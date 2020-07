Es sieht derzeit nicht gut aus für TikTok. Indien hat die App bereits Ende Juni aus den Stores geschmissen, Australiens Premier kündigt an, sie „gründlich anzuschauen“ und in den USA soll die Entscheidung für ein Verbot „in Wochen, nicht in Monaten“ fallen, sagte Trumps Stabschef Mark Meadows. TikTok hätte dann binnen weniger Wochen seine beiden größten Märkte eingebüßt – ein finanzieller Totalschaden.

Die Argumentationen folgen jedes Mal dem gleichen Skript: TikTok sei ein Risiko für die nationale Sicherheit, weil es Nutzerdaten auf Servern außerhalb des Landes speichert und die chinesische Regierung dort mitlesen könnte. US-Außenminister Mike Pompeo warnte gar, Bürger:innen sollten sich die App nur installieren, „wenn sie wollen, dass Ihre privaten Informationen in die Hände der chinesischen Kommunistischen Partei gelangen“. Nachgewiesen ist ein solcher Datenfluss oder auch nur eine Einflussnahme Chinas bis heute nicht.

TikTok stemmt sich derzeit mit aller Kraft gegen diese Lesart. In den USA hat das Unternehmen eine „Armee von Lobbyisten“ engagiert, um die Stimmung in Washington zu seinen Gunsten zu wenden. In Australien läuft eine landesweite PR-Offensive mit ganzseitigen Anzeigen und Plakatwerbung. Der Slogan: „Don’t make TikTok a political football“.

Weg vom China-Image

TikTok hat in den vergangenen Monaten viel dafür unternommen, zumindest vordergründig seine Unabhängigkeit von der Volksrepublik China zu demonstrieren. ByteDance, das Unternehmen hinter TikTok, sitzt in Beijing und betreibt von dort mehrere Apps, die innerhalb der „Großen Firewall“ operieren, teils sehr erfolgreich. TikTok ist der Exportschlager aus dem Hause ByteDance mit zuletzt 2 Milliarden Downloads weltweit und einem Platz im Herzen vieler Millennials. Solche Zahlen erreichten bisher nur Facebook, Instagram oder Whatsapp.

Um sich gegen die Vorwürfe der Spionage und politischen Zensur zu stemmen, hat TikTok in den USA zuletzt Industrieveteraninnen von YouTube abgeworben und den Ex-Disney-Manager Kevin Mayer als neuen CEO engagiert. Das Hauptquartier soll aus Peking nach Europa verlegt werden, wochenlange Gespräche mit London sind kürzlich vermutlich nur daran gescheitert, dass Großbritannien Huawei vom 5G-Ausbau ausschloss, berichtet der Guardian.

TikTok hortet Daten – wie Facebook

TikTok sammelt alle Daten, die Nutzer:innen bei der Anmeldung angeben – Geburtsdatum, Nutzernamen, Emailadresse und Telefonnummer – und auch die Inhalte von privaten Nachrichten, die über die App verschickt werden. Laut der aktuellen Datenschutzerklärung für Deutschland und den „europäischen Wirtschaftsraum“ speichert TikTok darüber hinaus auch technische Daten wie den Gerätetyp, den Browserverlauf, das Betriebssystem oder die IP-Adresse. Aus der IP-Adresse leitet TikTok den Standort ab, manchmal nutzt es dafür auch eine präzisere Ortung per GPS. Wenn Nutzer:innen dies freigeben, kann die App auch auf das Adressbuch und alle dort gespeicherten Kontakte sowie die Liste der eigenen Facebook-Freunde zugreifen.

Darüber hinaus vermisst das Unternehmen detailliert das Verhalten seiner Nutzer:innen: Wer hat wann welche Videos wie lange angeschaut oder geliket, welche Anzeigen angeschaut, mit wem wann interagiert, und wie oft die App geöffnet.

Diese Daten nutzt TikTok, um Profile zu erstellen: Wer bist du, was magst du, was findest du abstoßend oder lustig und mit wem in deinem Umfeld sprichst du darüber? Das ist nützlich, um Nutzer:innen per Algorithmus genau die Inhalte zu servieren, die sie wahrscheinlich sehen wollen. Oder um maßgeschneiderte Werbung auszuspielen.

So weit, so wenig überraschend für einen Datenkonzern. Diese Masse an Informationen einzusammeln von Nutzer:innen, die größtenteils noch sehr jung sind, kann man bedenklich finden. Es ist allerdings, wie TikTok nicht müde wird zu betonen, nicht wesentlich mehr oder invasiver als das, was US-Konkurrentinnen wie Facebook oder Instagram bereits seit Jahren tun.

Der einzige Unterschied: Die Daten schürft in diesem Fall ein chinesisches Unternehmen. Ist das bereits ein Sicherheitsrisiko, das ein Verbot der App rechtfertigen kann?

Kontakte, aber keine E-Mails

Greift TikTok auch heimlich Daten vom Handy ab, ohne Nutzer:innen zu informieren? Das geschah zumindest in der Vergangenheit: Im März hatte der App-Entwickler Tommy Mysk aufgedeckt, dass TikTok auf IPhones alle paar Sekunden auf die Inhalte der Zwischenablage zugreift – selbst wenn die App nur im Hintergrund läuft. Hier können durchaus sensible Informationen wie Passwörter gespeichert sein, die jemand von A nach B kopieren will. TikTok ist allerdings bei weitem nicht die einzige App, die das tut, auch die New York Times, Reuters oder Stern lassen laut Mysk ihre Apps die Zwischenablage mitlesen. In TikTok wurde die Funktion inzwischen entfernt.

Mysk will die Risiken der Datensammlung von TikTok nicht kleinreden: GPS-Daten können verwendet werden, um einzelne Individuen zu verfolgen. Mit den Kontakten in der App und im Adressbuch lassen sich die sozialen Netzwerke einzelner Nutzer:innen rekonstruieren. Auch die Fotos und Videos, die TikToker freiwillig hochladen, verraten einiges über ihr Leben.

Die Vorstellungen, die App könne dagegen wahllos E-Mails oder Chatnachrichten auf dem Telefon mitlesen, bezeichnet Mysk als illusorisch. Apps auf dem iPhone arbeiten in einem umzäunten Bereich. „Die App kann unmöglich E-Mails lesen, die in der Mail-App gespeichert sind.“ Erst wenn Nutzer:innen der App die Erlaubnis erteilen, kann diese Fotos, Standort oder Kontakte speichern. Für Android gelte ähnliches. Die Zwischenablage sei in dieser Hinsicht eine Ausnahme.

Das heißt: Politiker:innen wie Donald Trump und US-Außenminister Mike Pompeo, die TikTok als eine Art Staatstrojaner zeichnen, sind entweder schlecht informiert. Oder sie schüren bewusst Misstrauen.

Weitergabe nach China möglich

Das Skript läuft so ab: Jemand kritisiert, TikToks Daten seien vor China nicht sicher. TikTok beteuert daraufhin, Nutzerdaten würden ausschließlich in den USA und Singapur gespeichert und seien bisher nie an die chinesische Regierung weitergeflossen.

In den Datenschutzerklärung für Deutschland steht dazu: „Die bei Ihnen erhobenen personenbezogenen Daten werden außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums („EWR“), insbesondere an Server von Dritten in den Vereinigten Staaten von Amerika und Singapur, übermittelt und dort gespeichert.“ (Eine neue Version gilt ab dem 29. Juli, dort steht lediglich: „Die personenbezogenen Daten, die wir von Ihnen erheben, werden an einen Bestimmungsort außerhalb des Europäischen Wirtschaftsraums („EWR“) übermittelt und dort gespeichert.“)

Dass diese Aussage richtig ist, bestätigen auch Analysen von Sicherheitsexpert:innen, die die App unter die Lupe genommen haben. Aus der App heraus werden keine Daten an Server in China geleitet, das meiste geht an Amazon Cloud Services. Was danach allerdings mit den Daten passiert, lässt sich von außen nicht mehr nachvollziehen.

TikTok lässt sich in dieser Hinsicht eine Hintertür offen. „Ihre Daten geben wir ggf. auch an andere verbundene Unternehmen unserer Unternehmensgruppe weiter“, steht dazu in der Datenschutzerklärung. Dies stütze sich auf TikToks „berechtigtes Interesse, die Plattform zu verbessern und zu pflegen“. Das bedeutet allerdings auch: TikTok kann die Nutzerdaten mit den anderen Unternehmen von ByteDance in China teilen – wodurch die Daten wieder in China landen würden.

Update 27.07.2020: Nach Veröffentlichung dieses Artikels schickte TikTok ein weiteres Statement: „TikTok wird nicht in China angeboten und die chinesische Regierung hat keinen Zugriff auf Nutzer*innendaten von TikTok. Weder hat die chinesische Regierung die Herausgabe von Daten verlangt, noch würde TikTok dieser Forderung nachkommen.“ Dieses Statement befasst sich jedoch nicht mit der möglichen Weitergabe von TikTok-Nutzerdaten an „verbundene Unternehmen“ der Unternehmensgruppe.

Allgemeine Antworten auf konkrete Fragen

Auf die Presseanfrage von netzpolitik.org, welches die in der Datenschutzerklärung genannten verbundenen Unternehmen seien, antwortet TikTok mit einem allgemein gehaltenen Statement, das keinen einzigen Firmennamen außer TikTok enthält. Überhaupt ist es schwer, die Firmenstruktur von ByteDance zu durchschauen. Ein Organigramm auf der Unternehmenswebseite versteckt alle chinesischen Firmen unter dem Namen „Main China Operating Entities“.

Die konkrete Frage, ob TikTok in der Vergangenheit schon einmal Nutzerdaten an ein solches Unternehmen weitergegeben habe, beantwortet TikTok in seinem Statement nicht.

Dort heißt es stattdessen: „Unser Ziel ist es, den Datenzugriff über Regionen hinweg zu minimieren, so dass zum Beispiel Mitarbeiter:innen in der APAC-Region, einschließlich China, nur minimalen Zugang zu Nutzer:innendaten aus der EU und den USA haben.“

Genauso wenig beantwortet TikTok die Frage, wie das Unternehmen verhindere, dass die an verbundene Unternehmen in China übermittelten Daten nicht über diesen Weg an die chinesische Regierung weitergegeben werden müssten. Stattdessen wieder der Verweis auf die Speicherung der Daten in den USA und Singapur, die trotz der Änderung in der Datenschutzerklärung beibehalten werden soll.

TikToks Schwachstelle

Der IT-Rechtsexperte Dennis-Kenji Kipker von der Universität Bremen hält den Standort der Server für weitgehend unbedeutend. „Das sind keine Argumente dafür, dass es keine Einflussnahme gibt“, sagt er. Schließlich sei ByteDance nach wie vor ein chinesisches Unternehmen, das seinen Umsatz auch mit Produkten auf dem chinesischen Markt macht. Dort liegt der Schwachpunkt. Denn würde ByteDance sich der Regierung widersetzen, müsste es Sanktionen fürchten, sagt Kipker.

Kipker, der sich in seiner Forschung mit chinesischer IT-Gesetzgebung beschäftigt hat, weist auf ein weiteres Problem hin: Cybersicherheit gilt in China nicht nur als Behördensache, sondern als Aufgabe der gesamten Bevölkerung. Chinesische Gesetze seien grundsätzlich sehr offen und schwammig formuliert, eine Art politisches Weißbuch, das Behörden viel Spielraum lässt. Die unterschwellige Kommunikation darin laute: „Sich zu engagieren und den Nachrichtendiensten zu helfen, ist Aufgabe aller Bürger.“ So lange diese Bürger:innen auf wichtigen Positionen im Unternehmen oder an der App arbeiteten, sei das ein Problem.

Im Zweifel mit der Partei

Wie dieses Problem im Konkreten aussieht, beschreibt Fergus Ryan, der ByteDance für das Australian Strategic Policy Institute analysiert. Selbst wenn TikToks Manager in den USA, Europa oder Australien tatsächlich an ihre Unabhängigkeit von der kommunistischen Partei glaubten: ihr Chef, der ByteDance-Gründer und CEO Zhang Yiming, habe in der Vergangenheit bereits das Gegenteil bewiesen.

2018 steckte ByteDance schon einmal in der Krise, als die chinesische Führung von einen Tag auf den anderen zwei ihrer wichtigsten Apps in China abschaltete: den Nachrichtenaggregator Jinri Toutiao und die Videosharing-App Neihuan Duanzi. Zhang veröffentlichte daraufhin einen offenen Brief, in dem er sich dafür entschuldigt, die „sozialistischen Grundwerte“ der chinesischen kommunistischen Partei nicht respektiert zu haben und von der „Lenkung der öffentlichen Meinung“ abgewichen zu sein – in China sind dies gängige Begriffe der Parteipropaganda. „Wir haben eine übermäßige Betonung auf Technologie gelegt“, schrieb Zhang, „und wir haben nicht berücksichtigt, dass Technologie vom sozialistischen Grundwertesystem geführt werden muss.“

Die Botschaft, sagt Ryan, sei ganz klar: Wir verstehen, dass wir nicht einfach unsere Geschäfte machen können, sondern in Abstimmung mit den Zielen der Partei arbeiten müssen. Egal ob ByteDance neue Stellen für die Zensur seiner Inhalte in China schafft oder interne „Partei-Weiterbildungen“ in der Firma abhält, es geschehe immer in dem Bewusstsein, dass die Partei am längeren Hebel sitzt. Wie ein „Damoklesschwert“ hänge dieses Wissen über dem Kopf der Firmenführung in Beijing.

Wenn China will, bekommt es die Daten

In einer Mail an netzpolitik.org sagt Ryan, ihm sei kein einziger Fall bekannt, in dem ein chinesisches Tech-Unternehmen die Weitergabe von Daten an die chinesische Regierung abgelehnt hätte. US-Diplomaten hatten im Zusammenhang mit der Auseinandersetzung um Huawei wiederholt nach solchen Beispielen gefragt, die Washington Post berichtete darüber. Die Unternehmen konnten oder wollten kein einziges nennen.

Auch Dennis-Kenji Kipker glaubt: Selbst wenn TikTok heute keine Daten weitergibt, sei das in Zukunft nicht ausgeschlossen. „Wenn der chinesische Staat sagt, dass irgendwas gemacht werden soll, wird das vermutlich gemacht werden.“

Und Stefan Pantekoek, der vier Jahre lang das Büro der Friedrich-Ebert-Stiftung in Shanghai leitete, sagt, er halte es für „absolut ausgeschlossen“, dass TikTok die Herausgabe von Daten verwehren könne. „Das Gesetz ist da eindeutig und genügend Beispiele aus der Vergangenheit mit Blick auf WeChat, Alipay etc. verdeutlichen dies. Warum sollte TikTok hier irgendeine Art von Sonderbehandlung zu Teil werden?“

Das Risiko ist die App

Praktisch ist das Risiko, das von der App ausgehe, derzeit noch ein anderes. Sicherheitsforscher:innen haben wiederholt darauf hingewiesen, dass die App für ein soziales Netzwerk dieser Größenordnung eine geradezu katastrophal schlechte Datensicherheit bietet. Anfang des Jahres hatte ein Freiburger mit einem simplen Hack Zugriff auf Profile erhalten. Im März hatten Analysten der Firma Checkpoint zahlreiche Schwachstellen der App beschrieben. TikTok hat sie zwischenzeitlich geschlossen. Auch habe man einen „erstklassigen Sicherheitschef an Bord geholt“, teilt TikTok dazu mit, und führe regelmäßige interne und externe Überprüfungen der Sicherheitspraktiken durch.

Tommy Mysk, der das Problem mit der Zwischenablage entdeckte, weist auf eine Schwäche hin, die weiter besteht: TikTok nutze für seine Video-Uploads nach wie vor unsichere HTTP-Protokolle, im Jahr 2020 völlig überholt. Wer via TikTok manipulieren oder Nutzerdaten abgreifen will, muss also gar nicht unbedingt ByteDance in der Hand haben. Die Lücken in der Architektur der App auszunutzen, reicht dazu aus.

Eine Vielzahl an Problemen

TikTok ist kein Staatstrojaner, der das ganze Handy oder auch nur das Mailprogramm auslesen kann. Das ist technisch nicht möglich und die anders lautenden Aussagen mancher Politiker:innen sind klar von geopolitischen Interessen geprägt. Das Unternehmen sammelt dennoch eine Vielzahl von Daten. Es vermisst seine Nutzer:innen, ihre Vorlieben, ihre Netzwerke – ebenso wie Facebook und Instagram das tun. Diese Nutzer:innendaten, die auch Adressbücher und private Chatnachrichten enthalten können, kann TikTok mit „verbundenen Unternehmen“ in China teilen.

Selbst wenn es stimmt, dass TikTok bislang noch nie Daten an die chinesische Regierung geben musste, so könnte dieser Zugriff über andere Unternehmen von ByteDance geschehen oder schon geschehen sein. Die Gesetzeslage in China ist eindeutig.

Fachleute halten es für ausgeschlossen, dass TikTok eine Datenherausgabe verweigern könnte, wenn der Staat diese fordern würde. Hinzu kommt, dass TikTok in der Vergangenheit zahlreiche Probleme mit der IT-Sicherheit hatte. Die Plattform ist also auch von anderen Akteuren als dem chinesischen Staat angreifbar.

Jenseits allen geopolitischen Gepolters: Wer sich die App auf das Telefon lädt, kauft sich all diese Probleme mit ein – so schön, lustig, unterhaltsam und sogar politisch die Videos auf der Plattform auch sein mögen.