"China sieht alles"Geleakte Mitschnitte belasten TikTok

TikTok kann offenbar kaum kontrollieren, welche Daten nach China fließen. Das legen Aufzeichnungen aus internen Meetings nahe, über die Buzzfeed News berichtet. Demnach habe etwa ein „Master-Admin“ aus Beijing „Zugriff auf alles“.

TikTok-Daten fließen nach China
Daten werden oft mit Flüssigkeit verglichen. (Symbolbild) – Flagge: IMAGO / Yay Images; Logo: TikTok; Wasserhahn: Pixabay; Montage: netzpolitik.org

TikTok betont immer wieder die Distanz zu China, dem Sitz der TikTok-Eigentümerin Bytedance. Das autoritäre Regime soll TikTok zufolge keinen politischen Einfluss auf die Inhalte der Videoplattform haben. Nun zeigen Recherchen von Buzzfeed News: Die Kontrolle des chinesischen Mutterkonzerns über TikTok ist offenbar enger als bislang bekannt. Wie das US-Medium berichtet, hatten in China ansässige Mitarbeiter:innen von ByteDance wiederholt Zugriff auf nicht-öffentliche Daten von Nutzer:innen aus den USA. Auf US-Servern landen auch die Daten deutscher TikTok-Nutzer:innen.

Für die Recherche hat Buzzfeed News geleakte Aufzeichnungen interner Meetings ausgewertet. Insgesamt gehe es um 14 Aussagen von neun verschiedenen TikTok-Angestellten. Demnach hat ein Mitglied der TikTok-Sicherheitsabteilung im September 2021 gesagt, China sehe „alles“. Ein andere Person habe von einem „Master Admin“ in Beijing gesprochen. Er habe „Zugang zu allem“. Die in China entwickelten internen Tools hätten Funktionen „von denen niemand weiß, wofür sie bestimmt sind“, wie aus den Aufzeichnungen hervorgehe. Der mutmaßliche Kontrollverlust über die eigenen Datenflüsse erinnert an ähnliche Berichte über Facebook.

Eine TikTok-Sprecherin sagte Buzzfeed News: „Wir wissen, dass wir zu den Plattformen gehören, die in puncto Sicherheit am meisten unter die Lupe genommen werden, und wir wollen jeden Zweifel an der Sicherheit der Daten unserer Nutzer:innen ausräumen.“ Deshalb stelle TikTok Expert:innen ein, arbeite kontinuierlich an den Sicherheitsstandards und ziehe unabhängige Dritte hinzu.

Vorwurf der Hinterfür bei internen TikTok-Tools

Laut Buzzfeed News hatte TikTok bereits eine externe Firma namens Booz Allen Hamilton beauftragt. Ein Team der Firma sollte die Datenflüsse interner TikTok-Tools untersuchen. Ein Mitglied dieses Teams habe in einem Meeting gesagt: „Ich habe das Gefühl, dass es bei fast allen dieser Tools eine Hintertür gibt, um auf Nutzer:innen-Daten zuzugreifen, und das ist anstrengend.“ Eine Sprecherin von Booz Allen Hamilton sprach gegenüber Buzzfeed News von „unkorrekten“ Behauptungen, wollte sich aber nicht weiter dazu äußern.

Bislang hat TikTok jeglichen politischen Einfluss von China vehement verneint. In einem Blogbeitrag von 2019 schrieb der Konzern: „Um es ganz klar zu sagen: TikTok entfernt keine Inhalte aufgrund von Empfindlichkeiten in Bezug auf China. Wir wurden noch nie von der chinesischen Regierung aufgefordert, Inhalte zu entfernen, und würden dies auch nicht tun, wenn wir darum gebeten würden. Punkt.“ Außerdem betonte TikTok: „Unsere Datenzentren befinden sich vollständig außerhalb Chinas, und keine unserer Daten unterliegen dem chinesischen Recht.“

Die Statements handeln aber nicht ausdrücklich davon, inwiefern chinesische Mitarbeiter:innen auf Daten aus anderen Ländern zugreifen können. TikTok hatte sogar selbst angesprochen, dass solche Daten fließen. So heißt es in einem Blogbeitrag aus dem Jahr 2020, TikTok habe das „Ziel“, den „Datenzugriff über Regionen hinweg zu minimieren“, sodass etwa Mitarbeitende aus China „nur minimalen Zugriff auf Nutzer:innen-Daten aus der EU und den USA haben.“

Das Neue an der Recherche von Buzzfeed News ist daher nicht, dass Daten ausländischer TikTok-Nutzer:innen nach China gelangen können – sondern wie umfassend dieser Zugriff offenbar ist. Es gibt auch einen Unterschied zwischen dem chinesischen Konzern Bytedance und dem chinesischen Regime. Beides lässt sich nicht automatisch gleichsetzen. Allerdings hat das Regime inzwischen Anteile an Bytedance, und Regimetreue ist für chinesische Unternehmen Pflicht.

TikTok versprach EU, Datenzugriff aus China zu verhindern

Der abgewählte US-Präsident Donald Trump hatte TikToks Verbindung zu China für seinen Populismus genutzt und im Jahr 2020 ein Verbot von TikTok in den USA vorangetrieben. Das Vorhaben ist gescheitert. Seitdem arbeitet TikTok laut Buzzfeed News aber verstärkt daran, den Abfluss der Daten nach China zu kontrollieren.

Geschützte Daten von US-Nutzer:innen sollen demnach künftig in einem gesonderten Datenzentrum des Anbieters Oracle in Texas gespeichert werden. Die technischen und juristischen Details zum „Project Texas“ seien aber noch nicht abschließend geklärt. Buzzfeed News stützt sich dabei auf die geleakten Aufzeichnungen, die bis zum Januar 2022 reichen sollen.

Auch gegenüber der Europäischen Union hatte TikTok die Trennung von China mit Nachdruck unterstrichen. In einer E-Mail an den irischen Vize-Premierminister Leo Varadkar schrieb eine TikTok-Vertreterin im Jahr 2020: „Wir werden sicherstellen, dass Angestellte außerhalb der Staaten, in denen TikTok verfügbar ist, nicht auf die Daten einzelner Nutzer:innen zugreifen können“. Diese Aussage zielt offenbar auf China ab – dort gibt es nämlich kein TikTok, sondern eine Schwester-App namens Douyin. Die bislang nicht bekannte E-Mail von TikTok veröffentlichen wir hier. Sie stammt aus einer Informationsfreiheitsanfrage in Irland.

Daten von Deutschen landen in USA und Singapur

Irland spielt eine wichtige Rolle für TikToks Öffentlichkeitsarbeit. In einem Blogpost schrieb der Konzern etwa 2020, man plane in Irland ein „hochmodernes physisches und netzwerkbasiertes Sicherheitsverteidigungssystem“. Weiter heißt es, der „Schutz der Privatsphäre und der Daten unserer Community“ bleibe Priorität. Heute, zwei Jahre später, hat TikTok seine Datenschutzregeln für EU-Nutzer:innen überarbeitet. In den ab Juli gültigen Regeln schreibt TikTok, man speichere Daten von Nutzer:innen auf „Servern in den Vereinigten Staaten und Singapur“ – nicht Irland. Das Datenzentrum in Irland soll 2023 den Betrieb aufnehmen.

In der vorigen Version der Datenschutzregeln werden die USA und Singapur an dieser Stelle nicht ausdrücklich genannt. Wir haben die deutsche TikTok-Pressestelle nach dem Grund der Änderung gefragt. Diese Frage wurde uns nicht beantwortet. Stattdessen gab es allgemeine Statements. Zum Beispiel, man verfolge weiterhin das „Ziel, die Anzahl der Mitarbeiter*innen, die Zugriff auf Nutzer*innendaten haben, und die Szenarien, in denen der Datenzugriff ermöglicht wird, zu begrenzen.“ Die PR-Floskel „das Ziel verfolgen“ ist allerdings häufig synonym zu „weiterhin daran scheitern“.

Außerdem, so TikTok, würden nun „100 Prozent des Datenverkehrs der US-Nutzer*innen“ an den US-Anbieter Oracle weitergeleitet. Anbieter und Standorte von Datenzentren sind aber eher zweitrangig, denn auf Daten lässt sich im Zweifel aus aller Welt zugreifen. Entscheidend sind die internen Werkzeuge – und wer der „Master Admin“ ist.

Update, 17:17 Uhr: Wir haben ergänzt, dass das Datenzentrum in Irland 2023 den Betrieb aufnehmen soll.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

6 Ergänzungen

  1. „Wir wurden noch nie von der chinesischen Regierung aufgefordert, Inhalte zu entfernen, und würden dies auch nicht tun, wenn wir darum gebeten würden. Punkt.“

    Also die Regierung(!) hat sie noch nie aufgefordert. Andere Stellen/Behörden aber vielleicht doch.
    Inhalte wurden also nicht entfernt, aber vielleicht gesperrt oder weniger sichtbar gemacht.
    Und wenn man sie „bitten“ würde das zu tun würde man sich verweigern. Was aber wenn man es befohlen bekommt?

    Überhaupt braucht es ja anscheinend gar keine Aufforderungen, wenn der Staats-Aadmin in Peking das doch sowieso auf dem kurzen Dienstweg erledigen kann.

    „Die PR-Floskel „das Ziel verfolgen“ ist allerdings häufig synonym zu „weiterhin daran scheitern“. “
    Auch nicht schlecht :)

  2. Der komplette „moderne“ Softwareentwicklungsprozess ist selbst für die Entwickler nicht mehr zu durchschauen. Es geht nicht mehr, ohne externe Funktionen einzubinden, von denen man nie sicher weiß was sie so anstellen.
    In Fachkreisen als Bibliotheken („Libaries“) bezeichnete Komponenten aus dem Internet werden einfach mit einem Doppelklick zum eigenen Softwareentwurf hinzugefügt („eingebunden“) und verrichten dann eher im Verborgenen ihre Dienste (z.B. Spracherkennung, Ermittlung des Standorts, Wettervorhersage) ohne dass der Softwareentwickler da hinter die Kulissen schauen kann.
    Die Transportverschlüsselung (erkennbar am https://) erweist sich hierbei als absoluter Pferdefuß denn dadurch ist selbst während der Entwicklungsphase nicht mehr zu überprüfen was die Software an Daten rumschickt.

    1. Eine kurze Ergänzung: die SSL-Transportverschlüsselung kann sehr leicht mittels DPI-Engine diverser UTM-Anbieter entschlüsselt werden, sodass eine Analyse des Datenstroms möglich wäre. Macht aber eh keiner, da sich die Entwickler auf den ‚Fremd-Code‘ der Bibliotheken verlassen und diesem völlig vertrauen. Das ist der Pferdefuss. Und wenn die Bibliotheken dann noch sogar kostenlos und zusätzlich nicht opensource sind, läuten bei den Wenigsten die Alarmglocken. Schade eigentlich.

      1. Also ich hab prinzipiell nichts dagegen, aber bei _wörtlichen_Zitaten_ sollte man dann doch nicht aus Eigeninitiative gegenderte Sprache dort einfügen wo sie gar nicht verwendet wurde!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.