Das Vereinigte Königreich könnte sich darauf vorbereiten, eine Handvoll Technologieunternehmen mit Vollstreckungsanordnungen (und möglicherweise Bußgeldern) im Zusammenhang mit einem Online-Datenschutz- und Sicherheitskodex für Kinder zu treffen, der seit einem Jahr in Kraft ist.
„Das ICO prüft derzeit, wie über 50 verschiedene Online-Dienste mit dem Kodex konform sind, wobei vier Ermittlungen laufen. Wir haben auch neun Organisationen geprüft und bewerten derzeit ihre Ergebnisse“, sagte der Datenschutzbeauftragte in a Blogeintrag gestern anlässlich des einjährigen Jubiläums des Inkrafttretens des Kodex.
Der Telegraphdas ein Interview mit dem Informationskommissar John Edwards – der das Information Commissioner’s Office (ICO) leitet – in der heutigen Zeitung geführt hat, berichtet, dass zwei der vier untersuchten Social-Media- und Technologieunternehmen bekannte Namen sind.
In seinen Berichten heißt es, dass Entscheidungen des ICO über die Anklageerhebung voraussichtlich innerhalb von Wochen bekannt gegeben werden.
„Dieser Kodex macht deutlich, dass Kinder online nicht wie Erwachsene sind und ihre Daten stärker geschützt werden müssen“, sagte Edwards dem Telegraph. „Wir werden unsere Durchsetzungsbefugnisse dort einsetzen, wo sie erforderlich sind.“
Die fraglichen Unternehmen wurden nicht genannt – weder von der Zeitung noch vom ICO – aber im vergangenen November schrieb der Watchdog an Apple und Google, nachdem Bedenken geäußert worden waren, wie die beiden Apps in ihren jeweiligen mobilen App-Stores bewerten, um festzustellen, welche Altersfreigaben sie gelten.
Das ICO beschrieb seine Reichweite damals als „Beweissammlungsprozess zur Feststellung der Einhaltung des Kodex“ – obwohl abzuwarten bleibt, ob die beiden Technologiegiganten zu den vier Unternehmen gehören, die einer möglichen Durchsetzung ausgesetzt sind, oder ob sie nur zu der größeren Gruppe gehören deren Einhaltung der Wachhund beobachtet hat.
„Leider können wir die Unternehmen derzeit aufgrund laufender Ermittlungen nicht nennen“, bestätigte eine Sprecherin des ICO auf die Frage, ob es weitere Details geben könne.
Das ICO veröffentlichte den Kinderkodex erstmals im Jahr 2020. Er enthält 15 Standards für das, was als „altersgerechtes Design“ bezeichnet wird – im Wesentlichen handelt es sich um eine Reihe von Designempfehlungen für Webdienste, auf die Kinder wahrscheinlich zugreifen werden, die Empfehlungen wie das Einstellen von High enthalten Datenschutzstandards und der Verzicht auf schwerfällige Engagement-Taktiken, die Kinder ungesund an der Nutzung eines digitalen Dienstes festhalten könnten.
Das übergeordnete Ziel des Kodex besteht darin, Plattformen dazu zu ermutigen, Kinder vor dem Zugriff auf unangemessene Inhalte zu schützen und zu verhindern, dass sie kommerziell durch Data-Mining erfasst werden, obwohl das ICO personenbezogene Daten (und nicht Inhalte) regelt – die letztere Verantwortung wird Ofcom im Rahmen des Incoming Online zufallen Safety Bill (unter der Annahme eines weiteren Wechsels des britischen Premierministers führt dies nicht zu einem gesetzgeberischen Umdenken an dieser Front).
Diese Aufteilung der regulatorischen Verantwortlichkeiten hat zu einigen Reibereien bei Aktivisten für die Sicherheit von Kindern geführt, die zwar den Kodex unterstützen – und in der Tat sogar noch mehr als das im Fall von Vorsitzende und Life Peer von 5 Rights, Baroness Kidrondie ein grundlegender Treiber für die Annahme der Standards war (und weiterhin von ihrem Sitz im House of Lords aus auf Änderungen drängt) – haben sich über „Lücken“ beschwert, während sie darauf warten, dass inhaltsorientierte Sicherheitsgesetze ihren Weg durch das Parlament finden .
Das ICO wurde daher unter Druck gesetzt, auch Websites für Erwachsene zu prüfen – dh indem verlangt wird, dass auch Pornoseiten den Kodex einhalten – und nicht nur die Arten von Spielen und Social-Media-Apps zu prüfen, die bei Kindern am offensichtlichsten beliebt sind.
Altersprüfung für Pornoseiten?
Der übergreifende Vorstoß von Aktivisten für Kindersicherheit besteht darin, Websites für Erwachsene dazu zu zwingen, strenge Altersüberprüfungen durchzuführen, um zu verhindern, dass Kinder auf Online-Pornografie zugreifen – also im Grunde eine Wiederbelebung einer obligatorischen Altersüberprüfung für Pornoseiten, die seit Jahren vom britischen Gesetzgeber gefordert wird – die meisten wurde kürzlich (Anfang dieses Jahres) als (andere) Ergänzung zum Online-Sicherheitsgesetz wiederbelebt, nachdem ein eigenständiges Altersüberprüfungssystem 2019 fallen gelassen wurde, nachdem es kritisiert wurde, dass es nicht praktikabel sei.
Aktivisten könnten an dieser Front endlich den Sieg wittern, über das Online-Sicherheitsgesetz, wie die Regierung im Februar sagte, dass sie den Einsatz von „Altersverifizierungstechnologien“ auf Websites für Erwachsene vorschreiben wird, um es Kindern zu erschweren, auf Pornografie zuzugreifen oder darüber zu stolpern. Aber sie sitzen offensichtlich nicht auf ihren Händen und warten auf die Verabschiedung dieses Gesetzes – nicht, wenn der Kinderkodex und das britische Datenschutzgesetz bereits existieren, die sie nutzen können …
Und in einer damit zusammenhängenden Änderung seines Ansatzes, die gestern angekündigt wurde, hat sich das ICO dem Druck gebeugt, seine Auslegung des Kodex auf pornografische Websites auszudehnen – oder zumindest auf solche, die „wahrscheinlich“ von Kindern aufgerufen werden (was auch immer das heißt) – und schrieb in seinem Blogbeitrag: „Wir haben… unsere Position überarbeitet, um klarzustellen, dass Dienste nur für Erwachsene in den Geltungsbereich des Kinderkodex fallen, wenn sie wahrscheinlich von Kindern genutzt werden.“
Laut ICO folgt diese Entwicklung bei der Anwendung des Kodex Petitionen von Kinderschutzaktivisten und anderen, die vor dem Risiko von „Datenschutzschäden“ warnen, wenn Kinder auf Pornoseiten zugreifen.
„Wir werden unseren Ansatz weiterentwickeln und anderen zuhören, um sicherzustellen, dass der Kodex die maximale Wirkung erzielt“, heißt es weiter. „Zum Beispiel haben wir eine zunehmende Menge an Untersuchungen (von NSPCC, 5Rights, Microsoft und British Board of Film Classification) gesehen, dass Kinder wahrscheinlich auf Dienste nur für Erwachsene zugreifen und dass diese den Datenschutz gefährden, wobei Kinder verlieren Kontrolle über ihre Daten oder manipuliert werden, um mehr Daten zu geben, zusätzlich zu Inhaltsschäden.“
Diese Anwendungsänderung bedeutet (kann) keine Ausweitung dessen, was das ICO regelt, auf Inhalte selbst. („Wir regulieren keine Inhalte“, bestätigte die Sprecherin. „Wir regulieren, wie personenbezogene Daten von Kindern verwendet oder verarbeitet werden, damit Inhalte Kindern bereitgestellt werden können. Es ist der Schritt, bevor Kinder die Inhalte sehen.“)
Es ist jedoch klar, dass die Datenerfassungsgewohnheiten von Pornoseiten nicht das Hauptanliegen von Kinderschutzaktivisten sind – eher, ja, der Inhalt – aber wenn Aktivisten die Datenschutzregeln von Kindern nutzen können, um Pornoseiten zu zwingen, Altersüberprüfungen durchzuführen, schauen sie auch nicht hin pingelig.
In einer Erklärung, in der die Überarbeitung des ICO begrüßt wird, um Websites nur für Erwachsene in den Geltungsbereich des Kodex aufzunehmen, sagte die Aktionsgruppe für Kindersicherheit, die 5Rights Foundation:
„Der UK Age Appropriate Design Code gilt für alle Dienste, auf die wahrscheinlich Personen unter 18 Jahren zugreifen, auch wenn sie nicht für Kinder bestimmt sind. Durch seine Ermittlungsarbeit, die letztes Jahr beim ICO eingereicht wurde, hat 5Rights aufgedeckt, dass Websites, einschließlich Glücksspiel-, Dating- und Pornografieseiten, von Kindern aufgerufen werden und den Kodex nicht einhalten, insbesondere die Erstellung von Profilen für Kinder, um schädliches Material zu liefern.“
„Die Ankündigung des ICO zu Websites nur für Erwachsene wird den Unternehmen die dringend benötigte Klarheit verschaffen, die glauben, dass sie über das Gesetz hinausgehen“, fügte Duncan McCann, Leiter der Politikumsetzung, in einer weiteren unterstützenden Erklärung hinzu. „Sie werden keine grauen Linien mehr haben, die sie ausnutzen können, und wir hoffen, dass diese Entwicklung dazu beitragen wird, das Online-Leben junger Menschen weiter zu verbessern.“
Obwohl der britische Kinderkodex selbst nicht rechtlich bindend ist, ist er an die umfassenderen Datenschutzbestimmungen des Landes angehängt – zu denen das Datenschutzgesetz und die DSGVO des Vereinigten Königreichs gehören – und ICO-Anleitungen weist darauf hin, dass geltende Online-Dienste die Standards „befolgen müssen“, um „sicherzustellen, dass sie ihren datenschutzrechtlichen Verpflichtungen zum Schutz der Daten von Kindern im Internet nachkommen“.
Gemäß der DSGVO verfügt das ICO über umfassende Befugnisse zur Durchsetzung von Datenschutzverletzungen – mit der Möglichkeit, Verletzer mit einer Geldstrafe von bis zu 4 % ihres weltweiten Jahresumsatzes (oder bis zu 17,5 Mio. £, je nachdem, welcher Betrag höher ist) zu belegen. Der Subtext hier lautet also im Grunde „den Kodex einhalten oder eine Durchsetzung auf DSGVO-Ebene riskieren“ – was dem ICO einen großen Knüppel gibt, um digitale Dienste im Geltungsbereich zu ermutigen, Goldplating-Regeln anzuwenden, die in einem altersgeschützten Internet enden könnten, denn wer weiß Auf welche anderen Dienste könnten Kinder „wahrscheinlich“ zugreifen?
Auf die Frage, wie Websites für Erwachsene einschätzen sollten, ob Kinder wahrscheinlich auf ihre Dienste zugreifen, antwortete die Sprecherin des ICO: „Dienste müssen für ihre Entscheidungen verantwortlich sein und in der Lage sein, Beweise zu liefern, um ihre Ansichten darüber zu untermauern, ob wahrscheinlich auf sie zugegriffen wird Kinder. Um festzustellen, ob sie in den Geltungsbereich des Kodex fallen, müssen Dienste für Erwachsene verstehen, wer ihre Nutzer sind, und feststellen, ob Kinder eine erhebliche Anzahl dieser Nutzer ausmachen. Zu diesem Zweck könnten Online-Dienste Nachforschungen über ihre Benutzer anstellen, akademische Forschung überprüfen oder Marktforschung in Auftrag geben, die Arten von Inhalten und Aktivitäten, an denen Kinder interessiert sind, und die Attraktivität ihrer Dienste für Kinder berücksichtigen; oder überlegen Sie, ob Kinder ähnliche Dienste mögen.“
Der Satz „Verstehe, wer ihre Benutzer sind, und identifiziere, ob Kinder eine erhebliche Anzahl dieser Benutzer ausmachen“ leistet in diesem Satz viel Arbeit – obwohl das ICO die Verwendung von Altersverifizierungstechnologie nicht ausdrücklich als eine Möglichkeit vorgeschlagen hat Service, um festzustellen, ob es in den Geltungsbereich des Kodex fällt. Das kommt als nächstes…
„Wenn Kinder wahrscheinlich auf einen Online-Dienst nur für Erwachsene zugreifen, muss der Dienst Maßnahmen ergreifen, um den Zugriff von Kindern auf den Dienst einzuschränken, z. risikobasierte Methode zum Schutz der Privatsphäre von Kindern im Internet“, sagte uns die Sprecherin des ICO und fügte hinzu: „Es ist äußerst wichtig, sich online um Kinder zu kümmern und sie nicht so zu behandeln wie Erwachsene. Es ist ein langfristiger, transformativer Prozess, den Kinderkodex einzubetten, aber wir sehen immer mehr Veränderungen, die gut für Kinder sind, es der Online-Branche ermöglichen, innovativer zu sein, und es ist das Richtige.“
Der Blogbeitrag des ICO stellt auch fest, dass die (Datenschutz-)Regulierung mit Ofcom (der Regulierungsbehörde für eingehende Inhalte) und dem Ministerium für Digitales, Kultur, Medien und Sport (DCMS) zusammenarbeiten wird, um „festzustellen, wie der Kodex in der Praxis in Bezug auf Erwachsene funktioniert -nur Dienstleistungen und was sie erwarten sollten“. Erwarten Sie also eine weitere „Evolution“ der Implementierung, wenn mehr Teile der digitalen Regulierungsstrategie des Vereinigten Königreichs landen (oder, nun ja, wegfallen).
Das ICO nimmt bereits Anerkennung an für eine Reihe von Richtlinienänderungen, die von großen Plattformen auf Kinderkonten angewendet wurden, darunter Facebook, Instagram, YouTube, Google und Nintendo, im vergangenen Jahr – wie die Meta-eigenen Plattformen, die das Targeting auf Alter, Geschlecht und Standort für unter 18-Jährige beschränken ; und YouTube deaktiviert standardmäßig die automatische Wiedergabe und aktiviert standardmäßig Pausen- und Schlafenszeiterinnerungen für Google-Konten für unter 18-Jährige, um zwei der Aktionen zu nennen, die es kennzeichnet.
Dem britischen Kodex wurde auch zugeschrieben, dass er ähnliche politische Schritte in anderen Gerichtsbarkeiten gefördert hat – Berichten zufolge inspirierte er ein kalifornisches Gesetz, das erst diese Woche vom Gesetzgeber verabschiedet wurde (und wird, wenn es gesetzlich unterzeichnet wird, ein ähnliches Schutzpaket für unter 18-Jährige anwenden im Bundesstaat), neben einer Reihe anderer gesetzlicher Maßnahmen zum Schutz von Kindern im Internet.