TikTok: "Everything is seen in China"

Was ist

Seit Jahren sagt TikTok: Wir sind ein eigenständiges Unternehmen und haben nichts mit unserem chinesischen Mutterkonzern ByteDance zu tun. Daten speichern wir ausschließlich auf Servern in den USA und Singapur, in Peking hat niemand Zugriff. Großes TikTok-Ehrenwort.

Besonders glaubwürdig war das noch nie, doch jetzt gibt es neue Indizien, wie weit TikToks Darstellung von der Realität entfernt ist. Offenbar geht der chinesische Einfluss noch deutlich weiter, als bislang vermutet wurde. Recherchen von BuzzFeed News legen nahe, dass ByteDance-Angestellte in China regelmäßig auf nicht öffentliche Daten von Nutzerïnnen in den USA zugreifen.

Was die Recherchen zeigen

  • Investigativreporterin Emily Baker-White hat Audioaufnahmen von mehr als 80 internen TikTok-Meetings zugespielt bekommen. Die Mitschnitte stammen sowohl aus kleinen Runden mit Managerinnen und externen Beratern als auch aus Präsentationen für die gesamte Belegschaft. Zudem liegen Screenshots und weitere Dokumente vor, die den Verdacht erhärten.
  • 14 Aussagen von neun unterschiedlichen TikTok-Angestellten lassen den Rückschluss zu, dass Entwicklerïnnen in China weitreichenden Datenzugriff haben. Das gilt mindestens für den Zeitraum zwischen September 2021 und Januar 2022, vermutlich aber noch länger.
  • Neun weitere Aussagen von acht TikTok-Angestellten legen zudem nahe, dass das Team in den USA keine Ahnung habe, wie und wohin US-Daten fließen.
  • "Everything is seen in China", wird ein Mitglied von TikToks Sicherheitsabteilung zitiert. Eine Person in Peking wird als "Master Admin" bezeichnet, der "auf alles zugreifen" könne.
  • Im Februar 2021 heuerte TikTok Beraterïnnen von Booz Allen Hamilton an. Diese sollten untersuchen, wer bei TikTok und ByteDance mithilfe welcher Tools auf welche Daten zugreifen kann. In einem Meeting im September 2021 sagte eine der extern beauftragten Personen: "I feel like with these tools, there’s some backdoor to access user data in almost all of them, which is exhausting."
  • Offenbar sind die internen Systeme und resultierenden Datenflüsse so komplex, dass selbst ein darauf spezialisiertes "United States Technical Services team" (USTS) nicht mit Sicherheit sagen kann, wo Informationen gespeichert und von wo darauf zugegriffen werden kann.
  • Dem USTS dürfen angeblich keine chinesischen Entwicklerïnnen beitreten. Dennoch scheint China Einfluss zu nehmen. Im Januar 2022 sagte eine Person aus dem Team: "I get my instructions from the main office in Beijing."
  • Im vergangenen Oktober sagte ein TikTok-Manager im US-Senat unter Eid, dass ausschließlich in den USA entschieden werde, wer auf dortige Daten zugreifen könne. Diese Behauptung wirkt vor dem Hintergrund der neuen Enthüllungen wenig glaubwürdig.

Warum das brisant ist

  • Niemand hat jemals ernsthaft geglaubt, dass TikTok rein gar nichts mit ByteDance verbindet, so wie es Managerinnen und Sprecher immer wieder beteuern. Mehrfach enthüllten Recherchen, wie eng die Verbindungen nach China tatsächlich sind (CNBC).
  • Was an den aktuellen Vorwürfen neu ist, sind das Ausmaß des mutmaßlichen Zugriffs und die Zahl der Indizien, die dafür sprechen.
  • Die Recherchen scheinen ausgerechnet Donald Trump zu bestätigen. 2020 wollte der damalige US-Präsident TikTok verbieten lassen, weil er befürchtete, dass die chinesische Regierung massenhaft Informationen über US-Bürgerïnnen sammeln könnte. TikTok sagte damals, man habe niemals Daten mit der Regierung in Peking geteilt und werde das auch nicht tun.
  • Bislang gibt es keine Belege, dass die Kommunistische Partei Chinas auf die Daten zugreift, die über TikTok bei ByteDance landen. Chinesische Unternehmen haben aber keine Möglichkeiten, sich Anordnungen des Regimes zu widersetzen. Zudem wurde vergangenes Jahr bekannt, dass sich der chinesische Staat direkt an ByteDance beteiligt hat (Reuters).
  • Die chinesische Version von TikTok heißt Douyin, beide Apps teilen einen Großteil des Codes und funktionieren ähnlich. Auf Douyin wird drakonisch zensiert, dort liest das Regime mit und löscht nach Belieben.
  • Bislang gibt es keine öffentlichen Belege, dass die KP direkten Einfluss auf TikTok nimmt oder auf Daten von Nutzerïnnen im Ausland zugreift. Die neuen Vorwürfe dürften es TikTok aber erschweren, solche Bedenken zu zerstreuen.

Was TikTok sagt

  • Wir wollten von TikTok unter anderem wissen, ob es zutrifft, dass Angestellte in China auf Daten aus den USA zugreifen konnten. Zudem haben wir gefragt, ob TikTok ausschließen kann, dass auch Daten aus Deutschland von chinesischen Entwicklerïnnen eingesehen werden können.
  • Auf diese Fragen haben wir nur ausweichende Antworten erhalten. Das vollständige Statement lautet:

Wie wir öffentlich erklärt haben, haben wir weltweit anerkannte interne und externe Sicherheitsexpertinnen hinzugezogen, die uns bei der Stärkung unserer Datensicherheitsbemühungen helfen. Angesichts der Komplexität der Herausforderungen im Bereich der Datensicherheit ist dies eine branchenübliche Praxis. Im Mai haben wir eine neue interne Abteilung, U.S. Data Security (USDS), mit einer in den USA ansässigen Leitung geschaffen, um die Datensicherheit in den USA stärker in den Mittelpunkt zu stellen und zu steuern. Die Schaffung dieser Organisation ist Teil unserer laufenden Bemühungen und unseres Engagements, unsere Datenschutzrichtlinien und -protokolle zu stärken, unsere Nutzerinnen noch besser zu schützen und Vertrauen in unsere Systeme und Kontrollen aufzubauen.

  • Mit unseren Fragen oder den aktuellen Vorwürfen hat das nur wenig zu tun. Ein klares Dementi ist es jedenfalls nicht.
  • Eine TikTok-Sprecherin in den USA antwortete BuzzFeed News ähnlich vage:

We know we're among the most scrutinized platforms from a security standpoint, and we aim to remove any doubt about the security of US user data. That's why we hire experts in their fields, continually work to validate our security standards, and bring in reputable, independent third parties to test our defenses.

  • Zudem verweist TikTok auf einen Blogeintrag aus dem Jahr 2020, in dem beschrieben wird, wie das Unternehmen versucht "die Anzahl der Mitarbeiterinnen, die Zugriff auf Nutzerinnendaten haben, und die Szenarien, in denen der Datenzugriff ermöglicht wird, zu begrenzen".
  • Demnach sei es das Ziel, "den Datenzugriff über Regionen hinweg zu minimieren, so dass zum Beispiel Mitarbeiterinnen in der APAC-Region, einschließlich China, nur minimalen Zugriff auf Nutzerinnendaten aus der EU und den USA haben würden."
  • In den vergangenen zwei Jahren hatten diese Bemühungen offenbar nur überschaubaren Erfolg. Nach minimalem Zugriff klingt das jedenfalls nicht.

Was TikTok tut

  • In seinen Statements verweist TikTok auch auf einen aktuellen Blogpost, der kurz vor dem Erscheinen der Recherche von BuzzFeed News veröffentlicht wurde. Auf unsere Frage, ob es einen zeitlichen Zusammenhang gibt, ging TikTok nicht ein.
  • In dem Blogeintrag schreibt TikTok, dass ab sofort sämtlicher Datenverkehr von US-Nutzerïnnen ausschließlich durch Infrastruktur der Oracle Cloud liefen. Das hatte TikTok der Trump-Regierung zugesichert, um einem Verbot zu entgehen.
  • Mittelfristig sollen alle Backups in anderen Rechenzentren in Singapur in den USA gelöscht werden, sodass alle privaten Daten auf Oracle-Servern liegen.
  • Allerdings ist unklar, ob das wirklich dazu beiträgt, einen Zugriff aus China komplett zu verhindern. Denn das betrifft offenbar nur ganz bestimmte "geschützte Daten". Damit sind Informationen gemeint, die nicht öffentlich einsehbar sind, etwa Handynummern oder Videos, die bislang nur als Entwurf gespeichert, aber nicht abgeschickt wurden.
  • Über den Umfang der geschützten Daten wird noch verhandelt. Alle weiteren Daten sollen in anderen Rechenzentren liegen, auf die sehr wohl von China aus zugegriffen werden kann.
  • Was offenbar nicht dazu zählen wird: IDs, mit denen Nutzerïnnen oder ihre Geräte identifiziert werden können. TikToks Produktchef soll das intern mit einem Lachen verkündet haben: "We recently found out that UIDs are things we can have access to, which changes the game a bit."
  • BuzzFeed News nennt noch einen weiteren Grund, skeptisch zu sein: Oracle gibt TikTok offenbar große Freiheiten beim Betrieb der Rechenzentren. Der Chef der zuständigen Sicherheitsabteilung sagte:

It’s almost incorrect to call it Oracle Cloud, because they’re just giving us bare metal, and then we're building our VMs [virtual machines] on top of it.

Warum Datenzugriff nur ein Teil des Problems ist

  • Selbst wenn TikToks Beteuerung zuträfe, dass keinerlei Daten in China landen, bleiben weitere Bedenken. Die größere Gefahr besteht darin, dass die chinesische Regierung Einfluss auf Moderationsregeln und Algorithmen nimmt.
  • In der Vergangenheit wurden etwa politische Äußerungen zum Tiananmen-Massaker oder der Unabhängigkeit Tibets zensiert (Guardian). Ausführliche Recherchen von Netzpolitik zeigten 2019, dass TikTok Inhalte oft auf eine Art und Weise drosselt und lenkt, die chinesische Kontrolle vermuten lassen. Das betrifft etwa Proteste in Hongkong oder Xinjiang.
  • Bereits kleinste Änderungen an Algorithmen können große Auswirkungen haben – nicht auf Mikro, sondern auf Makroebene. Es geht nicht darum, dass eine einzelne Nutzerin komplett ihre Meinung zu einem bestimmten Thema ändert. Der individuelle Einfluss sozialer Medien wird ohnehin tendenziell überschätzt.
  • Wenn eine App wie TikTok aber bestimmte Inhalte verstärkt oder versteckt, kann das Auswirkungen auf das Weltbild von Millionen Menschen haben. Selbst wenn die Verschiebung jeweils nur minimal ist, sind die aggregierten Auswirkungen deutlich spürbar.

Be smart

Wir möchten keinen Alarmismus verbreiten. Dafür sind Politiker wie der Republikaner Ted Cruz zuständig, der solche Dinge von sich gibt (Facebook):

TikTok is a Trojan horse the Chinese Communist Party can use to influence to what Americans, see, hear, and ultimately think.

Das ist Unsinn. Bislang gibt es keine harten Belege, dass die KP sensible Daten auswertet oder TikTok vorschreibt, wie es zu moderieren hat.

Diese Form der Einflussnahme lässt sich kaum messen oder nachweisen. Mit jeder Recherche, die zeigt, dass TikTok öffentlich wiederholt die Unwahrheit sagt, wächst die Sorge, dass die App nicht nur ein Sicherheitsrisiko ist, sondern auch eine Gefahr für westliche Demokratien.


Follow the money

  • Telegram Premium ist da: In Ausgabe 801 hatten wir über Telegrams Pläne berichtet, ein Abo-Modell einzuführen. Jetzt wurde Telegram Premium offiziell vorgestellt. Wer 4,99 Dollar pro Monat zahlt, erhält „4 GB Datei-Uploads, schnellere Downloads, exklusive Sticker, Reaktionen, verbesserte Chatverwaltung“ und einige andere Features, die bei ghacks nachzulesen sind. Die bestehenden Funktionen sollen weiterhin kostenfrei sein. Telegram Premium ist derzeit in Deutschland noch nicht verfügbar.
  • Snap testet Plus-Angebot: Wie in unserer Analyse zu Telegrams Premium-Service bereits erklärt, könnte ein zusätzliches Bezahlangebot bei den Plattformen bald Standard werden. Snap testet derzeit intern ein entsprechendes Format (The Verge).
  • Pinterest launcht Idea Ads: Auf der Basis des Idea-Pin-Formats können Werbetreibende nun Idea Ads (Search Engine Land) nutzen, um User mit Werbebotschaften zu beglücken. Das Besondere an dem Format: Video, Foto, Text und Link lassen sich in einer Art Story miteinander kombinieren.
  • Pinterest Paid Partnerships: Zudem führt Pinterest ein Feature ein, mit dem Creator einerseits analog zu Instagrams Branded Content Ads und TikToks Spark Ads Partnerschaften mit Werbetreibenden besser deklarieren können. Andererseits können Creator Unternehmen nun erlauben, ihre Inhalte zu boostern, um sie als Anzeige zu nutzen.
  • Twitter Shopping: Auch Twitter startet in Sachen E-Commerce voll durch und geht eine Partnerschaft mit Shopify (Business Twitter) ein, über die Shopify-Nutzerïnnen ihre Produkte direkt bei Twitter präsentieren können. Zudem lassen sich nun ausgewählte Produkte direkt oben im Profil bewerben und Branded Likes nutzen (@TwitterComms) – eine individualisierte Form der Like-Animation.
  • Facebook Pay ist jetzt Meta Pay (Facebook / Zuck). Ok.

Creator Economy

  • Zuck umgarnt Creator: In einem Facebook-Thread (why ???) kündigt Meta-Boss Zuckerberg einige Neuigkeiten an, die Creator überzeugen sollen, ihre Inhalte doch bitte, bitte, bitte, bitte, bitte bei Facebook oder Instagram hochzuladen. Fast Company hat die Details, wir den Überblick:
    • Kein Cut bis 2024: Creator müssen ihre Einnahmen, die sie über einen Dienst bei Facebook oder Instagram generieren bis 2024 nicht mit Meta teilen.
    • Reels-Bonus-Programm für alle: Wer für seine Reels bezahlt werden möchte, kann sich nun ganz offiziell bei Meta bewerben.
    • Creator Marketplace: Es soll bald einen Marktplatz für Kreative geben, auf dem Marken und Kreative direkt miteinander in Kontakt treten können, um Partnerschaften und Sponsoring zu vereinbaren. (Was macht das eigentlich mit dem Agentur-Geschäft? Dazu wüssten wir gern mehr. Falls jemand darüber mal mit uns sprechen mag, bitte melden!)
    • Facebook Stars: Wer mag, kann bald mittels Facebook Stars (eine Art digitales Spielgeld) für seine Reels, Livestreams oder VoD Trinkgelder einsammeln. Bislang war das nur ausgewählten Creatorn vorbehalten.
    • Und irgendwas mit NFT kommt auch demnächst. Natürlich.
  • YouTube erhöht maximalen Preis für Mitgliedschaften: Bislang lag die höchste Gebühr, die YouTuber für ein Abo verlangen konnten, bei 99 Dollar pro Monat. Künftig können YouTuber bis zu 499 Dollar pro Monat für eine Mitgliedschaft verlangen. Well, da sind wir mit unserem Abo ja ein echter Schnapper…
  • Pinterest startet Partnerschaft mit Tastemade: Tastemade hat es wie kaum ein zweites Medienunternehmen verstanden, aus dem Hunger auf snackable Content ein Business zu machen. Jetzt geht das Unternehmen eine Partnerschaft mit Pinterest (W&V) ein, um u.a. 50 Shows zu produzieren, in denen Creator Dinge bewerben, die dann über Pinterest gekauft werden können. Wirklich spannend zu sehen, wie sich Pinterest im Bereich Video und Creator positioniert.

VR / AR / Metaverse

  • Metaverse Standards Forum: Microsoft, Epic Games, Meta und 33 weitere Unternehmen und Organisationen haben eine Standardisierungsgruppe für "Metaverse"-Technologien gegründet. Das Metaverse Standards Forum soll offene, interoperable Standards für Augmented und Virtual Reality, Geospatial und 3D-Technologie fördern. Hier geht es zur Pressemitteilung. Apple oder Roblox sind bislang übrigens nicht dabei.
  • Meta launcht eine digitale Boutique, damit Nutzerïnnen ihren Avataren auch was Ordentliches anziehen können im Metaverse – etwa von Balenciaga oder Prada (Facebook Newsroom). Aber wie rappt Disarstar doch so schön:

Dein Balenciaga-Pulli

Is' mir egal du Dulli


Schon einmal im Briefing davon gehört

  • Wenn dein Homescreen zum sozialen Netzwerk wird: Social-Media-Anwendungen könnten vielleicht schon bald gar nicht mehr unbedingt nur in den Apps selbst stattfinden, sondern als Widgets auf dem Homescreen genutzt werden. Einige junge Unternehmen, die genau darauf setzen, verzeichnen gerade erstaunliche Download-Zahlen (Techcrunch). BeReal, Locket oder LiveIn setzen alle darauf, dass Leute Lust haben, neue Fotos (oder Videos oder Zeichnungen) von ausgewählten Freunden direkt auf den Homescreen geschickt zu bekommen. Eigentlich ja auch eine ganz schöne Idee. Gehen wir also mal davon aus, dass die Platzhirschen bald ganz ähnliche Widgets anbieten werden.

Lesetipps fürs Wochenende


Neue Features bei den Plattformen

Instagram

  • Instagram goes fullscreen: Um mehr TikTok zu wagen, testet Instagram derzeit die Option, Inhalte im Vollbildmodus anzuzeigen (The Verge). So wie wir das bei Instagram bislang mitbekommen haben, erfreut sich diese neue Darstellungsweise aber bislang nicht all zu großer Beliebtheit.
  • Instagram testet Notes-Funktion: Ok, das ist bislang alles noch super rudimentär, aber anscheinend testet Instagram eine Art Notes-Funktion (@ahmedghanem), mit der man ausgewählten Kontakt eine Botschaft schicken kann.

TikTok

WhatsApp

Twitter

  • Notes: Neue Artikel-Funktion bei Twitter: Im Mai hatte es sich schon abgezeichnet, jetzt ist es offiziell: Twitter testet die Möglichkeit, ganze Artikel auf der Seite zu publizieren – inklusive Video, Bild und Formatierungsoptionen. Auf Twitters neuem Write-Account kann man sehen, wie der Editor funktioniert. Auch teilt das Unternehmen dort Notes von Usern, die bereits Zugriff auf das Feature haben.

Snapchat

  • Kommentare bei Spotlight: Snapchat testet derweil die Option, Spotlight-Videos zu kommentieren (Axios). Zwar sind die Kommentare „private by default“, Creator können aber einzelne Kommentare als Highlights hervorheben. Bei TikTok und Reels können User schon lange Kurzvideos kommentieren. Snapchat zieht nun nach.

LinkedIn

Spotify

  • Spotify entwickelt neues Community-Tab: Bislang konnten sich Spotify-Nutzerïnnen vor allem in der Desktop-Variante anschauen, welche Musik Freunde gern hören. Jetzt arbeitet das Unternehmen an einer Version, die auch mobil funktioniert (Techcrunch). Sehr spannend, wie derzeit bei ganz vielen Unternehmen, die eigentlich nicht per se Social-Media-Angebote sind, eine Social-Layer eingezogen wird.

Header-Foto von Aditya Wardhana