"Bro, lösch meine Nummer"TikTok verrät, wer Deine Nummer gespeichert hat

TikTok sammelt fleißig Telefonnummern und zieht daraus Schlüsse, wer mit wem vernetzt ist. Besonders eindrücklich zeigt das eine Funktion namens „Du bist in den Kontakten in dieser Person“. Datenschützer*innen warnen davor, die eigenen Kontakte leichtfertig freizugeben.

Eine Person mit Handy, ein TikTok-Logo, der Schriftzug "Du bist in den Kontakten dieser Person"
Überraschung (Symbolbild) – Person: IMAGO / Westend61; Logo: TikTok; Montage: netzpolitik.org

Die Kontaktbücher auf unseren Handys sind ein Datenschatz. Sie verraten viel darüber, wen man alles kennt. Und wer Zugriff auf Millionen von Kontaktbüchern hat, kann daraus Abermillionen Querverbindungen ziehen. TikTok hat Zugriff auf die Kontaktbücher seiner Nutzer*innen – zumindest, wenn sie das irgendwann einmal erlaubt haben. Ein Popup-Fenster fragt bei der Einrichtung des Accounts: „TikTok erlauben auf deine Kontakte zuzugreifen?“ Wer dem zustimmt, gibt TikTok Einblick in sein privates Netzwerk. Ob die betroffenen Personen das wollen oder nicht.

So ist das bei vielen anderen Apps auch. Unter anderem WhatsApp verlangt Zugriff auf Kontaktbücher von Nutzer*innen, um zu zeigen, welche Kontakte noch beim Messenger angemeldet sind. Neu ist nun allerdings eine TikTok-Funktion, die Nutzer*innen die möglichen Folgen dieser Erfassung besonders anschaulich macht. Die Funktion heißt „Du bist in den Kontakten dieser Person“.

Netzpolitik.org hat die Funktion zumindest über mehrere Tage hinweg im Dezember bemerkt. TikTok rollt neue Funktionen mitunter nur schrittweise aus. Unsere Rückfragen hat die Pressestelle von TikTok nur teilweise beantwortet. Unter anderem ließ der Konzern mitteilen, die Privatsphäre der Nutzer*innen habe oberste Priorität. Der Zugriff auf Kontaktdaten von Dritten in Kontaktbücher ist zudem rechtlich brisant, dazu später mehr.

So erfahren TikTok-Nutzer*innen, in wessen Kontakten sie stehen

Es beginnt mit einer Überraschung. Plötzlich erscheint im eigenen TikTok-Feed das Video einer Person, die man seit Jahren nicht mehr gesehen hat. Zum Beispiel eine alte Kollegin, mit der man mal Nummern getauscht hat. Zufall? Eindeutig nicht. Ein kleiner Hinweis beim TikTok-Upload lautet nämlich: „Du bist in den Kontakten dieser Person“. Das heißt, die Kollegin hat ihr Kontaktbuch nie aufgeräumt, und mal eben alle noch-so-alten Kontakte mit TikTok geteilt.

TikTok wiederum kennt die Telefonnummer von Nutzer*innen, die sich einst bei der Registrierung ihres Accounts mit Telefonnummer verifiziert haben. Schon bemerkt TikTok die Übereinstimmung, und der Upload der fast vergessenen Bekanntschaft erscheint im TikTok-Feed.

TikTok-Chef bestätigt möglichen Datenzugriff aus China

Das kann für beide Beteiligten unangenehm sein. Zunächst erfahren Nutzer*innen, in wessen Kontaktbuch sie noch stehen. Unter einem TikTok-Upload zu dem Thema gibt es eine Reihe aufgewühlter Reaktionen:

  • „Dachte mir bei manchen teilweise echt so, Bro, lösch meine Nummer endlich“
  • „Ich hab gestern gesehen, dass mein Ex-Freund, der ne neue Freundin hat, mich noch gespeichert hat“
  • „Wer noch alles meine Nummer hat, einfach Schock.“

Darüber hinaus müssen Nutzer*innen, die TikTok ihre Kontakte freigeben, damit rechnen: Ab jetzt kann TikTok ihren Account bei ihren Kontakten herumzeigen – sofern diese Kontakte auch TikTok mit Telefonnummer nutzen. Viele dürften ihre Kontaktbücher nicht dahingehend aufgeräumt haben. Immerhin tummeln sich in Kontaktbüchern oft jede Menge Einträge, zum Beispiel längst vergessene Schulkamerad*innen, Psychotherapeut*innen, ehemalige AirBnB-Hosts oder die Drogendealer*in des Vertrauens. Das sind nicht unbedingt alles Menschen, denen man seinen TikTok-Account präsentieren möchte.

Verwirrte Nutzer*innen wollen verstehen, was los ist

Auch der Autor dieses Textes konnte durch die neue Funktion sehen, in wessen Kontaktbüchern noch seine Nummer steht. Unter anderem im Kontaktbuch des ehemaligen Kollegen und YouTubers Robin Blase. Sogar Blase, der sich hauptberuflich mit sozialen Medien befasst, war von der Funktion überrascht, beschreibt sie auf Anfrage als „beunruhigend“.

Dass er TikTok Zugang zu seinen Daten gewährt habe, sei vermutlich „eher so ein Klick nebenbei“ gewesen. „Bei meinem Account ist mir das (abseits des Datenschutzes) egal“, schreibt Blase. „Aber wenn ich drüber nachdenke, dass ich mir auch einen privaten Account machen könnte, und dann sehen den alle Leute, nur weil ich sie mal als Kontakt abgespeichert habe? Potentiell problematisch für viele“.

Wer sich schon länger intensiv mit dem Schutz der eigenen Daten befasst und kommerzielle Online-Plattformen meidet, dürfte von der Funktion „Du stehst in den Kontakten dieser Person“ eher wenig überrascht sein. Aber es gibt auch viele Menschen, die noch nicht so viel über Datenschutz wissen. Und solchen Menschen führt die neue TikTok-Funktion jetzt anschaulich vor Augen, wie viel der Konzern eigentlich über sie und ihre Kontakte weiß.

Manche versuchen erst einmal zu verstehen, was da überhaupt passiert. „Wird auf TikTok meinen Kontakten mein Profil vorgeschlagen?“, will jemand schon in diesem Frühjahr bei gutefrage.net wissen. Die Person sehe bei TikTok nämlich Vorschläge für ihre eigenen Kontakte, ohne das bewusst erlaubt zu haben. Ob es sich dabei um die Funktion „Du bist in den Kontakten dieser Person“ handelte oder nicht, geht aus der Frage nicht hervor. Der oder die Fragesteller*in sei „verwirrt“ und fügt hinzu: „Bitte schnell antworten, ist wichtig haha“.

TikTok selbst informiert ausführlich über den Umgang mit vorgeschlagenen Kontakten. Demnach serviert TikTok Nutzer*innen auch dann Kontakte, wenn alle Beteiligten ihre Telefonnummern hüten wie einen Schatz. Denn der Konzern hat noch andere Wege, um mögliche Verbindungen zwischen Accounts zu bemerken. „Du kannst gemeinsame Verbindungen mit einer Person haben, wenn ihr beide denselben Konten folgt“, steht da zum Beispiel.

„Beim Teilen von Adressbüchern vorsichtig sein“

Wolfie Christl leitet die gemeinnützige Wiener NGO „Cracked Labs“, die unter anderem zu Datenschutz und Überwachung arbeitet. Wir haben ihn um eine Einschätzung gebeten. „PrivatnutzerInnen sollten sich schon Gedanken machen, ob und an welche Firmen sie ihr Adressbuch schicken“, schreibt Christl. Doch für „den systematischen kommerziellen Missbrauch von Kontaktdaten“ würde er nicht in erster Linie die Nutzer:innen verantwortlich machen.

„Hauptverantwortlich sind die Plattformen und App-Hersteller. Die Firmen müssen zur Verantwortung gezogen werden“, fordert Christl. „Die europäischen Aufsichtsbehörden müssen sicherstellen, dass Adressbuchdaten nicht für kommerzielle Zwecke missbraucht werden. Ich denke, hier gibt es starken Nachholbedarf.“

Kritik an TikTok kommt auch von der Wiener Datenschutz-NGO noyb. Grundsätzlich sollten Anbieter immer nur „ein Minimum an Daten“ verlangen, schreibt noyb-Jurist Felix Mikolasch. „Denn, solange keine Daten vorhanden sind, können diese auch nicht missbraucht werden.“ Nur Anbieter, die tatsächlich Zugriff auf Kontaktdaten brauchen, sollten die Daten auch anfordern, so Mikolasch. „Nutzer*innen sollten beim Teilen gesamter Adressbücher vorsichtig sein, da Rückschlüsse auf ihr Umfeld und ihre Aktivitäten möglich sind.“

Datenschutzbehörde ohne klare Position

Ist TikToks Zugriff auf Kontaktbücher von Nutzer*innen juristisch wasserdicht? Wir haben hierzu die Berliner Datenschutz-Beauftragte um Stellungnahme gebeten. Eine abschließende Antwort hat die Behörde nicht. Aber sie liefert Hinweise, was noch geklärt werden muss.

„TikTok muss letztlich gewährleisten, dass auch die von der Nutzer:in im eigenen Telefonbuch freigegebenen Drittdaten datenschutzkonform erhoben werden“, erklärt ein Sprecher. Besonders brisant seien Daten von Kontakten, die TikTok bisher nicht nutzen – solche Kontakte können in den erfassten Kontaktbüchern stehen. Wie die Datenverarbeitung bei TikTok konkret aussehe, sei der Behörde jedoch nicht bekannt. „Dies bedarf einer eingehenden Prüfung.“

TikTok-Sprecher:innen sollten China-Verbindung „herunterspielen“

Zuständig sei die Datenschutzbehörde in Irland (Data Protection Commission, DPC). Eine kurzfristige Anfrage von uns hat die DPC bislang nicht beantwortet.

Wer selbst davon ausgeht, dass die eigenen Daten ohne Einverständnis bei TikTok gelandet ist, kann allerdings handeln. „Die betroffenen Nutzer:innen können sich entweder selbst mit der irischen Datenschutzbehörde in Verbindung setzen oder über die deutschen Datenschutzbehörden eine Beschwerde weiterleiten lassen“, schreibt der Sprecher der Berliner Datenschutzbehörde.

Kontakt-Vorschläge lassen sich abschalten – teilweise

Wir haben die deutsche Pressestelle von TikTok um Aufklärung gebeten. Unter anderem wollten wir wissen: Seit wann gibt es das Feature „Du bist in den Kontakten dieser Person“ in Deutschland? Auf welcher Rechtsgrundlage greift TikTok bei der Abfrage des Kontaktbuchs auf Daten von Dritten zu? Wie handhabt TikTok die Erfassung der Telefonnummern aus den Kontakten technisch? Sind TikTok im Rahmen der Kontaktbuch-Freigabe bereits rechtliche Beschwerden oder Datenschutzverfahren bekannt?

TikTok beantwortete einen Teil der Fragen. Der Konzern verwende demnach nach der Freigabe des Adressbuchs die Telefonnummern und E-Mail-Adressen von Kontakten. Wenn eine Telefonnummer nicht mit einem TikTok-Konto übereinstimme, würde TikTok diese Daten nicht verwenden oder speichern. Das bedeutet: TikTok nutzt demnach keine Kontaktdaten von Personen ohne TikTok-Account. Nach dem Abgleich der Daten speichere TikTok nur die Beziehung zwischen den TikTok-Konten, nicht aber die Kontaktdaten. Weiter teilte die Pressestelle mit, dass TikTok ähnlich wie etwa WhatsApp gehashte Kontaktdaten sammele. Das bedeutet etwa, eine Telefonnummer wird nicht im Klartext genutzt, sondern in Zeichenwerte umgewandelt.

Wer nicht möchte, dass TikTok den eigenen Account anderen Nutzer*innen vorschlägt, kann das in den Einstellungen teilweise abschalten. Klickweg: TikTok-Profil öffnen > Burgersymbol oben rechts > Einstellungen und Datenschutz > Datenschutz > Schlage anderen dein Konto vor > alle vier Schieberegler auf „Aus“ stellen. TikTok weist allerdings in einem Pop-up darauf hin: „Wenn alle Optionen deaktiviert sind, kann dein Konto trotzdem noch Personen vorgeschlagen werden, denen du folgst.“

Update, 15. Dezember, 13:55 Uhr: Wir haben die Antworten der Pressestelle von TikTok ergänzt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Mich würde der Unterschied zu Telegram an der Stelle interessieren. Das läuft doch ähnlich ab, oder wie verhält es sich dort mit dem Telefonnummernmapping bzgl. der Anzeige: „Dein Kontakt XY hat ist nun auch über Telegram erreichbar.“

    VG,
    Tom

    1. Das ist wie oben beschrieben ähnlich problematisch wie bei Whatsapp. Der Unterschied zu Tiktok ist, dass man bei Telegram nicht sehen kann, wer einen selbst im Telefonbuch hat, selbst wenn man diese Person nicht im eigenen Telefonbuch hat (soweit ich das verstanden habe).

  2. Beängstigend, was alles passieren kann, wenn über mehrere „Telefonbuch-Instanzen“ hinweg recherchiert werden könnte.

    Eine utopische Forderung:

    Ich will nicht, das meine gespeicherte Telefonnummer irgendwo in irgendeinem Telefonbuch bei irgendjemanden das entspechende Smartphone verlässt!
    Ich bitte hiermit um eine entsprechende Zusage….

  3. Wichtig wäre auch das alle Dienste ohne Angabe von Telefonnummern nutzbar sein müssen.
    Dann könnte man selektiv entscheiden wem man den jeweiligen Nutzernamen mitteilt.
    Ebenso das gezielte Freigeben von nur einzelnen Kontakten für bestimmte Anwendungen.

  4. „Beim Teilen von Adressbüchern vorsichtig sein“

    Sorry, ich denke aber, ein allgemeiner Rat kann nur sein, ES NICHT ZU TUN.

  5. Bereits 2010 hat der Hamburgische Datenschutz moniert, dass die Adressbuchfreigabe ggü. Facebook nebst Upload von (Adress-)Daten unbeteiligter Dritter (und ohne deren Einwilligung) datenschutzrechtswidrig sei.
    Wie jeder weiß und die tägliche Lebenserfahrung zeigt es seit über einem Jahrzehnt, ist diese Rechtsauffassung völlig irrelavant und auch gegenstandlos, da sie keinerlei Rechtsfolge nach sich zieht. Seit nun über 10 Jahren hat sich an dieser Praxis rein gar nichts geändert, siehe Kontaktfreigabe bei sämtlichen anderen Social-Media-Apps.
    Da lobe ich mir doch TikTok mit diesem Feature, welches wenigstens Transparenz stiftet darüber, wer meine Kontaktdaten mit TikTok teilt.

  6. Bei Twitter ist das ähnlich möglich oder so.
    Twitter schlägt einem ja Personen zum Folgen vor. Wenn man Twitter über die App benutzt und ihr die Kontakte freigibt, schlägt einem Twitter nach kurzer Zeit Leute vor, die zu deinen gespeicherten Handynummern gehören. Davor sollte man einen frischen Account benutzen, sonst werden einem bloß Leute vorgeschlagen, denen Leute folgen, denen man bereits folgt.

    Leute, die deine Handynummer gespeichert haben, werden einem womöglich auch angezeigt; hab ich aber noch nicht ausprobiert.

  7. Ich bin sehr erstaunt darüber, wie bei TikTok, WhatsApp, Facebook und anderen sozialen Netzen sowohl Einzelpersonen beliebig Adressen anderer (ohne deren explizite Einwilligung) weiter geben können wie auch zugleich die Betreiber dies zulassen, wo es doch im übrigen Internet Abmahnwellen und hohe Strafen gibt, wenn die Identität einzelner Personen (selbst in transformierten Formen wie eine Internetadresse vorliegt) weitergegeben wird. Wer kann mir dies erklären?

  8. Ich bin nur Laie, machen mir aber darüber auch Gedanken. Es müßte eine App geben, die grundsätzlich eine Nachricht an denjenigen aus dem Adressbuch sendet, dessen Adressdaten (egal welche) weitergegeben werden. Der Empfänger kann dann entscheiden, ob der die Weitergabe zuläßt oder verbietet. Ich würde dafür auch bezahlen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.