Es hat lange gedauert, aber endlich wurde festgestellt, dass TikTok im Zusammenhang mit dem Umgang mit Kinderdaten gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verstößt. Laut der heute von der irischen Datenschutzkommission (DPC) erlassenen Entscheidung wurde die Video-Sharing-Plattform gerügt und mit einer Geldstrafe von 345 Millionen Euro (~379 Millionen US-Dollar) belegt. Es wurde außerdem angewiesen, der Verarbeitung rechtsverletzender Daten innerhalb von drei Monaten nachzukommen.
Insgesamt wurde festgestellt, dass TikTok gegen die folgenden acht Artikel der DSGVO verstoßen hat: 5(1)(a); 5(1)(c); 5(1)(f); 24(1); 25(1); 25(2); 12(1); und 13(1)(e), auch bekannt als Verstöße gegen die Rechtmäßigkeit, Fairness und Transparenz der Datenverarbeitung; Datenminimierung; Datensicherheit; Verantwortung des Behandlungsteams; Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen; und das Recht der interessierten Partei (einschließlich Minderjähriger), klare Mitteilungen über die Datenverarbeitung zu erhalten; und erhalten Auskunft über die Empfänger Ihrer personenbezogenen Daten. Es ist also eine lange Liste von Misserfolgen.
In der Entscheidung wurde kein Verstoß in Bezug auf die von TikTok zur Altersüberprüfung verwendeten Methoden festgestellt, was für mehrere regionale Regulierungsbehörden ein Knackpunkt war. Die irische Aufsichtsbehörde stellt jedoch fest, dass in der Entscheidung ein Verstoß gegen Artikel 24 (1) festgestellt wird die DSGVO, da festgestellt wurde, dass TikTok es versäumt hat, geeignete technische und organisatorische Maßnahmen zu ergreifen, da bestimmte Risiken für Minderjährige unter 13 Jahren, die sich Zugang zur Plattform verschafften, nicht angemessen berücksichtigt wurden, da die Standard-Kontoeinstellungen es erlaubten, dass jeder (innerhalb) oder außerhalb von TikTok) könnten die von diesen Benutzern veröffentlichten sozialen Netzwerke und Multimedia-Inhalte sehen.
Es wurde festgestellt, dass die damals von TikTok implementierten Einstellungen es Kindern ermöglichten, den Registrierungsprozess so zu durchlaufen, dass ihre Konten standardmäßig auf öffentlich eingestellt waren. „Dies bedeutete auch, dass beispielsweise Videos, die auf Kinderbenutzerkonten gepostet wurden, standardmäßig öffentlich waren, Kommentare standardmäßig öffentlich aktiviert waren, ebenso wie die Funktionen ‚Duett‘ und ‚Stitch‘“, stellt die DPC fest.
Das Konto eines Kindes könnte auch über eine Funktion namens „Family Matching“ mit einem nicht verifizierten Nicht-Kind-Benutzer „abgeglichen“ werden. TikTok überprüfte jedoch nicht, ob der Benutzer tatsächlich der Elternteil oder Erziehungsberechtigte des untergeordneten Benutzers war. Der Nicht-Kind-Benutzer könnte die Funktion nutzen, um Direktnachrichten für Kinder über 16 Jahre zu ermöglichen, „wodurch diese Funktion für den Kinderbenutzer weniger streng wird“, so die Erkenntnisse des DPC.
Als Reaktion auf die Entscheidung übermittelte ein TikTok-Sprecher folgende Erklärung: „Wir stimmen der Entscheidung respektvoll nicht zu, insbesondere der Höhe der verhängten Geldbuße.“ Die Kritik des DPC konzentriert sich auf Funktionen und Einstellungen, die vor drei Jahren eingeführt wurden und bei denen wir lange vor Beginn der Untersuchung Änderungen vorgenommen haben, wie beispielsweise die standardmäßige Einstellung aller Konten unter 16 Jahren auf „privat“.
TikTok sagte außerdem, dass es angesichts der Sanktion über die nächsten Schritte nachdenke. Die Plattform könnte also versuchen, in Irland Rechtsmittel einzureichen.
In einer längeren Antwort, die auf ihrer Website veröffentlicht wurde, erläuterte Elaine Fox, Chief Privacy Officer von TikTok in Europa, Schritte, die das Unternehmen ihrer Meinung nach vor Beginn der DPC-Untersuchung unternommen hat, um Sicherheitsbedenken auszuräumen, wie beispielsweise die Einrichtung privater Konten von Benutzern zwischen 13 und 15 Jahren standardmäßig alt.
Er erklärte auch, dass TikTok im Jahr 2021 die erste (und auch weiterhin einzige) große Plattform sei, die öffentlich bekannt gegeben habe, wie viele verdächtige minderjährige Konten sie lösche. „Wir haben dies in unserem Quartalsbericht veröffentlicht Einhaltung der Community-Richtlinien und in den ersten drei Monaten des Jahres 2023 eliminieren wir fast 17 Millionen von Konten dieser Art weltweit“, schrieb er und fügte hinzu: „Die Alterssicherung ist eine branchenweite Herausforderung. „Wir werden weiterhin mit Regulierungsbehörden und anderen Experten zusammenarbeiten, um neue Lösungen zu finden, die unsere Bemühungen, minderjährige Benutzer von der Plattform fernzuhalten, weiter verbessern.“
Laut dem Blogbeitrag hat TikTok mehr als 134 millones Monatlich aktive Benutzer in der gesamten Europäischen Union.
Standardmäßig unsicher
Die Untersuchung der Daten von Kindern durch die DPC zu TikTok konzentrierte sich auf einen Zeitraum von fünf Monaten (31. Juli 2020 bis 31. Dezember 2020) und untersuchte, ob TikTok seinen Verpflichtungen aus der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten von minderjährigen Nutzern nachgekommen ist der Plattform im Zusammenhang mit bestimmten Plattformeinstellungen (einschließlich öffentlicher Standardeinstellungen und Einstellungen im Zusammenhang mit der oben genannten Funktion „Familienzuordnung“) sowie der Prüfung der Altersverifizierung im Rahmen des Registrierungsprozesses.
Das DPC befasste sich auch mit „bestimmten“ Transparenzpflichten, einschließlich der Art und Weise, wie minderjährigen Benutzern Informationen in Bezug auf Standardeinstellungen bereitgestellt werden.
Ihre vorläufigen Ergebnisse ergaben eine etwas geringere Anzahl von DSGVO-Verstößen, als in der heutigen endgültigen Entscheidung bestätigt wurde. Aber zwei andere Behörden, die italienische Datenschutzbehörde und die Regulierungsbehörde in Berlin, erhoben Einwände gegen ihren Entscheidungsentwurf und die Meinungsverschiedenheit wurde vom Europäischen Datenschutzausschuss (EDPB) gebilligt, um eine verbindliche Entscheidung zu treffen, die zustimmte, dass auch ein Verstoß festgestellt werden sollte des DSGVO-Fairnessprinzips. Das Board wies Irland außerdem an, den Anwendungsbereich der Anordnung zu erweitern, um die Verarbeitung konform zu machen und sich auf Abhilfemaßnahmen zu beziehen, die zur Behebung des Verstoßes gegen die Lauterkeit erforderlich sind.
Die endgültige Entscheidung des DPC wurde am 1. September 2023 angenommen und legt nahe, dass TikTok bis Anfang Dezember Zeit hat, seine DSGVO-Konformität zu korrigieren oder weitere Sanktionen zu riskieren.
Zwar argumentiert das Unternehmen damit, dass es die meisten Probleme, für die es heute sanktioniert wird, bereits gelöst habe, daher auch sein „besonderer“ Einwand gegen die Höhe der Geldbuße.
Die britische Datenschutzbehörde ICO verhängte Anfang des Jahres eine eigene Sanktion gegen TikTok, auch im Zusammenhang mit dem Umgang mit Kinderdaten, und verhängte eine Geldstrafe von 15,7 Millionen US-Dollar wegen Verstoßes gegen das Datenschutzregime. Daten aus dem Vereinigten Königreich zwischen Mai 2018 und Juli 2020, unter anderem wegen Versäumnis, etwa 1,4 Millionen minderjährige Nutzer am Zugriff auf die Plattform zu hindern.
Im vergangenen Jahr wurde in der EU ein höheres DSGVO-Bußgeld gegen das zu Meta gehörende Unternehmen Instagram verhängt, auch im Zusammenhang mit Datenschutzverstößen, die Kinder betreffen. In diesem Fall wurde der Technologieriese am Ende einer DPC-Untersuchung, die im Oktober 405 begann, mit einer Geldstrafe von 2020 Millionen Euro belegt.
Sanktionen im Zusammenhang mit Bedenken hinsichtlich des Kinderschutzes gehören nach wie vor zu den umfangreichsten Sanktionen, die die europäischen Datenschutzbehörden in den letzten Jahren verhängt haben. Allerdings sind die Summen, um die es geht, noch lange nicht die bisher größte DSGVO-Strafe: 1.200 Milliarden Euro Bußgeld wegen illegaler Metadatenübermittlungen.
Für TikTok dürfte dies jedoch kein großer Trost sein, da die eigenen Datenexporte in der EU weiterhin untersucht werden. Der stellvertretende DPC-Kommissar Graham Doyle sagte, er hoffe, noch vor Jahresende einen Entscheidungsentwurf zu dieser zweiten TikTok-Untersuchung, die sich auf Datenübertragungen konzentriert, anderen regionalen Datenschutzbehörden zur Prüfung vorlegen zu können. Eine endgültige Entscheidung dürfte daher im Jahr 2024 fallen, wobei der genaue Zeitpunkt davon abhängt, ob andere Behörden mit den vorläufigen Schlussfolgerungen Irlands nicht einverstanden sind.
Der EDSA wurde aufgefordert, seit Inkrafttreten der Verordnung verbindliche Entscheidungen zu einer Reihe von von Irland geführten DSGVO-Untersuchungen gegen Big Tech zu treffen. In allen Fällen wurden die daraus resultierenden Sanktionen durch das Eingreifen des Ausschusses verschärft, manchmal erheblich und häufig sowohl im Hinblick auf die Höhe der verhängten finanziellen Sanktionen als auch auf den Umfang der festgestellten Verstöße.
Handlungsdruck
Die irische Aufsichtsbehörde hat vor zwei Jahren die beiden oben genannten Untersuchungen zu TikTok eingeleitet, die sich auf Datenübertragungen und die Untersuchung im Zusammenhang mit der heutigen Entscheidung über die Verarbeitung von Daten Minderjähriger beziehen. Der Schritt erfolgte auf Druck anderer EU-Datenschutzbehörden und Verbraucherschutzgruppen, die Bedenken darüber geäußert hatten, wie die Plattform mit Benutzerdaten im Allgemeinen und Kinderinformationen im Besonderen umgeht.
Zu Beginn desselben Jahres erklärte die italienische Datenschutzbehörde ergriff Sofortmaßnahmen dagegen TikTok aus Gründen der Kindersicherheit. Ihre Interventionen führten dazu, dass die Plattform das Alter aller Benutzer im Land erneut überprüfte und mehr als eine halbe Million Konten löschte, bei denen nicht überprüft werden konnte, dass sie nicht zu Kindern unter 13 Jahren gehörten.
Ungefähr zu dieser Zeit hissten die EU-Verbraucherschutzbehörden auch eine Reihe von Warnsignalen wegen Bedenken hinsichtlich der Privatsphäre und der Sicherheit von Kindern. Doch es dauerte noch einige Monate, bis die irische Regulierungsbehörde ihre Untersuchung ankündigte.
Die langsame Reaktion auf Bedenken hinsichtlich der Sicherheit von Kindern, die sich aus der Nutzung von TikTok durch Kinder ergeben, trug dazu bei, dass DPC-Kommissarin Helen Dixon bei einer Anhörung im Europäischen Parlament Anfang dieses Jahres von den Abgeordneten feindselig befragt wurde. EU-Gesetzgeber äußerten auch allgemeinere Bedenken hinsichtlich des Ansatzes der Regulierungsbehörde und stellten die Frage, ob die irische Regulierungsbehörde der Aufgabe gewachsen ist, die DSGVO auf großen Technologieplattformen durchzusetzen.
Dixon reagierte mit einer entschiedenen Verteidigung dessen, was sie als „intensive Durchsetzung der DSGVO“ durch die irischen Behörden bezeichnet. Konkret zu TikTok erklärte er, dass das DPC angesichts der großen Mengen an untersuchtem Material so schnell wie möglich arbeite.
