Nach dem Tod einer 10-jährigen Italienerin, vermutlich infolge einer Mutprobe auf dem sozialen Netzwerk TikTok, hat die italienische Datenschutzaufsicht eine teilweise Sperrung des Dienstes angeordnet. Im Mittelpunkt der Kritik stehen Probleme mit der Altersverifikation. Was es damit auf sich hat, und was diese Anordnung „historisch“ macht, beleuchten wir im folgenden Beitrag.
Der Inhalt im Überblick
Too young to die … and to TikTok
Eigentlich sollen die Nutzer des sozialen Netzwerkes TikTok mindestens 13 Jahre alt sein. So sehen es die Teilnahmebedingungen vor. Dass Antonella aus Palermo trotzdem mit gerade einmal 10 Jahren hier aktiv gewesen und wohl durch Teilnahme an einer sog. „Blackout Challenge“ tragisch zu Tode gekommen war, rief die italienische Datenschutzaufsicht auf den Plan.
Diese befand sich ohnehin schon mitten in der datenschutzrechtlichen Überprüfung des Dienstes, und sah sich nun zu einer vorläufigen Anordnung veranlasst, nach welcher TikTok keine Daten von Nutzern ihres Hoheitsgebietes mehr verarbeiten darf, deren Alter „nicht mit voller Sicherheit festgestellt“ werden konnte.
Wir haben einen Blick in den Text der Anordnung vom 22. Januar 2021 geworfen (auf Italienisch abrufbar) und möchten uns im Folgenden mit zwei interessanten Punkten näher befassen:
- Mit einer obskuren Norm der DSGVO (Spoiler: gemeint ist Art. 66)
- Mit dem Grund der Anordnung: der Altersverifikation
Da uns der Name der italienischen Datenschutzaufsicht („Il Garante per la protezione dei dati personali“) nicht so leicht über die Lippen bzw. Tasten geht, nennen wir sie hier künftig einfach der „Garante“.
Fangen wir also an.
Wer ist eigentlich für die Aufsicht zuständig?
Diese Frage muss gestattet sein. Denn der Garante beschreitet mit seiner Anordnung – und tut dies selbst auch kund – Neuland. Denn bisher hatte in Europa nur der HmbBfDI ein entsprechendes Verfahren gegen Google angestrebt.
Eigentlich wäre der Garante für die Ahndung von Datenschutzverletzungen durch TikTok wohl gar nicht zuständig. TikTok hat nämlich seine Europazentrale mittlerweile in Irland eingerichtet, und die irische Datenschutzaufsichtsbehörde hatte erst im Dezember letzten Jahres bestätigt, dass sie sich als zuständige Aufsichtsbehörde für den Dienst ansehe.
Unter normalen Umständen hätte dies bedeutet, dass der Garante Maßnahmen gegen TikTok allenfalls bei der der irischen Datenschutzaufsichtsbehörde hätte beantragen können. Wahrscheinlich wäre sogar die Einbeziehung des Europäischen Datenschutzausschusses angezeigt gewesen. Jedenfalls aber hätte sich eine Entscheidung im Wege eines solchen Verfahrens auf unbestimmte Zeit hinausgezögert.
Historische Notfallmaßnahme
Dies war auch dem Garante bewusst, und so griff er in seiner Anordnung vom 22. Januar 2021, zum Werkzeug des Art. 66 DSGVO („Dringlichkeitsverfahren“).
Nach dieser Vorschrift kann eine Aufsichtsbehörde, die der Auffassung ist, dass unter außergewöhnlichen Umständen ein dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten der betroffenen Personen besteht, abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit rechtlicher Wirkung für einen bestimmten Zeitraum von höchstens drei Monaten in ihrem Hoheitsgebiet erlassen.
Aufgrund des Todes der 10-Jährigen zwei Tage zuvor bejahte der Garante im vorliegenden Fall „außergewöhnliche Umstände und dringenden Handlungsbedarf“ – und erließ die erste Notfallmaßnahme auf Basis der DSGVO.
Wer mehr zu den Beweggründen der Aufsichtsbehörde erfahren will, dem sei das Interview mit Guido Scorza, dem zuständigen Berichterstatter der Garante, aus „La Stampa“ vom 24. Januar 2021, ans Herz gelegt (auf Italienisch abrufbar). Auf der Seite der Garante findet man, wenn man etwas sucht, auch noch zahlreiche weitere Dokumente und Interviews zu dem Thema.
Und die Rechtsgrundlage…?
Der Garante hat TikTok in seiner Anordnung vorläufig jegliche Datenverarbeitung von Nutzern aus seinem Hoheitsgebiet untersagt, „deren Alter nicht mit voller Sicherheit festgestellt werden konnte“.
Grundvoraussetzung für das Einschreiten einer Aufsichtsbehörde ist die Verletzung datenschutzrechtlicher Vorgaben durch den Verantwortlichen. Vorliegend hat sich der Garante auf eine Verletzung des Grundsatzes des Art. 25 Abs. 1 DSGVO (Privacy by Design) berufen.
Was daran besonders schwierig ist: Art 25 Abs. 1 enthält eine Vielzahl unbestimmter Rechtsbegriffe. So muss der Verantwortliche nach dieser Norm
„geeignete technische und organisatorische Maßnahmen [treffen], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen (…).“
Ob die getroffenen Maßnahmen nun „geeignet“ sind, beurteilt sich unter anderem
„unter Berücksichtigung des Standes der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung (…)“.
Der Garante kam nun, unter Einbeziehung des Erwägungsgrundes 38, der die Schutzbedürftigkeit und Unbedarftheit von Kindern hinsichtlich der Verarbeitung ihrer Daten betont, jedenfalls zu dem Ergebnis, dass die reine Abfrage des Geburtstages, die TikTok bislang zur Altersverifikation praktiziert, dem Grundsatz des Privacy by Design nicht genüge.
Nun sag´, wie hast Du´s mit der Altersverifikation?
Und wie sähe man dies wohl hierzulande?
Das Meinungsbild zu den verschiedenen Methoden der Altersverifikation ist diffus. Begrifflich wird dabei oft davon gesprochen, dass eine „Altersplausibilitätsprüfung“ ausreichend sein müsse. Einige Stimmen halten dabei gerade auch die bloße Bestätigung des (angeblichen) Geburtstages wie im Fall TikTok für hinreichend. Andere scheinen geneigt zu sein, Instrumente aus dem Jugendschutzrecht heranzuziehen, wie das sog. Perso-Check-Verfahren. Hierbei wird eine automatisierte Schlüssigkeitsprüfung bezüglich einer zusätzlich anzugebenden Personalausweisnummer durchgeführt.
Und sicherer geht immer: Selbstverständlich könnte auch über eine Altersverifikation per Video-Ident-Verfahren nachgedacht werden oder, wenn er denn eines Tages weit genug verbreitet ist, an die Nutzung des elektronischen Personalausweises.
Algorithmen als Lösung?
Die große Bedeutung und Verbreitung sozialer Netzwerke unter Minderjährigen verlangt nach einer schnellen Festlegung einheitlicher Standards der Altersverifikation für vergleichbare Dienste. Ob das realistisch ist, bleibt abzuwarten.
TikTok immerhin reagierte schnell auf die Sperre und hat mittlerweile verschiedene Maßnahmen angekündigt, um das Problem der Altersverifikation in den Griff zu bekommen. So hat TikTok u.a. den zusätzlichen Einsatz von Algorithmen zur Altersbestimmung avisiert, der in enger Kooperation mit der zuständigen (s.o.) irischen Datenschutzaufsicht erfolgen soll. Den Rückgriff auf solche Technologien hatte auch der Garante nahegelegt, denn:
„Die großen Plattformen verfügen schließlich über eine so große Menge an Informationen über ihre Nutzer, dass sie durch Big Data und KI-Lösungen in der Lage sein könnten, wenn nicht zu sagen, ob ein Nutzer 13 oder 14 Jahre alt ist, so doch sicher zu sagen, ob er 10 oder 14 ist.“
(Guido Scorza, Berichterstatter der Garante, in La Stampa vom 24. Januar 2021)
Sowohl TikTok als auch die italienische Datenschutzaufsicht haben zudem verschiedene Informationskampagnen zum Schutz der jüngsten Plattform-Nutzer gestartet.
Datenschutz als Minderjährigenschutz
Die Diskussion um den Schutz Minderjähriger in sozialen Netzwerken ist nicht nur eine datenschutzrechtliche, und der Tod der jungen Antonella war insbesondere nicht primär auf die unrechtmäßige Verarbeitung ihrer personenbezogenen Daten zurückzuführen.
Dennoch hat die italienische Datenschutzaufsichtsbehörde gehandelt und erneut gezeigt, dassauch mithilfe des Datenschutzes längst überfällige Veränderungen zum Schutz von Kindern im Internet angestoßen werden können. Auch die britische Aufsichtsbehörde (ICO) hat sich diesen auf die Fahne geschrieben und z.B. jüngst einen Children’s Code sowie Age Appropriate Design Code verabschiedet.
Bitte, bitte … „der“ Garante :)
Vielen Dank für den Hinweis, den wir gleich umgesetzt haben.
Danke für den Beitrag. Ich bin seit mehreren Jahren als DPO in Italien unterwegs und habe mir aufgrund des Vorfalls die App Tiktok auf das Handy geladen. Bis jetzt wurde nur noch einmal darauf hingewiesen, das Geburtsdatum einzugeben, was aber aus meiner Sicht keine Lösung des Problems ist. Man könnte wenigstens die Nutzer blocken, wo die 2. Eingabe des Geburtsdatum mit der 1. nicht zusammenstimmt, aber auch hier kann in 5 Minuten ein neues Konto eröffnet werden.
Ich befürchte, dass die erneute Nachfrage des Geburtsdatums in der App die einzige Maßnahme zur Altersverifizierung bleibt und das Thema dann wieder untergeht, ich hoffe aber ich liege falsch.