Die britische Datenschutzbehörde hat heute eine Reihe von Designstandards für Internet-Dienste veröffentlicht, die dazu beitragen sollen, die Privatsphäre und die Sicherheit von Kindern im Internet zu schützen.
Das Büro des Informationskommissars (ICO) arbeitet seit der Aktualisierung des nationalen Datenschutzgesetzes im Jahr 2018 an einem altersgemäßen Design-Kodex – als Teil der Bemühungen der Regierung, „weltweit führende“ Standards für Kinder zu schaffen, wenn sie online sind.
Die britischen Gesetzgeber sind zunehmend besorgt über die „Datenübermittlung“ von Kindern, wenn sie online gehen, und sind möglicherweise zu jung, um rechtlich damit einverstanden zu sein, dass sie im Rahmen der bestehenden europäischen Datenschutzgesetze verfolgt und profiliert werden.
Der Kodex der ICO umfasst 15 Standards, die als „altersgerechte Gestaltung“ bezeichnet werden – was laut der Regulierungsbehörde einen „risikobasierten Ansatz“ widerspiegelt, einschließlich der Bestimmung, dass die Einstellung standardmäßig auf „hohe Privatsphäre“ gesetzt werden sollte; dass nur die Mindestmenge an Daten, die zur Bereitstellung des Dienstes erforderlich ist, gesammelt und aufbewahrt werden sollte; und dass die Daten von Kindern nicht weitergegeben werden sollten, es sei denn, es gibt einen Grund dafür, der in ihrem Interesse liegt.
Auch das Profiling sollte standardmäßig ausgeschaltet sein. Während der Code auch auf Dark-Pattern-UI-Designs abzielt, die darauf abzielen, Benutzeraktionen gegen ihre eigenen Interessen zu manipulieren, sollten „Stupstechniken“ nicht dazu verwendet werden.
„Der Schwerpunkt liegt auf der Bereitstellung von Standardeinstellungen, die sicherstellen, dass Kinder den bestmöglichen Zugang zu Online-Diensten haben, während die Datenerfassung und -nutzung standardmäßig minimiert wird“, schreibt die Regulierungsbehörde in einer Zusammenfassung.
Während der altersgemäße Design-Code auf den Schutz von Kindern ausgerichtet ist, gilt er für eine sehr breite Palette von Online-Diensten – wobei die Aufsichtsbehörde feststellt, dass „die Mehrheit der von Kindern genutzten Online-Dienste abgedeckt ist“ und auch festlegt, dass „dieser Code gilt, wenn Kinder wahrscheinlich Ihren Dienst nutzen werden“ [Hervorhebung unseres].
Das bedeutet, dass er auf alles angewendet werden könnte, von Spielen, über Social-Media-Plattformen, Fitness-Apps bis hin zu Bildungs-Websites und On-Demand-Streaming-Diensten – sofern sie für britische Nutzer verfügbar sind.
„Wir sind der Ansicht, dass die Wahrscheinlichkeit, dass ein Dienst [von Kindern] genutzt wird, größer sein muss als die Wahrscheinlichkeit, dass dies geschieht. Damit wird die Absicht des Parlaments anerkannt, Dienste abzudecken, die von Kindern in der Realität genutzt werden, aber die Definition wird nicht auf alle Dienste ausgedehnt, die Kinder möglicherweise nutzen könnten“, fügt das ICO hinzu.
Hier sind die 15 Standards in ihrer Gesamtheit, wie sie die Regulierungsbehörde beschreibt:
- Das Wohl des Kindes: Das Wohl des Kindes sollte bei der Gestaltung und Entwicklung von Online-Diensten, auf die ein Kind wahrscheinlich zugreifen wird, eine vorrangige Erwägung sein.
- Datenschutzfolgenabschätzungen: Führen Sie eine Datenschutzfolgenabschätzung durch, um Risiken für die Rechte und Freiheiten von Kindern, die wahrscheinlich auf Ihren Dienst zugreifen werden, die sich aus Ihrer Datenverarbeitung ergeben, zu bewerten und zu mindern. Berücksichtigen Sie unterschiedliche Altersgruppen, Kapazitäten und Entwicklungsbedürfnisse und stellen Sie sicher, dass Ihre DPIA in Übereinstimmung mit den Vorschriften erstellt wird.
mit diesem Code. - Altersgerechte Anwendung: Nehmen Sie einen risikobasierten Ansatz zur Erkennung des Alters der einzelnen Benutzer und stellen Sie sicher, dass Sie die Standards in diesem Kodex effektiv auf Benutzer mit Kindern anwenden. Stellen Sie entweder das Alter mit einem Grad an Sicherheit fest, der den Risiken für die Rechte und Freiheiten von Kindern, die sich aus Ihrer Datenverarbeitung ergeben, angemessen ist, oder wenden Sie stattdessen die Standards in diesem Kodex auf alle Ihre Benutzer an.
- Die Transparenz: Die Datenschutzinformationen, die Sie den Benutzern zur Verfügung stellen, sowie andere veröffentlichte Begriffe, Richtlinien und Gemeinschaftsstandards müssen kurz, deutlich und in einer klaren, dem Alter des Kindes angemessenen Sprache abgefasst sein. Geben Sie zusätzliche spezifische „mundgerechte“ Erklärungen darüber, wie Sie persönliche Daten zum Zeitpunkt der Aktivierung der Nutzung verwenden.
- Schädliche Verwendung von Daten: Verwenden Sie die persönlichen Daten von Kindern nicht auf eine Weise, die nachweislich ihrem Wohlbefinden schadet oder die gegen die Verhaltenskodizes der Industrie, andere gesetzliche Bestimmungen oder den Rat der Regierung verstößt.
- Richtlinien und Gemeinschaftsstandards: Halten Sie Ihre eigenen veröffentlichten Bedingungen, Richtlinien und Gemeinschaftsstandards ein (einschließlich, aber nicht beschränkt auf Datenschutzrichtlinien, Altersbeschränkungen, Verhaltensregeln und Inhaltsrichtlinien).
- Standardeinstellungen: Die Einstellungen müssen standardmäßig auf „hohe Privatsphäre“ eingestellt sein (es sei denn, Sie können einen zwingenden Grund für eine andere Standardeinstellung unter Berücksichtigung des Kindeswohls nachweisen).
- Minimierung der Daten: Sammeln und speichern Sie nur die Mindestmenge an persönlichen Daten, die Sie benötigen, um die Elemente Ihres Dienstes bereitzustellen, an denen ein Kind aktiv und wissentlich beteiligt ist. Geben Sie den Kindern die Wahl, welche Elemente sie aktivieren möchten.
- Gemeinsame Nutzung von Daten: Geben Sie die Daten von Kindern nur dann weiter, wenn Sie einen zwingenden Grund dafür nachweisen können, wobei das Wohl des Kindes zu berücksichtigen ist.
- Geolokalisierung: Schalten Sie die Geolokalisierungsoptionen standardmäßig aus (es sei denn, Sie können einen zwingenden Grund für die standardmäßige Einschaltung der Geolokalisierung unter Berücksichtigung des Kindeswohls nachweisen). Geben Sie ein offensichtliches Zeichen für Kinder, wenn die Standortbestimmung aktiv ist. Optionen, die den Standort eines Kindes für andere sichtbar machen, müssen am Ende jeder Sitzung standardmäßig wieder auf „aus“ gestellt werden.
- Elterliche Kontrolle: Wenn Sie eine elterliche Kontrolle anbieten, geben Sie dem Kind entsprechende Informationen darüber. Wenn Ihr Online-Dienst es einem Elternteil oder einer Betreuungsperson erlaubt, die Online-Aktivitäten ihres Kindes zu überwachen oder seinen Standort zu verfolgen, geben Sie dem Kind ein offensichtliches Zeichen, wenn es überwacht wird.
Profilerstellung: Schalten Sie Optionen, die das Profiling standardmäßig „aus“ verwenden, aus (es sei denn, Sie können einen zwingenden Grund dafür nachweisen, dass das Profiling unter Berücksichtigung der Interessen des Kindes standardmäßig eingeschaltet ist). - Lassen Sie das Profiling nur dann zu, wenn Sie über geeignete Maßnahmen verfügen, um das Kind vor schädlichen Auswirkungen zu schützen (insbesondere vor der Verfütterung von Inhalten, die der Gesundheit oder dem Wohlbefinden des Kindes schaden).
- Stupftechniken: Verwenden Sie keine Stupstechniken, um Kinder dazu zu bringen oder zu ermutigen, unnötige persönliche Daten zu liefern oder ihren Datenschutz zu schwächen oder auszuschalten.
- Verbundene Spielzeuge und Geräte: Wenn Sie ein angeschlossenes Spielzeug oder Gerät zur Verfügung stellen, stellen Sie sicher, dass Sie wirksame Werkzeuge zur Einhaltung dieses Kodexes mitliefern.
- Online-Werkzeuge: Stellen Sie auffällige und zugängliche Werkzeuge zur Verfügung, um Kinder bei der Ausübung ihrer Datenschutzrechte zu unterstützen und Bedenken zu melden.
Der Age Appropriate Design Code definiert Kinder auch als unter 18 Jahre alt – was eine höhere Messlatte darstellt als das aktuelle britische Datenschutzgesetz, das beispielsweise nur eine 13-Jahres-Begrenzung vorsieht, damit Kinder ihre Zustimmung zur Online-Verfolgung geben können.
Angenommen, die Internet-Dienste würden sich plötzlich (sehr wild) dazu entschließen, dem Code buchstabengetreu zu folgen, wobei die Tracker standardmäßig aktiviert werden und die Nutzer nicht dazu angespornt werden, die Vorgabewerte für den Schutz der Privatsphäre zu schwächen, indem sie manipuliert werden, damit sie mehr Daten preisgeben, dann könnte der Code – theoretisch – das Niveau der Privatsphäre sowohl von Kindern als auch von Erwachsenen, die typischerweise online gehen, erhöhen.
Allerdings ist er nicht rechtsverbindlich – also besteht eine ziemlich große Wahrscheinlichkeit dafür.
Obwohl die Regulierungsbehörde darauf hinweist, dass die Standards des Kodex durch bestehende Datenschutzgesetze unterstützt werden, die sie reguliert und rechtlich durchsetzbar sind (und die klare Grundsätze wie „privacy by design and default“ enthalten), weist sie darauf hin, dass sie befugt ist, gegen Gesetzesbrecher vorzugehen, einschließlich „harter Sanktionen“ wie Anordnungen zur Einstellung der Datenverarbeitung und Bußgelder von bis zu 4% des weltweiten Umsatzes eines Unternehmens.
In gewisser Weise scheint die Regulierungsbehörde also zu sagen: „Haben Sie Glück mit dem Datenpunk?
Der Kodex muss auch noch für 40 Sitzungstage dem Parlament zur Verabschiedung vorgelegt werden – das ICO sagt, dass er 21 Tage danach in Kraft treten wird, sofern keine Einwände dagegen erhoben werden. Dann gibt es eine weitere 12-monatige Übergangsfrist nach seinem Inkrafttreten – um „den Online-Diensten Zeit zu geben, sich anzupassen“. Es ist also noch eine gewisse Zeit verstrichen, bevor irgendwelche Maßnahmen ergriffen werden können, um gegen eklatante Nasenklopfen vorzugehen.
Im April vergangenen Jahres veröffentlichte die britische Regierung ein Weißbuch, in dem sie ihre Vorschläge zur Regulierung einer Reihe von Online-Schäden darlegt – unter anderem, um der Besorgnis über unangemessenes Material, das im Internet verfügbar ist und auf das Kinder zugreifen, Rechnung zu tragen.
Der Age Appropriate Design Code des ICO soll diese Bemühungen unterstützen. Es besteht also auch die Möglichkeit, dass einige der gleichen Art von Bestimmungen in das geplante Gesetz über Online-Schäden eingearbeitet werden könnten.
„Dies ist kein ‚Gesetz‘ und wird es auch nicht sein. Es ist nur ein Verhaltenskodex“, sagte Neil Brown, ein Anwalt für Internet, Telekommunikation und Technik bei Decoded Legal, als er die wahrscheinlichen Auswirkungen der vorgeschlagenen Standards diskutierte. „Er zeigt die Richtung des Denkens und der Erwartungen der ICO auf, und die ICO muss sie berücksichtigen, wenn sie Durchsetzungsmaßnahmen ergreift, aber es ist nicht etwas, das eine Organisation als solches befolgen muss. Sie müssen das Gesetz einhalten, nämlich die GDPR [Allgemeine Datenschutzverordnung] und das DPA [Datenschutzgesetz] 2018.
„Der Verhaltenskodex fällt unter das DPA 2018, so dass Unternehmen, die in den Geltungsbereich dieses Gesetzes fallen, wahrscheinlich verstehen wollen, was darin steht. Das DPA 2018 und die britische GDPR (die Version der GDPR, die nach Brexit in Kraft treten wird) deckt sowohl in Großbritannien ansässige Kontrolleure als auch ausländische Kontrolleure ab, die Dienstleistungen für Personen im Vereinigten Königreich in Anspruch nehmen oder das Verhalten von Personen im Vereinigten Königreich überwachen. Die bloße Bereitstellung eines Dienstes für Menschen im Vereinigten Königreich sollte nicht ausreichen“.
„Insgesamt steht dies im Einklang mit der allgemeinen Richtung der Online-Dienste und der Auffassung, dass mehr getan werden muss, um Kinder online zu schützen“, sagte Brown ebenfalls.
„Im Moment sollten die Online-Dienste daran arbeiten, wie sie die GDPR, die ePrivacy-Regeln und alle anderen anwendbaren Gesetze einhalten können. Die Verpflichtung, diese Gesetze einzuhalten, ändert sich durch den heutigen Verhaltenskodex nicht. Vielmehr zeigt der Verhaltenskodex die Überlegungen des ICO, wie die Einhaltung der Gesetze aussehen könnte (und möglicherweise auch einige der Anforderungen des Gesetzes).
Organisationen, die den Kodex zur Kenntnis nehmen – und in der Lage sind, nachzuweisen, dass sie seine Standards befolgt haben – haben laut Brown bessere Chancen, die Aufsichtsbehörde davon zu überzeugen, dass sie die einschlägigen Datenschutzgesetze eingehalten haben.
„Umgekehrt, wenn sie sagen wollen, dass sie zwar das Gesetz, aber nicht den Kodex einhalten, ist das (rechtlich) möglich, könnte aber hinsichtlich des Engagements bei der ICO eher ein Kampf sein“, fügte er hinzu.
Die Regierung sagte im vergangenen Herbst, dass sie sich verpflichtet hat, den Entwurf der Online-Gesetzgebung zur prälegislativen Prüfung „im Tempo“ zu veröffentlichen.
Großbritannien verzichtet stillschweigend auf die Alterskontrolle von Pornos zugunsten umfassenderer Regeln für Online-Schäden.
Gleichzeitig ließ sie jedoch einen umstrittenen Plan fallen, der in einem digitalen Gesetzesentwurf von 2017 enthalten war und Alterskontrollen für den Zugang zu Online-Pornografie zwingend vorgeschrieben hätte – sie wolle sich auf die Entwicklung eines „möglichst umfassenden Ansatzes zum Schutz von Kindern“ konzentrieren, d.h. über das Gesetz über Online-Schäden.
Wie umfassend der angepriesene „Kinderschutz“ am Ende sein wird, bleibt abzuwarten.
Brown schlägt vor, dass die Altersverifizierung als „allgemeine Anforderung“ durchkommen könnte, da die Altersverifizierungskomponente des Digital Economy Act 2017 gestrichen wurde – und „die Regierung hat gesagt, dass diese in der breiteren Online-Schadensbekämpfung aufgegriffen werden“.
Die Regierung hat sich auch mit Technologieunternehmen über mögliche Wege beraten, die Altersverifizierung online zu implementieren.
Die Schwierigkeiten bei der Regulierung ständig wiederholter Internetdienste – von denen viele auch von Unternehmen mit Sitz außerhalb Großbritanniens betrieben werden – werden jedoch seit Jahren groß geschrieben. (Und sind jetzt in der Geopolitik versunken).
Während die Durchsetzung der bestehenden europäischen Gesetze zum digitalen Datenschutz, um es höflich auszudrücken, eine Arbeit in Arbeit bleibt…
