- EINFÜHRUNG
Mit der weit verbreiteten Nutzung des Internets hat heutzutage auch der Zugang von Kindern zu digitalen Umgebungen zugenommen. Diese Situation hat jedoch auch zu einigen Problemen geführt. Kinder, die eine gefährdetere Gruppe als Erwachsene darstellen, können die Folgen der Weitergabe ihrer personenbezogenen Daten nicht vorhersehen, sind sich der Risiken nicht bewusst und kennen ihre gesetzlichen Rechte nicht und wissen nicht, wie sie diese ausüben können. Daher hat der Gesetzgeber im Rahmen seiner positiven Verpflichtungen bestimmte Regeln zum Schutz personenbezogener Daten von Kindern erlassen.
In diesem Artikel werden die von der Europäischen Union und der Türkei verabschiedeten Bestimmungen zum Schutz personenbezogener Daten von Kindern im Zusammenhang mit den gegen die Social-Media-Plattform TikTok verhängten Geldbußen untersucht.
- EUROPÄISCHE UNION UND TÜRKISCHE GESETZGEBUNG
Die Verordnung der Europäischen Union zum Schutz personenbezogener Daten ist die Allgemeine Datenschutzverordnung („GDPR“). Die DSGVO ist 2016 in Kraft getreten und gilt für alle Staaten der Europäischen Union und ist in all diesen Staaten in Kraft.
Artikel 8 der DSGVO regelt die Rechtmäßigkeit der Einwilligung bei der Verarbeitung personenbezogener Daten des Kindes. Gemäß den Bestimmungen des Artikels ist die Einwilligung in Fällen, in denen die Einwilligung der betroffenen Person als Grund für die Einhaltung des Gesetzes geltend gemacht wird, die Einwilligung gültig, wenn das Kind mindestens 16 Jahre alt ist. Wenn das Kind unter 16 Jahre alt ist, kann die Datenverarbeitung nur dann als rechtmäßig angesehen werden, wenn die Einwilligung von der Person erteilt oder genehmigt wird, die die elterliche Verantwortung für das Kind trägt.
Artikel 12 der DSGVO besagt, dass die Mitteilung an die betroffene Person in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form in klarer und einfacher Sprache erfolgen muss. Die Tatsache, dass diese Mitteilung dem Kind zur Verfügung gestellt wird, wird in dem Artikel besonders hervorgehoben. Wie aus dieser Betonung des Artikels hervorgeht, besagt die DSGVO, dass der für die Datenverarbeitung Verantwortliche besonders darauf achten sollte, dass das Kind informiert wird.
In Bezug auf die türkischen Vorschriften zum Schutz personenbezogener Daten enthält das Gesetz zum Schutz personenbezogener Daten keine spezifischen Bestimmungen für Kinder. In der TikTok-Entscheidung, die im nächsten Abschnitt geprüft wird, macht der türkische Datenschutzausschuss („Ausschuss“) jedoch auf bestimmte Fragen im Zusammenhang mit der Einholung der ausdrücklichen Zustimmung bei der Verarbeitung personenbezogener Daten von Kindern aufmerksam. Zwar sind noch keine spezifischen Artikel über Kinder in Kraft getreten, da der Vorstand die Verarbeitung personenbezogener Daten von Kindern in seiner Entscheidung bewertet hat, sollten Organisationen ihre Praktiken im Lichte dieser Entscheidung überprüfen.
- BEWERTUNG IM RAHMEN DER ENTSCHEIDUNGEN DER NIEDERLANDE, DES VEREINIGTEN KÖNIGREICHS UND DER TÜRKEI
In diesem Abschnitt werden die Entscheidungen der Datenschutzbehörden aus (i) den Niederlanden, (ii) dem Vereinigten Königreich und (iii) der Türkei zu TikTok kurz analysiert.
i. Die niederländische Datenschutzbehörde („The AP“) hat TikTok in ihrer Entscheidung eine Geldstrafe von 750.000€ wegen Verletzung der Privatsphäre von Kindern auferlegt. Laut der in der Entscheidung zitierten Studie nutzen eine große Gruppe niederländischer Kinder unter 16 Jahren und schätzungsweise 830.000 Kinder unter 18 Jahren TikTok. In der Entscheidung heißt es auch, dass TikTok mehr von Kindern im Alter von etwa 12 Jahren genutzt wird.
Die AP hat festgestellt, dass TikTok seine Datenschutzrichtlinie Nutzern nur auf Englisch anbietet, dass die Gruppen von Kindern, deren Statistiken oben aufgeführt sind, auch Zugang zu TikTok haben und dass die Hinweise für Kinder in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form in klarer und einfacher Sprache bereitgestellt werden sollten. Daher wurde festgestellt, dass die Datenschutzrichtlinie nicht den in Artikel 12 der DSGVO festgelegten Anforderungen entspricht.
Auf die Behauptung von TikTok, dass im konkreten Fall kein Verstoß vorliege, weil die Mehrheit der Niederländer Englisch spreche, erklärte The AP, dass es nicht als selbstverständlich angesehen werden kann, dass die betroffenen Kinder in der genannten Altersgruppe über gute Englischkenntnisse verfügen, und dass diese Situation den Verstoß gegen Artikel 12 der DSGVO nicht entschädigt.
ii. Aus dem Vereinigten Königreich hat das Büro des Informationskommissarse („The ICO“) gegen TikTok eine Geldbuße von 12.700.000 GBP verhängt, weil es mehrere Verstöße gegen das Datenschutzrecht im Land begangen hat, einschließlich der nicht gesetzeskonformen Verwendung personenbezogener Daten von Kindern. Das ICO hat das herausgefunden;
(a) Die Daten von Kindern unter 13 Jahren wurden ohne Zustimmung oder Genehmigung ihrer Eltern oder Betreuer verarbeitet,
(b) dass die betroffenen Personen nicht ordnungsgemäß darüber informiert wurden, wie ihre Daten gesammelt, verwendet und weitergegeben wurden, und
(c) dass ihre Daten daher nicht rechtmäßig, fair und transparent verarbeitet wurden.
Im Rahmen dieser Entscheidung wird davon ausgegangen, dass in Fällen, in denen personenbezogene Daten auf der Rechtsgrundlage der Einwilligung verarbeitet werden, wenn die betroffene Person unter 13 Jahre alt ist, die Zustimmung ihrer Familie oder ihres Betreuers eingeholt werden muss und die Benachrichtigung der betroffenen Person auf leicht verständliche Weise erfolgen muss.
iii. In der Entscheidung der türkischen Datenschutzbehörde („Ausschuss‘‘) wurde bewertet, dass die personenbezogenen Daten von Kindern unter 13 Jahren, die die Anwendung nutzen, angezeigt und Daten über Kinder gesammelt wurden, ohne die entsprechende Zustimmung der Eltern, die entsprechende Textmitteilung für wurde nicht ins Türkische übersetzt, nachdem die Zustimmung in den Nutzungsbedingungen von TikTok eingeholt wurde, und da der Inhalt nicht in einer leicht verständlichen Form präsentiert wurde, war es möglich, dass Nutzer die Bedingungen akzeptieren, ohne dass sie vollständig sie verstehen. Darüber hinaus werden Kinder in dieser Altersgruppe vom Board als gefährdete Altersgruppe eingestuft.
Den obigen Bewertungen zufolge legt das türkische Datenschutzgesetz zwar nicht die Bedingungen für die Verarbeitung personenbezogener Daten von betroffenen Personen in der sensiblen Altersgruppe fest, hielt es der Ausschuss jedoch in der fraglichen Entscheidung für riskant, die personenbezogenen Daten von betroffenen Personen der sensiblen Altersgruppe ohne Zustimmung ihrer berechtigten Eltern zu verarbeiten. Darüber hinaus müssen die Nutzungsbedingungen und die Hinweise in türkischer Sprache zur Verfügung gestellt werden, um sicherzustellen, dass Nutzer in der Türkei diese Texte leicht verstehen.
- GRUNDSÄTZE, DIE IM RAHMEN DER ENTSCHEIDUNGEN HERAUSZUGEBEN SIND
Obwohl es sich bei der Verordnung der Europäischen Union um eine umfassende Verordnung handelt, kann jedes Land personenbezogene Daten in seinem innerstaatlichen Recht regeln. Die in diesem Artikel analysierten Entscheidungen der Datenschutzbehörden des Vereinigten Königreichs, der Niederlande und der Türkei sind wichtig, da sie einige Gemeinsamkeiten aufweisen, obwohl sie sich in unterschiedlichen Jurisdiktionen befinden. Dementsprechend lauten die gemeinsamen Grundsätze, die sich aus diesen Entscheidungen ergeben können und die möglicherweise von den für die Datenverarbeitung Verantwortlichen berücksichtigt werden müssen:
1. Für die Datenverarbeitung Verantwortliche, deren Dienste auch von Kindern genutzt werden, müssen bei der Verarbeitung personenbezogener Daten von Kindern sensibler vorgehen.
2. Bei der Verarbeitung personenbezogener Daten von Kindern der in ihren Rechtsvorschriften festgelegten Altersgruppe müssen die für die Verarbeitung Verantwortlichen die Zustimmung (oder, falls erforderlich, die ausdrückliche Zustimmung) einholen, die von der Person erteilt oder genehmigt wurde, die die elterliche Verantwortung für das Kind trägt.
3. Die für die Datenverarbeitung Verantwortlichen müssen Hinweistexte in der Sprache des Landes bereitstellen, in dem sie Dienstleistungen erbringen. Die Veröffentlichung der Mitteilungen nur in englischer Sprache verstößt gegen die Anforderung, sie in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitzustellen, wobei eine klare und einfache Sprache verwendet werden muss, wenn die Sprache dieses Landes nicht Englisch ist.
4. Selbst wenn die Verpflichtungen in Bezug auf Zustimmung und Benachrichtigung erfüllt werden, müssen die für die Datenverarbeitung Verantwortlichen möglicherweise Risikoanalysen für Kinder durchführen und zusätzliche Maßnahmen ergreifen.
Mit der Bitte um Kenntnisnahme.