage, ob sie CapCut auf Firmengeräten erlauben sollen. Die Entscheidung sollte auf einer fundierten Risikoanalyse basieren:

Argumente für ein Verbot:

• Umfangreiche Datensammlung durch die App, die über das Notwendige hinausgeht
• Datentransfer nach China ohne Angemessenheitsbeschluss
• Zugriff auf potenziell sensible Unternehmensdaten (Fotos, Kontakte, Standort)
• Reputationsrisiko durch Verbindung zu ByteDance/TikTok
• Verarbeitung biometrischer Daten bei Nutzung von Gesichtsfiltern
• Vorbild: EU-Institutionen haben TikTok (gleicher Eigentümer) bereits verboten

Mögliche Kompromisse:

• Nutzung nur auf dedizierten Content-Geräten ohne Zugriff auf Unternehmensdaten
• Nutzung der Web-Version statt der App (weniger Berechtigungen)
• Erstellung von Videos auf privaten Geräten der Mitarbeiter (mit deren Einwilligung)
• Nutzung der Desktop-Version mit eingeschränkten Netzwerkberechtigungen (Firewall-Regeln)

Empfehlung: Für Unternehmen, die besonderen Wert auf Datenschutz und Informationssicherheit legen, empfehlen wir, CapCut nicht auf Firmengeräten zu installieren und stattdessen auf die oben genannten Alternativen zu setzen. Wenn die Nutzung unvermeidbar ist, sollte sie auf dedizierte Geräte beschränkt und durch technische Maßnahmen (z.B. Mobile Device Management) abgesichert werden.

Rechtliche Entwicklungen und Ausblick

Die regulatorische Landschaft rund um chinesische Apps entwickelt sich dynamisch. In den USA wurde 2024 ein Gesetz verabschiedet, das den Verkauf oder das Verbot von TikTok erzwingen sollte — ein Schritt, der auch Auswirkungen auf andere ByteDance-Produkte wie CapCut haben könnte. In der EU wird im Rahmen des Digital Services Act (DSA) und des Digital Markets Act (DMA) verstärkt auf die Regulierung großer Plattformen gesetzt.

Die deutschen Datenschutzbehörden haben bisher keine spezifische Stellungnahme zu CapCut veröffentlicht, beobachten die Entwicklung jedoch aufmerksam. Der Bundesbeauftragte für den Datenschutz (BfDI) hat wiederholt auf die Risiken chinesischer Apps hingewiesen und empfiehlt Unternehmen, bei der Nutzung solcher Anwendungen besondere Vorsicht walten zu lassen.

Für Unternehmen bedeutet dies: Die Nutzung von CapCut sollte regelmäßig neu bewertet werden, da sich die rechtlichen Rahmenbedingungen ändern können. Ein generelles Verbot von ByteDance-Produkten in der EU ist zwar derzeit nicht absehbar, kann aber für die Zukunft nicht ausgeschlossen werden. Unternehmen, die frühzeitig auf datenschutzfreundliche Alternativen umsteigen, sind auf der sicheren Seite.

Häufig gestellte Fragen zum CapCut Datenschutz

Ist CapCut sicher?

Aus Datenschutz-Sicht ist CapCut problematisch. Die App sammelt umfangreiche Nutzerdaten, transferiert diese potenziell nach China und gehört zum ByteDance-Konzern, der auch TikTok betreibt. Für die private Nutzung mag das akzeptabel sein, wenn man sich der Risiken bewusst ist. Für die geschäftliche Nutzung mit Zugriff auf Unternehmensdaten ist CapCut aus DSGVO-Perspektive jedoch bedenklich. Wir empfehlen Unternehmen, datenschutzfreundlichere Alternativen wie DaVinci Resolve oder Adobe Premiere Rush zu verwenden.

Greift CapCut auf meine Fotos und Kontakte zu?

Ja, CapCut fordert bei der Installation Berechtigungen für den Zugriff auf Ihre Fotobibliothek, Kamera, Mikrofon und — je nach Betriebssystem — auch auf Ihre Kontakte und Standortdaten an. Während der Zugriff auf Kamera und Fotos für eine Video-App nachvollziehbar ist, gehen die Zugriffe auf Kontakte und Standort über das Notwendige hinaus. Auf iOS können Sie die Berechtigungen nachträglich in den Einstellungen einschränken.

Werden meine CapCut-Videos auf Server hochgeladen?

Wenn Sie die Cloud-Funktionen von CapCut nutzen (z.B. Cloud-Speicher, Team-Projekte, bestimmte KI-Effekte), werden Ihre Videos auf ByteDance-Server hochgeladen. Auch die automatische Synchronisation kann dazu führen, dass Videoinhalte in die Cloud übertragen werden. Deaktivieren Sie Cloud-Funktionen, wenn Sie den Datentransfer minimieren möchten. Beachten Sie jedoch, dass auch bei lokaler Bearbeitung Metadaten und Nutzungsinformationen übermittelt werden können.

Dürfen Mitarbeiter CapCut für Firmen-Content nutzen?

Als Arbeitgeber sind Sie verantwortlich für die DSGVO-konforme Datenverarbeitung in Ihrem Unternehmen. Wenn Mitarbeiter CapCut auf Firmengeräten nutzen und dabei personenbezogene Daten verarbeiten (z.B. Videos von Kunden oder Kollegen), müssen Sie die datenschutzrechtlichen Risiken bewerten und dokumentieren. Wir empfehlen, klare Richtlinien aufzustellen und datenschutzfreundlichere Alternativen bereitzustellen.

Gibt es einen Auftragsverarbeitungsvertrag (AVV) mit CapCut/ByteDance?

ByteDance bietet für CapCut keinen standardmäßigen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO an, wie es bei vielen europäischen und US-amerikanischen Anbietern üblich ist. Das Fehlen eines AVV ist ein weiteres Indiz dafür, dass CapCut nicht auf die Anforderungen europäischer Unternehmen ausgerichtet ist. Ohne AVV fehlt die vertragliche Grundlage für die Datenverarbeitung durch ByteDance als Auftragsverarbeiter.

DATUREX — Datenschutz-Beratung für Ihre App-Nutzung

Sie sind unsicher, ob die von Ihnen genutzten Apps und Tools DSGVO-konform sind? Als externer Datenschutzbeauftragter prüfen wir Ihre eingesetzten Anwendungen auf Datenschutz-Konformität und entwickeln praxistaugliche Lösungen.

Unsere Leistungen im Bereich App- und Tool-Datenschutz:

• Datenschutz-Bewertung Ihrer eingesetzten Apps und Cloud-Dienste
• Erstellung von Datenschutz-Folgenabschätzungen für risikoreiche Anwendungen
• Entwicklung von App-Richtlinien und BYOD-Policies
• Integration von Datenschutz in Ihre Unternehmensprozesse
• Schulung Ihrer Mitarbeiter im datenschutzkonformen Umgang mit Apps

Kontaktieren Sie uns jetzt für eine kostenlose Erstberatung — wir helfen Ihnen, Datenschutz und Digitalisierung in Einklang zu bringen!