TikTok

Der TikTok App werden zahlreiche datenschutzrechtliche Probleme zugesprochen.

Vor der Nutzung der TikTok App empfiehlt es sich daher, die Datenschutzbedingungen genau zu prüfen und zu überlegen, ob man eine derartige Nutzung und deren potenziellen Folgen für sich selbst und gegebenenfalls andere verantworten möchte. 

Für die öffentlichen Stellen des Bundes gilt weiterhin die – im Rahmen meines Rundschreibens im Zusammenhang mit Facebook Fanpages ausgesprochene - dringende Empfehlung meines Hauses, TikTok keinesfalls auf dienstlichen Geräten einzusetzen.

Zahlen und Fakten zu TikTok

Bei der TikTok-App handelt es sich um ein im Jahr 2016 gegründetes chinesisches Social-Media-Angebot für die Handy-Betriebssysteme unter Apple und Android. TikTok selbst wird von dem chinesischen Mutterunternehmen Bytedance betrieben. Mittels TikTok können deren Nutzerinnen und Nutzer kurze selbstgedrehte Videos aufnehmen und sie mit Musik, Spezialeffekten und Animationen unterlegen. TikTok ist allerdings mehr als nur eine Videoplattform. Vielmehr handelt es sich um ein soziales Netzwerk, in dem Nutzerinnen und Nutzer Inhalte mit anderen teilen und weitergeben können.

Die TikTok Nutzerzahl liegt in Deutschland bei mittlerweile 20,9 Mio. aktiven Nutzenden pro Monat. Weltweit gibt es monatlich bereits über 1,5 Milliarden Nutzende (Stand: 2024).

Dabei wird TikTok auch in Deutschland längst nicht mehr nur von der Generation Z, sondern auch von zahlreichen Organisationen in Wirtschaft und Gesellschaft sowie in Politik und Verwaltung genutzt. Und dies, obwohl TikTok auch in der Europäischen Union in der Presse erheblicher Kritik ausgesetzt ist und deswegen immer wieder massiv unter Druck steht. Die Kritikpunkte drehen sich nicht zuletzt auch um mangelnden Daten- und unzureichenden Jugendschutz. In der Europäischen Union wurde sogar erörtert, ob TikTok in Europa nicht verboten werden könne. Vor diesem Hintergrund haben aktuell einige EU-Institutionen und nationale Verwaltungen die Nutzung von TikTok als Social-Media-Plattform inzwischen eingestellt bzw. ihren Bediensteten die dienstliche Nutzung verboten.

Im Folgenden konzentrieren wir uns auf die datenschutzrechtlichen Aspekte von TikTok. Diese hängen, wie sich unschwer erkennen lässt, sehr eng mit den anderen Kritikpunkten zusammen. Es lässt sich sogar sagen, dass viele der weiteren Kritikpunkte wie Probleme beim Jugendschutz, Überwachung und Zensur durch den mangelnden Datenschutz überhaupt erst in dieser Form möglich werden.

Datenschutzaufsicht

Nutzerinnen und Nutzer in Deutschland können sich mit ihren Datenschutzanliegen hinsichtlich der App TikTok an die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit wenden. Hintergrund für die innerdeutsche Zuständigkeit des Landes Berlin, beispielsweise in Hinblick auf die Bearbeitung von Bürgereingaben, ist der Sitz der Deutschland Zentrale der Social-Media-Plattform TikTok in Berlin.

Innerhalb Europas liegt die Hauptniederlassung von TikTok in Irland. In den meisten Fallkonstellationen ist deshalb die irische Datenschutzaufsichtsbehörde DPC federführend zuständig. Daten der Nutzenden aus dem EWR sowie aus Großbritannien speichert TikTok eigenen Angaben zufolge künftig im dortigen Datenzentrum. Bis zum vollständigen Umzug, der für das Jahr 2024 vorgesehen ist, werden die Daten von europäischen Nutzenden noch in den USA gespeichert.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist dagegen Ansprechpartner, wenn es um die TikTok Nutzung aller seiner Aufsicht unterstehenden Stellen, insbesondere der öffentlichen Stellen des Bundes (z.B. Bundesbehörden), geht. Dies umfasst neben der Beratung und Kontrolle auch Beschwerden, die im Kontext potenzieller TikTok-Angebote dieser Stellen stehen.

Der BfDI hat seine datenschutzrechtlichen Bedenken bereits 2021 artikuliert und im Rahmen eines Rundschreibens den Bundesbehörden geraten, die App nicht zu installieren. Zwar sind die vorliegenden Erkenntnisse immer noch vorläufig und es liegt seitens der Datenschutzaufsichtsbehörden keine abschließende datenschutzrechtliche Prüfung des Tools vor, doch gibt es zu viele und auch immer wieder neue sehr ernst zu nehmende Hinweise auf potenzielle Datenschutzverletzungen die große Vorsicht geboten erscheinen lassen.

Kritik und Verfahren gegen TikTok

Seitens der europäischen Datenschutzaufsichtsbehörden ist TikTok mehrfach wegen mangelnder Einhaltung der datenschutzrechtlichen Vorschriften auffällig geworden.

Problem der Altersverifikation

Gerade in Bezug auf den Schutz der Daten von Kindern unter 13 Jahren steht die App wiederholt in der Kritik, Daten von Minderjährigen Personen ohne Einwilligung der Erziehungsberechtigten und ohne Rechtsgrundlage verarbeitet zu haben. Dazu gehören auch ausgesprochen sensible und schützenswerte Daten z.B. über die ethnische Zugehörigkeit, Gesundheit oder politische Ansichten.

Im Januar 2021 trat die schwache Umsetzung des Datenschutzes bei Minderjährigen auf besonders tragische Weise hervor: ein 10-jähriges italienisches Mädchen starb bei einer sogenannten „suicide challenge“, als sie sich vor laufender Kamera selbst strangulierte. Die italienische Datenschutzbehörde verhängte innerhalb kürzester Zeit wirksame Gegenmaßnahmen gegen die Plattform. Nach durchgeführter Änderung der Nutzungsbedingungen durch TikTok wurde das Verfahren das italienischen Datenschutzbehörde sodann wiedereingestellt.

Auf Ebene des EDSA wurde im Jahr 2020 vor dem Hintergrund des Schutzes Minderjähriger sowie des Vorfalls in Italien eine TikTok Taskforce eingerichtet, welche nach durchgeführter Änderung der Nutzungsbedingungen durch TikTok sodann wiedereingestellt wurde.

Laut der in diesem Rahmen geänderten Nutzungsbedingungen müssen die Minderjährigen nun mindestens 13 Jahre alt sein, um die App zu nutzen. Unter 13-Jährige benötigen die Einwilligung der Erziehungsberechtigen.

Problematisch ist jedoch, dass diese Altersbegrenzung von den Kindern leicht selbst umgangen werden kann. Wenn eine Person sich als 18-jährig ausgibt, obwohl selbige jünger als 13 Jahre ist, kann dies durch die App nicht nachgeprüft werden. Das Unternehmen hat deshalb angekündigt, das Alter der Nutzenden zukünftig vermehrt mittels KI analysieren zu wollen. Ob dies das Problem löst oder nicht vielmehr neue Probleme schafft, ist mindestens fraglich.

Das Thema Altersverifikation war von Juni bis August 2023 Gegenstand eines Streitbeilegungsverfahrens vor dem Europäischen Datenschutzausschuss (EDSA) nach der Datenschutzgrundverordnung (DSGVO). Hierbei stand insbesondere die Frage im Mittelpunkt, wie TikTok technisch-organisatorisch den Kinder- und Jugendschutz realisieren kann, ohne dass dabei die anonyme oder zumindest pseudonyme Nutzung eingeschränkt wird. Außerdem ging es um die Verwendung von unfairen Designmustern (sog. „deceptive design patterns“). Im August 2023 erließ der EDSA am Ende des Verfahrens einen verbindlichen Beschluss, in dem er durch die „deceptive design patterns“ einen Verstoß gegen den Grundsatz von Treu und Glauben nach DSGVO feststellte und die DPC anwies, ein entsprechendes Bußgeld zu verhängen.

Bisherige Bußgelder gegen TikTok

In Umsetzung des EDSA-Beschlusses aus August 2023 verhängte die irische Datenschutzbehörde DPC im September 2023 ein Bußgeld in Höhe von 345 Mio. Euro gegen TikTok wegen Verstößen gegen die DSGVO, insbesondere im Hinblick auf den Schutz von Daten minderjähriger Personen, unzureichender Altersverifikation sowie gegen den Grundsatz von Treu und Glauben. Die Verstöße wurden bei der Untersuchung der DPC im Zeitraum von Mitte bis Ende 2020 festgestellt. Konkrete Problematiken waren dabei die Altersüberprüfung bei der Anmeldung sowie Voreinstellungen von Benutzerkonten minderjähriger Personen, wodurch die Posts der Nutzenden zwischen 13 und 17 Jahren für alle sichtbar waren und kommentiert werden konnten. Auch konnten die Accounts von Minderjährigen mit den Konten der Eltern verknüpft werden. TikTok wurde in diesem Zusammenhang vorgeworfen, dass nicht nachgeprüft wurde, wem das verbundene Konto tatsächlich gehört.

Auch seinen Transparenz- und Informationspflichten (u.a. gegenüber Minderjährigen) ist die App häufig nicht nachgekommen. So stellte TikTok seine Datenschutzerklärung in den Niederlanden bis Juli 2020 nur auf Englisch zur Verfügung, so dass minderjährige niederländische Kinder, aber auch erwachsene Nutzende, diese mindestens teilweise nicht verstehen konnten. Die niederländische Aufsichtsbehörde verhing deswegen ein Bußgeld in Höhe von 750.000 Euro gegen das Unternehmen. Für den deutschen Sprachraum gibt es bei TikTok eine deutschsprachige Datenschutzerklärung.

Im Jahr 2023 verhängte die französische Datenschutzaufsichtsbehörde CNIL wegen nachgewiesener Datenschutzmängel ein Bußgeld in Höhe von 5 Mio. Euro gegen das Unternehmen. Der Grund für diese Geldbuße war u.a. der nicht gesetzeskonforme Umgang mit Cookies. Die französische Aufsichtsbehörde stellte fest, dass bei der App TikTok Nutzende Cookies nicht so einfach ablehnen wie akzeptieren können. Außerdem seien Informationen hinsichtlich der Verwendung der Cookies nicht ausreichend.

Im Februar 2024 hat die EU-Kommission ein förmliches Verfahren gegen TikTok wegen möglicher Verstöße gegen den Digital Services Act (DSA) eingeleitet. Im Rahmen dieses Verfahrens sollen insbesondere die Einhaltung des Minderjährigenschutzes sowie Transparenz- und Risikomanagement in Bezug auf schädliche Inhalte sowie süchtig machende Designs untersucht werden. Ein Abschluss der Untersuchung steht noch aus.