Datenschutz: TikTok muss 345 Millionen Euro Strafe zahlen
Die irische Datenschutzbehörde Data Protection Commission (DPC) hat eine Datenschutzstrafe in Höhe von 345 Millionen Euro gegen den Social-Media-Dienst TikTok verhängt. Die Behörde wirft der Plattform mehrere Verstöße gegen die Datenschutzgrundverordnung (DSGVO) vor.
Hintergrund der Entscheidung ist eine Untersuchung zum Umgang mit Nutzerdaten von Minderjährigen von Ende Juli bis Ende Dezember 2020, wie die DPC am Freitag mitteilte. Die Behörde hatte unter anderem die Standardeinstellungen bei der Plattform geprüft.
Die irische Datenschutzbehörde ist für TikTok zuständig, weil das Unternehmen – wie viele seiner Mitbewerber – seinen europäischen Sitz in dem Land hat.
Mehrere DSGVO-Verstöße
Insgesamt haben die Datenschützer fünf Verstöße gegen die Datenschutzgrundverordnung festgestellt. So moniert die DPC unter anderem, Accounts von minderjährigen Nutzerinnen und Nutzern seien standardmäßig öffentlich einsehbar gewesen. Auch ohne TikTok-Konto hätte somit jeder die Beiträge aufrufen können. Nach der DSGVO sei die Plattform jedoch verpflichtet, datenschutzfreundliche Voreinstellungen vorzunehmen. Auch sei die Kommentarfunktion in den Profilen als Voreinstellung für alle anderen Nutzer zugänglich gewesen.
Zudem hätten sich auch Kinder unter 13 Jahre bei TikTok anmelden können. Die von dem Dienst ergriffenen Maßnahmen zur Altersüberprüfung hätten sich dabei leicht umgehen lassen.
TikTok bietet zudem den sogenannten “begleiteten Modus” an. Eltern können damit für ihre Kinder unter anderem einstellen, wer ihnen private Nachrichten senden darf. Die irischen Datenschützer kritisieren allerdings, die Plattform habe dabei nicht sichergestellt, dass es sich bei den Erwachsenen tatsächlich um die Eltern einer minderjährigen Nutzerin oder eines Nutzers gehandelt hat. Weil die erwachsenen Nutzer den Empfang von privaten Nachrichten aktivieren konnten, hätten sich potenzielle Risiken für die Kinder ergeben.
EDSA sieht weiteren Verstoß
Die irischen Datenschützer mussten ihre Entscheidung außerdem erweitern, weil andere im Europäischen Datenschutzausschuss (EDSA) vertretene nationale Aufsichtsbehörden zusätzlich den Einsatz von sogenannten Dark Patterns bei TikTok moniert hatten.
Laut EDSA wurden Kinder beim Hochladen von Videos dazu aufgefordert, diese direkt zu veröffentlichen – die entsprechende Schaltfläche sei in der App hervorgehoben gewesen. Wer seinen Beitrag auf “privat” stellen wollte, musste den Vorgang zunächst abbrechen und in den Datenschutzeinstellungen nach der Option für ein privates Konto suchen. Welche Konsequenzen die Wahl eines öffentlichen Kontos haben kann, sei insbesondere für Kinder unklar geblieben.
Die Vorsitzende des EDSA, Anu Talus, sagte: “Optionen im Zusammenhang mit dem Schutz der Privatsphäre sollten objektiv und neutral dargestellt werden, wobei jede Art von irreführender oder manipulativer Sprache oder Gestaltung zu vermeiden ist.” Anbieter müssten alle notwendigen Maßnahmen ergreifen, um die Datenschutzrechte von Kindern zu schützen.
TikTok muss nun ein Bußgeld in Höhe von 343 Millionen Euro zahlen. Zusätzlich hat die irische Behörde das Unternehmen angewiesen, seine Datenverarbeitung innerhalb von drei Monaten in Einklang mit der DSGVO zu bringen.
Die Plattform erklärte in einer ersten Reaktion, man sei mit der Entscheidung nicht einverstanden. Nach Ansicht des Unternehmens seien die meisten Kritikpunkte der Entscheidung nicht mehr relevant, weil TikTok bereits Anfang 2021 entsprechende Änderungen vorgenommen habe. So seien seit dem Jahr 2021 alle bestehenden und neuen Konten von 13- bis 15-Jährigen standardmäßig auf “privat” gestellt. TikTok werde nun das weitere Vorgehen prüfen.
Im April hatte bereits die britische Datenschutzbehörde eine Strafe in Höhe von umgerechnet etwa 14,5 Millionen Euro verhängt. Die Behörde hatte unter anderem kritisiert, dass bis zum Jahr 2020 geschätzt bis zu 1,4 Millionen Kinder unter 13 Jahren in Großbritannien einen TikTok-Account eröffnen konnten, obwohl die Regeln der Videoplattform das eigentlich untersagt hatten. Außerdem habe die Plattform Daten von Kindern ohne die elterliche Einwilligung verwendet. (dpa / js)