TikTok ist ein mächtiges Marketing-Tool, keine Frage. Dennoch steht TikTok von Anfang an in der Kritik – gleichzeitig bauen verschiedenste Stellen zunehmend ihre Social Media Aktivitäten aus. Ist TikTok nun gefährlich und schlecht, oder doch nicht? Und ist der datenschutzkonforme Einsatz von TikTok überhaupt möglich? Das erläutern wir in diesem Beitrag.
Der Inhalt im Überblick
TikTok und die Kritiker
TikTok ist ein Videoportal für Kurzvideos, das zusätzlich Funktionen eines sozialen Netzwerks anbietet. Es wurde 2017 gegründet und wird seitdem vom chinesischen Unternehmen ByteDance betrieben.
Etliche Verfahren gegen TikTok haben nicht gerade zum guten Ruf von TikTok beigetragen. Gegensätzlich erscheint es da, dass rund 283 Millionen europäische Nutzer monatlich zum Handy greifen, um sich einen Kurzfilm nach dem anderen anzusehen, oder solche selbst zu drehen. So steigt die Beliebtheit des Videoportals, während die datenschutzrechtlichen, urheberrechtlichen sowie jugendschutzrechtlichen Bedenken im Luftleeren (Rechts-)raum verhallen.
Aber was sind denn eigentlich die Kritikpunkte?
Transparente Plattform oder Datenkrake?
TikTok wird vorgeworfen, große Mengen an Benutzerdaten zu sammeln, einschließlich Standortdaten, Geräteinformationen und Nutzungsverhalten. Aufgrund fehlender Transparenz ist ungewiss, ob und in welchem Ausmaß tatsächlich Daten verarbeitet werden. Trotz sogenannter Transparenzberichte bleibt nämlich unklar, welche spezifischen Daten gesammelt werden und wie genau diese genutzt oder weitergegeben werden. Kritiker fordern deshalb mehr Klarheit und detaillierte Einblicke.
TikTok und die Chinesen
TikTok gehört zu ByteDance, einem chinesischen Unternehmen. Die genauen Beziehungen und Datenflüsse zwischen TikTok, seiner Muttergesellschaft ByteDance und der chinesischen Regierung sind ein weiterer Punkt der Intransparenz. Es gibt anhaltende Bedenken hinsichtlich des Zugriffs chinesischer Behörden auf TikTok-Daten. Dies bestreitet TikTok:
„Als globale Plattform ist TikTok in allen wichtigen Märkten vertreten, mit Ausnahme von China, wo ByteDance eine andere App für Kurzvideos namens Douyin anbietet.“
Gemäß der Datenschutzerklärung von TikTok können Daten nach teilweise nach Kanada, UK, Israel, Japan und Südkorea fließen, ferner findet eine Datenverarbeitung auf Server in den USA, Malaysia und Singapur statt. Also kein Datenfluss nach China? Nicht ganz. Denn jedenfalls im Einzelfall lässt sich ein Datenfluss nach China belegen. So schrieb Elaine Fox, Head of Privacy TikTok Europe, selbst:
„…we allow certain employees within our corporate group located in Brazil, Canada, China, Israel, Japan, Malaysia, Philippines, Singapore, South Korea, and the United States remote access to TikTok European user data.“
„wir erlauben bestimmten Angestellten unserer Unternehmensgruppe in Brasilien, Kanada, China, Israel, Japan, Malaysia, den Philippinen, Singapur, Südkorea und den Vereinigten Staaten den Fernzugriff auf die europäischen Nutzerdaten von TikTok“
Die Bemühungen um bessere Einblicke und Vertrauen mittels Transparenzzentren reichen aber nicht aus, um beispielsweise die Amerikaner davon zu überzeugen, dass TikTok weder zu Spionagezwecken oder Manipulation der politischen Meinung durch Fakenews eingesetzt wird, noch dass es sich gemäß seiner Datenschutzerklärung an den Datenschutz hält. Deshalb haben die USA nun ein Ultimatum gestellt: Verkauf oder Verbot. Demnach hat TikTok noch ein Jahr Zeit, um sich von der Mutter ByteDance zu lösen. Ansonsten droht ein Verbot.
Der datenschutzkonforme Staat
Und wie sieht das hierzulande aus? Eigentlich ist es begrüßenswert, dass öffentliche Stellen endlich ihre alten Schreibmaschinen ausmustern und sich neuen Medien widmen, um Bürgerinnen und Bürger besser zu erreichen. Aber ist das Ganze nicht verwirrend? Einerseits soll TikTok in Teilen der Welt verboten werden, gleichzeitig experimentiert der Staat mit neuen Kanälen wie TikTok? Die Einsatzfelder sind mannigfaltig: Fachkräfte- oder Auszubildendenakquise, Imagemanagement oder Informations- oder Wissensvermittlung. Der Staat will nicht mehr cringe sein, sondern mitmischen. Jung und dynamisch, wie die besten Influencer. Und beeinflussen will er in der Tat. Unter den TikTok-Usern befinden sich schließlich eine Menge potentieller Wähler und Wählerinnen.
Staatliche Interessen versus Datenschutzbehörden
Kritisch sieht das beispielsweise der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI). Der verdirbt allen mal wieder den Spaß an der schönen neuen Medienwelt, wenn er sagt:
„So erscheint es insbesondere fraglich, ob die Datenverarbeitungen beim Einsatz von TikTok den in Art. 5 und Art. 25 DS-GVO festgeschriebenen datenschutzrechtlichen Grundprinzipien gerecht werden, ob sie auf einer gültigen Rechtsgrundlage nach Art. 6 DS-GVO beruhen und ob die spezifischen Anforderungen des Art. 8 DS-GVO an die Datenverarbeitung von Minderjährigen sowie der Art. 13 und 14 DS-GVO an die transparente Information der betroffenen Personen eingehalten werden.“
Also fehlt es eigentlich an allem. Oder?
Checkliste zum datenschutzkonformen Einsatz von TikTok
So einfach macht man es sich glücklicherweise nicht. Vielmehr gibt der LfDI eine Handreichung zum datenschutzkonformen TikTok-Einsatz in Form einer Checkliste.
- Demnach sollte zunächst überprüft werden, ob persönliche Konten oder Business-Konten benutzt werden. Letzteres ist zu empfehlen.
- Sodann sollte geprüft werden, ob das betriebene Konto durch TikTok als „Konto einer Regierung, eines Politikers/einer Politikerin oder einer politischen Partei (KRPPP)“ klassifiziert wurde und ob die Hinweise von TikTok bekannt sind, die dabei helfen sollen, den Missbrauch bestimmter Funktionen zu verhindern.
- Drittens sollte überprüft werden, welche möglichen TikTok-Konfigurationen für das Konto zum Schutz personenbezogener Daten vorgenommen wurden.
- Es ist auch zu fragen, welche sog. „Creator_innen-Tools“ benutzt werden.
- Wer ist datenschutzrechtlicher Verantwortlicher und wie kann das der Nutzer erkennen?
- Auf welche Rechtsgrundlage kann der Einsatz von TikTok gestützt werden?
- Kann der Nutzer den Umfang der Datenverarbeitung erkennen?
- Liegt ein Social Media-Nutzungskonzept vor?
- Wird regelmäßig und nach den gesetzlichen Anforderungen evaluiert?
- Wenn es sich um Behörden oder dergleichen handelt: Welche Alternativen gibt es für Bürgerinnen und Bürger, die TikTok nicht nutzen?
- Welche Schutzvorkehrungen wurden getroffen, um den besonderen Schutz von Kindern zu gewährleisten?
- Ist TikTok im Verfahrensverzeichnis aufgeführt?
- Bestehen ausreichende Garantien im Hinblick auf Datenflüsse in ein Drittland?
TikTok und der Kanzler
Das sind eine Menge konkreter und weniger konkrete Anforderungen und Prüfungspunkte, die vor dem Einsatz von TikTok durchlaufen werden sollten. Hat sich der Bundeskanzler daran gehalten?
TikTok und der Kanzler haben unter dem Namen „TeamBundeskanzler“ zusammengefunden. Das hat ihm teilweise Kritik eingebracht. Aber unter welchen Gegebenheiten wird TikTok vom Kanzler genutzt? Der Datenschutzhinweis zum TikTok-Kanal der Bundesregierung bietet Aufschluss. Zuerst wurden Funktionen deaktiviert:
„Für den TikTok-Kanal TeamBundeskanzler (Handle: @teambundeskanzler; nachfolgend „Informationsdienst“) hat das BPA (Bundespresseamt) die TikTok-Analytics-Funktion deaktiviert. D.h. TikTok stellt dem BPA keine Seitenstatistik, die anonymisiert Aufschluss über Besuchergruppen und Besucheraktivitäten gibt, zur Verfügung. Das sog. „TikTok Analytics Joint Controller Addendum“ gilt daher für diesen Informationsdienst nicht.“
Weiter heißt es, nach einigen üblichen datenschutzrechtlichen Erklärungen:
„Das BPA verarbeitet diese Daten zu dem Zweck einer zielgerichteten und ausgewogenen Öffentlichkeitsarbeit der Bundesregierung. Das Bundesverfassungsgericht entschied im Jahr 1977, dass die Öffentlichkeitsarbeit der Bundesregierung nicht nur verfassungsgemäß zulässig, sondern auch notwendig ist, da demokratische Entscheidungen informierte Bürgerinnen und Bürger voraussetzen.“
TikTok als verfassungsrechtliche Notwendigkeit der Bundesregierung? Naa, das geht schon weit. Oder nicht? Wir sind gespannt auf die Kommentare hierzu.
Dann hat das Bundespresseamt einen Auftragsverarbeitungsvertrag zum Zwecke des Community-Managements geschlossen. Das macht also das BPA nicht selbst, sondern ein Dienstleister in deren Auftrag. Das geht aber datenschutzrechtlich in Ordnung.
Rechtsgrundlagen für die Verarbeitung der Daten sind:
„Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 BDSG sowie bei Vorliegen einer Einwilligung der Nutzerinnen und Nutzer Art. 6 Abs. 1 lit. a DSGVO“
Auch der geforderte Hinweis nach einem alternativen und voraussetzungslosen Informationszugang wurde aufgenommen:
„Die Bundesregierung nutzt TikTok neben weiteren Informationskanälen. Die Bürgerinnen und Bürger haben so die Möglichkeit, sich an unterschiedlichen Stellen, aber in stets gleicher Qualität über die Arbeit der Bundesregierung zu informieren und Kontakt aufzunehmen.“
Kann der Kanzler TikTok?
Natürlich kann man nicht mit Sicherheit sagen, ob alle Vorüberlegungen des LfDI eingeflossen sind, aber alles in allem scheint der Kanzler bzw. das BPA nach den Grundsätzen der Datenschutzbehörde TikTok rechtskonform einzusetzen.
Datenschutzkonforme Einstellungen
Nach den bereits erwähnten Vorüberlegungen, die – sofern angebracht – von jedem angestellt werden sollten, kann TikTok datenschutzkonform eingesetzt werden. Jedenfalls scheint eine Risikoabwägung zugunsten TikTok auszufallen, und der Wunsch seine Bürger zu erreichen vordergründig zu greifen.
Tätigen Sie bestenfalls auch folgende Einstellungen:
- Setzen Sie TikTok keinesfalls auf dienstlichen Geräten ein.
- Grenzen Sie in den Einstellungen Contact-Sharing ein.
- Schalten Sie alle angegebenen Optionen bei der Einstellung „Schlage anderen dein Konto vor“ ab.
- Stoppen Sie die Synchronisierung von Kontaktdaten.
- Deaktivieren Sie Analysefunktionen.
- Beachten Sie die Hinweise des LfDI zum Jugendschutz
TikTok und wie geht es weiter?
Das Risiko kann eingedämmt werden. Beachtet man insbesondere den Jugendschutz und macht man sich etwaige oder ausdrückliche Verarbeitungen und Datenflüsse klar, so schaltet sich auch der gesunde Menschenverstand ein. Demnach kann man TikTok datenschutzkonform nutzen.
Der Absatz „TikTok und die Chinesen“ ist m. E. etwas irreführend. Das referenzierte Statement von TikTok widerspricht den Befürchtungen einer Einflussnahme der chinesischen Regierung – mit oder ohne Datenübermittlung in die Volksrepublik China – ja eben nicht. Aber wenn man versucht, geostrategische Probleme des Informationskrieges mit der DSGVO zu lösen, hat man ja generell schlechte Karten.
Der LfDI BW gibt auch keine Handreichung zum datenschutzkonformen Einsatz von TikTok, er stellt Fragen, die dafür beantwortet werden müssen, und es ist klar, dass diese vermutlich nicht beantwortet werden können. Ich würde eher von Empfehlungen zur Risikoreduktion für die Rechte und Freiheiten der betroffenen Personen (gerne auch weniger sperrig…) sprechen.
Bei öffentlichen Stellen sollte außerdem sorgfältig die Erforderlichkeit der Aktivität auf TikTok iVm den eigentlichen Aufgaben der Behörde geprüft werden, und inwieweit eine stark algorithmisch gesteuerte und auf Kurzbeiträge ausgelegte Plattform geeignet ist, den angestrebten Zweck zu erreichen.
Eine Verlinkung des BfDI-Untersagungsbescheides zur Facebook-Fanpage des Bundespresseamtes halte ich auch für sinnvoll, in der Essenz dürfte viel übertragbar sein. Geht im Kommentarbereich leider nicht.
Danke für die Zusammenfassung!
Vielen Dank für Ihren Kommentar, tatsächlich ging es uns hier in erster Linie um den Datenaustausch mit China – insoweit scheint TikTok bemüht zu sein, nicht transparent zu werden.
Es ist richtig, dass der LfDI BW einen Fragenkatalog erstellt hat. Freilich zielen diese Fragen darauf ab, TikTok unter Beachtung des Datenschutzes zu nutzen, weshalb wir hier von einer Handreichung im Sinne einer Hilfestellung / Anleitung sprechen.
Sie haben Recht, die Zwecke der Verarbeitung sowie die Zweckerreichung sind zu prüfen. Hier kann man im Rahmen des Argumentationsspielraums gegebenenfalls zu unterschiedlichen Ergebnissen kommen.
Hier noch der gewünschte Link: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Dokumente-allg/2023/Bescheid-Facebook-Fanpage.pdf?__blob=publicationFile&v=1