Children’s Code – Mehr Datenschutz für Kinder in Großbritannien

News

Die britische Aufsichtsbehörde (ICO) hat den „Age Appropriate Design Code“ oder „Children’s Code“ verabschiedet. Ein Kodex für alle sozialen Medien und Online-Dienste, die wahrscheinlich von Minderjährigen bis 18 Jahre Kindern in Großbritannien genutzt werden. So soll ein Datenschutz-Minimum gewährleistet werden.

Online Game (Changer)

Die ICO feiert den Kodex als Meilenstein, insbesondere angesichts der zunehmenden Abhängigkeit von Online-Diensten während der COVID-19-Krise. Elizabeth Denham von der ICO ist überzeugt, dass ein besonderer Schutz von Minderjährigen eines Tages selbstverständlich sein wird:

„Eine Generation von heute an werden wir alle erstaunt darüber sein, dass es jemals eine Zeit gab, in der es keine spezifischen Vorschriften zum Schutz von Kindern im Internet gab. Es wird so normal sein wie das Anlegen eines Sicherheitsgurtes. Dieser Kodex macht deutlich, dass Kinder online nicht wie Erwachsene sind, und ihre Daten besser geschützt werden müssen. Wir wollen, dass Kinder online sind, dass sie lernen und spielen und die Welt entdecken, aber mit den richtigen Schutzmaßnahmen.“

Andere Stimmen bezeichnen den Child Code als „Game Changer“. Eine Sache ist auf jeden Fall sicher. Mit dem Kodex beschreitet die ICO Neuland.

Die 15 Internetgebote

Ausgangspunkt waren Bestimmungen der britischen Regierung in dem nationalen Datenschutzgesetz – dem Data Protection Act von 2018 –, um weltweit führende Sicherheitsstandards zum Schutz von Kindern zu schaffen. Als Teil davon wurde die ICO verpflichtet, einen Verhaltenskodex für Anbieter digitaler Medien für ein altersgemäßes Design zu erstellen.

Der Kodex enthält 15 Standards. Dazu gehören Regelungen, die sich eigentlich schon aus der DSGVO ergeben, wie die Transparenz der Verarbeitung oder die Pflicht zur Datenminimierung. Es sind aber auch wirkliche Neuerungen (genauer Konkretisierungen der DSGVO) enthalten.

So soll nach Standard 10 die Geolokalisierung standardmäßig ausgestellt werden, es sei denn, das Unternehmen kann einen zwingenden Grund nachweisen, warum die Geolokalisierung unter Berücksichtigung des Kindeswohls standardmäßig eingeschaltet werden soll. Das gleiche gilt nach Standard 12 für die Profilerstellung.

Nach Standard 13 dürfen zudem (häufige psychologisch ausgeklügelte) Nudging-Techniken nicht verwendet werden, um Kinder dazu zu bringen oder zu ermutigen, unnötige persönliche Daten zu liefern oder den Schutz der Privatsphäre auszuschalten.

Das Kindeswohl soll zudem immer der zentrale Gesichtspunkt bei der Entwicklung und Design von Online-Diensten sein.

Übergriffig?

Unklar ist jedoch, wie die ICO den Anwendungsbereich des Kodex versteht. Schließlich betrifft der Kodex nicht nur Anbieter deren Dienste sich direkt an Kindern richten. Erfasst werden vielmehr alle Angebote, die voraussichtlich von Minderjährigen genutzt werden. Zu den Abgrenzungsschwierigkeiten, wer betroffen ist, mehr in diesem Podcast.

Es sind also sowohl Kleinkinder als auch fast volljährige Jugendliche erfasst. Jugendliche nutzen aber häufig schon alle möglichen Online-Dienste ganz selbstverständlich. Ein Umstand, der dazu führen könnte, dass streng genommen fast alle Online-Dienste in den Anwendungsbereich des Kodex fallen.

Einfluss der DSGVO

Der britische Data Protection Act von 2018 wurde wie in Deutschland das Bundesdatenschutzgesetz im Zuge der DSGVO erneuert. Es spiegelt die Konzepte der DSGVO wider:

Jeder nach seinem Risiko

Der Kodex ist risikobasiert ausgestaltet. Das bedeutet, dass nicht alle Organisationen die gleichen Pflichten erfüllen müssen. Je mehr Unternehmen Daten von Kindern nutzen, analysieren und Profile erstellen, desto mehr müssen sie tun, um dem Kodex zu entsprechen.

Der Kodex greift damit den in der DSGVO allgegenwärtigen risikobasierten Ansatz auf. Je riskanter eine Verarbeitung, desto strenger die Anforderungen. Ein Konzept, das von den technisch organisatorischen Maßnahmen bekannt ist oder den Anforderungen an eine wirksame Anonymisierung personenbezogener Daten.

Privacy designen

Der Kodex stützt sich zudem zentral auf den Grundsatz des Datenschutzes durch Technikgestaltung (Privacy by Design) aus Art. 25 Abs. 1 DSGVO. Anbieter sind danach verpflichtet, schon bei der Konzeption von Diensten und Produkten auf eine datenschutzkonforme Ausgestaltung zu achten.

Dieser Grundsatz ist Dreh- und Angelpunkt des ganzen Kodex. Unternehmen sollen proaktiv den Datenschutz für Kinder beachten und sich nicht nur auf leicht umgängliche Mechanismen stützen.

Klare Kante

Dass ein solcher Kodex jedoch in der Sache dringend notwendig ist, zeigt das Beispiel von TikTok. So ist TikTok erst für Kinder ab 13 Jahren erlaubt. Jüngere Kinder können sich unter Angabe eines falschen Geburtsdatums aber trotzdem bei TikTok registrieren, denn eine Alterskontrolle findet nicht statt. So werden Vorschriften zum Schutz von Kindern bei einer Einwilligung nach Art. 8 DSGVO ausgehebelt.

Zudem ist das TikTok-Konto zunächst auf öffentlich gestellt. Wer dies nicht möchte, muss die Einstellungen ändern. Vielen Kindern und Jugendlichen ist nicht bewusst, welche Reichweite ihre Daten bei einem öffentlichen Konto erreichen können.

Wie TikTok geben sich viele Anbieter eher fadenscheinig einen datenschutzkonformen Anstrich, sind aber so ausgelegt, dass Minderjährige munter zum Teilen ihrer Daten animiert werden.

Ein Jahr beraten, nicht bestrafen

Die gestrige Verabschiedung des „Age Appropriate Design Code“ oder „Children’s Code“ leitet den Beginn einer 12-monatigen Übergangszeit ein, an deren Ende alle Organisationen im Vereinigten Königreich den Anforderungen entsprechen müssen. Es wurde eine Informationsseite für betroffene Unternehmen eingerichtet und die Aufsichtsbehörde unterstützt mit einer Reihe von Webinaren. Vom ICO heißt es:

„Wir verstehen, dass Unternehmen, insbesondere kleine Unternehmen, Unterstützung benötigen, um den Kodex einzuhalten, und deshalb haben wir beschlossen, den Unternehmen ein Jahr Zeit zur Vorbereitung zu geben, und deshalb bieten wir Hilfe und Unterstützung an.“

First Mover Advantage

England, das Land, das als erstes Fußball spielte und die Dampfmaschine erfand geht hier wieder innovativ voran. Die DSGVO gilt zwar nur noch bis Ende des Jahres als Übergangslösung, aber die ICO gibt der DSGVO eine Form.

Trotz des etwas schwammigen Anwendungsbereichs und der Ungewissheit, inwiefern der Kodex wirklich zu einem besseren Schutz von Minderjährigen führen wird, ist er ein wichtiges Signal.

Hoffentlich wird es eines Tages wirklich so sein, dass ein gezielter Schutz von Minderjährigen so selbstverständlich ist wie das Anlegen eines Sicherheitsgurtes. Denn gerade Kinder und Jugendliche sind den verlockenden Mechanismen der Online-Welt besonders schutzlos ausgeliefert.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.