Der TikTok-Deal: Wie ein Algorithmus neu justiert wird

Millionen von Nutzerinnen und Nutzern in den USA öffneten in der vergangenen Woche ihre TikTok-App und fanden statt Tanzvideos eine Aufforderung zu neuen Nutzungsbedingungen vor.

Denn mit der Gründung des „TikTok USDS Joint Venture LLC“ (TikTok USA) vollzieht die ursprünglich chinesische Social-Media-Plattform offiziell ihren Übergang in eine neue Firmenstruktur unter US-Führung.

Doch was als Schritt zu mehr nationaler Sicherheit verkauft wird, entpuppt sich bei genauerem Hinsehen als Datenschutz-Debakel mit weitreichenden Folgen für die Privatsphäre sowie für die Meinungsfreiheit der US-Nutzer. Es gibt zudem Einblicke in die Gefahren durch TikTok für die Nutzerinnen und Nutzer in der EU.

Was verbirgt sich hinter dem neuen „TikTok USDS Joint Venture“?

Am 22. Januar 2026 verkündete TikTok die Gründung eines Joint Ventures, um den Forderungen der US-Regierung nach einer Trennung vom chinesischen Mutterkonzern ByteDance nachzukommen. Doch von einer klaren Trennung kann kaum die Rede sein. Denn ByteDance behält weiterhin einen Anteil von 19,9 Prozent – was der gesetzlichen zulässigen Höchstgrenze entspricht. Der Rest teilt sich in einem Konsortium aus dem Technikgiganten Oracle, der Private-Equity-Firma Silver Lake und weiteren Investoren auf.

Welche neuen Datenschutz-Risiken ergeben sich aus der „Privacy Policy“?

Die neuen Datenschutzrichtlinien, die die Nutzerinnen und Nutzer in den USA akzeptieren mussten, enthalten alarmierende Änderungen. Die App sammelt nun Daten in einer Aggressivität, die selbst für Social-Media-Verhältnisse beispiellos wirkt.

1. Biometrische Vollerfassung

Die neuen Richtlinien erlauben TikTok USA, personenbezogene Daten wie biometrische Gesichtsausdrücke und Stimmprofile zu erfassen (Überschrift „Automatically Collected Information“, Unterpunkt „Content Characteristics“). Besonders kritisch ist dabei die Nutzung der Frontkamera.

Sobald Nutzerinnen und Nutzer in den USA der App Zugriff gewähren – etwa für die Anwendung eines Gesichtsfilters –, kann TikTok USA die Kamera weiterhin und potentiell ohne das Wissen der Nutzenden verwenden, um emotionale Reaktionen in Echtzeit zu messen. Dies umfasst etwa Mikroexpressionen des Gesichts wie Pupillenerweiterung und auch andere unwillkürliche physische Reaktionen auf die gezeigten Inhalte.

2. Präzises GPS-Tracking statt IP-Ortung

Bisher nutzte TikTok oft die IP-Adresse zur ungefähren Standortbestimmung. Die neuen Regeln ermöglichen nun ein präzises GPS-Tracking (Überschrift „Automatically Collected Information“, Unterpunkt „Location“), das den Standort von Nutzerinnen und Nutzern theoretisch bis auf das Stockwerk genau erfassen kann („…approximate or precise location information from your device.“).

3. Keylogging und Browser-Überwachung

Wenn in TikTok auf einen Link geklickt wird (z. B. in einer Bio oder Werbung), öffnet sich die Seite nicht im Standard-Browser (wie Safari oder Chrome), sondern im TikTok-eigenen Browser. Sicherheitsforscher warnen, dass dieser In-App-Browser von TikTok in der Lage ist, jeden Tastendruck auf externen Webseiten zu protokollieren.

Das bedeutet, dass etwa Kreditkartendaten, aber auch Passwörter, die über den TikTok-Browser eingegeben werden, möglicherweise von der App erfasst werden. Einen Hinweis auf diese verbotene Praktik gibt es sogar in der Privacy Policy, Überschrift „Automatically Collected Information“, Unterpunkt „Technical Information“.

4. Abgeleitete/Errechnete Daten – Profiling

Im Unterpunkt „Inferred Data“ werden TikTok USA weitreichende Analyserechte durch „ableiten oder errechnen“ eingeräumt. Die App wertet also nicht nur die aktiven Eingaben aus, sondern errechnet aus dem Nutzungsverhalten – etwa wie viele Millisekunden ein Video betrachtet wird – tiefgreifende Rückschlüsse auf persönliche Merkmale der Nutzerinnen und Nutzer (z. B. politische Einstellung, Gesundheit oder sexuelle Orientierung).

Selbst wenn diese Informationen nie aktiv preisgegeben worden sind. Besonders kritisch ist, dass diese errechneten „Schattenprofile“ durch die Privacy Policy genauso behandelt werden wie freiwillig geteilte Daten, wodurch intimstes Profiling ohne explizite Einwilligung legitimiert werden soll.

Ein Weckruf für die digitale Souveränität Europas

Die drastischen Entwicklungen in den USA dürfen wir nicht als reine Außenpolitik abtun; sie müssen für uns in Europa ein dringender Weckruf sein. Wir befinden uns in einer paradoxen und gefährlichen Situation: Während wir uns auf den Schutz durch die DSGVO verlassen, findet unser gesellschaftlicher Diskurs und unser digitales Leben fast ausschließlich auf Plattformen statt, deren technische und operative Hoheit weit außerhalb unseres Rechtsraums liegt.

Obwohl das Marktortprinzip der DSGVO theoretisch gilt, sind wir faktisch dem Ermessen ausländischer Mächte ausgeliefert. Die Realität zeigt, dass die Durchsetzung unserer Betroffenenrechte und der informationellen Selbstbestimmung oft an praktische Grenzen stößt, wenn die Mutterkonzerne in den USA oder in China sitzen und dortigen Sicherheitsgesetzen unterliegen. Ähnliche Praktiken – von der biometrischen Erfassung bis zur algorithmischen Einflussnahme – sind keine reine Dystopie für die USA, sondern drohen auch hierzulande Realität zu werden – oder werden in abgewandelter Form bereits angewandt.

Solange wir fast ausschließlich Social-Media-Infrastrukturen nutzen, die sich dem direkten, wirksamen Zugriff europäischer Regulierung entziehen, bleibt unsere digitale Mündigkeit eine Illusion. Wir müssen uns dringend intensiver damit auseinandersetzen, wie wir unsere demokratischen Werte und unsere Privatsphäre in einer digitalen Welt verteidigen können, in der die Regeln zunehmend in Washington oder Peking diktiert werden.