Datenschutz in den USA: Ist COPPA ein Kinderspiel?

Seit gut 15 Jahren regelt in den USA der Children’s Online Privacy Protection Act (COPPA) den Schutz personenbezogener Daten von Kindern unter 13 Jahren im Onlinesektor. Grundgedanke: Die Erziehungsberechtigten sollen über die Sammlung und Verarbeitung der Daten ihrer Kinder bestimmen. Das soll vor allem durch vorherige Einwilligung der Eltern erzielt werden.

COPPA gilt für kommerzielle Webseiten und Onlinedienste, einschließlich Apps und Online-Spiele, die sich gezielt an Kinder unter 13 Jahren richten und deren personenbezogenen Daten sammeln, verwenden, oder weitergeben. Ebenso erfasst sind Webseiten und Dienste, die sich zwar an ein altersunabhängiges Publikum wenden, aber deren Betreiber oder Entwickler Kenntnis davon haben, dass auch persönliche Daten von Kindern erfasst werden könnten. Auch wenn die Daten über Dritte erlangt werden, findet COPPA Anwendung. Relevant ist COPPA hierzulande dann, wenn sich Webseiten, Spiele oder Apps gezielt an Kinder in den USA richten oder wenn wissentlich auch persönliche Daten von US-amerikanischen Kindern erfasst und verarbeitet werden könnten.

Die Anforderungen, die COPPA an Betreiber und Entwickler stellt, entsprechen im Wesentlichen den Grundaussagen des deutschen bzw. europäischen Datenschutzrechtes: Neben einer klar und verständlich formulierten Datenschutzerklärung und umfangreichen Informationspflichten müssen die Daten zugänglich und löschbar sein. Sie dürfen nur solange gespeichert werden, wie sie zur Verfolgung des bewilligten Zwecks erforderlich sind. Der Umgang mit den Daten muss vertraulich, sicher und integer sein und darf nur insoweit durch Dritte erfolgen, wie die Einwilligung reicht und/oder die Weitergabe dem vor der Einwilligung bekanntgegebenen Vertragszweck entspricht.

Abweichend von der hiesigen Rechtslage bedarf es jedoch in den USA einer expliziten Verifizierung, dass die Erziehungsberechtigten der Erhebung der Daten ihrer Kinder zugestimmt haben, damit sichergestellt ist, dass der Einwilligende hierzu auch rechtlich befugt ist – in Deutschland ist ein solches Verfahren nicht ausdrücklich vorgeschrieben. Die Verifikation kann beispielsweise über die Angabe von Zahlungsdaten, also Kredit-, Debit- oder EC-Karte erfolgen. Bisher bedurfte eine gültige Verifikation auch eines Geldtransfers mit der angegebenen Karte. Die Handelsaufsichtsbehörde FTC hat diese Anforderungen ihren Angaben in den FAQ von Juli 2014 nach zwar gelockert, die Feststellung der Zahlungsinformationen allein reicht aber weiterhin nicht aus. Ein Geldtransfer ist allerdings dann nicht mehr zwingend erforderlich, wenn andere zusätzliche Sicherheitsmaßnahmen ergriffen werden, wie Sicherheitsfragen, die nur von den Erziehungsberechtigten beantwortet werden können. Seit Juli 2014 sollen App-Entwickler zudem auch mit Hilfe von Dritten – insbesondere App-Stores – die verifizierte Einwilligung einholen können. Der App-Store kann bei der Einholung der Einwilligung und deren Verifikation behilflich sein wenn versichert wird, dass die hierbei verwendete Methode „gut durchdacht“ ist und nach dem aktuellen Stand der Technik sichergestellt werden kann, dass die Einwilligung auch tatsächlich von den Erziehungsberechtigten des Kindes erteilt wurde. Das soll laut FTC heißen, dass allein die Angabe eines App-Store-Accounts oder eines Passwortes ohne weitere Sicherheitsindizien keine ausreichende Verifikationsmethode ist. Weitere Sicherheitsindizien können beispielsweise Autorisierungsfragen sein, die auf spezifischer Kenntnis der Erziehungsberechtigten basieren oder ein staatlicher Identifikationsnachweis wie z.B. der Personalausweis. Noch eine weitere wichtige Neuerung bringen die aktuellen FAQ mit sich: App-Stores oder sonstige Plattformen, die Mechanismen für die verifizierte Einwilligung anbieten, sind nun nicht mehr verantwortlich für COPPA-Verstöße seitens der App-Entwickler. Allerdings warnt die FTC davor, dass die Plattformen sich aufgrund ihrer mangelnden Kenntnis über deren Datenschutzniveau explizit von den Inhalten der jeweiligen Apps distanzieren müssen, um eventuellen Haftungsrisiken wegen irreführender Handelspraktiken zu entgehen.

Die Kommission bemüht sich sichtlich um die Verbesserung der praktischen Durchsetzbarkeit von COPPA. Es ist ein Balanceakt, die technische Durchführbarkeit der Vorgaben trotz hohen Datenschutzniveaus zu gewährleisten, ohne Entwicklung und Innovation durch die Anforderungen und Sanktionen auszubremsen. Gerade Sanktionsmöglichkeiten können einschüchternde Wirkung entfalten: Verstöße gegen COPPA werden mit Bußgeldern von bis zu USD 16.000 bestraft und die Verteidigung im Rahmen eines Ermittlungsverfahrens kann auch dann zu fünf- bis sechsstelligen Kosten führen, wenn am Ende kein Verstoß angenommen wird. Aufgrund der hohen finanziellen Belastung – insbesondere auch für Startups –, der vielen offenen Detailfragen bei COPPA und der damit verbundenen Unklarheiten, wie COPPA genau umzusetzen ist, sollten sich Entwickler und Publisher von Apps, Games und Online-Services daher frühzeitig mit den Vorgaben befassen, um unangenehme Überraschungen zu vermeiden.

Wir danken unserer wissenschaftlichen Mitarbeiterin Leonie Schneider und unserer amerikanischen Praktikantin Lauren Snyder für die Mitwirkung an diesem Beitrag.


Beitrag veröffentlicht

in

von

Kommentare

Schreibe einen Kommentar