Mike Kuketz
26. Juni 2023 | 12:09 Uhr

TikTok: App verstößt gegen das TTDSG

Bisher habe ich die TikTok-App nicht analysiert. Ich habe mich ehrlich gesagt davor gefürchtet, die Büchse der Pandora zu öffnen. Ich habe sie jetzt nur mal kurz aufgemacht (Version 30.0.3) und direkt rechtswidrige Datenübermittlungen mitgeschnitten. Vorab ist festzuhalten, dass die Verbindungen der App mit TLS-Certificate-Pinning abgesichert sind. Ich konnte den Schutz nicht gänzlich, also für jede Verbindung entfernen, allerdings für einen Teil. Das genügt schonmal, um sich einen Eindruck zu verschaffen. Hinweis: Ohne diesen Schritt wäre eine Analyse nicht möglich. Es handelt sich dabei lediglich um eine lokale Veränderung/Anpassung der App (auf dem Gerät), die keinen Einfluss auf irgendwelche personenbezogenen Daten/die Sicherheit Dritter hat.

Unmittelbar nach dem Start der App werden etliche Verbindungen zu Gegenstellen geöffnet:

  • mon-va.tiktokv.com (TikTok)
  • firebaseinstallations.googleapis.com (Google Firebase)
  • android.apis.google.com (Google Push Nachrichten)
  • mon.isnssdk.com (TikTok)
  • tnc16-platform-alisg.tiktokv.com (TikTok)
  • log-boot.tiktokv.com (TikTok)
  • vcs-boot.tiktokv.com (TikTok)
  • api.boot.tiktokv.com (TikTok)
  • api-core-boot.tiktokv.com (TikTok)
  • […]

Die Verbindung zur Gegenstelle »mon.isnssdk.com« schauen wir uns einmal genauer an:

GET /monitor/appmonitor/v4/settings?sdk_version=400&
manifest_version_code=2023000030&
_rticket=1687771452542&
app_language=de&
app_type=normal&
app_version=30.0.3&
channel=googleplay&
device_type=Mi A1&
language=de&
host_abi=arm64-v8a&
locale=de-DE&
resolution=1080*1920&
oversea=1&
minor_version=1&
update_version_code=2023000030&
ac2=wifi&
cdid=e21d426c-5f3c-4178-bbca-118b01daa6cb&
sys_region=DE&
os_api=29&
uoo=0&
timezone_name=Europe/Berlin&
dpi=480&
carrier_region=DE&
ac=wifi&
os=Android&
device_id=0&
mcc_mnc=26201&
os_version=10&
timezone_offset=3600&
version_code=300003&
carrier_region_v2=262&
sdkmonitor_version=2.0.40&
app_name=musical_ly&
ab_version=30.0.3&
version_name=30.0.3&
device_brand=Xiaomi&
op_region=DE&
ssmix=a&
package_name=com.zhiliaoapp.musically&
device_platform=android&
build_number=30.0.3&
region=DE&
aid=3261&
ts=1687771452&
host_aid=1233&
encrypt=close&
last_calculate_timestamp=0&
force_refresh=1

Es werden etliche Gerätedaten abgefragt und ohne Einwilligung an TikTok übermittelt. Solche Zugriffe auf Endeinrichtungen zu Zwecken der Webanalyse, der Marktforschung und jede Form der Werbung ohne informierte Einwilligung ist nach § 25 Abs. 1 TTDSG unzulässig. § 25 TTDSG regelt den Schutz der Privatsphäre bei Endeinrichtungen und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Der Zugriff auf die Informationen der Gerätedaten berührt die Integrität/Privatsphäre der Endeinrichtung des Nutzers und unterfällt somit dem Anwendungsbereich des TTDSG.

Wir können das ja mal aufdröseln:

  • sdk_version=400: Die verwendete SDK-Version
  • manifest_version_code=2023000030: Die Version des Manifests
  • _rticket=1687771452542: Ein Parameter mit dem Namen _rticket hat den Wert 1687771452542
  • app_language=de: Die Sprache der Anwendung ist Deutsch
  • app_type=normal: Der Anwendungstyp ist »normal«
  • app_version=30.0.3: Die Version der Anwendung ist 30.0.3
  • channel=googleplay: Die Anwendung wurde über den Google Play Store bezogen
  • device_type=Mi+A1: Der Gerätetyp ist »Mi A1«
  • language=de: Die Systemsprache des Geräts ist Deutsch
  • host_abi=arm64-v8a: Die CPU-Architektur ist »arm64-v8a«
  • locale=de-DE: Die Ländereinstellung des Geräts ist Deutschland (de-DE)
  • resolution=1080*1920: Die Bildschirmauflösung beträgt 1080×1920
  • oversea=1: Das Gerät ist im Ausland (Overseas)
  • minor_version=1: –
  • update_version_code=2023000030: –
  • ac2=wifi: Der Netzwerktyp ist Wi-Fi (AC2)
  • cdid=e21d426c-5f3c-4178-bbca-118b01daa6cb: Die CDID (UUID) ist »e21d426c-5f3c-4178-bbca-118b01daa6cb«
  • sys_region=DE: Die Systemregion ist Deutschland (DE)
  • os_api=29: Die Android API-Version ist 29
  • uoo=0: Der UOO-Parameter hat den Wert 0
  • timezone_name=Europe/Berlin: Die Zeitzone ist »Europe/Berlin«
  • dpi=480: Die Bildschirmauflösung beträgt 480 dpi
  • carrier_region=DE: Die Carrier-Region ist Deutschland (DE)
  • ac=wifi: Der Netzwerktyp ist Wi-Fi (AC)
  • os=Android: Das Betriebssystem ist Android
  • device_id=0: Die Geräte-ID ist 0
  • mcc_mnc=26201: Der Mobile Country Code (Mobile Network Code (MNC)) ist 26201
  • os_version=10: Die Android-Version ist 10
  • timezone_offset=3600: Der Zeitversatz zur UTC-Zeit beträgt 3600 Sekunden (eine Stunde)
  • version_code=300003: Der Version-Code ist 300003
  • carrier_region_v2=262: Die Carrier-Region (v2) ist 262 (Deutschland)
  • sdkmonitor_version=2.0.40: Die SDK-Monitor-Version ist 2.0.40
  • app_name=musical_ly: Der Name der Anwendung ist »musical_ly«
  • ab_version=30.0.3: Die AB-Version ist 30.0

Erst nach der Datenübermittlung erscheint die Option mit dem Screen »Bei TikTok registrieren«. Zu diesem Zeitpunkt sind jedoch bereits zahlreiche Daten abgeflossen. Die gesetzlichen Anforderungen des TTDSG werden somit unmittelbar nach dem Start der App verletzt. TikTok wird möglicherweise behaupten, dass die von ihnen gesammelten Daten aus technischen Gründen erforderlich sind. Dieses Argument wird häufig als Standard-Ausrede verwendet, um die umfangreiche Datenerfassung zu rechtfertigen.

Vermutlich werde ich nicht tiefer in die Analyse der TikTok-App einsteigen. Da investiere ich meine Zeit lieber sinnvoller, als einem Unternehmen, dass vom Sammeln von Daten lebt, dies auch noch nachzuweisen. Allein aus Datenschutzgründen, aber auch hinsichtlich des Jugendschutzes und dem manipulativen Charakter dieses Netzwerks, ist von einer Nutzung dringend abzuraten.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
Microblog
14. Januar 2022

TTDSG: Stellungnahme der ARD bezüglich Apps liegt vor

Im Dezember 2021 hatte ich diverse Apps des öffentlichen Rundfunks (ARD, ZDF) auf ihr Datensendeverhalten überprüft: ARD Mediathek (Version 9.3.0):…
TTDSG
12. März 2023

Google Analytics beim Bayerischen Rundfunk und die lascheste Datenschutzbehörde Europas – das TTDSG Teil4

Beim Analysetracking hält sich fast kein Öffentlich-Rechtlicher Sender in Deutschland an die Gesetze für den Daten- und Privatsphäreschutz.
TTDSG
27. Februar 2023

Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2

Was sagen die Behörden zu Tools wie Google Analytics in Europa? Welche Länder fordern eine Einwilligung, welche nicht?
Booking.com
11. Mai 2023

Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4

Die Datenschutzverletzungen von Booking.com sind vergleichbar mit einem verheerenden Verkehrsunfall, bei dem man einfach nicht wegsehen kann.
TTDSG
21. Februar 2023

Wissen ist Macht: Das große Wissensdossier zu §25 TTDSG – das TTDSG Teil1

In einer vierteiligen Serie zeigen wir alle Hintergründe, die man wissen muss, um gute Argumente gegen Analysetracking von Unternehmen zu haben.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.