Im August 2021 erhielt TikTok eine Beschwerde von einer britischen Nutzerin, die darauf hinwies, dass ein Mann sich in einem Livestream, den sie in der Video-App moderierte, „entblößt und mit sich selbst gespielt“ habe. Sie beschrieb auch frühere Misshandlungen, die sie erlebt hatte.
Um der Beschwerde nachzugehen, teilten TikTok-Mitarbeiter den Vorfall über ein internes Messaging- und Kollaborationstool namens Lark mit, wie aus Unternehmensdokumenten hervorgeht, die der New York Times vorliegen. Die persönlichen Daten der Britin – darunter ihr Foto, ihr Wohnsitzland, ihre Internetprotokolladresse, Geräte- und Benutzer-IDs – wurden ebenfalls auf der Plattform veröffentlicht, die Slack und Microsoft Teams ähnelt.
Ihre Informationen waren nur ein Teil der auf Lark geteilten TikTok-Benutzerdaten, die täglich von Tausenden von Mitarbeitern des chinesischen Eigentümers der App, ByteDance, verwendet werden, auch von denen in China. Den von The Times erhaltenen Dokumenten zufolge waren auf der Plattform auch die Führerscheine amerikanischer Nutzer zugänglich, ebenso wie potenziell illegale Inhalte einiger Nutzer, etwa Materialien zum sexuellen Missbrauch von Kindern. In vielen Fällen waren die Informationen in Lark-„Gruppen“ – im Wesentlichen Chatrooms von Mitarbeitern – mit Tausenden von Mitgliedern verfügbar.
Die Fülle an Benutzerdaten auf Lark beunruhigte einige TikTok-Mitarbeiter, insbesondere da ByteDance-Mitarbeiter in China und anderswo das Material laut internen Berichten und vier aktuellen und ehemaligen Mitarbeitern leicht einsehen konnten. Den Dokumenten und den aktuellen und ehemaligen Mitarbeitern zufolge warnen mehrere Sicherheitsmitarbeiter seit mindestens Juli 2021 Führungskräfte von ByteDance und TikTok vor Risiken im Zusammenhang mit der Plattform.
„Sollten in Peking ansässige Mitarbeiter Eigentümer von Gruppen sein, die geheime Benutzerdaten enthalten“, fragte ein TikTok-Mitarbeiter letzten Juli in einem internen Bericht.
Die Benutzermaterialien auf Lark werfen Fragen zu den Daten- und Datenschutzpraktiken von TikTok auf und zeigen, wie eng diese mit ByteDance verflochten sind, während die Video-App zunehmend auf ihre potenziellen Sicherheitsrisiken und Verbindungen zu China hin untersucht wird. Letzte Woche unterzeichnete der Gouverneur von Montana einen Gesetzentwurf, der TikTok im Bundesstaat ab dem 1. Januar verbietet. Die App wurde auch an Universitäten und Regierungsbehörden sowie vom Militär verboten.
TikTok steht seit Jahren unter Druck, seine US-Aktivitäten abzuriegeln, weil es Bedenken hat, es könnte den chinesischen Behörden Daten über amerikanische Nutzer zur Verfügung stellen. Um weiterhin in den Vereinigten Staaten tätig zu sein, hat TikTok der Biden-Regierung im vergangenen Jahr einen Plan namens „Project Texas“ vorgelegt, in dem dargelegt wird, wie amerikanische Benutzerinformationen im Land gespeichert und die Daten von ByteDance- und TikTok-Mitarbeitern außerhalb der Vereinigten Staaten abgeschottet werden sollen.
TikTok hat den Zugriff seiner in China ansässigen Mitarbeiter auf US-Benutzerdaten heruntergespielt. In einer Anhörung vor dem Kongress im März sagte TikTok-Chef Shou Chew, dass solche Daten hauptsächlich von Ingenieuren in China für „Geschäftszwecke“ verwendet würden und dass das Unternehmen über „strenge Datenzugriffsprotokolle“ zum Schutz der Benutzer verfüge. Er sagte, dass viele der Benutzerinformationen, auf die Ingenieure zugegriffen hätten, bereits öffentlich seien.
Die internen Berichte und Mitteilungen von Lark scheinen den Aussagen von Herrn Chew zu widersprechen. Lark-Daten von TikTok seien seit Ende letzten Jahres auch auf Servern in China gespeichert worden, sagten die vier aktuellen und ehemaligen Mitarbeiter.
Zu den von The Times eingesehenen Dokumenten gehörten Dutzende Screenshots von Berichten, Chat-Nachrichten und Mitarbeiterkommentaren zu Lark sowie Video- und Audioaufnahmen interner Kommunikation aus den Jahren 2019 bis 2022.
Alex Haurek, ein TikTok-Sprecher, bezeichnete die von The Times eingesehenen Dokumente als „veraltet“. Er sagte, sie hätten weder genau dargestellt, „wie wir mit geschützten US-Benutzerdaten umgehen, noch welche Fortschritte wir im Rahmen des Projekts Texas gemacht haben“.
Er fügte hinzu, dass TikTok dabei sei, US-Benutzerdaten zu löschen, die es vor Juni 2022 gesammelt habe, als es die Art und Weise änderte, wie es mit Informationen über amerikanische Benutzer umging, und begann, diese Daten an Server in den USA zu senden, die einem Dritten gehörten, und nicht an Server, die sich im Besitz von Drittanbietern befanden von TikTok oder ByteDance.
Das Unternehmen antwortete nicht auf Fragen dazu, ob Lark-Daten in China gespeichert wurden. Es lehnte es ab, Fragen zur Beteiligung von in China ansässigen Mitarbeitern an der Erstellung und Weitergabe von TikTok-Benutzerdaten in Lark-Gruppen zu beantworten, sagte jedoch, dass viele der Chatrooms „letztes Jahr geschlossen wurden, nachdem interne Bedenken geprüft wurden“.
Alex Stamos, Direktor des Internet Observatory der Stanford University und ehemaliger Chief Information Security Officer von Facebook, sagte, dass die Sicherung von Benutzerdaten im gesamten Unternehmen „das schwierigste technische Projekt“ für das Sicherheitsteam eines Social-Media-Unternehmens sei. Er fügte hinzu, dass die Probleme von TikTok durch die Eigentümerschaft von ByteDance noch verschärft würden.
„Lark zeigt Ihnen, dass alle Back-End-Prozesse von ByteDance überwacht werden“, sagte er. „TikTok ist eine dünne Fassade von ByteDance.“
ByteDance führte Lark im Jahr 2017 ein. Das Tool, zu dem es nur ein chinesisches Äquivalent namens Feishu gibt, wird von allen ByteDance-Tochtergesellschaften verwendet, einschließlich TikTok und seinen 7.000 US-Mitarbeitern. Lark bietet eine Chat-Plattform, Videokonferenzen, Aufgabenverwaltung und Funktionen für die Zusammenarbeit an Dokumenten. Als Herr Chew bei der Anhörung im März nach Lark gefragt wurde, sagte er, es sei wie „jedes andere Instant-Messaging-Tool“ für Unternehmen und verglich es mit Slack.
Laut den von The Times erhaltenen Dokumenten wird Lark seit mindestens 2019 für die Bearbeitung einzelner Probleme mit TikTok-Konten und die Weitergabe von Dokumenten verwendet, die persönlich identifizierbare Informationen enthalten.
Im Juni 2019 teilte ein TikTok-Mitarbeiter auf Lark ein Bild des Führerscheins einer Frau aus Massachusetts. Die Frau hatte das Bild an TikTok geschickt, um ihre Identität zu überprüfen. Das Bild – das ihre Adresse, ihr Geburtsdatum, ein Foto und ihre Führerscheinnummer enthielt – wurde in einer internen Lark-Gruppe mit mehr als 1.100 Personen gepostet, die sich um die Sperrung und Aufhebung der Sperrung von Konten kümmerte.
Der Führerschein sowie Pässe und Personalausweise von Personen aus Ländern wie Australien und Saudi-Arabien waren seit letztem Jahr auf Lark zugänglich, wie aus Dokumenten hervorgeht, die der Times vorliegen.
Lark enthüllte auch Materialien zum sexuellen Kindesmissbrauch von Nutzern. In einem Gespräch im Oktober 2019 diskutierten TikTok-Mitarbeiter über das Verbot einiger Konten, die Inhalte von Mädchen über drei Jahren geteilt hatten, die oben ohne waren. Arbeiter posteten die Bilder auch auf Lark.
Herr Haurek, der Sprecher von TikTok, sagte, die Mitarbeiter seien angewiesen worden, solche Inhalte niemals zu teilen und sie einem spezialisierten internen Kindersicherheitsteam zu melden.
TikTok-Mitarbeiter haben Fragen zu solchen Vorfällen gestellt. In einem internen Bericht vom vergangenen Juli fragte ein Mitarbeiter, ob es Regeln für den Umgang mit Benutzerdaten in Lark gebe. Will Farrell, der vorläufige Sicherheitsbeauftragte von TikToks US-Datensicherheit, die im Rahmen des Projekts Texas US-Benutzerdaten überwachen wird, sagte: „Derzeit gibt es keine Richtlinien.“
Ein leitender Sicherheitsingenieur bei TikTok sagte im vergangenen Herbst auch, dass es Tausende von Lark-Gruppen geben könnte, die Benutzerdaten falsch verarbeiten. In einer Aufzeichnung, die The Times erhalten hat, sagte der Ingenieur, TikTok müsse die Daten „aus China verlagern und Lark aus Singapur vertreiben“. TikTok hat seinen Hauptsitz in Singapur und Los Angeles.
Herr Haurek bezeichnete die Kommentare des Ingenieurs als „ungenau“ und sagte, TikTok habe Fälle überprüft, in denen Lark-Gruppen möglicherweise Benutzerdaten falsch verarbeiteten, und Schritte unternommen, um dagegen vorzugehen. Er sagte, das Unternehmen habe ein neues Verfahren für den Umgang mit sensiblen Inhalten eingeführt und der Größe von Lark-Gruppen neue Grenzen gesetzt.
In der Datenschutz- und Sicherheitsabteilung von TikTok kam es im vergangenen Jahr zu Umstrukturierungen und Abgängen, die nach Aussage einiger Mitarbeiter zu einer Verlangsamung oder zum Abbruch von Datenschutz- und Sicherheitsprojekten an einem kritischen Punkt geführt haben.
Roland Cloutier, ein Cybersicherheitsexperte und Veteran der US-Luftwaffe, trat letztes Jahr als Leiter der globalen Sicherheitsorganisation von TikTok zurück und ein Teil seiner Einheit wurde einem datenschutzorientierten Team unter der Leitung von Yujun Chen zugeteilt, den Kollegen als Woody kennen. Ein in China ansässiger Manager, der seit Jahren bei ByteDance arbeitet, sagten drei aktuelle und ehemalige Mitarbeiter. Zuvor konzentrierte sich Herr Chen auf die Qualitätssicherung von Software.
Herr Haurek sagte, Herr Chen verfüge über „tiefes Fachwissen in den Bereichen Technik, Daten und Produktentwicklung“ und sein Team sei einer in Kalifornien ansässigen Führungskraft unterstellt. Er sagte, TikTok habe mehrere Teams, die an Datenschutz und Sicherheit arbeiteten, darunter mehr als 1.500 Mitarbeiter im US-Datensicherheitsteam, und dass das Unternehmen mehr als 1,5 Milliarden US-Dollar für die Umsetzung des Projekts Texas ausgegeben habe.
ByteDance und TikTok haben nicht gesagt, wann Project Texas abgeschlossen sein wird. Wenn dies der Fall ist, so TikTok, werde die Kommunikation mit US-Benutzerdaten über ein separates „internes Kollaborationstool“ erfolgen.
Aaron Krolik hat zur Berichterstattung beigetragen. Alain Delaquérière hat zur Forschung beigetragen.