UK ICO verhängt 14,5 Mio. £ Strafe gegen Reddit für rechtswidrige Datenerfassung bei Kindern

Die britische Information Commissioner’s Office (ICO) hat gegen Reddit eine Geldstrafe in Höhe von 14,47 Millionen Pfund (ca. 19,5 Millionen US-Dollar) verhängt. Der Grund: Die rechtswidrige Erhebung und Verarbeitung personenbezogener Daten von Kindern unter 13 Jahren. Die Maßnahme unterstreicht das Versäumnis der Plattform, angemessene Schutzmaßnahmen zum Schutz der Daten Minderjähriger zu implementieren – ein klarer Verstoß gegen die UK General Data Protection Regulation (UK GDPR) und den Children’s Code (Age Appropriate Design Code).

Zentrale Erkenntnisse und Verstöße

Die Untersuchung der ICO ergab, dass Reddits Praktiken zwischen 2016 und 2021 nicht den Datenschutzbestimmungen entsprachen, insbesondere im Hinblick auf den Schutz der Privatsphäre von Kindern. Gemäß der UK GDPR müssen Organisationen sicherstellen, dass die Verarbeitung personenbezogener Daten rechtmäßig, fair und transparent erfolgt – besonders bei Daten von Minderjährigen. Der Children’s Code, der 2020 eingeführt wurde, schreibt zudem vor, dass digitale Dienste, die wahrscheinlich von Kindern genutzt werden, deren bestmögliche Interessen priorisieren müssen. Dazu gehören standardmäßige Datenschutzeinstellungen und Datenminimierung.

Zu den Verstößen von Reddit zählten:

• Fehlende Altersverifizierung: Die Plattform setzte keine robusten Mechanismen ein, um zu verhindern, dass Kinder unter 13 Jahren Konten erstellten oder auf ihre Dienste zugriffen.
• Unzureichende Datenschutzmaßnahmen: Die Standardeinstellungen und Datenerhebungspraktiken entsprachen nicht den hohen Datenschutzstandards, die für Kinderdaten erforderlich sind.
• Fehlende wirksame Einwilligung: Für Nutzer unter 13 Jahren ist eine elterliche Einwilligung gesetzlich vorgeschrieben, die Reddit nicht konsequent einholte.

Auswirkungen und regulatorische Reaktion

Die Höhe der Strafe spiegelt die Schwere der Verstöße wider und dient als Warnung an andere Plattformen hinsichtlich der Konsequenzen bei Nichteinhaltung der Datenschutzbestimmungen für Kinder. John Edwards, der britische Information Commissioner, betonte, dass der Schutz der Privatsphäre von Kindern keine Option, sondern eine gesetzliche Pflicht sei:

"Der Schutz der Daten von Kindern ist keine freiwillige Maßnahme – er ist eine gesetzliche Anforderung. Organisationen müssen ihre Verantwortung ernst nehmen, sonst drohen erhebliche Strafen."

Reddit hat die Strafe öffentlich nicht angefochten, soll jedoch seit der Untersuchung Schritte unternommen haben, um die Altersverifizierung und Datenschutzmaßnahmen zu verbessern.

Empfehlungen für Organisationen zur Einhaltung der Vorschriften

Sicherheits- und Datenschutzexperten sollten folgende Punkte beachten:

• Robuste Altersverifizierung implementieren: Technische Maßnahmen (z. B. Altersprüfungen, Verifizierung durch Dritte) einsetzen, um den Zugang Minderjähriger zu unterbinden, wo dies verboten ist.
• Hohe Datenschutzstandards durchsetzen: Sicherstellen, dass die Einstellungen für Kinderkonten Datenminimierung und Opt-in-Einwilligungen priorisieren.
• Einhaltung des Children’s Code prüfen: Praktiken an den 15 Standards des britischen Age Appropriate Design Code ausrichten, einschließlich Transparenz und elterlicher Kontrollmöglichkeiten.
• Regelmäßige Audits durchführen: Datenverarbeitungsaktivitäten proaktiv bewerten, um Risiken für die Privatsphäre von Minderjährigen zu identifizieren und zu mindern.

Die Maßnahme der ICO unterstreicht die wachsende globale Aufmerksamkeit für die digitalen Rechte von Kindern und die Notwendigkeit für Organisationen, die Einhaltung sich entwickelnder Datenschutzbestimmungen zu priorisieren.