Analysten des amerikanisch-australischen IT-Sicherheitsunternehmens Internet2.0  haben sich in den vergangenen Wochen eine der beliebtesten Apps auf den Smartphones vor allem jüngerer Menschen genauer angesehen. Es geht um die Android- und die iOS-Versionen der Video-App TikTok, die bei den meistgenutzten Anwendungen weltweit auf Platz sechs rangiert. Betrieben wird sie von ByteDance, einem chinesischen Unternehmen. Zehn Jahre nach seiner Gründung ist es mit einer aktuellen Bewertung von rund 300 Milliarden Dollar eines der wertvollsten nicht börsennotierten Tech-Start-ups der Welt. Auch in der Krise scheinen die Geschäfte zu laufen: Laut Prognosen wird es im laufenden Jahr rund zwölf Milliarden Dollar an Werbeumsätzen einfahren.

Das Ergebnis der Untersuchung von Internet2.0, das dem SPIEGEL vorliegt, dürfte nun nicht nur Nutzerinnen und Nutzer interessieren, sondern auch die Politik. Demnach baut zumindest die TikTok-App für das iPhone-Betriebssystem iOS mitunter eine Verbindung zu einem Server in China auf. Warum genau, das ist auch den Analysten unklar. Nach den Recherchen von Internet2.0 führt die Verbindung immer wieder zum Cyber-Security-Unternehmen Guizhou Baishan Cloud Technology aus der Stadt Baishan, das den Angaben zufolge ein gemeinsames Datenlabor mit der ortsansässigen Universität betreibt.

Das Phänomen ließ sich laut den Forschern nicht dauerhaft beobachten: Die Auflösung einer bestimmten Subdomain habe Rückschlüsse auf verschiedene Standorte weltweit geliefert, heißt es, China jedoch inklusive. Auch die IP-Adresse, die die Forscher für ihre Spur nach China halten, »wechselte regelmäßig den Standort«, schreiben sie. Eine Verbindung nach Baishan in China allerdings sei »im Laufe der Zeit über eine Reihe verschiedener IP-Adressen sichtbar« gewesen.

»In China wird alles gesehen«

Mögliche Datenweiterleitungen nach China sind für den Konzern ein heikles Thema. Wegen seiner Geschäftspraktiken und seines Umgangs mit Nutzerdaten steht ByteDance seit Jahren in der Kritik, obwohl das Unternehmen gegenüber Parlamenten und der Öffentlichkeit immer wieder bestritt, dass Nutzerdaten ins Gründungsland China abfließen würden.

So hatte ein US-Manager des Konzerns im vorigen Oktober in einer Anhörung vor einem Wirtschafts-Unterausschuss des US-Senats gesagt, der in Peking sitzende Firmenteil von ByteDance »habe keinerlei Beziehung zu TikTok«. Die Daten der US-Nutzer würden im Land verarbeitet, Back-up-Server befänden sich in Singapur. Für die US-Regierung des damaligen Präsidenten Donald Trump waren mögliche Nutzerdatentransfers gen China bereits Anlass, per Exekutive Order Sanktionen zu verhängen und ein komplettes Verbot der App für die USA anzudrohen – mit der Begründung, sie bedrohe die nationale Sicherheit der Vereinigten Staaten. TikTok legte dagegen Rechtsmittel ein. Präsident Biden zog die Maßnahmen seines Vorgängers zurück.

Zuletzt hatten mitgeschnittene Konversationen von Mitarbeitern Zweifel an den Dementis und Beteuerungen des Konzerns geweckt. So hatte »Buzzfeed News« über interne Meetings und Aussagen eines Mitarbeitenden aus dem »Trust and Safety«-Team von TikTok berichtet: »In China wird alles gesehen«, wurde die Person zitiert. Ein anderer Manager soll in einem weiteren Meeting von einem Mitarbeiter in Peking als »Master Admin« gesprochen haben, der »Zugang zu allem« habe.

Auch TikTok-Mitarbeiter in Deutschland hatten schon Bedenken. Es ging um eine von ByteDance entwickelte interne Arbeitsumgebungs-App sowie eine für deren Betrieb außerhalb der Geschäftsräume notwendige VPN-Anwendung. Bei der Berliner Datenschutzbehörde war im vorigen Sommer eine Beschwerde darüber eingegangen – auch weil viele Mitarbeiter keine Diensttelefone hatten und private Geräte nutzten. Die App soll weitreichende Zugriffsrechte auf die Handys gefordert haben. Man setze sich »sehr für den Datenschutz unserer Mitarbeiter ein«, hieß es damals seitens des Konzerns. Das »derzeitige Verfahren« sehe »nicht vor, dass Apps auf die persönlichen Mobiltelefone der Mitarbeiter heruntergeladen werden«.

An Kalenderdaten und Kontakten interessiert

Ob und, falls ja, welche Daten aus der iOS-App von TikTok nach China fließen, ist derzeit unklar. In der Android-App konnte Internet2.0 eine ähnliche Verbindung wie in der iOS-Version nicht nachweisen, Sicherheitsmaßnahmen innerhalb des Programms verhindern eine tiefergehende Analyse. Frühere Untersuchungen der Forschergruppe Citizen Lab hatten ebenfalls keine derartigen Kontakte zu Servern in China gefunden.

TikTok widerspricht den Ergebnissen der Forscher entschieden: »Die IP-Adresse befindet sich in Singapur, der Netzwerkverkehr verlässt die Region nicht, und es ist eindeutig unwahr, dass es eine Kommunikation mit China gibt.« Vielmehr vermute man bei den Forschern »grundlegende Missverständnisse« über die Funktionsweise mobiler Apps. Aus den technischen Erklärungen, die TikTok vorlegt, darf man allerdings nicht zitieren.

Unabhängig von möglichen Verbindungen nach China zeigt sich die Video-App jedoch auch in anderen Bereichen als potenziell gieriger Datensammler. So untersuchten die Sicherheitsforscher von Internet2.0 auch, welche Erlaubnisse die ByteDance-App von Nutzerinnen und Nutzern einfordert. Die App verlangt den Ergebnissen zufolge zum Beispiel penetrant danach, auf Telefonkontakte zugreifen zu dürfen. Wird dies verweigert, werde regelmäßig und »endlos« weiter danach gefragt, schreiben die Autoren. Eine derart konstante Belästigung sei unüblich, schreiben die Analysten.

Auch die gewünschten Zugriffsrechte auf den Kalender seien kritisch zu bewerten, urteilen die Autoren. Gebraucht würden die diesbezüglichen Daten nur in seltenen Fällen, etwa, wenn ein TikTok-Live-Event anstehe. Dennoch werde ein dauerhafter Zugang zur Kalenderfunktion verlangt. Ähnlich verhält es sich laut Internet2.0 mit den sogenannten Ortungsdiensten, die die App offenbar nicht nur in Ausnahmefällen, sondern regelmäßig nutzt: Mindestens einmal pro Stunde kontrolliert TikTok demnach automatisch die GPS-Daten des Geräts.

TikTok selbst sagt, seine App sei »nicht außergewöhnlich in Bezug auf die Menge der gesammelten Daten, die geringer ist als die vieler beliebter mobiler Apps«. Wie in der Branche üblich sammele man »Informationen, die die Nutzer*innen uns freiwillig zur Verfügung stellen, und Informationen, die der Funktion der App, dem sicheren Betrieb und der Verbesserung der Nutzer*innenerfahrung dienen«.

Auf die Erklärungen des Unternehmens angesprochen, sagte Internet2.0-Mitgründer Robert Potter dem SPIEGEL: »TikTok mag sagen, es nutze seine Möglichkeiten nicht aus, aber wir haben den Quellcode ihrer Apps analysiert, und der sagt etwas anderes.«

Da TikTok den Quellcode der App nicht öffentlich macht, haben die Experten die damals jeweils aktuellen Versionen der Apps Anfang Juli aus den US-App-Stores heruntergeladen. Deren Programmcode haben sie dann per reverse-engineering rückübersetzt – ein in der Branche übliches Verfahren. Mit den Ergebnissen führten sie dann »statische und dynamische« Analysen zum Verhalten der Apps durch, wie sie auf Nachfrage erklärten.

»Für den Betrieb der App nicht notwendig«

Zu den Daten, die TikTok sammelt, zählen laut den Analysten im Fall der Android-App unter anderem Daten zu aktuellen und vergangenen WLAN-Verbindungen und die Telefon- und Voicemail-Nummer des Geräts. Zudem hat die Android-App Zugriff auf die komplette Zwischenablage. Letztere wird zum Beispiel auch von Passwort-Managern genutzt, ihr Inhalt gilt daher als besonders sensibel. TikTok trackt außerdem noch, welche Apps von anderen Herstellern auf dem Gerät laufen oder installiert sind. »Device Mapping« nennt sich diese Funktion, mit der das Unternehmen laut dem Forschungsreport tief in die Privatsphäre seiner Kundschaft eindringen könnte.

Insgesamt seien die Einverständnisse, welche die App ihren Nutzerinnen und Nutzern abverlange, »zudringlich und für den Betrieb der App nicht notwendig«, schreiben die Autoren von Internet2.0.

Unangenehme Fragen

In einer erweiterten Stellungnahme, die TikTok dem SPIEGEL nach der Veröffentlichung zukommen ließ, heißt es, man habe keinen automatisierten Zugriff auf die Zwischenablage der Nutzer. Dieser könne lediglich von Anwenderinnen und Anwendern aktiviert werden. Den Zugriff auf Ortungsdienste erklärt TikTok so: Das Unternehmen könne damit »weitreichende Rückschlüsse ziehen, die uns unter anderem dabei helfen, die lokalen Gesetze in den Märkten, in denen wir tätig sind, einzuhalten, die Betrugsprävention und -erkennung zu unterstützen und nicht authentischen Spam oder bot-ähnliches Verhalten auf unserer Plattform zu verhindern.« Im Übrigen erfasse man anders als andere Apps keine genauen GPS-Daten sondern verwende »ungefähre Standortinformationen wie IP-Adressen«.