„Unsere vorgeschlagene Anordnung erleichtert es Eltern, die Privatsphäre ihrer Kinder auf der Xbox zu schützen, und schränkt ein, welche Informationen Microsoft über Kinder sammeln und speichern kann. Diese Maßnahme sollte auch deutlich machen, dass die Avatare, biometrischen Daten und Gesundheitsinformationen von Kindern nicht von COPPA ausgenommen sind“, sagte er Samuel LevineDirektor des Büros für Verbraucherschutz der FTC.
Microsoft muss den Datenschutz für Kinder verbessern
Im Rahmen einer vorgeschlagenen Anordnung der Justizministerium (DoJ) im Auftrag der FTC muss Microsoft mehrere Schritte unternehmen, um den Datenschutz für Kinder zu verbessern, die auf sein Xbox-System zugreifen.
Beispielsweise wird die Anordnung den COPPA-Schutz auf Dritt-Gaming-Herausgeber ausweiten, mit denen Microsoft Kinderdaten teilt. Darüber hinaus wird in der Anordnung auch erwähnt, dass aus dem Bild eines Kindes erstellte Avatare sowie biometrische und Gesundheitsinformationen alle unter die COPPA-Regel fallen, wenn sie zusammen mit anderen personenbezogenen Daten erfasst werden. Allerdings muss diese Anordnung vor ihrem Inkrafttreten von einem Bundesgericht genehmigt werden.
Gemäß der COPPA-Regel müssen Online-Dienste und Websites, die sich an Kinder unter 13 Jahren richten, die Eltern auch über die von ihnen erfassten personenbezogenen Daten informieren. Diese Plattformen müssen außerdem eine überprüfbare Zustimmung der Eltern einholen, bevor sie personenbezogene Daten von Kindern erfassen und verwenden.
XBox Live Datenerfassungsproblem des Dienstes
Mit den Xbox-Gaming-Produkten von Microsoft können Benutzer über den Xbox Live-Dienst mit anderen Spielern spielen und chatten. Um auf eine Xbox-Konsole auf Spiele zuzugreifen und diese zu spielen oder andere Xbox Live-Funktionen zu nutzen, müssen Benutzer ein Konto erstellen, das die Angabe persönlicher Daten einschließlich ihres Vor- und Nachnamens, ihrer E-Mail-Adresse sowie ihres Geburtsdatums erfordert.
In der vom Justizministerium eingereichten Beschwerde wird darauf hingewiesen, dass ein Benutzer, selbst wenn er angab, unter 13 Jahre alt zu sein, aufgefordert wurde, zusätzliche persönliche Informationen, einschließlich einer Telefonnummer, anzugeben und der Servicevereinbarung und Werberichtlinie von Microsoft bis Ende 2021 zuzustimmen. Der Beschwerde zufolge Bis 2019 enthielt die Registrierungsseite ein vorab aktiviertes Kontrollkästchen, das es Microsoft ermöglichte, Werbenachrichten zu versenden und Benutzerdaten mit Werbetreibenden zu teilen.
Microsoft verlangte von allen Personen, die angaben, unter 13 Jahre alt zu sein, die Einbeziehung ihrer Eltern erst, nachdem diese Benutzer ihre persönlichen Daten angegeben hatten. Das Unternehmen erlaubte dann den Eltern dieser Kinderbenutzer, den Kontoerstellungsprozess abzuschließen, bevor sie den Kindern ihre Konten anboten.
In der Beschwerde heißt es, dass Microsoft von 2015 bis 2020 die Daten (manchmal über Jahre hinweg) aufbewahrte, die es während des Kontoerstellungsprozesses von Kindern gesammelt hatte, selbst wenn ein Elternteil den Prozess nicht abgeschlossen hatte. COPPA verbietet die Speicherung personenbezogener Daten von Kindern länger als es zur Erfüllung des Zwecks, für den sie erfasst wurden, vernünftigerweise erforderlich ist.
Nachdem ein Kind ein Konto erstellt hat, kann es ein Profil erstellen, das seinen „Gamertag“ enthält. Dies ist die primäre Kennung, die für den Benutzer und andere Xbox Live-Benutzer sichtbar ist. Benutzer können auch ein Bild hochladen oder einen Avatar hinzufügen, bei dem es sich um eine Figur oder ein Bild handelt, das den Benutzer darstellt.
In der Beschwerde wird Microsoft vorgeworfen, diese Informationen mit einer eindeutigen dauerhaften Kennung zu kombinieren, die für jeden Kontoinhaber, auch für Kinder, erstellt wird. Das Unternehmen soll diese Informationen auch an Drittentwickler von Spielen und Apps weitergegeben haben.
Microsoft erlaubt außerdem allen Benutzern, einschließlich Kindern, standardmäßig Spiele und Apps von Drittanbietern zu spielen, während sie Xbox Live verwenden. Allerdings benötigen minderjährige Nutzer die Zustimmung der Eltern, um zusätzliche Schritte zur Abmeldung zu unternehmen, wenn sie nicht möchten, dass ihre Kinder darauf zugreifen.
Das Unternehmen hat die Benachrichtigungsbestimmungen der COPPA nicht vollständig eingehalten, da es angeblich nicht alle gesammelten Informationen, wie etwa das Profilbild eines Kindes, an die Eltern weitergegeben hat.
Weitere Änderungen, die Microsoft vornehmen muss
Abgesehen von der Geldstrafe muss Microsoft im Rahmen der vorgeschlagenen Anordnung auch einige andere Änderungen vornehmen. Das Unternehmen muss Eltern, die für ihr Kind kein separates Konto erstellt haben, darüber informieren, dass dies standardmäßig zusätzlichen Datenschutz für ihr Kind bietet.
Auch für Konten, die vor Mai 2021 erstellt wurden, muss Microsoft die Zustimmung der Eltern einholen, wenn der Kontoinhaber noch ein Kind ist. Das Unternehmen muss außerdem Systeme einrichten und aufrechterhalten, um alle personenbezogenen Daten, die es von Kindern erfasst, um die Zustimmung der Eltern einzuholen, innerhalb von zwei Wochen zu löschen.
Microsoft muss Videospiel-Herausgeber außerdem darüber informieren, dass es sich bei dem Benutzer um ein Kind handelt, wenn es personenbezogene Daten von Kindern preisgibt. Dies erfordert, dass die Verlage die COPPA-Schutzmaßnahmen auf dieses Kind anwenden.