TikTok wurde eine Geldstrafe von 12,7 Millionen £ (~15,7 Millionen $) wegen Verstoßes gegen U./K. Datenschutzrecht, einschließlich Vorschriften zum Schutz von Kindern.
Der Datenschutzbeauftragte, das Information Commissioner’s Office (ICO), heute bekannt gegeben dass festgestellt wurde, dass die Video-Sharing-Site „nicht genug getan hat“, um zu überprüfen, wer ihre Plattform nutzt, und dass sie keine ausreichenden Maßnahmen ergriffen hat, um die minderjährigen Kinder zu entfernen, die den Dienst nutzten.
Laut ICO hatte TikTok während eines Zeitraums von zwei Jahren zwischen Mai 2018 und Juli 2020 – auf den sich seine Untersuchung konzentrierte – schätzungsweise 1,4 Millionen minderjährige britische Benutzer, entgegen den Nutzungsbedingungen, die besagen, dass Benutzer 13 Jahre oder älter sein müssen.
Das Datenschutzregime des Vereinigten Königreichs legt eine Obergrenze für das Alter fest, in dem Kinder mit 13 Jahren der Verarbeitung ihrer Daten zustimmen können – was bedeutet, dass TikTok die Zustimmung der Eltern hätte einholen müssen, um diese Daten von Minderjährigen rechtmäßig zu verarbeiten (was das Unternehmen nicht getan hat).
„Wir haben TikTok mit einer Geldstrafe belegt, weil es Dienstleistungen für britische Kinder unter 13 Jahren erbracht und ihre personenbezogenen Daten ohne Zustimmung oder Genehmigung ihrer Eltern oder Betreuer verarbeitet hat. Wir erwarten, dass TikTok seine Bemühungen fortsetzt, angemessene Kontrollen durchzuführen, um minderjährige Kinder zu identifizieren und von seiner Plattform zu entfernen“, sagte uns ein ICO-Sprecher.
Darüber hinaus stellte das ICO fest, dass TikTok gegen die Transparenz- und Fairnessanforderungen der britischen Datenschutz-Grundverordnung (DSGVO) verstoßen hat – indem es den Benutzern keine angemessenen, leicht verständlichen Informationen darüber zur Verfügung gestellt hat, dass ihre Daten gesammelt, verwendet und weitergegeben werden.
„Ohne diese Informationen ist es unwahrscheinlich, dass Benutzer der Plattform, insbesondere Kinder, fundierte Entscheidungen darüber treffen können, ob und wie sie sich damit beschäftigen“, stellte das ICO in einer Pressemitteilung fest, in der die Strafe für den Missbrauch von Daten von Kindern angekündigt wurde.
John Edwards, der britische Informationskommissar, fügte in einer Erklärung hinzu:
Es gibt Gesetze, um sicherzustellen, dass unsere Kinder in der digitalen Welt genauso sicher sind wie in der physischen Welt. TikTok hielt sich nicht an diese Gesetze.
Infolgedessen wurde schätzungsweise einer Million unter 13-Jährigen unangemessener Zugriff auf die Plattform gewährt, wobei TikTok ihre persönlichen Daten sammelt und verwendet. Das bedeutet, dass ihre Daten möglicherweise verwendet wurden, um sie zu verfolgen und zu profilieren, wodurch potenziell schädliche, unangemessene Inhalte beim nächsten Scrollen geliefert werden.
TikTok hätte es besser wissen müssen. TikTok hätte es besser machen sollen. Unsere Geldbuße in Höhe von 12,7 Millionen Pfund spiegelt die schwerwiegenden Auswirkungen wider, die ihre Fehler möglicherweise hatten. Sie haben nicht genug getan, um zu überprüfen, wer ihre Plattform nutzte, oder ausreichende Maßnahmen ergriffen, um die minderjährigen Kinder zu entfernen, die ihre Plattform nutzten.
TikTok wurde kontaktiert, um einen Kommentar zur Durchsetzung des ICO abzugeben. Das Unternehmen teilte uns mit, dass es die Entscheidung über die nächsten Schritte prüfe.
In einer Erklärung sagte ein TikTok-Sprecher:
TikTok ist eine Plattform für Nutzer ab 13 Jahren. Wir investieren viel, um Kinder unter 13 Jahren von der Plattform fernzuhalten, und unser 40.000-köpfiges Sicherheitsteam arbeitet rund um die Uhr, um die Sicherheit der Plattform für unsere Community zu gewährleisten. Obwohl wir mit der Entscheidung des ICO, die sich auf Mai 2018 – Juli 2020 bezieht, nicht einverstanden sind, freuen wir uns, dass die heute angekündigte Geldbuße auf weniger als die Hälfte des im letzten Jahr vorgeschlagenen Betrags reduziert wurde. Wir werden die Entscheidung weiter prüfen und die nächsten Schritte prüfen.
TikTok behauptet, es habe eine Reihe von Schritten unternommen, um die Probleme anzugehen, für die es heute mit einer Geldstrafe belegt wird. Obwohl es weiterhin eine Alterssperre einsetzt, bei der Benutzer aufgefordert werden, ihr Geburtsdatum einzugeben, um ein Konto zu erstellen (was bedeutet, dass sie, wenn sie minderjährig sind, lügen können, um die Maßnahme zu umgehen).
Es sagt jedoch, dass es dies durch verbesserte Systeme und Schulungen für sein Sicherheitsmoderationsteam ergänzt, um nach Anzeichen zu suchen, dass ein Konto von einem Kind unter 13 Jahren verwendet werden kann, damit es Konten markieren und zur Überprüfung senden kann. Es behauptet auch, dass es umgehend auf Anfragen von Eltern reagiert, um Minderjährigenkonten zu entfernen – und andere von Benutzern bereitgestellte Informationen wie Schlüsselwörter und In-App-Berichte verwendet, um potenzielle Minderjährigenkonten aufzudecken.
TikTok schlägt weiter vor, dass es die Transparenz und Rechenschaftspflicht in diesem Bereich verbessert hat – und sagt, dass es regelmäßige Berichte über die Anzahl der minderjährigen Benutzer erstellt, die von der Plattform entfernt wurden (in den letzten drei Monaten des Jahres 2022 lag die Zahl bei über 17 Millionen mutmaßlichen minderjährigen Konten, die entfernt wurden). global; diese Daten werden jedoch nicht pro Land gemeldet); sowie das Angebot von Family Pairing, um Eltern dabei zu helfen, die Nutzung der Kinder im Auge zu behalten.
Obwohl festgestellt wurde, dass die Social-Media-Plattform über einen Zeitraum von zwei Jahren aus Rechtmäßigkeits-, Transparenz- und Fairnessgründen gegen die DSGVO des Vereinigten Königreichs verstoßen hat, droht ihr nur eine zweistellige Strafe – weit unter dem theoretischen Maximum (von bis zu 4 % des globalen Jahresverbrauchs). Umsatz) – also sieht die Abrechnung für TikTok ziemlich großzügig aus.
Die Zahl ist auch deutlich weniger als die Hälfte des Betrags, der ursprünglich vom ICO im September vorgeschlagen wurde, als die Aufsichtsbehörde eine vorläufige Feststellung herausgab, wonach sie dem Unternehmen eine Geldstrafe von bis zu 27 Mio .
Der Grund für den erheblichen Abschlag auf die Höhe der Geldbuße ist eine Entscheidung der Regulierungsbehörde, eine vorläufige Feststellung im Zusammenhang mit der rechtswidrigen Verwendung von Daten besonderer Kategorien nach Darstellungen von TikTok nicht weiterzuverfolgen.
Unter der DSGVO beziehen sich Sonderkategoriedaten auf besonders sensible Informationsklassen wie sexuelle Orientierung, religiöse Überzeugungen, politische Zugehörigkeit, Rasse oder ethnische Herkunft, Gesundheitsdaten, biometrische Daten zur Identifizierung – bei denen die Hürde für eine rechtmäßige Verarbeitung höher ist als für persönliche Daten; und wenn die Zustimmung die Grundlage ist, auf die man sich verlässt, gibt es einen höheren Standard der ausdrücklichen Zustimmung.
Das bedeutet, dass das ICO im vergangenen Jahr TikTok verdächtigt hatte, diese Art von Informationen ohne rechtmäßige Grundlage zu verarbeiten. Aber das Unternehmen konnte es davon überzeugen, diese Bedenken fallen zu lassen.
Es ist nicht genau klar, warum das ICO die Untersuchungslinie für spezielle Kategoriedaten eingestellt hat. Aber als Antwort auf Fragen von TechCrunch schlug ein Sprecher der Regulierungsbehörde vor, dass es auf einen Mangel an Ressourcen hinausläuft – und sagte uns:
Wir haben die Darstellungen von TikTok berücksichtigt und beschlossen, die vorläufige Feststellung in Bezug auf die rechtswidrige Verwendung von Daten besonderer Kategorien nicht weiterzuverfolgen. Das bedeutet nicht, dass die Verwendung spezieller Kategoriedaten durch Social-Media-Unternehmen für das ICO nicht von Bedeutung ist. Aber wir müssen strategisch mit unseren Ressourcen umgehen, und in diesem Fall hat der Kommissar von seinem Ermessen Gebrauch gemacht, um die vorläufige Feststellung in Bezug auf die rechtswidrige Verwendung von Daten besonderer Kategorien nicht weiterzuverfolgen. Dieser potenzielle Verstoß war nicht in der endgültigen Höhe der Geldbuße von 12,7 Mio. £ enthalten, und dies war der Hauptgrund, warum die vorläufige Geldbuße auf 12,7 Mio. £ reduziert wurde. Die Höhe dieser Geldbuße wurde in Übereinstimmung mit unserer Richtlinie zu regulatorischen Maßnahmen festgelegt.
Das ICO hat eine Geschichte der Untätigkeit wegen systematischer Verstöße durch die verhaltensorientierte Werbebranche – und sein Versäumnis, die Tracking- und Targeting-Adtech-Branche zu bereinigen, kann seine Fähigkeit erschweren, einzelne Plattformen zu verfolgen, die ebenfalls auf datenabhängigem Tracking, Profiling und Ads-Microtargeting zur Monetarisierung eines „kostenlosen“ Dienstes.
Der Datenschutz von Kindern war sicherlich ein stärkerer Fokusbereich für die britische Aufsichtsbehörde. In den letzten Jahren wurde auf Druck von Wahlkampfgruppen und britischen Parlamentariern ein altersgerechter Designkodex festgelegt, der mit der Einhaltung der DSGVO verknüpft ist (und daher mit dem Risiko von Geldstrafen für diejenigen, die die empfohlenen Standards missachten). Die aktive Durchsetzung des Datenschutz- und Sicherheitskodex für Kinder begann im September 2021. Obwohl man mit Fug und Recht sagen kann, dass es noch keinen Tsunami von Durchsetzungen gegeben hat – aber das ICO hat eine Reihe von Untersuchungen durchgeführt.
Da das Vereinigte Königreich kein Mitglied der Europäischen Union mehr ist, erfolgt die Durchsetzung der DSGVO durch das ICO ausschließlich in Großbritannien – und es ist erwähnenswert, dass das Geschäft von TikTok in der EU weiterhin untersucht wird, wie es die Daten von Kindern verarbeitet.
Die irische Datenschutzkommission (DPC) leitete bereits im September 2021 eine Untersuchung des Umgangs von TikTok mit Kinderdaten ein. Diese europaweite Untersuchung dauert an – und wir gehen davon aus, dass der Europäische Datenschutzausschuss voraussichtlich eine verbindliche Entscheidung treffen muss, um Meinungsverschiedenheiten zwischen ihnen beizulegen DPAs zum irischen Entscheidungsentwurf, so dass es noch viele Monate dauern könnte, bis der Prozess läuft. Auch in der EU im Gange: Eine Untersuchung des DPC von TikToks Datentransfers nach China, da die DSGVO auch Datenexporte regelt (was natürlich ein sehr heißes Thema ist, wenn es um TikTok in diesen Tagen geht).
Ein Vergleichspunkt: Im vergangenen Jahr wurde das konkurrierende soziale Netzwerk Instagram mit einer Geldstrafe von 405 Millionen Euro belegt, weil es die Daten von Kindern im Rahmen der EU-Anwendung der DSGVO missbraucht hatte. Obwohl in diesem Fall die Strafe die grenzüberschreitende Datenverarbeitungstätigkeit im Block der 27 Mitgliedstaaten widerspiegelt – während die Durchsetzung von TikTok durch das ICO nur im Namen von britischen Benutzern durchgeführt wird, daher ein Teil der unterschiedlichen Höhe zwischen den erhobenen Strafen.