In den vergangenen Jahren ist Tiktok immer wieder in die Kritik geraten. Insbesondere in puncto Datenschutz wurden dem Netzwerk Vorwürfe gemacht. Großer Informationshunger und die Weitergabe von Nutzerinformationen wurden der Plattform ebenso zur Last gelegt wie auch ihre Verbindungen nach China über die Mutterfirma Bytedance. In den USA wurde Regierungsmitarbeiter die Installation der App auf Diensthandys verboten. Auch die EU-Kommission hat im vergangenen Februar einen solchen Schritt gesetzt.

Tiktok beteuerte stets, hohen Stellenwert auf Datenschutz zu legen, und geht nun mit "Project Clover" in die Offensive. Im Rahmen dessen sollen die Daten aller Nutzer aus dem europäischen Wirtschaftsraum (also alle EU-Mitglieder sowie Island, Liechtenstein und Norwegen) und dem Vereinigten Königreich sicher in Europa gespeichert werden.

Rechenzentren in Irland und Norwegen

Derzeit liegt der größte Teil der Daten europäischer User allerdings noch in den USA. Die Übertragung in ein mittlerweile eröffnetes Rechenzentrum in Irland habe aber bereits begonnen, so Vertreter des Unternehmens in einem Pressebriefing. Wie weit man bereits sei, wollte man aber nicht beantworten.

Zwei zusätzliche Rechenzentren sollen noch hinzukommen, ein weiteres in Irland und eines in Norwegen. Ihre Inbetriebnahme ist für das vierte Quartal 2024 angedacht. Bis Ende kommenden Jahres soll außerdem auch der Transfer aller Nutzerdaten nach Europa abgeschlossen sein. Die drei Serverzentren bilden dann gemeinsam die "European Enclave".

Der Zugriff auf Userdaten unterliege aber schon jetzt einem mehrstufigen Genehmigungsprozess und werde ausschließlich mit entsprechender Begründung auf Einzelfallbasis gewährt, so Tiktok. Für Daten von Usern aus dem EWR und UK gelten dabei besondere Anforderungen.

NCC Group soll über Sicherheit wachen

Damit sich Außenstehende nicht alleine auf die Versprechungen des Konzerns verlassen müssen, soll als unabhängiger Dritter die NCC Group herangezogen werden. Der IT-Security-Spezialist hat seinen Hauptsitz in Manchester und betreibt außerdem auch Büros in Deutschland, Spanien, den Niederlanden und Portugal. Das Unternehmen verzeichnet 14.000 Kunden und verfügt zudem über Zertifizierungen zur Durchführung von Penetrations-Tests gemäß den TIBER-EU-Vorgaben und dem CHECK des UK National Cybersecurity Centre.

Das Logo der Tiktok-App.
Tiktok hatte bei Datenschützern bislang keinen guten Leumund, will dies aber mit "Project Clover" verbessern.
AP/Matt Slocum

Die Zusammenarbeit läuft laut Tiktok bereits seit 2. Mai. In einem Pilotprojekt wurden die IT-Architektur und Datensicherheit evaluiert und Änderungsvorschläge erarbeitet. In Zukunft soll NCC das für Datentransfers genutzte Security-Gateway für Europa durchgehend überwachen und als dessen Co-Manager auch den Source-Code von darin eingesetzter Software einsehen können. Die Experten sollen zudem Daten- und Netzwerkverkehr validieren, um Fremdzugriffe abzuwehren und auch die Sicherheit der Android- und iOS-App prüfen und weiters auch die physische Sicherheit der europäischen Rechenzentren inspizieren.

Man geht davon aus, dass es seitens NCC Beanstandungen geben wird. Denn Schwachstellen zu finden sei immerhin Sinn der Sache, so Vertreter des Netzwerks. Lücken und Vorfälle, die einen Schweregrad von regulatorischer Relevanz aufweisen, werden an die Behörden gemeldet. NCC könne dies auch direkt tun und müsse den Ball nicht über Tiktok spielen. In einem vierteljährlichen Sicherheitsbericht sollen die Funde ebenfalls publik gemacht werden.

Drei Ausnahmen

Einmal mehr betonte Tiktok, dass man keine Daten europäischer Nutzer in China speichere. Persönliche Daten von Usern im EWR und in UK seien als geschützt eingestuft und werden nicht in andere Regionen übertragen. Es gibt drei Ausnahmen: Die erste sind öffentliche Daten, wie etwa Postings mit allgemeiner Sichtbarkeit. Ebenfalls weltweit übertragen werden Daten, die zur Gewährleistung der Interoperabilität dienen, worunter etwa gesetzte Einstellungen der Nutzer wie die Deaktivierung von Kommentaren bei einem Beitrag fallen.

Die dritte Kategorie sind "deidentifizierte aggregierte Daten". Diese sollen so stark aggregiert sein, dass eine Zurückverfolgung zu einzelnen Nutzern "praktisch unmöglich" sei. Hierfür soll ein weiterer externer Partner mit Expertise in dem Bereich konsultiert werden, um dies zu gewährleisten.

Mit den gesetzten und kommenden Maßnahmen sieht man sich bei Tiktok als Branchenvorreiter in Sachen Sicherheit und Datenschutz. Im nächsten Schritt will man mit Vertretern aus der Politik sprechen, um "Project Clover" zu erklären und Feedback einzuholen. Außerdem ist man schon länger im Austausch mit der EU-Kommission und hofft auf eine künftige Aufhebung des Tiktok-Verbots für Mitarbeiterhandys. Wie weit man sich in diesen Gesprächen wähnt, möchte man aktuell aber noch nicht kommentieren. (gpi, 5.9.2023)