TikTok wegen Verstößen gegen das EU-Datenschutzrecht bei Kinderkonten mit 345 Millionen Euro bestraft
(theguardian.com)- Die irische Datenschutzkommission (DPC) hat gegen TikTok eine Geldbuße von 345 Millionen Euro verhängt, weil die Verarbeitung von Kinderkonten gegen die EU-DSGVO verstoßen habe
- Ein zentraler Streitpunkt ist, dass Konten von 13- bis 17-Jährigen im Registrierungsprozess standardmäßig auf öffentlich gesetzt waren und jungen Nutzern nicht ausreichend transparente Informationen bereitgestellt wurden
- Bei „family pairing“ wurde nicht geprüft, ob der Erwachsene, der ein Konto steuert, tatsächlich ein Elternteil oder Erziehungsberechtigter ist, wodurch sogar die Einstellungen für Direktnachrichten von Nutzern ab 16 Jahren geöffnet werden konnten
- Die DPC war der Ansicht, dass TikTok das Risiko nicht ausreichend berücksichtigt habe, dass Nutzer unter 13 Jahren auf die Plattform gelangen und dann mit öffentlichen Einstellungen versehen werden, sah jedoch die Altersverifizierungsmethode selbst nicht als Verstoß gegen die DSGVO an
- TikTok entgegnete, dass sich die Untersuchung auf die Einstellungen vom 31. Juli bis 31. Dezember 2020 beziehe und dass die Probleme bereits behoben worden seien, unter anderem indem Konten von 13- bis 15-Jährigen seit 2021 standardmäßig auf privat gestellt würden
Grundlage der Geldbuße von 345 Millionen Euro
- Gegen TikTok wurde wegen Verstößen gegen das EU-Datenschutzrecht bei der Verarbeitung von Kinderkonten eine Geldbuße von 345 Millionen Euro, rund 296 Millionen Pfund, verhängt
- Die irische Datenschutzkommission (DPC), die innerhalb der EU für die Regulierung von TikTok zuständig ist, kam zu dem Schluss, dass TikTok mehrfach gegen die Regeln der DSGVO verstoßen hat
- Im Kern geht es darum, dass minderjährige Nutzer nicht ausreichend davor geschützt wurden, dass ihre Inhalte öffentlich sichtbar werden
Offenlegung durch standardmäßig öffentliche Einstellungen
- Nach Auffassung der DPC wurden Nutzer im Alter von 13 bis 17 Jahren im Registrierungsprozess dazu geführt, dass ihre Konten standardmäßig öffentlich eingestellt wurden
- Bei öffentlichen Konten kann jeder die Inhalte des Kontos ansehen oder Kommentare hinterlassen
- Daher konnte nach Einschätzung der Behörde jeder die von diesen Nutzern veröffentlichten Social-Media-Inhalte sehen
- Das Mindestalter für die Nutzung von TikTok beträgt 13 Jahre
- Kritisiert wurde außerdem, dass das Risiko nicht ausreichend berücksichtigt wurde, dass Nutzer unter 13 Jahren auf die Plattform zugreifen und dann mit öffentlichen Einstellungen versehen werden
Mangelnde Transparenz und Probleme mit family pairing
- Auch die unzureichende Bereitstellung transparenter Informationen für junge Nutzer zählt zu den DSGVO-Verstößen
- „family pairing“ ermöglicht Erwachsenen, die Einstellungen eines Kinderkontos zu steuern, doch wurde nicht überprüft, ob die verknüpfte erwachsene Person tatsächlich ein Elternteil oder Erziehungsberechtigter ist
- Ein Erwachsener mit Zugriff auf ein Kinderkonto konnte über diese Einstellung die Funktion für Direktnachrichten bei Nutzern ab 16 Jahren aktivieren
Bewertung von Duet, Stitch und Altersverifizierung
- Duet und Stitch sind Funktionen, mit denen Nutzer Inhalte mit denen anderer TikTok-Nutzer kombinieren können
- Laut DPC waren diese Funktionen für Nutzer unter 17 Jahren standardmäßig aktiviert
- Die Methode zur Altersverifizierung von TikTok selbst wurde jedoch nicht als Verstoß gegen die DSGVO bewertet
Zusätzlicher Regulierungsdruck nach britischer Sanktion
- Die aktuelle Entscheidung folgt darauf, dass TikTok im April 2023 von der britischen Datenschutzaufsicht mit einer Geldbuße von 12,7 Millionen Pfund belegt wurde
- Die britische Behörde kam zu dem Schluss, dass TikTok die Daten von 1,4 Millionen Kindern unter 13 Jahren, die die Plattform ohne Zustimmung der Eltern nutzten, rechtswidrig verarbeitet habe
- Die damalige Informationsaufsicht war der Ansicht, TikTok habe „fast nichts“ unternommen, um zu überprüfen, wer die Plattform nutze
- TikTok erklärte, dass sich die aktuelle Untersuchung auf die Datenschutzeinstellungen vom 31. Juli bis 31. Dezember 2020 bezogen habe und dass die beanstandeten Probleme behoben worden seien
- Seit 2021 werden bestehende und neue Konten von 13- bis 15-Jährigen standardmäßig auf privat gesetzt
- Bei privaten Konten können nur vom Nutzer bestätigte Personen die Inhalte sehen
- TikTok erklärte weiter, dass es weder der Höhe der Geldbuße noch der Entscheidung zustimme, und wandte ein, dass sich die Kritik der DPC auf Funktionen und Einstellungen von vor drei Jahren konzentriere
- Außerdem vertrat das Unternehmen die Position, die Umstellung von Konten unter 16 Jahren auf standardmäßig privat sei bereits vor Beginn der Untersuchung erfolgt
Eingreifen des Europäischen Datenschutzausschusses
- Die DPC räumte ein, dass ihre Position in Teilen der Entscheidung durch das European Data Protection Board aufgehoben wurde
- Infolgedessen musste sie eine von der deutschen Aufsichtsbehörde vorgeschlagene Bewertung aufnehmen
- Diese Bewertung besagt, dass der Einsatz von Dark Patterns, also manipulativen Website- oder App-Designs, die Nutzer zu bestimmten Handlungen oder Entscheidungen lenken, gegen die DSGVO-Bestimmungen zur fairen Verarbeitung personenbezogener Daten verstoßen hat
1 Kommentare
Meinungen auf Hacker News
Bei der Funktion „Family Pairing“ wurde offenbar nicht überprüft, ob der Erwachsene, der die Einstellungen des Kinderkontos kontrolliert, tatsächlich ein Elternteil oder Erziehungsberechtigter ist. Ich weiß nicht, wie TikTok genau verifizieren soll, ob jemand ein Elternteil ist.
Werden auch andere Tech-Unternehmen dazu verpflichtet, Eltern zu verifizieren? Es wirkt, als wäre TikTok der Einzige, der aus diesem Grund eine Strafe bekommt.
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
Wenn wir solchen Präzedenzfällen applaudieren, landen wir wohl irgendwann auf einem Weg, auf dem man einen staatlichen Ausweis und Remote-Attestierung braucht, um beliebte Websites zu nutzen.
Seit den 90ern gab es die Vorstellung, dass anonymes Internet und Signalverstärkung netto positiv wirken, aber das erweist sich zunehmend als weniger zutreffend.
Wenn man anonym selbst publizieren will, kann man das tun, aber das bedeutet nicht, dass man auch das Recht haben sollte, eine der fünf großen Plattformen zu nutzen.
Wenn das dazu führt, dass große Plattformen aufgespalten werden, sehe ich auch das als Nettoeffekt positiv.
Ich habe vor Kurzem angefangen, TikTok zu nutzen. Bei Livestreams heißt es, man brauche 1000 Follower und müsse mindestens 18 Jahre alt sein, aber in der Praxis habe ich viele Kinder gesehen, die live gingen.
Ich habe mich gefragt, warum sie ihre eigenen Regeln nicht durchsetzen. Vielleicht gibt es einfach zu viele Streamer, aber schon eine einzige dedizierte Person könnte genügend live streamende Jugendliche oder Kinder finden.
Deshalb kommt dieses Urteil zur richtigen Zeit.
Allerdings frage ich mich, warum 13- bis 18-Jährige nicht streamen dürfen sollten. Wenn der Grund „herumlungernde Perverse“ sind, dann funktioniert diese Logik bei der Kontrolle von Chats nicht, und ich sehe nicht, warum sie nur hier gelten sollte. Auf TikTok sind sexuelle Inhalte nicht erlaubt; Frauen im Bikini kann man sehen, aber an echten öffentlichen Stränden sieht man sogar Oben-ohne. Was wäre ein anderer Grund?
Ein guter Anfang, aber ich frage mich, ob das EU-Datenschutzrecht irgendwann auch in großem Umfang gegen europäische Unternehmen durchgesetzt wird, nicht nur gegen internationale Konzerne.
EU-Unternehmen betrachten Datenschutz schon seit vor der DSGVO vorsichtiger und nehmen ihn tendenziell ernster; deshalb findet man auch seltener gravierende Verstöße.
Zumindest wenn ich es mit EU-Diensten zu tun habe, passt die Datenschutzerklärung auf ein paar DIN-A4-Seiten, die wichtigen Punkte stehen vorne, und sie ist leicht verständlich geschrieben. Selbst Banken verstecken nicht, was sie erfassen, sondern erklären, warum sie es erfassen.
Ausländische Unternehmen bestehen dagegen oft auf gewaltigen, schwer verständlichen Datenschutzerklärungen und neigen dazu, sich damit am Gesetz vorbeizumogeln. Googles Datenschutzseite zum Beispiel ist im Wesentlichen eine riesige einzelne Seite, die immer wieder sagt: „Google kann Informationen über dich erfassen“; wofür die Daten verwendet werden, bleibt unklar, und für Details stützt sie sich stark auf andere Seiten. Eine durchschnittliche Person dürfte den Faden längst verloren haben.
Letztlich glauben ausländische Unternehmen, mit Rechtsverstößen durchzukommen, und machen es schwer nachzuverfolgen, wie Daten genutzt werden. Europäische Unternehmen befolgen das Gesetz im Allgemeinen tatsächlich, deshalb entstehen die wichtigen Präzedenzfälle gegen ausländische Tech-Giganten.
Allerdings haben europäische Unternehmen das im Allgemeinen deutlich ernster genommen als multinationale Konzerne. Manchmal sogar zu sehr: Auch wenn es inzwischen etwas abgeklungen ist, sieht man gelegentlich noch Firmen, die absurde Datenrichtlinien erzwingen, weil sie fälschlicherweise glauben, das sei für die Compliance nötig.
Umgekehrt sind europäische Unternehmen meist kleiner, daher fallen auch die Bußgelder niedriger aus und schaffen es seltener in die Schlagzeilen. Deshalb hört man nicht oft davon, obwohl es weiterhin Strafen gegen europäische Unternehmen gibt. Ehrlich gesagt bekommen wir meistens nur die riesigen Bußgelder mit.
Für ein Urteil eines einzelnen Landes ist das Bußgeld ziemlich hoch. Etwa 2,6 % des Jahresumsatzes, also ungefähr zehn Tage.
Ich sage absichtlich Twitter und nicht X Corp, weil Musk in einer notorisch schlechten Entscheidung alle Leute bei Twitter Ireland entlassen hat, die für Compliance zuständig waren. Zu den Anforderungen gehörte offenbar auch, dass alle Feature-Releases vom irischen Team geprüft werden sollten, um Verstöße gegen EU-Datenschutzrecht zu vermeiden. Musk hat das bei keiner der Änderungen gemacht, die er nach der fremdfinanzierten Übernahme eingeführt hat.
Wann hören die Sessel-CEOs endlich auf, Dinge zu sagen wie „lol, x ist nur ein Rundungsfehler gegenüber y Umsatz“? Glauben die, 345 Millionen Euro wachsen auf Bäumen?
Zusätzlich zum Bußgeld sollte man sie für ein paar Monate in die Penalty Box stecken. Also etwa so, dass sie in dieser Gerichtsbarkeit für eine bestimmte Zeit nicht geschäftlich tätig sein dürfen.
Als Anfangsstrafe statt eines Verbots ist das ein guter Start, und genau diese Richtung fordere ich schon länger.
Wenn sie wiederholt die Privatsphäre der Nutzer verletzen, sollten die Bußgelder auf mehrere Milliarden Dollar steigen. Bei Facebook gab es dafür bereits einen Präzedenzfall.
Große Unternehmen haben keine Ausrede, mit so etwas davonzukommen, und jedes Social-Media-Unternehmen mit Hunderten Millionen Nutzern oder mehr sollte bestraft werden, wenn es die Privatsphäre der Nutzer so verletzt wie TikTok. Keine Ausnahmen oder Ausreden mehr.
Am Ende ist TikTok, wenn es um den Umgang mit der Privatsphäre seiner Nutzer geht, nicht anders als Meta.
Gemessen an der Gesamtgröße scheint das kein großer Betrag zu sein. Ein vergleichsweise härteres Bußgeld wäre wohl in Ordnung gewesen, aber vielleicht kenne ich nicht alle Details.
Es scheint auch sehr wahrscheinlich, dass der Betrag nach Abschluss der juristischen Auseinandersetzungen deutlich niedriger ausfällt.
Wohin geht das Geld?
Wenn man die Antwort nicht kennt, sollte man keine Fiktion erfinden und sie als Tatsache darstellen.