Die Federal Trade Commission gerade angekündigt dass Microsoft mit einer Geldstrafe von 20 Millionen US-Dollar belegt wurde, „weil es illegal personenbezogene Daten von Kindern gesammelt hat, die sich ohne Zustimmung ihrer Eltern für das Xbox-Spielesystem angemeldet haben“.
Das Urteil folgt einem größeren Urteil vom Dezember 2022, als Epic Games, Entwickler von Vierzehn Tage, wurden mit einer Geldstrafe von 550 Millionen US-Dollar belegt für die Verwendung „datenschutzfeindlicher Standardeinstellungen und betrügerischer Schnittstellen, die betrügen“. Vierzehn Tage Benutzer, einschließlich Jugendlicher und Kinder“.
In diesem Fall drehte sich laut FTC das Problem um die Erstellung von Kinderkonten auf einer Xbox-Konsole, ein Prozess, der es einem Kind bis Ende 2021 ermöglichen würde, eine bestimmte Menge persönlicher Daten einzugeben, bevor es die Hilfe und Erlaubnis eines Elternteils benötigt. Microsoft hat diese Daten (manchmal „Jahre“) aufbewahrt, auch wenn das Konto nicht erstellt wurde, was einen Verstoß gegen die Children’s Online Privacy Protection Rule (COPPA) darstellt.
Microsoft hat auf das Urteil bereits mit einem reagiert Post im offiziellen Xbox-Blog, in dem Dave McCarthy, CVP Xbox Player Services, sagte, der Verstoß sei das Ergebnis eines „Fehlers“ gewesen und Microsoft werde sich in Zukunft „weiter verbessern“:
Wir haben kürzlich einen Vergleich mit der US-amerikanischen Federal Trade Commission (FTC) geschlossen, um unseren Kontoerstellungsprozess zu aktualisieren und einen in unserem System festgestellten Fehler bei der Datenaufbewahrung zu beheben. Bedauerlicherweise haben wir die Erwartungen unserer Kunden nicht erfüllt und sind bestrebt, der Anordnung Folge zu leisten und unsere Sicherheitsmaßnahmen weiter zu verbessern. Wir glauben, dass wir mehr tun können und sollten, und wir werden unserem Engagement für Sicherheit, Datenschutz und Schutz für unsere Gemeinschaft standhaft bleiben.
McCarthy erklärt weiter die Einzelheiten dieses „Fehlers“ und wie er dazu führte, dass Daten von Kindern gespeichert wurden, obwohl dies „im Widerspruch zu unserer Richtlinie stand, diese Informationen nur für 14 Tage zu speichern“:
Während der Untersuchung haben wir einen technischen Fehler festgestellt, bei dem unsere Systeme die Kontoerstellungsdaten für Kinderkonten, bei denen der Kontoerstellungsprozess zwar gestartet, aber nicht abgeschlossen wurde, nicht löschten. Dies stand im Widerspruch zu unserer Richtlinie, diese Informationen nur 14 Tage lang zu speichern, um es den Spielern zu erleichtern, dort fortzufahren, wo sie aufgehört haben, und den Vorgang abzuschließen. Unser Technikteam hat sofort Maßnahmen ergriffen: Wir haben den Fehler behoben, die Daten gelöscht und Maßnahmen implementiert, um zu verhindern, dass der Fehler erneut auftritt. Die Daten wurden niemals verwendet, weitergegeben oder monetarisiert.
Die Erklärung der FTCsagt inzwischen:
Microsoft wird 20 Millionen US-Dollar zahlen, um die Vorwürfe der Federal Trade Commission zu begleichen, dass das Unternehmen gegen den Children’s Online Privacy Protection Act (COPPA) verstoßen hat, indem es personenbezogene Daten von Kindern gesammelt hat, die sich bei seinem Xbox-Spielesystem angemeldet haben, ohne ihre Eltern zu benachrichtigen oder deren Zustimmung einzuholen illegale Speicherung personenbezogener Daten von Kindern.
„Unsere vorgeschlagene Anordnung macht es Eltern einfacher, die Privatsphäre ihrer Kinder auf der Xbox zu schützen, und schränkt ein, welche Informationen Microsoft über Kinder sammeln und speichern kann“, sagte Samuel Levine, Direktor des Bureau of Consumer Protection der FTC. „Diese Maßnahme sollte auch deutlich machen, dass die Avatare, biometrischen Daten und Gesundheitsinformationen von Kindern nicht von COPPA ausgenommen sind.“
Im Rahmen einer vorgeschlagenen Anordnung, die das Justizministerium im Namen der FTC eingereicht hat, muss Microsoft mehrere Schritte unternehmen, um den Datenschutz für Kinderbenutzer seines Xbox-Systems zu verbessern. Beispielsweise wird die Anordnung den COPPA-Schutz auf Dritt-Gaming-Herausgeber ausweiten, mit denen Microsoft Kinderdaten teilt. Darüber hinaus stellt die Verordnung klar, dass aus dem Bild eines Kindes sowie biometrischen und Gesundheitsinformationen erstellte Avatare unter die COPPA-Regel fallen, wenn sie zusammen mit anderen personenbezogenen Daten erfasst werden. Die Anordnung muss von einem Bundesgericht genehmigt werden, bevor sie in Kraft treten kann.