In einem Update seiner Nutzungsbedingungen hat Tiktok bestätigt, dass chinesische Angestellte der Konzernmutter Bytedance auf Daten europäischer Nutzerinnen und Nutzer zugreifen können. Betroffen sind User aus Großbritannien, Island, Liechtenstein, Norwegen und der Europäischen Union.

Tiktoks Head of Privacy für den europäischen Raum, Elaine Fox, begründet diese Vorgehensweise in einem Blogeintrag damit, dass Angestellte der Bytedance-Unternehmensgruppe in China und anderen Ländern auf diese Daten zugreifen müssten, "um ihren Job zu machen" und damit die Plattform "einheitlich, angenehm und sicher" bleibe. Fox beteuert, dass Zugriffe nur unter strengen Sicherheitsvorkehrungen und konform mit der Datenschutzgrundverordnung (DSGVO) geschehen würden.

Der entsprechende Passus in den Nutzungsbedingungen lautet: "Zur Unterstützung unserer globalen Geschäftstätigkeit geben wir Ihre Daten an Mitglieder unserer Unternehmensgruppe und andere Einrichtungen außerhalb Ihres Wohnsitzlandes weiter."

Tiktok hatte in Europa 2020 nach eigenen Angaben 100 Millionen Nutzerinnen und Nutzer, im deutschsprachigen Raum sind es, aktuellen Schätzungen zufolge, etwa 20 Millionen.

Verstrickung mit chinesischen Staatsmedien

Fraglich ist, was "ihren Job machen" für Tiktok-Angestellte in China alles beinhaltet. Neben dem Unternehmen könnten viele davon nämlich auch Verpflichtungen gegenüber dem Staatsapparat haben, denn laut "Forbes" ist Tiktoks Mutterkonzern Bytedance eng mit den chinesischen Staatsmedien – und damit dem Propagandaapparat der Kommunistischen Partei – verknüpft.

Eine Recherche des Mediums auf der Business-Plattform Linkedin hatte zum Ergebnis, dass 300 Bytedance-Angestellte zuvor bei Medien angestellt waren, die vom U.S. State Department als Teil des chinesischen Staatsapparats klassifiziert werden. 15aktuelle Bytedance-Angestellte gaben auf Linkedin sogar an, gleichzeitig für Organisationen wie die staatliche Nachrichtenagentur Xinhua News Agency oder den Fernsehsender CCTV tätig zu sein.

Tiktok gab gegenüber "Forbes" an, man würde neue Mitarbeiterinnen und Mitarbeiter nur auf Basis von professionellen Fähigkeiten anstellen, was in China Personen inkludiere, die für die Staatsmedien gearbeitet hätten. Zweitbeschäftigungen seien aufgrund möglicher Interessenkonflikte nicht erlaubt.

EU verlässt sich auf DSGVO, irische Datenschutzbehörde prüft Einhaltung

2020 wurde zwar auf Druck von Datenschützern eine "Tiktok-Taskforce" gegründet, ansonsten verweisen EU-Stellen auf die DSGVO – die einen Zugriff auf europäische Daten aus China offensichtlich nicht verunmöglicht.

Für die Prüfung der Einhaltung der DSGVO ist die irische Datenschutzbehörte DPC zuständig. Diese startete im September 2021 zwei Untersuchungen gegen Tiktok. Thema waren einerseits die DSGVO-Konformität der Datenverarbeitung für Minderjährige und die Altersverifizierung – und andererseits die Rechtmäßigkeit des Transfers persönlicher Daten in Drittstaaten wie China. Während die Untersuchung zu Tiktoks Umgang mit den Daten von Minderjährigen bereits einen nicht-öffentlichen Entscheidungsentwurf ergab, liegt zur Datenverarbeitung in China noch nichts vor.

Thomas Lohninger von der Datenschutz-NGO epicenter.works sagte dazu auf Nachfrage des STANDARD, Irland sei der "Weak Link, was DSGVO-Überprüfungen angeht". Es sei "Irlands Geschäftsmodell, Europäische Gesetze nicht gegen Konzerne durchzusetzen". Vor allem bei der derzeitigen politischen Lage in Xi Jinpings China sei es hochproblematisch, wenn europäische Daten in China verarbeitet würden, so Lohninger. Allerdings weist er darauf hin, dass auch die Verarbeitung von europäischen Nutzerdaten in den USA zu hinterfragen sei.

Debatte um Tiktok-Verbot in den USA hält an

Dort sorgt Tiktok derweil weiterhin für rege Diskussionen: Ex-US-Präsident Trump hatte als Teil seiner China-Politik eine harte Linie gegenüber der Videoplattform verfolgt und mit einem Verbot oder zumindest einem Zwangsverkauf des US-Geschäfts an ein amerikanisches Unternehmen gedroht. Ein entsprechender Erlass Trumps wurde jedoch nie rechtsgültig, Joe Biden zog ihn Mitte 2021 zurück.

Die "New York Times" berichtet, dass Bytedance aktuell mit der US-Regierung verhandelt, wie die Sicherheitsrichtlinien des Unternehmens angepasst werden könnten, um eine Weiterführung des US-Geschäfts von Tiktok zu ermöglichen, ohne dieses an ein US-Unternehmen verkaufen zu müssen. Der Tiktok-Mutterkonzern musste bereits Zugeständnisse in diese Richtung machen und ging Anfang des Jahres eine Kooperation mit dem US-Konzern Oracle ein, über dessen Cloud nun der komplette Traffic von Tiktoks US-Nutzerinnen und US-Nutzern geleitet wird.

Vor allem republikanische Politikerinnen und Politiker wie Floridas Senator Marco Rubio drängen jedoch weiterhin auf eine harte Linie gegenüber Tiktok: "Alles außer einer kompletten Ablösung Tiktoks von Bytedance" würde wahrscheinlich "wichtige nationale Sicherheitsfragen" ungelöst lassen, sagte Rubio im September.

Bereits im Juli hatte Tiktok in einem Brief an republikanische Senatorinnen und Senatoren zugegeben, dass trotz der Oracle-Kooperation Angestellte außerhalb der Vereinigten Staaten Zugriff auf "nichtsensitive Daten" von US-Nutzerinnen und US-Nutzern hätten, wenn der Zugriff vorher durch ein "Sicherheitsteam" in den USA freigegeben wird.

In Indien ist Tiktok, neben zahlreichen anderen Apps chinesischer Anbieter, bereits seit 2020 verboten. Die Begründung des zuständigen Ministeriums für Informationstechnologie: Es habe Berichte gegeben, wonach Nutzerdaten missbraucht und auf Server außerhalb des Landes übertragen würden. (Jonas Heitzer, 3.11.2022)