So richtig gut läuft es in letzter Zeit nicht für die beliebte Social Media App Tiktok und deren chinesischen Mutterkonzern Bytedance: Obwohl die App mehr denn je genutzt wird und schon vergangenes Jahr die Marke von 1,5 Milliarden aktiven Nutzern geknackt hat, hagelt es in den vergangenen Monaten und Wochen mehr und mehr öffentliche Kritik von Behörden, Cybersecurity-Experten, NGOs, digitalen Bürgerrechtlern und Regierungen weltweit – bis hin zur Einstufung als einer „Bedrohung für die nationale Sicherheit“. Doch wie konnte es überhaupt so weit kommen und was ist dran an den Behauptungen?
Ein weiterer persönlicher Kreuzzug von Donald Trump
Was im Jahr 2020 mit einem persönlichen Kreuzzug des damaligen US-Präsidenten Donald Trump gegen die Videoplattform begann, hat sich nunmehr zu einem handfesten geopolitisch-strategischen Konflikt mit globalen Folgen ausgewirkt. Und dabei ging es in all den mannigfaltigen Diskussionen der vergangenen drei Jahre eigentlich nur um eine Frage: Ist Tiktok nun eine Spionage-App oder nicht? Die Antwort darauf ist verhältnismäßig einfach: Nun, es kommt darauf an, was man unter Spionage verstehen will.
Trump war seinerzeit der Erste, der die App als eine Bedrohung für die nationale Sicherheit der Vereinigten Staaten einstufte, ohne aber weitere Details zu nennen und überließ die Begründung damit der Fantasie von Dritten. Und mal ehrlich: Wie kann denn ein vermeintlich harmloses Programm, das uns allen doch nur gute Laune und etwas Abwechslung im tristen grauen Alltag durch ein wahres Füllhorn an lustigen (und teils durchaus albernen) Kurzvideos bescheren soll, etwas Böses in sich haben?
Cybersicherheitslücken sind nicht zwangsläufig ein Spionageverdacht
Klar ist zumindest eines: Bis heute ist technisch nicht belegbar öffentlich erwiesen, dass Tiktok ein vorsätzliches technisches Risiko für die Datensicherheit birgt, die der Vorwurf einer „Spionage-App“ eigentlich voraussetzt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ließ die Software schon vor einigen Jahren durch T-Systems auf Cybersicherheitsrisiken prüfen und wurde dabei auch in dem Sinne fündig, dass unverschlüsselte Verbindungen festgestellt wurden – ein Fehler, der aber schon vor geraumer Zeit behoben wurde und allerhöchstens ein schlechtes Licht auf die Implementierung von Cybersecurity wirft, aber nicht zu einer Einstufung als Spionage-App führen kann.
Im Gegenteil: Im Vergleich zu vielen anderen massiven Data Breaches der vergangenen Jahre wirkt dieser Fehler geradezu belanglos und rechtfertigt in keinster Weise die gegenwärtig geführte öffentliche – und vornehmlich politische – Debatte. Aber auch der Bundesdatenschutzbeauftragte empfiehlt schon seit 2021, die App zu meiden – jedoch aus Datenschutzgründen. So empfahl er in einem behördlichen Rundschreiben, nicht nur Tiktok auf dienstlichen Geräten nicht einzusetzen, sondern ebenso die Verwendung von Instagram und Clubhouse zu vermeiden. Mit seiner jüngsten Aufforderung, die Facebook-Fanpage der Bundesregierung abzuschalten, erreichte das Thema Öffentlichkeitsarbeit der Regierung und Nutzung von datenschutzdefizitärer Social Media die bislang höchste Eskalationsstufe.
Jede „Datenkrake“ ist eine Spionage-App
Und da sind wir auch schon beim eigentlichen Problem angelangt, wenn wir über sogenannte „Spionage- Apps“ sprechen: Alles sind Spionage Apps, es kommt nur auf den konkreten Blickwinkel an. Ein Blick in die Datenschutzerklärung von Tiktok verrät sofort: Wenn Nutzerin und Nutzer sich dort registrieren, sind die persönlichen Daten futsch und verteilen sich kaum kontrollierbar an allen möglichen und unmöglichen Stellen des World Wide Web. Aber das ist doch ein alter Hut, denn wer liest schon Datenschutzerklärungen? Aus diesem Blickwinkel sind viele ausländische Plattformen und Geschäftsmodelle, die personenbezogene Daten monetarisieren, irgendwo Spionage-Apps.
Nun könnte man dagegen natürlich einwenden, dass es sich bei Tiktok um eine App chinesischer Herkunft handelt und deshalb andere Maßstäbe anzulegen sind. Außerdem, so wird angeführt, manipuliert der Algorithmus von Tiktok die öffentliche Meinungsbildung und trägt zur Verbreitung von Desinformation bei. Aber wurden solche Debatten nicht auch schon für Facebook und Twitter geführt, ohne dass man hier sofort zur „Verbotskeule“ greifen musste?
Und auch beim Thema Datenschutz ist die rechtliche Betrachtung geradezu profan: Die Volksrepublik China ist ein unsicherer Drittstaat, ganz klar. China kennt weder ein Datenschutzgrundrecht im Sinne deutscher und europäischer Verfassungstradition, und überhaupt blendet das chinesische Datenschutzrecht die staatliche Datenverarbeitung zu Zwecken der nationalen Sicherheit umfassend aus. Aber wo sind dabei die Neuigkeiten?
Auch die USA sind (noch) ein unsicherer Drittstaat im Sinne des europäischen Datenschutzes und ob das immer wieder groß angekündigte neue EU-US Data Privacy Framework im Angesichte der nach wie vor bestehenden extensiven US-Überwachungsgesetzgebung – ebenfalls zu Zwecken der nationalen Sicherheit – länger als zwei Jahre Bestand haben wird, steht auch noch in den Sternen. Wenn wir an dieser Stelle somit Tiktok für seine chinesische Herkunft kritisieren, müssten wir an dieser Stelle ganz ähnlich für Facebook, Twitter, Instagram, Clubhouse und Co. argumentieren. Das geschieht aber nicht, womit sich zwangsläufig die Frage aufdrängt, ob derselbe Sachverhalt mit zweierlei Maß gemessen wird.
Bezeichnung als „Spionage App“ ist irreführend
Schon 2020 hat sich der Verfasser dieser Kolumne zum seinerzeit nur Trump‘schen Tiktok-Verbot ähnlich geäußert. Damit soll aber weder eine Lanze für China noch für Tiktok gebrochen werden. Tiktok ist eine Datenkrake in einem datenschutzrechtlich unsicheren Drittstaat, aber andere sind es im Mindesten genauso. Die App deshalb als „Spionage-App“ zu bezeichnen, ist mehr als irreführend, soweit nicht öffentlich belastbare Nachweise für diese Behauptung vorgelegt werden.
Das erscheint auch eher unwahrscheinlich, denn die Chinesen werden kaum ein globales Überwachungsprogramm für Politiker:innen und Regierungen über eine offensichtlich zumeist von Minderjährigen genutzte Musik- und Tanzvideo-App ausrollen, wenn man dies auch viel besser und einfacher gezielt machen könnte, was man in der Vergangenheit auch immer wieder erfolgreich getan hat.
Trotzdem hat TikTok auf Diensthandys nichts zu suchen
Nichtsdestotrotz ist es richtig, wenn Regierungen weltweit und auch die EU-Kommission empfehlen, das Programm von Diensthandys zu löschen, denn dort hatte es noch nie etwas zu suchen – genauso wenig wie Facebook und Co. Tiktok ist definitiv in der Lage, mit all den gesammelten und kumulierten persönlichen Daten und Standortinformationen umfassende Personenprofile zu erstellen und wenn man dies als Eigenschaft für eine „Spionage-App“ ausreichen lassen will, so handelt es sich auch um eine Spionage-App – aber eben bei Weitem nicht um die Einzige, die man sich freiwillig und legal zu Entertainment- oder Selbstdarstellungszwecken über den App Store auf sein Smartphone laden kann. Und damit bedroht Tiktok die „nationale Sicherheit“ genauso wenig oder genauso viel wie alle anderen Datenkraken auch.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.
In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Wie wir dem IT-Fachkräftemangel in Deutschland richtig begegnen