Salut und herzlich Willkommen zur 598. Ausgabe des Social-Media-Watchblog-Briefings. Leider gab es gestern beim Schreiben des Newsletters eine technische Panne. Daher erscheint der Newsletter auch erst jetzt. Zudem fehlen meine Parts. Die hat Mailchimp gefressen. Gnarf! Dank Simon haben wir aber trotzdem ein sehr lesenswertes Briefing. Meine Teile liefere ich nächste Woche nach. Vielen Dank fürs Verständnis und ein angenehmes Wochenende, Simon & Martin

TikTok verstößt wohl gegen Datenschutzrecht

Was ist: Zum dritten Mal in Folge taucht TikTok an dieser Stelle auf – und erneut ist der Anlass für ByteDance kein erfreulicher. Nach Zensurvorwürfen (Briefing #596) und geleakten Moderationsregeln (Briefing #597) geht es diesmal um Datenschutz: Offenbar sammelt die App massenhaft Informationen über seine Nutzerïnnen und gibt die Daten an anderen Unternehmen weiter (SZ).

Was TikTok macht: In einem langen Twitter-Thread (Nachtrag: Mittlerweile auch als Blogeintrag auf seiner Homepage zu finden) beschreibt Matthias Eberl die technische Analyse, die dem SZ-Text zugrunde liegt. Er hat den Datenverkehr von App und Webseite mitgeschnitten und kommt zu folgenden Erkenntnissen:

  • Die TikTok-App enthält Software-Komponenten von Facebook und Appsflyer. Über diese SDKs erhalten die beiden Unternehmen fortlaufend Daten von der App.
  • Dazu zählen etwa Start und Ende der Nutzung, jedes angeschaute Videos, die abonnierten Kanäle und Suchbegriffe, die Nutzerïnnen eingeben.
  • Diese Daten landen mit der Werbe-ID bei Facebook und können damit einzelnen Facebook-Accounts zugeordnet werden.
  • Mindestens genauso problematisch ist der Datentransfer zu Appsflyer. Das Unternehmen arbeitet mit mehr als 4500 Partnerfirmen zusammen, mit denen es Daten für Kampagnen teilen kann.
  • Wer TikTok-Videos über Messenger oder soziale Netzwerke teilt, sendet seine Nutzer-ID. Damit kann TikTok immer den Ursprung nachvollziehen und erfährt über Fingerprinting-Skripte auch, wer das Video anschaut.
  • Mit Hilfe dieser Skripte liest TikTok Daten wie Auflösung des Monitors, Browser-Version oder installierte Schriftwarten aus. Diese Informationen ermöglichen es, einzelne Nutzerïnnen zu identifizieren – selbst wenn sie ihre Cookies löschen.
  • ByteDance sagt, das sei ein „übliches Vorgehen in unserem Sektor“. Tatsächlich nutzen nur fünf Prozent der 1000 größten Webseiten Browser-Fingerprinting.

Was ein Jurist dazu sagt: Malte Engeler, Richter und Experte für Datenschutzrecht, glaubt, dass ByteDance rechtswidrig handelt. Er nennt der SZ dafür zwei Gründe:

  1. ByteDance mache nicht ausreichend transparent, mit welchen Unternehmen Appsflyer die Daten möglicherweise teile. ByteDance sagt, dass die Datenweitergabe in den Datenschutzbestimmungen erläutert sei, aber über vertragliche Details keine Auskunft gegeben werden könne.
  2. ByteDance sei ein chinesisches Unternehmen, der Standort der Server (Japan und USA) sei unerheblich: „In China muss man mit dem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen“, sagt Engeler. „Damit ist der Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.“

Unklar ist bislang, ob Medien, die auf TikTok präsent sind, mit für die Datenweitergabe verantwortlich sind. Das betrifft etwa die Tagesschau, die seit kurzem einen TikTok-Kanal betreibt. Der zuständige Datenschutzbeauftragte des NDR will das Angebot nun prüfen.

Be smart: Was TikTok macht, ist weit verbreitet: Etliche Apps sammeln massenhaft Daten und bewegen sich dabei entweder an der Grenze zu Legalität oder setzen sich über geltendes Datenschutzrecht hinweg. Allerdings weist TikTok zwei Besonderheiten auf:

  1. Es schwingt immer die Sorge mit, dass die chinesische Regierung auf die Daten zugreifen kann. ByteDance widerspricht diesem Vorwurf, aber solange das Unternehmen in Peking sitzt, wird es den Verdacht wohl niemals ganz los werden, dass nicht nur Douyin (die chinesische Version von TikTok) eine Hintertür für staatliche Stellen hat.
  2. Die Nutzerïnnen sind im Durchschnitt jünger als bei Facebook und Instagram, vermutlich auch jünger als bei Snapchat. Die wenigsten Teenager dürften sich bei der Anmeldung ausführlich damit beschäftigt haben, was mit ihren Daten geschieht.

In China herrscht zwar die Kommunistische Partei, das Land gehorcht aber längst den Marktdynamiken des Kapitalismus. Das gilt auch für ByteDance: Genau wie Facebook und Google sammelt TikTok Daten, auf deren Grundlage es Persönlichkeitsprofile bildet und Unternehmen personalisierte Werbung schalten lässt.

Das kann man legitim finden oder als Überwachungskapitalismus verdammen. Klar ist, dass einige Unternehmen mit diesem Geschäftsmodell in kurzer Zeit unglaublich reich und mächtig geworden sind – und dass Politikerïnnen jahrelang nahezu tatenlos zugesehen haben.

Wer künftig über Regulierung redet, sollte dabei jedenfalls nicht nur das Silicon Valley im Blick haben, sondern auch nach Peking schauen. Es gibt gute Gründe, die Macht von Facebook und Google mit Hilfe des Kartellrechts zu begrenzen. Bevor man westliche Unternehmen zerschlägt, sollte man aber sicherstellen, dass das Netz dadurch freier und offener wird – und nicht bloß chinesischer und autoritärer.

Facebook-Tracking: Medien stellen ihre Leserïnnen bloß

Was ist: Matthias Eberl hat nicht nur einen Text über TikTok veröffentlicht, sondern noch eine weitere Datenschutzanalyse veröffentlicht. Fast alle Schweizer Medien haben auf ihren Webseiten Tracking-Tools von Facebook eingebaut. Das Unternehmen kann damit mitlesen, was Besucherïnnen lesen wollen (Medienwoche).

Und in Deutschland? Eine ähnliche Analyse hatte Matthias bereits im Juni für deutsche Nachrichten und Verlagsangebote veröffentlicht: Drei Viertel davon binden Facebook-Pixel und andere Tracking-Werkzeuge ein (Rufposten).

Wie das Tracking abläuft: Wer ein Element von Facebook auf seiner Webseite einbaut, übermittelt fast zwangsläufig eine Menge Daten über seine Besucherïnnen an Facebook. Das verbreitetste Tool ist das Facebook-Pixel, aber auch Kommentarfunktion oder Like-Buttons, die nicht als Zwei-Klick-Lösung konfiguriert werden, funktionieren als digitale Wanzen.

Die Daten enthalten in den meisten Fällen Cookies, mit denen Facebook einzelne Nutzerïnnen identifizieren kann. Das Unternehmen verknüpft die Informationen mit bestehenden Konten und erfährt auf diese Weise noch mehr über Interessen und Lesegewohnheiten.

Ist das legal? In der Schweiz gilt das Schweizer Datenschutzgesetz (DSG) aus dem Jahr 1992, das noch keinen besonderen Schutz gegen digitale Überwachung vorsieht. In der EU sieht es anders aus: Im Sommer urteilte der EuGH, dass Seitenbetreiber, die Social-Plugins wie Facebooks Like-Button einbauen, Besucherïnnen informieren müssen, dass Daten an Facebook und andere Unternehmen übertragen werden (mehr dazu in Briefing #568).

Die Luxemburger Richterïnnen haben den Fall zurück ans OLG Düsseldorf verwiesen, das nun klären muss, ob Besucherïnnen aktiv zustimmen müssen, dass Daten an Dritte weitergegeben werden. Offen ist auch, in welcher Form diese Zustimmung eingeholt werden soll.

Be smart: Verlage glauben, dass sie Daten brauchen, um Inhalte zu personalisieren und nicht alle Werbekunden an Facebook und Google zu verlieren – wobei immer wieder Studien erscheinen, die in Frage stellen, wie effektiv Ad-Targetting wirklich ist (Techdirt 1, 2, 3).

Ich kenne mich nicht gut genug mit Werbenetzwerken und Anzeigenvermarktung aus, um zu beurteilen, wie groß der Nutzen wirklich ist. Ziemlich eindeutig ist aber, wie groß der Schaden ist: Verlage schimpfen gern auf Facebook und Google, die ihnen Werbeerlöse streitig machen und Datenschätze anhäufen. Andererseits liefern sie den Konzernen bereitwillig Daten über ihre Leserïnnen, weil sie sich davon Vorteile versprechen.

Je mehr Menschen anfangen, sich für Datenschutz zu interessieren und sich darüber zu informieren, wer ihre Daten sammelt und an wen weitergibt, desto problematischer wird dieses Vorgehen. Langfristig machen sich Medien unglaubwürdig, wenn sie Datenschutzskandale bei Facebook anprangern – und selbst dazu beitragen, dass die großen Plattformen noch mehr Daten anhäufen können.

Empfehlungen fürs Wochenende

Just enough internet: Rufe nach einem öffentlich-rechtlichen Internet werden lauter: Just enough Internet: Why public service Internet should be a model of restraint (Dot Everyone).

Bored, lonely: Wie sich Gefühle durch Mediennutzung verändern können, beschreibt dieses Buch. Auf der Website gibt es einen dreiminütigen Film, den ich gern an dieser Stelle empfehle.

Facebooks NPE-Team hatten wir ja in unseren Briefings schon an verschiedenen Stellen vorgestellt. Die New York Times hat sich nun noch einmal ausführlicher mit dem Team auseinandergesetzt und erfahren, über welche neuen Produkte Facebook so nachdenkt: Reise-Apps, Newsletter-Features, Podcast-Funktionen

One more thing

Mitgliedschaft verschenken: Wer mag, kann seiner Kollegin oder seinem Kollegen ein Watchblog-Abo zu Weihnachten schenken! Und zwar folgendermaßen:

  • Wenn du bereits ein Profi-Abo hast, wechselst du einfach in das neue „1up“-Paket.
  • Wenn du noch kein Profi-Abo hast, dann abonnierst du zunächst das „1up“-Paket.
  • Das Paket kostet für Euch beide zusammen 7,50 Euro pro Monat oder aber 84 Euro jährlich. Du zahlst also für das Abo deiner Kollegin / deines Kollegen nur den halben Preis.

Sobald das „1up“-Paket abonniert ist, kannst du deiner Bekannten ganz easy einen Gastzugang zum Newsletter und zum Blog freischalten. Wie das geht, wird hier erklärt. Das Angebot gilt bis zum 26.12.2019. Uns würde es freuen!

Header-Foto von Tokyo Luv bei Unsplash