Brüssel, 15. September –Im Anschluss an den verbindlichen Streitbeilegungsbeschluss des EDSA hat die irische Datenschutzbehörde eine endgültige Entscheidung erlassen, in der sie insbesondere feststellte, dass TikTok Technology Limited (TikTok) bei der Verarbeitung personenbezogener Daten von Kindern im Alter zwischen 13 und 17 Jahren gegen den Grundsatz der Verarbeitung nach Treu und Glauben der DSGVO verstoßen hat. Der Beschluss des EDSA erging am 2. August 2023 und betrifft Verarbeitungstätigkeiten von TikTok zwischen dem 31. Juli und dem 31. Dezember 2020.
Anu Talus, Vorsitzende des EDSA, erklärte: „Unternehmen der sozialen Medien sind dafür verantwortlich, dass Nutzern, insbesondere Kindern, keine Wahlmöglichkeit auf unlautere Weise angeboten werden – vor allem dann, wenn sie dadurch zu Entscheidungen verleitet werden, die ihre Privatsphäre verletzen. Optionen im Zusammenhang mit der Privatsphäre sollten objektiv und neutral bereitgestellt werden, wobei es jegliche Art von irreführender oder manipulativer Sprache oder Gestaltung zu vermeiden gilt. Mit diesem Beschluss macht der EDSA erneut deutlich, dass digitale Akteure besonders vorsichtig sein und sämtliche erforderlichen Maßnahmen ergreifen müssen, um die Datenschutzrechte von Kindern zu wahren.“
In seinem verbindlichen Beschluss analysierte der EDSA die von TikTok verwendeten Gestaltungspraktiken im Zusammenhang mit zwei Pop-ups, die Jugendlichen im Alter zwischen 13 und 17 Jahren eingeblendet wurden: das Pop-up zur Registrierung und das Pop-up zum Video-Posting. Die Analyse ergab, dass den Nutzern in diesen beiden Pop-ups keine objektiven und neutralen Optionen präsentiert wurden.
Im Pop-up zur Registrierung wurden Kinder aufgefordert, sich für ein öffentliches Konto zu entscheiden, indem sie rechts den Button „Skip“ wählen, was sich folglich auf die Privatsphäre des Kindes auf der Plattform auswirkt, indem beispielsweise Kommentare zu von Kindern erstellten Videoinhalten öffentlich angezeigt werden.
Im Pop-up zum Video-Posting wurden die Kinder verleitet, auf die Schaltfläche „Post Now“ zu klicken, der sich in fetter, dunklerer Schrift auf der rechten Seite befindet, und nicht auf die unauffälligere gestaltete Schaltfläche „cancel“. Nutzer, die ihr Video nicht öffentlich machen wollten, mussten zunächst „cancel“ auswählen und dann nach den Einstellungen zum Schutz der Privatsphäre suchen, um zu einem „privaten Konto“ zu wechseln. Daher wurde Nutzern die Standardeinstellung „öffentlich“ nahegelegt, wobei TikTok es ihnen erschwerte, Entscheidungen zugunsten des Schutzes ihrer personenbezogenen Daten zu treffen. Darüber hinaus waren insbesondere minderjährigen Nutzern die Folgen der einzelnen Optionen nicht klar. Der EDSA bestätigte, dass die Verantwortlichen es den betroffenen Personen nicht erschweren sollten, ihre Einstellungen zum Schutz der Privatsphäre anzupassen und die Verarbeitung einzuschränken.
Der EDSA stellte ferner fest, dass TikTok durch die fraglichen Praktiken gegen den Grundsatz der Verarbeitung nach Treu und Glauben der DSGVO verstoßen hat. Folglich wies der EDSA die irische Datenschutzbehörde an, in ihrer endgültigen Entscheidung die Feststellung dieses zusätzlichen Verstoßes aufzunehmen und TikTok anzuweisen, die DSGVO einzuhalten und derartige Gestaltungspraktiken zu beseitigen.
Der EDSA bewertete auch, ob die von TikTok zwischen dem 31. Juli und dem 31. Dezember 2020 umgesetzten Maßnahmen zur Altersüberprüfung den Anforderungen des Datenschutzes durch Technikgestaltung (Artikel 25 Absatz 1 DSGVO) entsprachen. Der EDSA äußerte ernsthafte Zweifel an der Wirksamkeit der von TikTok in diesem Zeitraum eingeführten Maßnahmen zur Altersüberprüfung, insbesondere angesichts der großen Risiken für die hohe Zahl der betroffenen Kinder. Der EDSA stellte unter anderem fest, dass die von TikTok festgelegte Altersbeschränkung, die minderjährige Nutzer unter 13 Jahren daran hindern soll, auf die Plattform zuzugreifen, leicht umgangen werden könnte und dass die Maßnahmen, die ergriffen wurden, nachdem Nutzer Zugang zu TikTok erhalten haben, nicht hinreichend systematisch angewandt werden.
Auf der Grundlage der im Rahmen dieses Streitbeilegungsverfahrens verfügbaren Informationen kam der EDSA zu dem Schluss, dass er insbesondere in Bezug auf den Stand der Technik nicht über ausreichende Informationen verfügte, um die Einhaltung von Artikel 25 Absatz 1 DSGVO durch TikTok in diesem Zeitraum abschließend beurteilen zu können. Angesichts der ernsthaften Zweifel an der Wirksamkeit der von TikTok gewählten Maßnahmen forderte der EDSA die irische Datenschutzbehörde auf, dies in ihrer endgültigen Entscheidung zu berücksichtigen.
In der endgültigen Entscheidung der irischen Datenschutzbehörde ist die rechtliche Beurteilung, die der EDSA in seinem verbindlichen Beschluss dargelegt hat, aufzunehmen. Der verbindliche Beschluss des EDSA wurde auf der Grundlage von Artikel 65 Absatz 1 Buchstabe a DSGVO erlassen, nachdem die irische Datenschutzbehörde in ihrer Funktion als federführende Aufsichtsbehörde das Streitbeilegungsverfahren bezüglich der von einigen betroffenen Aufsichtsbehörden eingelegten Einsprüche eingeleitet hatte. In diesen Einsprüchen wurde der oben beschriebene Umfang des Beschlusses des EDSA dargelegt.
Die endgültige Entscheidung der irischen Datenschutzbehörde umfasst auch eine rechtliche Beurteilung, gegen die keine Einsprüche seitens der betroffenen Aufsichtsbehörden eingelegt wurden, wie etwa die Feststellung, dass die Standardeinstellungen gegen die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen, der Datenminimierung und der Transparenz verstoßen. Neben einer Rüge und einer Anordnung von Abhilfemaßnahmen verhängte die irische Datenschutzbehörde eine Geldbuße in Höhe von 345 Mio. EUR.
Die endgültige Entscheidung der irischen Datenschutzbehörde ist im Register der Entscheidungen von Aufsichtsbehörden und Gerichten zu im Rahmen des Kohärenzverfahrens behandelten Fragen abrufbar.
Anmerkung des Verfassers:
Dieser Beschluss greift etwaigen Bewertungen, die der EDSA in anderen Fällen, auch mit denselben Parteien, vorzunehmen hat, nicht vor. Verbindliche Beschlüsse des EDSA betreffen nur Meinungsverschiedenheiten über einen Beschlussentwurf, die von den betroffenen Aufsichtsbehörden in einem maßgeblichen und begründeten Einspruch dargelegt werden.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.