David gegen Goliath
Ein Richter am britischen High Court erteilte einem 12-jährigen Mädchen, das anonym klagen darf, die Genehmigung, eine Sammelklage gegen TikTok einzureichen. Der Vorwurf: Die Social-Media-Plattform erhebt in großem Umfang personenbezogene Daten von Kindern ohne gültige Einwilligung der Eltern.
Der Fall vertritt Millionen von Kindern in Großbritannien und der EU, die TikTok genutzt haben. Es ist einer der größten Datenschutzfälle, die jemals im Namen von Minderjährigen eingereicht wurden.
Was hat TikTok falsch gemacht?
Der Kern der Klage ist, dass TikTok:
- Kinderdaten ohne Einwilligung der Eltern erhoben hat - Kinder konnten ein Konto erstellen und nutzen, ohne dass eine Einwilligung der Eltern verifiziert wurde
- Mehr Daten als nötig erhoben hat - Standortdaten, Geräteinformationen, Surfverhalten und biometrische Daten (Gesichtserkennung in Videos)
- Daten mit Dritten geteilt hat - Werbetreibende und andere Parteien erhielten Zugang zu Kinderdaten
- Unzureichende Transparenz geboten hat - die Datenschutzbestimmungen waren für Kinder oder ihre Eltern nicht verständlich
Warum das wichtig ist
Dieser Fall ist aus mehreren Gründen bedeutsam:
Kinder erhalten besonderen Schutz
Die DSGVO betrachtet Kinder als besonders schutzbedürftige Betroffene. Artikel 8 legt spezifische Regeln für die Verarbeitung von Kinderdaten fest, einschließlich der Pflicht, die Einwilligung der Eltern einzuholen.
Sammelklagen werden häufiger
Bis vor kurzem waren Datenschutzklagen hauptsächlich Angelegenheiten zwischen Einzelpersonen und Unternehmen. Sammelklagen ermöglichen es, im Namen großer Gruppen von Betroffenen zu handeln, was die finanziellen Risiken für Verletzer enorm erhöht.
Aufsichtsbehörden schauen zu
Neben dieser Klage haben mehrere europäische Aufsichtsbehörden Maßnahmen gegen TikTok ergriffen. Die irische DPC verhoengte ein Bußgeld von 345 Millionen Euro, und die italienische Behörde blockierte vorübergehend die Verarbeitung von Daten italienischer Nutzer.
Die Lektion für Unternehmen
Sie müssen kein Techgigant sein, um mit diesem Thema konfrontiert zu werden. Wenn Ihr Unternehmen Dienste für Kinder anbietet oder Daten von Minderjährigen verarbeitet, gelten strengere Regeln:
- Altersverifikation - prüfen Sie, ob Nutzer alt genug sind, um selbst einzuwilligen
- Elterliche Einwilligung - für Kinder unter 16 Jahren (in DE) benötigen Sie die Einwilligung eines Elternteils oder Erziehungsberechtigten
- Verständliche Informationen - Ihre Datenschutzerklärung muss für die Zielgruppe verständlich sein
- Minimale Datenerhebung - erheben Sie nicht mehr als unbedingt nötig, besonders bei Kindern
- Kein Profiling - das Profiling von Kindern zu Marketingzwecken ist in den meisten Fällen nicht zulässig
Denken Sie an: Sportvereine mit Jugendmitgliedern, Schulen mit Schülerdaten, Webshops mit Produkten für Kinder, Apps die von Minderjährigen genutzt werden und Veranstaltungen an denen Kinder teilnehmen.
GDPRWise hilft Ihnen, alle Verarbeitungstätigkeiten zu dokumentieren, einschließlich der zusätzlichen Anforderungen für Daten von Minderjährigen.