Von Erich Andersen, General Counsel, und Roland Cloutier, Chief Information Security Officer

In den vergangenen Jahren hat die Sorge darüber zugenommen, wie sich Services für Verbraucher*innen mit nationalen Sicherheitsinteressen vereinbaren lassen. Globale Plattformen haben permanent die Herausforderung, ihren Nutzer*innen einerseits einen nahtlosen Erfahrungsaustausch in einem grenzenlosen Internet ermöglichen zu wollen und gleichzeitig die Bedenken von Staaten ausräumen zu müssen, denen an mehr „Datensouveränität“ gelegen ist. Die Menschen möchten miteinander kommunizieren und Inhalte austauschen und haben, wie wir alle, von globalen Systemen profitiert. Während die Schaffung von „Datensilos“ in einzelnen Ländern eine Herausforderung für das angestrebte Ziel von Interoperabilität und freiem Datenverkehr darstellt, versteht es sich gleichzeitig von selbst, dass Regierungen die Pflicht haben, ihre Bürger*innen und deren Daten zu schützen. Diesen spannungsgeladenen Zwiespalt möchten wir in Angriff nehmen, auch wenn wir ihn nicht im Alleingang werden lösen können.

Leider bieten die Gesetze vieler Staaten keine angemessene, zeitgemäße Grundlage. Denn sie sind in der Regel das Ergebnis einer jahrzehnte-, wenn nicht gar jahrhundertelangen juristischen Entwicklung und stammen aus einer weniger digitalen, weniger weit fortgeschrittenen Zeit.  So wird darin nicht das Bedürfnis nach globaler Interoperabilität – beispielsweise von sozialen Netzwerken – und nationalstaatlichen Interessen abgebildet.

In den vergangenen Wochen wurden diese Spannungen sichtbar – zunächst in Indien und zuletzt in den USA. Regierungen verwiesen auf nationale Sicherheitsbedenken, da es an weltweit geltenden Gesetzen mangelt, in denen neutrale Anforderungen für die Wettbewerbsgleichheit aller Unternehmen ungeachtet ihrer Nationalität formuliert sind.

Wir sind der Ansicht, dass es einen besseren Weg gibt.

In den vergangenen Monaten haben wir mit unseren eigenen Entwicklern nach Wegen gesucht, wie sich personenbezogene Daten global segmentieren und anschließend schützen lassen. Uns schweben dafür mehrere Schutzebenen vor: 

  • Datenspeicherung 
  • Zugriffskontrolle 
  • Datenzugriffsberechtigungen
  • Risikobewertung der Datenübertragung
  • Aufsicht und Rechenschaftspflicht 

Mit unserem Ansatz fassen wir zunächst die Standorte von Datenzentren ins Auge. Wir haben uns für Standorte entschieden, von denen wir annehmen, dass sie für unsere Community und die politischen Entscheidungsträger der Regierungen weitgehend annehmbar sind. Jüngst haben wir angekündigt, für Kunden in der EU und in Großbritannien ein weiteres Datenzentrum in Dublin zu errichten. An all unseren Datenzentren erfüllen wir sowohl physisch als auch bezüglich der Netzwerksicherheit modernste Sicherheitsstandards.

In Bezug auf die von uns gesammelten Daten werden wir uns weiterhin auf das Wichtigste beschränken. Gegenwärtig gibt es auf der ganzen Welt keine einzige Consumer App, die sorgfältiger überprüft wurde als TikTok, und unabhängige Experten haben festgestellt, dass wir weniger Daten sammeln als andere Marktteilnehmer. Als Teil unseres kontinuierlichen Engagements für Transparenz legen wir in unseren Datenschutzbestimmungen offen, welche Daten wir erheben, wie wir diese verwenden und an wen wir sie weitergeben. Diese Richtlinien werden regelmäßig aktualisiert, um neue Gesetze zu berücksichtigen und sich neu ergebende Szenarien offenzulegen. 

Im nächsten Schritt werden wir sicherstellen, dass Datenzugriff und Datenübertragung internen Kontrollen und einer geeigneten Risikobewertung unterzogen werden. Bislang können Angestellte, die für TikTok arbeiten, zur Ausübung ihrer Arbeit auf Nutzer*innendaten zugreifen, wobei sie internen Datenkontrollen, technischen Sicherheitsvorkehrungen wie Verschlüsselung sowie Richtlinien zur Sicherstellung der Vertraulichkeit von Nutzer*innendaten unterworfen sind.

Künftig werden wir den Zugriff noch weiter beschränken. Wir werden sicherstellen, dass Angestellte außerhalb der Länder, in denen TikTok verfügbar ist, nicht auf individuelle Nutzer*innendatensätze zugreifen können. Dafür bedienen wir uns einer neuen, innovativen und sicheren Entwicklungsumgebung, die den Schutz personenbezogener Daten gewährleistet. Diese Methode würde es Entwickler*innen beispielsweise ermöglichen, unsere Plattform zu testen, um Feinjustierungen für deren Betrieb vorzunehmen, während sie gleichzeitig den Zugriff auf einzelne Nutzer*innendaten sperrt.

Wir halten es für wichtig, mit zuverlässigen und qualifizierten Anbietern zusammenzuarbeiten, um derartige Datenzugriffsysteme zu entwickeln und verantwortungsvoll mit den Themen Aufsicht und Kontrolle umzugehen. Es gibt zahlreiche weltweit führende Unternehmen, die eine solche Lösung bereitstellen können, da IT-Security-Anbieter genau wissen, worauf es bei den einzelnen Elementen ankommt. Wir sind daher zuversichtlich, dass wir in Zusammenarbeit mit externen Partnern einen Service werden anbieten können, der den Anforderungen unserer Community einerseits und der Regierungen andererseits vollumfänglich gerecht wird.

Ganz neu ist dieser Ansatz nicht. Tatsächlich wird er von vielen Regierungen genutzt, um den Zugang zu verschiedenen Datenspeichern zu segmentieren. In jeder Bundesbehörde gibt es beispielsweise Abteilungen, die persönliche Steuerunterlagen speichern. Während die Mitarbeiter*innen des Finanzamts im Rahmen ihrer Arbeit sinnvollerweise befugt sind, auf solche Unterlagen zuzugreifen, wäre es unangemessen, den Mitarbeiter*innen anderer Behörden einen ungehinderten Zugriff zu ermöglichen. Deshalb werden die Steuerunterlagen von den Leiter*innen der IT-Abteilung häufig so segregiert, dass sie für andere Regierungsbehörden zu Prüf- und Recherchezwecken nur über kontrollierte Schnittstellen zugänglich sind. In den Vereinigten Staaten wird in anderen, sogar noch sensibleren Bereichen, ähnlich vorgegangen. So sind für die Watchlist der US-Regierung gestufte Zugriffsrechte festgelegt, die jeweils von den Anforderungen des Aufgabenbereichs der einzelnen Behörden abhängig sind. 

Durch seine Zeit beim Militär und im Öffentlichen Dienst weiß Roland aus erster Hand, welche Anforderungen die Regierung an Sicherungssysteme stellt und welche Standards dort gelten. Aufgrund dieser Erfahrungen sind wir beide zuversichtlich, ähnliche Systeme und Funktionen für TikTok entwickeln zu können. Wir werden viele dieser Standards auf TikTok anwenden, so dass unser System Vorbildern folgt, die den Anforderungen von Regulierungsinstanzen, Staatsaufsicht und unseren Kund*innen entsprechen.

Um Vertrauen in ein solches System aufbauen zu können, ist eine unabhängige Aufsicht dringend erforderlich. Wir sind gegenwärtig dabei, Sicherheitsexperten mit Systemaudits zu beauftragen. Auf diese Weise wollen wir gewährleisten, dass wir mittels detaillierter Analysen die Datenschutzqualität unserer Produkte belegen können. Darüber Hinaus werden ein oder mehrere namhafte Unternehmen uns helfen, technische Lösungen zu entwickeln, um mehr Datenschutz und Rechtevergaben zu ermöglichen. 

Wir hoffen, dass wir durch diese Maßnahmen nicht nur die begründeten Interessen der Gesetzgeber berücksichtigen, denen daran gelegen ist, die Daten ihrer Bürger*innen vor Zugriffen zu schützen, sondern auch neue Branchenmaßstäbe setzen. In unseren Gesprächen mit Gesetzgebern auf der ganzen Welt hören wir immer wieder, dass die gesamte Branche hinsichtlich eines strengeren Ansatzes beim Umgang mit personenbezogenen Daten – Speicherung, Zugriffsrechte, Kontrolle – in der Pflicht steht. Wir sind der Ansicht, dass unser Plan dies erfüllt. Wir freuen uns darauf, unsere Pläne in den kommenden Monaten noch ausführlicher mit den Gesetzgebern zu diskutieren.

Um es ganz deutlich zu sagen: Dieser Ansatz stellt sowohl einen Kostenfaktor für unser Unternehmen als auch eine Einschränkung dar. Unsere Wettbewerber sind hier im „Vorteil“ – es sei denn, die Gesetze werden entsprechend geändert oder die Konkurrenz entscheidet sich ebenfalls dafür, Daten im Einklang mit den Anforderungen der unterschiedlichen Länder sorgfältiger und umfassender zu schützen.

Wir werden ihn dennoch umsetzen, weil wir uns sowohl der Bedeutung bewusst sind, die ein solches Vorgehen für unsere Stakeholder hat – darunter auch unsere Nutzer*innen und die Regierungen ihrer jeweiligen Heimatländer –, als auch unsere Verantwortung als global agierendes Unternehmen anerkennen, in Sachen Sicherheit und Datenschutz mit gutem Beispiel voranzugehen. Wir sind der Meinung, dass die Staaten auf lange Sicht nicht umhin kommen, Gesetze zu erlassen, um transparente Standards und Anforderungen in Bezug auf Datenzugriff zu schaffen. Das hätte den zusätzlichen Vorteil, die Messlatte für alle Beteiligten höher zu legen und sicherzustellen, dass alle unter den gleichen Bedingungen arbeiten. Der Wettbewerb kann dann auf Grundlage qualitativ hochwertiger Innovationen und Dienstleistungen stattfinden, statt durch unbegründete Ängste geschwächt zu werden. Doch bis es so weit ist, werden wir unser Bestes geben, den globalen Informationsaustausch zu ermöglichen und ihn mit den unterschiedlichen nationalen Datenschutzstandards in Einklang zu bringen. Unserer Ansicht nach ist das ein weitaus besserer Weg, um Communitys wie TikTok weiter wachsen zu lassen und dabei so schroffe Methoden wie nationale Verbote von Technologielösungen zu vermeiden.