Millionenstrafe: Microsoft hat illegal Daten von Kindern gesammelt
Microsoft muss wegen unrechtmäßig gesammelter Daten in den USA eine Geldstrafe in Höhe von 20 Millionen US-Dollar zahlen. Diese Summe vereinbarten der Konzern und die US-Aufsichtsbehörde Federal Trade Commission (FTC) im Rahmen eines Vergleichs.
Wie die Behörde am Montag mitteilte, wirft sie dem Konzern vor, bei der Account-Registrierung für die Videospielkonsole Xbox bis zum Jahr 2021 personenbezogenen Daten von Kindern gesammelt zu haben, ohne dass deren Eltern darüber informiert wurden oder deren Einwilligung eingeholt wurde. Microsoft speichert und verarbeitet die Informationen unter anderem zu Werbezwecken.
Zudem habe die Firma zwischen 2015 und 2020 eingegebene Daten von Kindern auch dann teils mehrere Jahre lang gespeichert, wenn diese den Registrierungsprozess abgebrochen hatten – auch in diesen Fällen hatten die Eltern einer Datenspeicherung nie zugestimmt.
Auflagen für Microsoft
Somit habe Microsoft gegen den Children’s Online Privacy Protection Act (COPPA) verstoßen, so die FTC. Das im Jahr 2000 verabschiedete Gesetz soll insbesondere die persönlichen Daten von Kindern unter 13 Jahren schützen. Es schreibt unter anderem die Einwilligung der Eltern vor, wenn Online-Dienste und Webseiten personenbezogene Daten von Kindern erheben. Zudem dürfen die Informationen nur für begrenzte Zeit gespeichert werden. Microsoft hat der Behörde zufolge beide Vorschriften bei der Xbox-Account-Registrierung missachtet.
Zusätzlich zur Geldstrafe hat das US-Justizministerium – im Namen der FTC – Microsoft dazu angewiesen, den Datenschutz für Kinder zu verbessern: Der Konzern muss Eltern darüber informieren, dass Accounts für Kinder mit zusätzlichem Datenschutz einhergehen. Für Kinder-Accounts, die vor Mai 2021 erstellt wurden, muss Microsoft nachträglich die Zustimmung der Eltern einholen. Erfolgt die Einwilligung der Eltern nicht, müssen die Daten dieser Konten innerhalb von zwei Wochen gelöscht werden.
Anpassungen bei Xbox
Microsoft zeigte sich am Dienstag gegenüber der Nachrichtenagentur Reuters einsichtig und erklärte, man habe bereits Maßnahmen ergriffen, um den COPPA-Anforderungen zu entsprechen. Bei der Registrierung eines neuen Kontos werde nun erst das Geburtsdatum der Nutzerin oder des Nutzers abgefragt, bevor weitere Daten eingegeben werden müssen. Handelt es sich um ein Kind, müssen die Eltern erst ihr Einverständnis geben, bevor der Vorgang fortgesetzt werden kann.
Vor Mai 2021 von Kindern angelegte Accounts werden innerhalb der kommenden Monate stillgelegt, bis ein Elternteil seine Einwilligung zur Datenverarbeitung gegeben haben wird.
Im Fall der langjährigen Speicherung von Daten aus abgebrochenen Registrierungsprozessen habe es ich um einen technischen Fehler gehandelt, erklärte Dave McCarthy, Vizepräsident für Xbox bei Microsoft, in einem Blogeintrag. Dieser soll verhindert haben, dass die Informationen automatisch nach 14 Tagen gelöscht wurden. Der Fehler sei mittlerweile behoben und die Daten gelöscht.
Bevor der Vergleich gültig ist, muss er noch von einem US-Bundesgericht genehmigt werden. (hcz)