„Zugang zu allem“: Geheime Tiktok-Meetings geleakt - ausländische Nutzerdaten von China aus abgerufen
Tiktok-Nutzer:innen-Daten aus den USA werden von China aus abgerufen. Die Politik will einschreiten. Aber das ist schwierig.
Seit Jahren reagiert TikTok auf Datenschutzbedenken aus den USA mit dem Versprechen, dass Informationen über Nutzer:innen in den Vereinigten Staaten gespeichert werden und nicht in China, wo ByteDance, die Mutterfirma der Plattform, ihren Sitz hat. Doch laut geleakten Tonaufnahmen von mehr als 80 internen TikTok-Sitzungen haben in China ansässige Mitarbeiter von ByteDance wiederholt auf nicht öffentliche Daten von US-amerikanischen TikTok-Nutzer:innen zugegriffen - genau die Art von Verhalten, die den ehemaligen Präsidenten Donald Trump zu der Drohung veranlasste, die App in den USA zu verbieten.
Die Aufnahmen, die von BuzzFeed News US angehört wurden, enthalten 14 Aussagen von neun verschiedenen TikTok-Mitarbeiter:innen, die darauf hindeuten, dass Ingenieur:innen in China zumindest zwischen September 2021 und Januar 2022 Zugang zu US-Daten hatten. Trotz der eidesstattlichen Aussage einer TikTok-Führungskraft in einer Senatsanhörung im Oktober 2021, dass ein „weltbekanntes, in den USA ansässiges Sicherheitsteam“ entscheide, wer Zugang zu diesen Daten erhält, gibt es neun Aussagen von acht verschiedenen Mitarbeitern, die Situationen beschreiben, in denen sich US-Mitarbeiter:innen an ihre Kollegen in China wenden mussten, um herauszufinden, wohin und wie US-Nutzerdaten fließen. Den Tonbändern zufolge hatten die US-Mitarbeiter:innen weder die Erlaubnis noch das Wissen, wie sie selbst auf die Daten zugreifen können.
Was macht TikTok eigentlich aus? Hier könnt ihr lesen, was ihr alles über die App wissen müssen.
„In China wird alles gesehen“, sagte ein Mitglied der Abteilung für Vertrauen und Sicherheit von TikTok
In einem anderen Meeting im September bezeichnete ein Manager einen in Peking ansässigen Ingenieur als „Master Admin“, der „Zugang zu allem hat“. (Während sich viele Mitarbeiter in den Aufzeichnungen mit Namen und Titel vorstellten, nennt BuzzFeed News US keine Namen, um ihre Privatsphäre zu schützen.)
Die Aufzeichnungen reichen von Besprechungen mit Führungskräften und Beratern des Unternehmens im kleinen Kreis bis hin zu Präsentationen für die gesamte Belegschaft. Sie werden durch Screenshots und andere Dokumente untermauert und liefern damit eine Fülle von Beweisen, die frühere Berichte über den Zugriff von in China ansässigen Mitarbeiter:innen auf US-Nutzerdaten belegen. Der Inhalt der Audiobänder zeigt, dass der Zugriff auf die Daten viel häufiger und vor allem früher erfolgte als zuvor berichtet wurde. Sie zeichnen ein umfassendes Bild der Herausforderungen, denen sich die weltweit beliebteste Social-Media-App bei dem Versuch stellen musste, ihre US-Aktivitäten von denen der Mutterfirma in Peking zu trennen. Letztlich deuten die Mitschnitte darauf hin, dass das Unternehmen den Gesetzgeber, seine Nutzer:innen und die Öffentlichkeit in die Irre geführt haben könnte, indem es heruntergespielt und geleugnet hat, dass in den USA gespeicherte Daten immer noch von Mitarbeiter:innen aus China eingesehen werden können.
„In China wird alles gesehen“
Im Jahr 2019 hat der Ausschuss für ausländische Investitionen der Vereinigten Staaten (CFIUS) damit begonnen, die Auswirkungen der Sammlung amerikanischer Daten durch TikTok auf die nationale Sicherheit hin zu untersuchen. Und 2020 drohte der damalige Präsident Donald Trump sogar damit, die App ganz zu verbieten, weil er befürchtete, dass die chinesische Regierung ByteDance nutzen könnte, um Akten mit persönlichen Informationen über amerikanische TikTok-Nutzer:innen anzulegen. Die Datensammlung von TikTok „könnte der Kommunistischen Partei Chinas den Zugang zu persönlichen und geschützten Informationen der Amerikaner ermöglichen“, schrieb Trump in seiner Verordnung. TikTok hatte erklärt, dass nie Nutzerdaten an die chinesische Regierung weitergegeben wurden und dies auch nicht tun würden, wenn es darum gebeten werden würde.
Die meisten der aufgezeichneten Sitzungen drehen sich um die Reaktion von TikTok auf diese Bedenken. Das Unternehmen versucht derzeit, seine Kanäle so umzuleiten, dass bestimmte „geschützte“ Daten nicht mehr aus den USA nach China fließen können - eine Bemühung, die intern als „Project Texas“ bekannt ist. In den Mitschnitten lässt sich vernehmen, dass festgestellt wurde, dass die überwiegende Mehrheit der Fälle, in denen in China ansässige Mitarbeiter:innen auf US-Nutzerdaten zugegriffen haben, von „Project Texas“ verhindert werden könnten.
Hier könnt ihr lesen, wie China die App TikTok systematisch benutzt, um die Unterdrückung der Uiguren zu verschleiern.
„Project Texas“ ist ein Schlüsselelement in einem Vertrag, den TikTok derzeit mit dem Cloud-Dienstleister Oracle und dem CFIUS aushandelt. Im Rahmen dieser Vereinbarung würde TikTok die geschützten privaten Daten von US-Nutzer:innen, wie Telefonnummern und Geburtstage, ausschließlich in einem von Oracle verwalteten Rechenzentrum in Texas speichern dürfen (daher der Projektname). Auf diese Daten hätten nur bestimmte TikTok-Mitarbeiter:innen in den USA Zugriff. Welche Daten als „geschützt“ gelten, wird noch verhandelt, aber die Aufzeichnungen deuten darauf hin, dass alle öffentlichen Daten, einschließlich der öffentlichen Profile der Nutzer:innen und alles, was sie posten, nicht dazu gehören werden. (Aus Transparenzgründen: In meinem früheren Leben hatte ich politische Positionen bei Facebook und Spotify inne). Oracle reagierte nicht auf eine Bitte um Stellungnahme. CFIUS lehnte eine Stellungnahme ab.
Kurz vor der Veröffentlichung dieses Artikels veröffentlichte TikTok einen Blogbeitrag, in dem es ankündigte, dass der „Standard-Speicherort für US-Nutzerdaten“ geändert wurde und dass ab heute „100 % des US-Nutzerdatenverkehrs an die Oracle-Cloud-Infrastruktur weitergeleitet wird. Wir nutzen immer noch unsere Rechenzentren in den USA und Singapur für die Datensicherung, aber wir erwarten, dass wir bald die privaten Daten der US-Nutzer:innen aus unseren eigenen Rechenzentren löschen und vollständig auf Oracle-Cloud-Server in den USA transferieren werden.“
Tiktok: Gesetzgeber fürchten, dass Chinas Regierung den ByteDance-Konzern für ihre Zwecke nutzt
Die Befürchtung der Gesetzgeber, dass die chinesische Regierung über ByteDance in der Lage sein könnte, amerikanische Daten in die Hände zu bekommen, beruht auf der Tatsache, dass chinesische Unternehmen den Launen der autoritären Kommunistischen Partei Chinas unterworfen sind, die im letzten Jahr hart gegen die einheimischen Tech-Giganten vorgegangen ist. Das Risiko besteht darin, dass die Regierung ByteDance zwingen könnte, „Datenspionage“ zu betreiben und dabei Informationen zu sammeln und herauszugeben.
Es gibt jedoch noch eine andere Sorge: Die chinesische Regierung könnte ihre Macht nutzen, um die Führungskräfte von ByteDance zu beeinflussen, damit diese wiederum ihre amerikanischen Kollegen anweisen, wie sie die Hebel des mächtigen „For You“-Algorithmus von TikTok nutzen sollten. Der Algorithmus empfiehlt mehr als eine Milliarde Nutzer:innen ihre Videos. Senator Ted Cruz beispielsweise bezeichnete TikTok als „trojanisches Pferd, das die Kommunistische Partei Chinas nutzen kann, um zu steuern, was die Amerikaner sehen, hören und letztendlich denken“.
Der enge Fokus von „Project Texas“ auf die Sicherheit eines bestimmten Teils der US-Nutzerdaten, von denen die chinesische Regierung einen Großteil einfach von Datenmaklern kaufen könnte, hat keine Mittel, um der Befürchtung Einhalt zu gebieten, dass China TikTok über ByteDance nutzen könnte, um das wirtschaftliche, kulturelle oder politische Verhalten der Amerikaner zu beeinflussen.
TikTok hat in Blogbeiträgen und öffentlichen Erklärungen gesagt, dass es alle Daten seiner US-Nutzer:innen physisch in den USA speichert, mit Backups in Singapur. Dies mindert zwar einige Risiken - das Unternehmen sagt, dass diese Daten nicht dem chinesischen Recht unterliegen - aber es ändert nichts an der Tatsache, dass in China ansässige Mitarbeiter auf die Daten zugreifen können, sagen Expert:innen.
„Der physische Ort spielt keine Rolle, wenn die Daten immer noch von China aus abgerufen werden können“, erklärte Adam Segal, Direktor des Digital and Cyberspace Policy Program beim Council on Foreign Relations, in einer E-Mail an BuzzFeed News US. Er sagte, die „Sorge sei, dass die Daten immer noch in den Händen des chinesischen Geheimdienstes landen würden, wenn die Mitarbeiter:innen in China immer noch Zugriff haben“.
TikTok selbst hat das Problem des Datenzugriffs in einem Blogbeitrag aus dem Jahr 2020 eingeräumt. „Unser Ziel ist es, den Datenzugriff über Regionen hinweg zu minimieren, sodass zum Beispiel Mitarbeiter:innen in der APAC-Region (Asien-Pazifik), einschließlich China, nur minimalen Zugriff auf Nutzerdaten aus der EU und den USA haben“, schrieb Roland Cloutier, Chief Information Security Officer von TikTok, damals.
Das „Projekt Texas“ soll nach seiner Fertigstellung dieses Schlupfloch für eine begrenzte Menge an Daten schließen. Viele der Tonaufnahmen zeigen jedoch, wie schwierig es für die Mitarbeiter:innen war, die Kanäle zu finden und zu schließen, durch die Daten aus den USA nach China fließen.
„Der physische Standort hat keinen Einfluss darauf, ob Daten immer noch von China aus abgerufen werden können“
Vierzehn der geleakten Aufnahmen enthalten Gespräche mit oder über ein Team von Berater:innen der Firma Booz Allen Hamilton. Einer der Berater erzählte TikTok-Mitarbeiter:innen, dass sie im Februar 2021 eingestellt wurden, um bei der Datenmigration von „Project Texas“ zu helfen. Ein TikTok-Manager hat anderen TikTok-Mitarbeiter:innen erzählt, dass sie dem Leiter der US-Datenschutzabteilung von TikTok unterstellt sind. Bei den Aufzeichnungen untersuchen die Berater:innen, wie Daten durch die internen Tools von TikTok und ByteDance fließen, einschließlich derer, die für die Datenvisualisierung, die Moderation von Inhalten und die Monetarisierung verwendet werden.
Im September 2021 sagte ein Berater zu seinen Kollegen: "Ich habe das Gefühl, dass es bei fast allen dieser Tools eine Hintertür für den Zugriff auf Benutzerdaten gibt, was die Sache sehr anstrengend macht."
Auf Nachfrage sagte Jessica Klenk, Sprecherin von Booz Allen Hamilton, dass etwas an den oben genannten Informationen nicht stimmen würde, wollte aber nicht näher darauf eingehen. "Zu diesem Zeitpunkt bin ich nicht in der Lage, unsere Beziehung zu irgendeinem Kunden weite zu diskutieren oder gar zu bestätigen oder zu dementieren. Aber ich kann Ihnen sagen, dass das, was Sie hier behaupten, unrichtig ist.
Zusätzlich haben wir auf vier der Mitschnitte Gespräche gefunden, in denen Mitarbeiter:innen, die für bestimmte interne Tools zuständig sind, nicht herausfinden konnten, was die Funktion von Teilen dieser Tools überhaupt sind. In einer Besprechung im November 2021 sagte ein Datenwissenschaftler, dass für viele Tools „niemand wirklich eine Gebrauchsanweisung dokumentiert hat. Und es gibt Elemente innerhalb der Tools, von denen niemand weiß, wofür sie da sind.“
Die Komplexität der internen Datensysteme des Unternehmens und die Art und Weise, wie durch sie der Datenfluss zwischen den USA und China ermöglicht wird, unterstreicht noch einmal die Herausforderungen, denen sich das United States Technical Services Team (USTS) gegenübersieht, ein neues engagiertes Ingenieursteam, das TikTok im Rahmen von „Project Texas“ eingestellt hat.
„Chinesische Staatsangehörige dürfen eigentlich nicht mitmachen“
Um die Unabhängigkeit des USTS-Teams vom Unternehmen ByteDance, das in chinesischem Besitz ist, zu demonstrieren, erklärte ein Teammitglied einem Kollegen im Januar, dass „nicht jeder“ dem Team beitreten kann. „Chinesische Staatsangehörige dürfen eigentlich nicht mitmachen“, sagte er. (Ein ehemaliger Mitarbeiter, der aus Angst vor Repressalien mit BuzzFeed News US unter der Bedingung der Anonymität sprach, bestätigte diese Aussage). Auf die Bitte um einen Kommentar zu dieser Praxis hat TikTok nicht geantwortet.
Hier kannst du lesen, weshalb TikTok Begriffe aus der LGBTQ-Szene zensiert und was China damit zu tun hat.
Aber während der Auftrag dieses Teams darin besteht, den Zugang zu sensiblen US-Daten zu kontrollieren und zu verwalten, untersteht das USTS-Team der ByteDance-Führung in China, wie BuzzFeed News US im März berichtete. In einer aufgezeichneten Sitzung vom Januar 2022 sagte ein Datenwissenschaftler zu einem Kollegen: „Ich erhalte meine Anweisungen vom Hauptbüro in Peking.“
TikToks Ziel für „Project Texas“ ist es, dass alle auf dem Oracle-Server gespeicherten Daten sicher sind und weder von China noch von anderen Ländern aus zugänglich sind. Laut sieben Aufzeichnungen zwischen September 2021 und Januar 2022 stellt der Anwalt, der die Verhandlungen von TikTok mit dem CFIUS und anderen führt, jedoch klar, dass dies nur Daten umfasst, die in der App nicht öffentlich zugänglich sind, wie etwa Inhalte, die in Entwurfsform vorliegen und auf privat gesetzt sind. Oder auch Informationen wie Telefonnummern und Geburtstage von Nutzern, die zwar gesammelt werden, aber nicht in den Profilen sichtbar sind. Ein Berater von Booz Allen Hamilton sagte Kolleg:innen im September 2021, dass die Frage, was genau als „geschützte Daten“ gilt, die auf dem Oracle-Server gespeichert werden, „aus rechtlicher Sicht noch geklärt werden muss“.
In einer aufgezeichneten Sitzung im Januar 2022 verkündete der Leiter der Produkt- und Benutzerabteilung des Unternehmens dann lachend, dass Unique IDs (UIDs) im Rahmen des CFIUS-Abkommens nicht als geschützte Informationen gelten werden: „Die Diskussion entwickelt sich weiter“, sagten sie. „Wir haben kürzlich herausgefunden, dass UIDs Dinge sind, auf die wir Zugriff haben können, was das Spiel ein wenig verändert.“
Es ist nicht klar, was der Leiter der Produkt- und Benutzerverwaltung in diesem Fall mit „UID“ meinte - es könnte sich um eine Kennung handeln, mit der man bestimmte TikTok-Konten oder Geräte erkennen kann. Geräte-UIDs werden in der Regel von Technologieunternehmen mit Werbefokus wie Google und Facebook verwendet, um das Verhalten der User in verschiedenen Apps miteinander zu verknüpfen, was die UIDs zu einer fast ebenso wichtigen Kennung wie den eigenen Namen macht.
TikTok-Nutzerdaten aus den USA könnten weiterhin von China aus eingesehen werden
Während TikTok weiterhin darüber verhandelt, welche Daten als geschützt gelten, machen die Mitschnitte deutlich, dass viele US-Nutzerdaten - einschließlich öffentlicher Videos, Biografien und Kommentare - nicht ausschließlich auf dem Oracle-Server gespeichert werden. Stattdessen werden diese Daten im Rechenzentrum des Unternehmens in Virginia gespeichert, das auch nach Abschluss von „Project Texas“ von den ByteDance-Büros in Peking aus zugänglich bleiben könnte. Das bedeutet, dass die in China ansässigen Mitarbeiter:innen von ByteDance weiterhin Zugang zu Informationen haben könnten, wofür sich amerikanische TikTok-Nutzer:innen interessieren - von Katzenvideos bis hin zu politischen Überzeugungen.
Es hat auch den Anschein, dass Oracle TikTok bei der Art und Weise, wie das Rechenzentrum betrieben wird, große Flexibilitäten einräumt. In einem aufgezeichneten Gespräch von Ende Januar hat TikToks Leiter der Abteilung für globale Cyber- und Datenverteidigung deutlich gemacht, dass Oracle zwar den physischen Datenspeicherplatz für „Project Texas“ bereitstellt, TikTok aber die Kontrolle über die Software-Ebene hat: „Es ist fast unrichtig, es Oracle Cloud zu nennen, weil sie uns nur die Maschinen zur Verfügung stellen und wir dann unsere VMs [virtuelle Maschinen] darauf aufbauen.“ Oracle reagierte nicht auf eine Anfrage zur Stellungnahme.
Der Anwalt für nationale Sicherheit von TikTok hofft, dass die Verhandlung Auswirkungen auf die Tech-Industrie und darüber hinaus haben wird. „Es wird nationale Sicherheitsgesetze geben, die vom Handelsministerium erlassen werden“, sagte er und bezog sich dabei auf die von der Biden-Administration entwickelten Vorschriften zur Regelung von Apps, die „von ausländischen Gegnern ausgenutzt werden könnten, um Daten zu stehlen“.
„Die Frage ist, ob das Unternehmen weit genug geht“
„Das Gesetz wird wahrscheinlich in den nächsten 18 Monaten verkündet und kodifiziert werden und dann wird jedes chinesische Unternehmen in den USA tätig werden können“, sagte der Anwalt. Die Anstrengungen von TikTok im Rahmen von Project Texas könnten sich letztendlich für das Unternehmen auszahlen. Laut Graham Webster, einem Wissenschaftler am Stanford Cyber Policy Center, sollte es möglich sein, die weniger überzeugten Skeptiker:innen von TikToks Maßnahmen bezüglich der Datensicherheit zu überzeugen, wenn es sich verpflichtet, „transparent und integer zu sein und in China ansässige Mitarbeiter nicht auf Nutzerdaten zugreifen zu lassen“. „Die Frage ist, ob das Unternehmen weit genug geht und ob skeptische Behörden wirklich offen dafür sind, sich überzeugen zu lassen“, sagte er BuzzFeed News US
Die Details der Absprachen zwischen CFIUS, TikTok und Oracle standen im Januar 2022, als die Aufnahmen geendet sind, immer noch zur Diskussion. Aber obwohl „Project Texas‘“ Ziel die Regulierung des Zugangs zu den privaten Daten der Nutzer:innen, die auf den Servern von TikTok lagern, ist, hat ein Mitarbeiter Zweifel daran, dass dies ByteDance-Mitarbeiter:innen wirklich daran hindert, auf die Daten aus China aus zuzugreifen.
„Es wird sich zeigen, ob irgendwann Datenwissenschaftler immer noch herausfinden können, wie man sich Zugang verschafft, weil am Ende des Tages sind es ja deren Tools, mit denen wir hier arbeiten“, sagte er in einem Meeting im September 2021. „Die wurden alle in China gebaut.“
Autorin ist Emily Baker-White. Der Artikel ist am 17. Juni 2022 auf buzzfeednews.com. Aus dem Englischen übersetzt von Leon Lobenberg.