Es hat lange gedauert, aber endlich wurde festgestellt, dass TikTok im Zusammenhang mit der Verarbeitung von Kinderdaten gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verstößt. Gemäß der heute von der irischen Datenschutzkommission (DPC) erlassenen Entscheidung wurde die Video-Sharing-Plattform gerügt und mit einer Geldstrafe von 345 Millionen Euro (~379 Millionen US-Dollar) belegt. Darüber hinaus wurde es angewiesen, die beanstandete Datenverarbeitung innerhalb von drei Monaten in Ordnung zu bringen.
Insgesamt wurde festgestellt, dass TikTok gegen die folgenden acht Artikel der DSGVO verstoßen hat: 5(1)(a); 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); und 13(1)(e) – auch bekannt als Verstöße gegen die Rechtmäßigkeit, Fairness und Transparenz der Datenverarbeitung; Datenminimierung; Datensicherheit; Verantwortung des Verantwortlichen; Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen; und das Recht der betroffenen Person (einschließlich Minderjähriger), klare Mitteilungen über die Datenverarbeitung zu erhalten; und auf Auskunft über die Empfänger Ihrer personenbezogenen Daten. Es handelt sich also um eine lange Liste von Mängeln.
In der Entscheidung wurde kein Verstoß in Bezug auf die von TikTok verwendeten Methoden zur Altersüberprüfung festgestellt, was bei einer Reihe regionaler Regulierungsbehörden zu einem Streitpunkt für das Unternehmen geführt hat. Die irische Aufsichtsbehörde stellt jedoch fest, dass in der Entscheidung tatsächlich ein Verstoß gegen Artikel 24 Absatz 1 festgestellt wird. der DSGVO – da festgestellt wurde, dass TikTok keine geeigneten technischen und organisatorischen Maßnahmen umgesetzt hat, da bestimmte Risiken für unter 13-Jährige, die Zugang zur Plattform erhielten, nicht ordnungsgemäß berücksichtigt wurden, da die Standardkontoeinstellung es jedem (auf oder außerhalb von TikTok) ermöglichte, soziale Netzwerke anzusehen Medieninhalte, die von diesen Benutzern gepostet wurden.
Es wurde festgestellt, dass die zu diesem Zeitpunkt von TikTok implementierten Einstellungen es Kindern ermöglichten, den Anmeldevorgang so durchzuführen, dass ihre Konten standardmäßig auf öffentlich eingestellt waren. „Dies bedeutete auch, dass beispielsweise Videos, die auf dem Konto von Kinderbenutzern gepostet wurden, standardmäßig öffentlich waren, Kommentare standardmäßig öffentlich aktiviert waren und die Funktionen „Duett“ und „Stitch“ standardmäßig aktiviert waren“, stellt der DPC fest.
Das Konto eines Kindes könnte auch mit einem nicht verifizierten Nicht-Kind-Benutzer „gepaart“ werden – über eine sogenannte „Family Pairing“-Funktion – TikTok hat jedoch nicht überprüft, ob der Benutzer war tatsächlich der Elternteil oder Erziehungsberechtigte des untergeordneten Benutzers. Der Nicht-Kind-Benutzer könnte die Funktion nutzen, um Direktnachrichten für Kinder über 16 Jahren zu aktivieren – „wodurch diese Funktion für den Kinderbenutzer weniger streng wird“, heißt es in den Feststellungen des DPC.
Als Reaktion auf die Entscheidung schickte uns ein TikTok-Sprecher diese Erklärung:
Wir sind mit der Entscheidung, insbesondere der Höhe des verhängten Bußgeldes, aus Respekt nicht einverstanden. Die Kritik des DPC konzentriert sich auf Funktionen und Einstellungen, die vor drei Jahren eingeführt wurden und an denen wir lange vor Beginn der Untersuchung Änderungen vorgenommen haben, wie z. B. die standardmäßige Einstellung aller Konten unter 16 Jahren auf „privat“.
TikTok teilte uns außerdem mit, dass es angesichts der Sanktion über die nächsten Schritte nachdenkt. Daher könnte die Plattform versuchen, in Irland Rechtsbehelf einzulegen.
In einer längeren Antwort, die auf ihrer Website veröffentlicht wurde, erläuterte Elaine Fox, Leiterin für Datenschutz bei TikTok in Europa, die Maßnahmen, die das Unternehmen ihrer Meinung nach ergriffen hatte, um Sicherheitsbedenken auszuräumen, bevor die Untersuchung des DPC begann, wie beispielsweise die Privatisierung von Konten von Nutzern im Alter von 13 bis 15 Jahren Standard.
Sie behauptete auch, dass TikTok im Jahr 2021 das erste Unternehmen sei („und bleiben[s] „Die einzige“ große Plattform, die die Anzahl der von ihr entfernten mutmaßlich minderjährigen Konten öffentlich bekannt gibt. „Wir veröffentlichen dies vierteljährlich Berichte zur Durchsetzung von Community-Richtlinien und in den ersten drei Monaten des Jahres 2023 haben wir entfernt fast 17 Millionen Solche Konten weltweit“, schrieb sie und fügte hinzu: „Die Alterssicherung ist eine branchenweite Herausforderung. Wir werden weiterhin mit Regulierungsbehörden und anderen Experten zusammenarbeiten, um neue Lösungen zu finden, die unsere Bemühungen, minderjährige Benutzer von der Plattform fernzuhalten, weiter verstärken.“
Laut Blogbeitrag hat TikTok mehr als 134 Millionen monatlich aktive Nutzer in der gesamten Europäischen Union.
Standardmäßig unsicher
Die TikTok-Untersuchung des DPC zu Kinderdaten konzentrierte sich auf einen Zeitraum von fünf Monaten (31. Juli 2020 bis 31. Dezember 2020) und untersuchte, ob TikTok seinen Verpflichtungen aus der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten von minderjährigen Nutzern der Plattform nachgekommen ist im Zusammenhang mit bestimmten Plattformeinstellungen (einschließlich öffentlicher Standardeinstellungen und Einstellungen im Zusammenhang mit der oben genannten Funktion „Familienpaarung“); sowie die Prüfung der Altersverifizierung im Rahmen des Registrierungsprozesses.
Das DPC befasste sich auch mit „bestimmten“ Transparenzpflichten, einschließlich der Art und Weise, wie minderjährigen Benutzern Informationen in Bezug auf Standardeinstellungen bereitgestellt werden.
In seinen vorläufigen Feststellungen (Entscheidungsentwurf) wurden etwas weniger Verstöße gegen die DSGVO festgestellt, als in der heutigen endgültigen Entscheidung bestätigt wurden. Gegen den Entscheidungsentwurf erhoben jedoch zwei andere Behörden (die italienische Datenschutzbehörde und die Berliner Behörde) Einwände, und die Meinungsverschiedenheit wurde dem Europäischen Datenschutzausschuss (EDPB) übergeben, der eine verbindliche Entscheidung treffen sollte – die sich einig war, dass auch ein Verstoß festgestellt werden sollte des Fairnessprinzips der DSGVO. Der Ausschuss ordnete Irland außerdem an, den Geltungsbereich der Anordnung, um die Verarbeitung in Einklang zu bringen, auf die Abhilfemaßnahmen auszudehnen, die zur Behebung des Verstoßes gegen die Lauterkeit erforderlich sind.
Die endgültige Entscheidung des DPC wurde am 1. September 2023 angenommen – was darauf hindeutet, dass TikTok bis Anfang Dezember Zeit hat, seine DSGVO-Konformität zu korrigieren oder weitere Sanktionen zu riskieren.
Obwohl das Unternehmen behauptet, es habe den Großteil der Probleme, für die heute Sanktionen verhängt werden, bereits behoben – daher sein „besonderer“ Einwand gegen die Höhe der Geldbuße.
Die britische Datenschutzbehörde ICO verhängte Anfang des Jahres eine eigene Strafe gegen TikTok – auch im Zusammenhang mit dem Umgang mit Kinderdaten – und verhängte eine Geldstrafe von ca. unter anderem, weil es nicht gelungen sei, schätzungsweise 1,4 Millionen minderjährige Nutzer am Zugriff auf die Plattform zu hindern.
Im vergangenen Jahr wurde in der EU auch im Zusammenhang mit Datenschutzverstößen, die Kinder betreffen, gegen das zu Meta gehörende Unternehmen Instagram ein höheres DSGVO-Bußgeld verhängt. In diesem Fall wurde der Technologieriese am Ende einer DPC-Untersuchung, die bereits im Oktober 2020 begann, mit einer Sanktion in Höhe von 405 Millionen Euro belegt.
Sanktionen im Zusammenhang mit Bedenken hinsichtlich des Schutzes von Kindern gehören nach wie vor zu den schwersten Strafen, die die europäischen Datenschutzbehörden in den letzten Jahren verhängt haben. Obwohl die Summen, um die es geht, immer noch weit von der bisher größten DSGVO-Sanktion entfernt sind: einer Strafe von 1,2 Milliarden Euro für die illegalen Datentransfers von Meta.
Für TikTok dürfte das jedoch kein großer Trost sein, da die eigenen Datenexporte in der EU weiterhin untersucht werden. Der stellvertretende Kommissar des DPC, Graham Doyle, erklärte gegenüber Tech, dass man hofft, bis Ende des Jahres einen Entscheidungsentwurf zu dieser zweiten TikTok-Untersuchung, die sich auf Datenübertragungen konzentriert, anderen regionalen Datenschutzbehörden zur Prüfung vorlegen zu können. (Eine endgültige Entscheidung dürfte daher im Jahr 2024 fallen – der genaue Zeitpunkt hängt davon ab, ob andere Behörden mit den vorläufigen Ergebnissen Irlands nicht einverstanden sind.)
Der EDSA wurde aufgefordert, seit Inkrafttreten der Verordnung verbindliche Entscheidungen zu einer Reihe von von Irland geführten DSGVO-Untersuchungen zu Big Tech zu treffen. In allen Fällen wurden die daraus resultierenden Sanktionen durch das Eingreifen des Ausschusses verschärft – manchmal erheblich und oft sowohl im Hinblick auf die Höhe der verhängten Geldstrafen als auch auf den Umfang der festgestellten Verstöße.
Handlungsdruck
Die irische Aufsichtsbehörde hat vor zwei Jahren die beiden oben genannten TikTok-Untersuchungen zu Datenübertragungen und die Untersuchung im Zusammenhang mit der heutigen Entscheidung über die Verarbeitung von Daten Minderjähriger eingeleitet. Der Schritt folgte dem Druck anderer EU-Datenschutzbehörden und Verbraucherschutzgruppen, die Bedenken darüber geäußert hatten, wie die Plattform mit Benutzerdaten im Allgemeinen und mit Informationen von Kindern im Besonderen umgeht.
Anfang desselben Jahres ergriff die italienische Datenschutzbehörde Sofortmaßnahmen gegen TikTok wegen Bedenken hinsichtlich der Sicherheit von Kindern. Ihre Interventionen führten dazu, dass die Plattform das Alter jedes Benutzers im Land erneut überprüfte und über eine halbe Million Konten löschte, bei denen nicht überprüft werden konnte, ob sie nicht Minderjährigen unter 13 Jahren gehörten.
Ungefähr zu dieser Zeit hissten die EU-Verbraucherschutzbehörden auch eine Reihe von Warnsignalen wegen Datenschutz- und Kindersicherheitsbedenken. Es dauerte jedoch noch einige Monate, bis die irische Regulierungsbehörde ihre Untersuchung ankündigte.
Die schleppende Reaktion auf Bedenken hinsichtlich der Sicherheit von Kindern, die sich aus der Nutzung von TikTok durch Kinder ergeben, trug dazu bei, dass DPC-Kommissarin Helen Dixon während einer Anhörung im Europäischen Parlament Anfang des Jahres mit feindseligen Fragen von Abgeordneten konfrontiert wurde. EU-Gesetzgeber äußerten auch umfassendere Bedenken hinsichtlich des Ansatzes der Regulierungsbehörde und fragten sich, ob die irische Regulierungsbehörde der Aufgabe gewachsen sei, die DSGVO auf großen Technologieplattformen durchzusetzen.
Dixon reagierte mit einer energischen Verteidigung dessen, was ihrer Meinung nach eine „geschäftige Durchsetzung der DSGVO“ durch die irische Behörde sei. Insbesondere auf TikTok behauptete sie, dass das DPC angesichts der großen Mengen an untersuchtem Material so schnell wie möglich arbeite.