Reddit von britischer ICO zu 16 Millionen Pfund Strafe wegen Verstößen gegen Kinderdatenschutz verurteilt

Reddit mit 16 Millionen Pfund Strafe wegen Verstößen gegen Kinderdatenschutz belegt

Das britische Information Commissioner’s Office (ICO) hat gegen die Plattform Reddit eine Strafe in Höhe von 16 Millionen Pfund (ca. 20 Millionen US-Dollar) verhängt. Der Grund: Verstöße gegen Kinderdatenschutzgesetze. Die Strafe zählt zu den höchsten, die bisher unter der UK General Data Protection Regulation (GDPR) und dem Age Appropriate Design Code (Children’s Code) verhängt wurden.

Wesentliche Details der Verstöße

Die Untersuchung des ICO ergab, dass Reddit unzureichende Schutzmaßnahmen zum Schutz der persönlichen Daten von Kindern auf seiner Plattform implementiert hatte. Konkret warf die Behörde dem Unternehmen vor, folgende Maßnahmen nicht umgesetzt zu haben:

• Effektive Altersverifizierung: Minderjährige konnten auf die Plattform zugreifen und persönliche Daten ohne ausreichende Schutzvorkehrungen teilen.
• Strengere Datenschutzeinstellungen für Minderjährige: Reddit setzte keine standardmäßig höheren Datenschutzstandards für unter 18-Jährige durch, wodurch diese Risiken wie Datenabbau, zielgerichtete Werbung und potenziell gefährlichem Verhalten ausgesetzt waren.
• Nichteinhaltung des Children’s Code: Dieser Kodex verlangt, dass digitale Dienste, die wahrscheinlich von Kindern genutzt werden, deren Privatsphäre und Sicherheit by Design priorisieren müssen.

Die Strafe unterstreicht den Null-Toleranz-Ansatz des ICO gegenüber Organisationen, die den Schutz von Kinderdaten vernachlässigen. Plattformen sind demnach verpflichtet, Risiken proaktiv zu bewerten und altersgerechte Schutzmaßnahmen zu implementieren.

Auswirkungen und Reaktionen der Branche

Die Strafe dient als Weckruf für soziale Medien und Online-Foren hinsichtlich ihrer Pflichten unter der UK GDPR und dem Children’s Code. Das ICO hat signalisiert, dass der Schutz von Kinderdaten weiterhin eine prioritäre Durchsetzungsmaßnahme bleibt. Ähnliche Untersuchungen gegen andere große Technologieunternehmen sind bereits im Gange.

Reddit hat die Strafe öffentlich nicht angefochten, erklärte jedoch, dass es seine Richtlinien überprüft, um den regulatorischen Anforderungen gerecht zu werden. Der Fall verdeutlicht die zunehmende regulatorische Kontrolle darüber, wie Plattformen mit den Daten Minderjähriger umgehen – insbesondere in Rechtsordnungen mit strengen Datenschutzgesetzen.

Empfehlungen für Sicherheitsteams und Compliance-Verantwortliche

Sicherheitsexperten und Compliance-Beauftragte sollten folgende Best Practices beachten, um ähnliche Strafen zu vermeiden:

• Robuste Altersverifizierungsmechanismen einführen (z. B. KI-gestützte Prüfungen, Dokumentenvalidierung), um zu verhindern, dass Minderjährige Schutzmaßnahmen umgehen.
• Standardmäßig hohe Datenschutzeinstellungen für unter 18-Jährige durchsetzen, einschließlich Einschränkungen bei der Datenweitergabe und zielgerichteter Werbung.
• Regelmäßige Audits der Datenschutzmaßnahmen durchführen, um die Einhaltung von GDPR, Children’s Code und anderen regionalen Datenschutzgesetzen sicherzustellen.
• Moderationsteams schulen, um Risiken im Zusammenhang mit minderjährigen Nutzern – wie Grooming oder unautorisierte Datenerfassung – zu erkennen und zu mindern.
• Proaktiv mit Aufsichtsbehörden zusammenarbeiten, um Compliance-Bemühungen nachzuweisen und mögliche Lücken zu schließen, bevor es zu Durchsetzungsmaßnahmen kommt.

Die Strafe gegen Reddit unterstreicht die rechtlichen und reputativen Risiken, die mit der Vernachlässigung des Kinderdatenschutzes einhergehen. Sie betont zudem die Notwendigkeit, Privacy-by-Design-Prinzipien in digitalen Diensten zu verankern.