Das Information Commissioner’s Office (ICO) des Vereinigten Königreichs hat im September 2020 einen neuen Verhaltenskodex (den Code) fertiggestellt, der für die meisten Unternehmen gilt, die Online-Dienste für Benutzer in Großbritannien anbieten oder auf andere Weise personenbezogene Daten von Benutzern in Großbritannien sammeln, wenn dies wahrscheinlich ist für Kinder zugänglich sein. Angesichts der Fertigstellung dieses Kodex gibt es keinen besseren Zeitpunkt, um die Datenschutzgesetze für Kinder auf dem neuesten Stand zu halten.

Mit der Veröffentlichung des Kodex signalisiert das ICO, wie es die Datenschutzgrundsätze gemäß der EU-Datenschutzgrundverordnung (DSGVO) und der britischen Datenschutzverordnung für elektronische Kommunikation (PECR) auslegen will. Dies bedeutet, dass Verstöße gegen den Kodex zu Bußgeldern nach DSGVO-Standard führen können: bis zu 20 Mio. EUR / 17,5 Mio. GBP oder 4% des weltweiten Jahresumsatzes eines Unternehmens, je nachdem, welcher Wert höher ist.

Glücklicherweise sieht der Kodex eine Übergangsfrist von 12 Monaten vor Beginn der Durchsetzung vor, sodass Unternehmen sich vor Beginn der Durchsetzung im September 2021 über die neuen Anforderungen informieren und entsprechende Maßnahmen ergreifen sollten.

Wichtige Änderungen und Anforderungen

Der Kodex besteht aus 15 Standards, an die sich alle Online-Fachdienste halten müssen, wobei ein ganzheitlicher, risikobasierter Ansatz zu berücksichtigen ist, der das Wohl eines Kindes berücksichtigt. Während einige der Standards wahrscheinlich vielen Unternehmen mit entwickelten Datenschutzprogrammen wie Datenminimierung, Transparenz und Einschränkungen beim Datenaustausch bekannt sein werden, können Unternehmen, die es gewohnt sind, minderjährige Datenschutzprobleme zu behandeln, dennoch von einigen neuen Anforderungen des Kodex überrascht sein. Einige der wichtigsten Änderungen sind nachstehend aufgeführt.

Ein Kind gilt jetzt als Benutzer unter 18 Jahren.

Die meisten globalen Datenschutzgesetze legen ein Mindestalter fest (13 für die USA und 16 für viele EU-Länder), unter dem keine personenbezogenen Daten von einem Kind erhoben werden dürfen, es sei denn, ein Elternteil gibt seine Zustimmung oder es gilt eine festgelegte Ausnahme. Der Kodex ändert nicht das Mindestalter für die Datenverarbeitung in Großbritannien (es bleibt 13 Jahre alt), behauptet jedoch separat, dass Kinder bis zu ihrem 18. Lebensjahr online besonderen Schutz benötigen. Nach dem Kodex müssen Unternehmen Kinder je nach Altersgruppe (z. B. 0-5, 6-9, 10-12, 13-15 oder 16-17) unterschiedlich behandeln, indem sie die Sprache der Datenschutzrichtlinien eines Unternehmens an das Leseverständnis anpassen jeder Gruppe.

Einige der Anforderungen des ICO, wie beispielsweise die Anforderungen zur standardmäßigen Begrenzung des Datenaustauschs und der Personalisierung, dürften sich auf viele Unternehmen auswirken, insbesondere auf Dienste mit einer großen Anzahl britischer Benutzer im Alter zwischen 16 und 18 Jahren, die dies jetzt tun werden brauchen zusätzlichen Schutz unter den neuen Leitlinien.

Analysen und Datenerfassung zur „Serviceverbesserung“ können nicht mehr standardmäßig erfasst werden, wodurch ein Kollisionskurs mit COPPA eingerichtet wird.

Das US-amerikanische Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA) ist eines der bekanntesten (und durchgesetztesten) Gesetze zum Schutz der Privatsphäre von Kindern weltweit. Insbesondere erfordert COPPA keine Zustimmung der Eltern in Situationen, in denen die Daten eines Kindes nur zur Optimierung, Personalisierung, statistischen Berichterstattung und anderen Funktionen verwendet werden, die zur Analyse und Unterstützung der „internen Abläufe“ des Dienstes erforderlich sind. Das ICO vertritt eine viel strengere Auffassung und vertritt die Auffassung, dass „die Erfassung personenbezogener Daten, um die Online-Erfahrung Ihrer Benutzer zu verbessern, zu verbessern oder zu personalisieren“ [is] über die Bereitstellung Ihres Kerndienstes hinaus “und bedarf einer gesonderten Zustimmung. Kombinieren Sie diese strenge Auslegung mit der Position des ICO, dass der Elternteil des britischen Kindes, bei dem das Kind unter 13 Jahren ist, die Zustimmung zur nicht wesentlichen Verarbeitung erteilen muss. Diese Bestimmung wird wahrscheinlich erhebliche geschäftliche Auswirkungen auf die praktische Leistungsfähigkeit kindgerechter Apps haben um Analysen durchzuführen oder Benutzerdaten von in Großbritannien ansässigen Personen anderweitig zu verwenden, um ihre Dienste zu verbessern.

Es ist jedoch unklar, ob der Kodex die Erfassung nicht identifizierter Daten für Analysezwecke zwangsläufig verbietet oder inwieweit ein Unternehmen seine Personalisierungsbemühungen als Teil seines „Kerndienstes“ definieren kann. Vor diesem Hintergrund empfehlen wir, Vorsicht walten zu lassen, bevor ein „Kerndienst“ zu weit gefasst wird: Der ICO schreibt, „obwohl es möglicherweise einige begrenzte Beispiele für Dienste gibt, bei denen Verhaltenswerbung Teil des Kerndienstes ist (z. B. ein Gutschein oder„ Geld aus “). Service), wir denken, dass diese außergewöhnlich sein werden. In den meisten Fällen unterscheidet sich das Finanzierungsmodell vom Kerndienst und sollte daher einer Datenschutzeinstellung unterliegen, die standardmäßig deaktiviert ist. “

Datenschutz / DSGVO als Durchsetzungshaken für nahezu jeden Schaden für Kinder.

Einer der Standards des Kodex ist die Anforderung, das „beste Interesse des Kindes“ zu berücksichtigen, wenn Entwurfsentscheidungen in Bezug auf Daten getroffen werden. Auf dieses Konzept wird auch in den anderen Standards des Kodex häufig Bezug genommen. Nach dem Kodex ist die Ermittlung des Wohls eines Kindes eine ganzheitliche Analyse, die eine Vielzahl von Faktoren berücksichtigt, wie z. B. das Recht des Kindes auf freie Meinungsäußerung, Gedanken, Gewissen, Religion, Vereinigung, Zugang zu Informationen, altersgerechtes Spielen, Schutz vor wirtschaftlichen, sexuellen oder anderen Formen der Ausbeutung und mehr.

Die Gesetze und die Durchsetzung der Privatsphäre von Kindern haben sich traditionell mit anderen Initiativen zum Schutz von Kindern überschnitten. Zum Beispiel hat die italienische Datenschutzbehörde kürzlich ein vorübergehendes Verbot von TikTok verhängt, nachdem ein 10-jähriges Mädchen aus Palermo gestorben war, das erstickt war, nachdem es an einer „Erstickungs-Herausforderung“ auf der Social-Media-Plattform teilgenommen hatte. (Dies gilt zusätzlich zu einem Verbot von TikTok durch die indische Regierung für Aktivitäten, die als „nachteilig für die Souveränität und Integrität Indiens“ eingestuft werden, was auf ein hohes Maß an Misstrauen gegenüber diesen Diensten sozialer Netzwerke auf internationaler Ebene hindeutet.)

Der Kodex macht jedoch deutlich, dass das ICO beabsichtigt, GDPR / PECR (und die damit verbundenen Strafen) als Durchsetzungshaken für nahezu alle „nachteiligen Auswirkungen“ auf ein Kind zu verwenden, die auf seine Daten zurückgeführt werden können. Beispielsweise würde das ICO die folgenden Aktivitäten als Verstöße betrachten, die gemäß dem Kodex durchsetzbar sind:

  • Marketingpraktiken, die Kinder direkt auffordern, ihre Eltern zu kaufen oder zu überreden, beworbene Produkte zu kaufen;
  • Mechanik, die eine übermäßige Bildschirmzeit fördert;
  • Versäumnis, die selbst auferlegten Community-Richtlinien eines Dienstes angemessen zu überwachen oder durchzusetzen (Aufbau eines weiteren potenziellen Konflikts mit der Immunität, der US-Unternehmen gemäß Abschnitt 230 des Communications Decency Act gewährt wird); oder
  • Jede Praxis, die gegen etablierte Richtlinien für das Marketing von Kindern verstößt, einschließlich der Schaltung von Anzeigen für Musikinhalte mit expliziten Texten oder für Lebensmittel mit hohem Fett- oder Zuckergehalt.

Kinder haben Datenschutzrechte gegen ihre Eltern.

Obwohl viele Unternehmen robuste Kindersicherungen anbieten, mit denen Eltern die Nutzung eines bestimmten Dienstes durch ihre Kinder überwachen und kontrollieren können, erkennt der Kodex an, dass Kinder bestimmte Datenschutzrechte speziell gegenüber ihren Eltern haben. Der Code verlangt beispielsweise, dass Kinder jederzeit benachrichtigt werden müssen, wenn ein Elternteil ihre Aktivität überwacht. Diese Anforderung ist für viele Unternehmen möglicherweise nicht intuitiv, insbesondere für Unternehmen in Kulturen mit einer umfassenderen Sicht auf das Recht eines Elternteils, das Online-Verhalten seines Kindes zu überwachen und zu kontrollieren. Dies führt zu einem weiteren potenziellen Konflikt mit COPPA, der vorschreibt, dass Betreiber von Diensten für Kinder unter 13 Jahren Eltern die uneingeschränkte Möglichkeit geben, auf persönliche Informationen zuzugreifen und diese zu löschen, die ein Dienst von ihren Kindern sammelt.

Schritte zur Vorbereitung

Für Unternehmen, die bereits Schritte zur Einhaltung der Datenschutzgesetze für Kinder wie COPPA und GDPR-K unternehmen, sind im Folgenden einige Punkte aufgeführt, auf die Sie sich im Jahr 2021 konzentrieren sollten:

  1. Überprüfen Sie die Zielgruppe Ihres Dienstes und die Schritte, die Sie unternehmen, um Kinder auszusortieren und / oder zu schützen. Wie bei COPPA gilt der Kodex für Dienste, die Kinder ansprechen oder sich an Kinder richten. Wenn ein minderjähriges Unternehmen, das den folgenden Bestimmungen folgt, vermeiden möchte, dem Kodex zu unterliegen, sollte es dokumentieren und zusätzliche Maßnahmen ergreifen, um zu verhindern, dass Kinder auf seinen Dienst zugreifen, z. B. neutrale Altersbildschirme und Cookies, um eine erneute Einreichung zu verhindern (bereits gemäß COPPA empfohlen). oder bei Aktivitäten mit sehr hohem Risiko zusätzliche Maßnahmen erfordern, z. B. die Verwendung eines Überprüfungsdienstes eines Drittanbieters zur Überprüfung des Alters und / oder das Sammeln von Ausweisen, die ausschließlich zur Altersüberprüfung verwendet werden.
  2. Stellen Sie sicher, dass alle optionalen Einstellungen für die Datenerfassung / -freigabe für alle Benutzer unter 18 Jahren in Großbritannien standardmäßig deaktiviert sind. Dies umfasst alle Analyse- und Personalisierungsfunktionen, die nicht angemessen als Teil des „Kerndienstes“ des Unternehmens eingestuft werden können. Für jüngere Benutzer empfiehlt der Kodex „Eingriffe“, bevor der Benutzer eine weniger schützende Datenschutzeinstellung wählen kann, und weist das Kind an, seine Eltern um Hilfe zu bitten. Da britische Benutzer unter 13 Jahren ohne Zustimmung der Eltern keine rechtlichen Änderungen an der Verarbeitung personenbezogener Daten vornehmen können, sollten Unternehmen diese „Interventionen“ in erster Linie für Benutzer im Alter von 13 bis 17 Jahren gestalten.
  3. Arbeiten Sie in Ihren Datenschutzrichtlinien und Just-in-Time-Hinweisen auf kinderfreundliche Angaben zum Datenschutz hin. Unternehmen, die Online-Dienste anbieten, die Kinder ansprechen, sollten erwägen, eine „kinderfreundliche“ Version ihrer Datenschutzrichtlinie hinzuzufügen, um ihre strengeren rechtlichen Angaben zu ergänzen. Der Code empfiehlt auch Diagramme, Cartoons und / oder Grafiken, um Kindern zwischen 6 und 12 Jahren Datenschutzkonzepte zu erläutern.

  4. Stellen Sie sicher, dass Ihre Dokumentation vorhanden ist, und wenden Sie sich nach Möglichkeit an Kinder. Der Kodex verpflichtet alle Unternehmen, ihre Einhaltung durch eine Datenschutz-Folgenabschätzung (DPIA) zu dokumentieren. Das ICO enthält eine DPIA-Beispielvorlage als Teil des Codes. Eine der wichtigsten Voraussetzungen für eine effektive DPIA sind tatsächliche Konsultationen mit Kindern und Eltern, um herauszufinden, wie sie die Dienste nutzen, welchen Risiken sie ausgesetzt sind und ob sie die Datenschutzangaben verstehen, die das Unternehmen im fertigen Produkt präsentieren möchte. Es kann schwierig sein, sich vor dem Start ein vollständiges Bild davon zu machen, wie Kinder mit einer Funktion interagieren. Daher würden die DPIAs im Idealfall im Laufe der Zeit aktualisiert.
  5. Überlegen Sie, wie die Privatsphäre von Kindern in ein größeres globales Compliance-Programm passt. Unternehmen, die minderjährige Benutzer zulassen, sollten eine ganzheitliche Sicht darauf haben, wie ihr Service ihnen schaden könnte, und überlegen, wie sie bereits in den frühen Phasen des Designs eine kinderfreundliche Erfahrung schaffen können. Dazu gehört, dass Sie über die Anzeigen nachdenken, die Kinder möglicherweise auf der Plattform sehen, wie sich das Monetarisierungsmodell eines Dienstes auf Kinder auswirkt und welche anderen Interaktionen ein Kind möglicherweise mit anderen Nutzern auf der Plattform hat. Denken Sie daran, dass Kinder beeindruckbar sind und oft über ihr Alter lügen, um auf Dienste zuzugreifen, die sie nicht sollten – deshalb brauchen sie zusätzlichen Schutz.
  6. Erkundigen Sie sich bei Ihrem Zertifizierungsanbieter nach der Einhaltung des Kodex. Das ICO sieht vor, dass Zertifizierungssysteme verfügbar werden, die eine Zertifizierung der Einhaltung des Kodex ermöglichen. Solche Anbieter bieten im Rahmen von COPPA häufig auch einen sicheren Hafenschutz. Daher sollten Unternehmen überlegen, ob der Beitritt zu einem solchen Programm der richtige Schritt für ihr Unternehmen ist.

Während der Kodex eine Reihe neuer Herausforderungen für Unternehmen darstellt, ist jetzt der beste Zeitpunkt für Unternehmen, ihre Compliance-Programme zu überdenken und Änderungen umzusetzen, wobei stets ein intelligenter, risikobasierter Ansatz zu berücksichtigen ist. Natürlich wird am Horizont noch mehr zu beachten sein, da die irische Datenschutzkommission ebenfalls einen eigenen Kodex ankündigt, der sich noch bis März 2021 in der Entwurfsphase befindet. Wie immer sind die Anwälte von Fenwick hier, um Ihnen bei der ständigen Navigation zu helfen Standards verschieben.